Vous êtes ici : Formations en Ligne Gratuites » Catalogue » workbooks » CentOS » CentOS 5, 6 et 7 » LCF300 - Présentation de la Formation » LCF301 - Gestion des Paramètres du matériel et les Ressources

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision		Révision précédente
elearning:workbooks:centos:6:avance:l102 [2020/02/21 07:10] – créée adminelearning:workbooks:centos:6:avance:l102 [2023/02/15 15:42] (Version actuelle) admin
Ligne 1: Ligne 1:
 ~~PDF:LANDSCAPE~~ ~~PDF:LANDSCAPE~~
 +
 +Version : **2022.01**
  
 Dernière mise-à-jour : ~~LASTMOD~~ Dernière mise-à-jour : ~~LASTMOD~~
  
-======LRF302 - Gestion du Réseau======+======LCF301 - Gestion des Paramètres du matériel et les Ressources======
  
-=====Configuration du Réseau sous RHEL/CentOS 5 et 6=====+=====Contenu du Module=====
  
-==== Configuration de TCP/IP ====+  * **LCF301 - Gestion des Paramètres et les Ressources du Matériel** 
 +    * Contenu du Module 
 +    * Fichiers Spéciaux  
 +    * Commandes 
 +      * La Commande lspci 
 +      * La Commande lsusb 
 +      * La Commande dmidecode 
 +    * Répertoire /proc 
 +      * Répertoires 
 +        * ide/scsi 
 +        * acpi 
 +        * bus 
 +        * net 
 +        * sys 
 +        * La Commande sysctl 
 +      * Fichiers 
 +        * Processeur 
 +        * Interruptions système 
 +        * Canaux DMA 
 +        * Plages d'entrée/sortie 
 +        * Périphériques 
 +        * Modules 
 +        * Statistiques de l'utilisation des disques 
 +        * Partitions 
 +        * Espaces de pagination 
 +        * Statistiques d'utilisation du processeur 
 +        * Statistiques d'utilisation de la mémoire 
 +        * Version du noyau 
 +      * Interprétation des informations dans /proc 
 +        * Commandes 
 +          * free 
 +          * uptime ou w  
 +          * iostat 
 +          * vmstat 
 +          * mpstat 
 +          * sar 
 +          * Utilisation des commandes en production 
 +            * Identifier un système limité par le processeur 
 +            * Identifier un système ayant un problème de mémoire 
 +            * Identifier un système ayant un problème d'E/
 +    * Modules usb 
 +    * udev 
 +      * La Commande udevadm 
 +    * Système de fichiers /sys 
 +    * Limiter les Ressources 
 +      * ulimit 
 +      * Groupes de Contrôle 
 +        * LAB #1 - Travailler avec les cgroups sous RHEL/CentOS 7
  
-La configuration TCP/IP se trouve dans le répertoire **/etc/sysconfig**. Les fichiers importants sont :+=====Fichiers Spéciaux=====
  
-=== DHCP ===+Dans l'ordinateur les périphériques sont reliés à un **contrôleur** qui communique avec le processeur à l'aide d'un **bus**. Le contrôleur ainsi que les périphériques nécessitent des pilotes. Sous Linux, les pilotes sont généralement fournis sous la forme d'un **module**. Chaque périphérique est représenté par un **fichier spécial** dans le répertoire **/dev** et c'est dans ce fichier que le système trouve les informations nécessaires pour s'adresser au pilote.
  
-== /etc/sysconfig/network ==+<WRAP center round important> 
 +**Important** : Les périphériques qui nécessitent à ce que l'ordinateur soit éteint afin des les brancher/débrancher sont appelés communément **Cold Plug Devices**. Les périphériques qui peuvent être brancher/débrancher à chaud sont appelés des **Hot Plug Devices**. 
 +</WRAP> 
 + 
 +Consultez le contenu du répertoire /dev :
  
 <code> <code>
-[root@centos6 ~]# cat /etc/sysconfig/network +[root@centos7 ~]# ls -l /dev | more 
-NETWORKING=yes +total 0 
-HOSTNAME=centos6+crw-------. 1 root    root     10, 235 Oct 28 09:40 autofs 
 +drwxr-xr-x. 2 root    root         140 Oct 28 09:40 block 
 +drwxr-xr-x. 2 root    root          80 Oct 28 09:40 bsg 
 +crw-------. 1 root    root     10, 234 Oct 28 09:40 btrfs-control 
 +drwxr-xr-x. 3 root    root          60 Oct 28 09:40 bus 
 +lrwxrwxrwx. 1 root    root           3 Oct 28 09:40 cdrom -> sr0 
 +drwxr-xr-x. 2 root    root        2800 Oct 28 09:41 char 
 +crw-------. 1 root    root      5,   1 Oct 28 09:40 console 
 +lrwxrwxrwx. 1 root    root          11 Oct 28 09:40 core -> /proc/kcore 
 +drwxr-xr-x. 3 root    root          80 Oct 28 09:40 cpu 
 +crw-------. 1 root    root     10,  61 Oct 28 09:40 cpu_dma_latency 
 +crw-------. 1 root    root     10,  62 Oct 28 09:40 crash 
 +drwxr-xr-x. 5 root    root         100 Oct 28 09:40 disk 
 +drwxr-xr-x. 2 root    root          60 Oct 28 09:40 dri 
 +lrwxrwxrwx. 1 root    root          13 Oct 28 09:40 fd -> /proc/self/fd 
 +crw-rw-rw-. 1 root    root      1,   7 Oct 28 09:40 full 
 +crw-rw-rw-. 1 root    root     10, 229 Oct 28 09:41 fuse 
 +crw-------. 1 root    root     10, 228 Oct 28 09:40 hpet 
 +drwxr-xr-x. 3 root    root           0 Oct 28 09:40 hugepages 
 +prw-------. 1 root    root           0 Oct 28 09:40 initctl 
 +drwxr-xr-x. 3 root    root         240 Oct 28 09:40 input 
 +crw-r--r--. 1 root    root      1,  11 Oct 28 09:40 kmsg 
 +--More--
 </code> </code>
  
-Dans ce fichier vous pouvez constater les directives suivantes : +On peut noter dans la sortie de la commande que certains fichiers sont de type **bloc** (**b**), tandis que d'autre sont de type **caractère** (**c**). 
- +
-^ Directive ^ Description ^ +
-| NETWORKING | Indique que la prise en charge du réseau est activée | +
-| HOSTNAME | Indique le nom d'hôte de la machine | +
- +
-Ce fichier peut également contenir les directives suivantes : +
- +
-^ Directive ^ Description ^ +
-| GATEWAY | Indique l'adresse IPv4 de la passerelle | +
-| GATEWAYDEV | Indique l'interface réseau utilisée pour accéder à la passerelle | +
-| NISDOMAIN | Indique le domaine NIS s'il en existe un | +
-| NETWORKING_IPV6 | Active ou désactive le support IPv6 | +
- +
-==/etc/sysconfig/network-scripts/ifcfg-ethX (où X=0,1 ...)== +
- +
-**ifcfg-eth0**+
  
 <code> <code>
-[root@centos6 ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0 +... 
-DEVICE="eth0" +brw-rw----  1 root    disk      8,   1 Nov  1 08:39 sda1 
-NM_CONTROLLED="yes" +... 
-ONBOOT=yes +crw-rw-rw 1 root    tty       5,   0 Nov  1 08:39 tty 
-TYPE=Ethernet +...
-BOOTPROTO=dhcp +
-DEFROUTE=yes +
-IPV4_FAILURE_FATAL=yes +
-IPV6INIT=no +
-NAME="System eth0" +
-UUID=5fb06bd0-0bb0-7ffb-45f1-d6edd65f3e03 +
-HWADDR=08:00:27:48:7D:7F +
-PEERDNS=yes +
-PEERROUTES=yes+
 </code> </code>
  
-Dans ce fichier vous pouvez constater les directives suivantes :+La différence entre les deux repose sur le type de communication entre le système et le module. Dans le premier cas le système accède au périphérique par des coordonnées du bloc de données sur le support tandis que dans le deuxième cas la communication d'échange de données se fait octet par octet sans utiliser des tampons.
  
-^ Directive ^ Description ^ +Les deux informations clefs du fichier spécial sont situées à la place de la taille d'un fichier normal et se nomment le **majeur** et le **mineur** :
-| DEVICE | Indique le nom de l'interface | +
-| NM_CONTROLLED | Indique que le service NetworkManager est utilisé pour gérer les interfaces réseau | +
-| ONBOOT | Indique que l'interface est activée au démarrage de la machine | +
-| TYPE | Indique que le type de réseau est ethernet.  Les valeurs permises sont ethernet ou wireless | +
-| BOOTPROTO | Indique comment monter l'interface. Les valeurs permises sont dhcp, static ou bootp | +
-| DEFROUTE | Définit l'interface en tant que passerelle par défaut | +
-| IPV4_FAILURE_FATAL | Stipule que si IPv4 et IPv6 sont activés et la connexion IPv4 est perdue, la connexion IPv6 est considérée d'être perdue | +
-| IPV6INIT | Indique que le support IPv6 ne sera pas initialisé | +
-| NAME | Indique un nom descriptif de l'interface | +
-| UUID | Indique la valeur de l'UUID de l'interface | +
-| HWADDR | Indique l'adresse MAC de l'interface | +
-| PEERDNS |Indique que le fichier /etc/resolv.conf doit être modifié automatiquement pour contenir les adresses IP des DNS fournies par le serveur DHCP |+
  
 +  * le **majeur** identifie le pilote du périphérique et donc son contrôleur,
 +  * le **mineur** identifie le périphérique ou une particularité du périphérique telle une partition d'un disque.
  
-<WRAP center round todo> +=====Commandes=====
-Recherchez la définition de la directive **PEERROUTES=yes**. +
-</WRAP>+
  
-=== IP Fixe ===+====La Commande lspci====
  
-== /etc/sysconfig/network == +Cette commande vous renseigne sur les adaptateurs reliés aux bus PCI, AGP et PCI express :
- +
-<file> +
-NETWORKING=yes +
-NETWORKING_IPV6=no +
-HOSTNAME=centos6.fenestros.loc +
-</file> +
- +
-==/etc/sysconfig/network-scripts/ifcfg-ethX (où X=0,1 ...)== +
- +
-**ifcfg-eth0** +
- +
-<file> +
-DEVICE="eth0" +
-NM_CONTROLLED="no" +
-ONBOOT=yes +
-TYPE=Ethernet +
-BOOTPROTO=static +
-IPV6INIT=no +
-HWADDR="08:00:27:9B:55:B1" +
-NETMASK=255.255.255.0 +
-IPADDR=10.0.2.15 +
-GATEWAY=10.0.2.2 +
-DNS1=8.8.8.8 +
-DNS2=8.8.4.4 +
-DOMAIN=fenestros.loc +
-USERCTL=yes +
-</file> +
- +
-Dans ce fichier vous pouvez constater les nouvelles directives suivantes : +
- +
-^ Directive ^ Description ^ +
-| NETMASK | Indique le masque de sous-réseau IPv4 associé à l'interface | +
-| IPADDR | Indique l'adresse IPv4 de l'interface | +
-| GATEWAY  | Indique l'adresse IPv4 de la passerelle par défaut | +
-| DNS1 | Indique le DNS primaire | +
-| DNS2 | Indique le DNS secondaire | +
-| DOMAIN  | Indique le nom du domaine local | +
-| USERCTL | Indique que les utilisateurs normaux peuvent activer/désactiver l'interface | +
- +
-<WRAP center round important> +
-Notez que %%VirtualBox%% fournit une passerelle par défaut ( 10.0.2.2 ). +
-</WRAP> +
- +
-Après avoir modifier les deux fichiers **/etc/sysconfig/network** et **/etc/sysconfig/network-scripts/ifcfg-eth0** vous devez désactiver le service **%%NetworkManager%%** utilisé pour la connexion DHCP et activer le service **network** :+
  
 <code> <code>
-[root@centos6 ~]# service NetworkManager stop +[root@centos7 ~]# lspci 
-Arrêt du démon NetworkManager                             OK  +00:00.0 Host bridge: Intel Corporation 440FX - 82441FX PMC [Natoma(rev 02) 
-[root@centos6 ~]# chkconfig --del NetworkManager +00:01.0 ISA bridge: Intel Corporation 82371SB PIIX3 ISA [Natoma/Triton II
-[root@centos6 ~]# service network start +00:01.1 IDE interface: Intel Corporation 82371AB/EB/MB PIIX4 IDE (rev 01) 
-Activation de l'interface loopback                       [  OK  ] +00:02.0 VGA compatible controller: InnoTek Systemberatung GmbH VirtualBox Graphics Adapter 
-Activation de l'interface eth0                           [  OK  ] +00:03.0 Ethernet controller: Intel Corporation 82540EM Gigabit Ethernet Controller (rev 02) 
-[root@centos6 ~]#+00:04.0 System peripheral: InnoTek Systemberatung GmbH VirtualBox Guest Service 
 +00:05.0 Multimedia audio controller: Intel Corporation 82801AA AC'97 Audio Controller (rev 01) 
 +00:06.0 USB controller: Apple Inc. KeyLargo/Intrepid USB 
 +00:07.0 Bridge: Intel Corporation 82371AB/EB/MB PIIX4 ACPI (rev 08) 
 +00:0b.0 USB controller: Intel Corporation 82801FB/FBM/FR/FW/FRW (ICH6 Family) USB2 EHCI Controller 
 +00:0d.0 SATA controller: Intel Corporation 82801HM/HEM (ICH8M/ICH8M-E) SATA Controller [AHCI mode(rev 02)
 </code> </code>
  
- +Pour obtenir de l'information sur un adaptateur spécifique, il convient d'utiliser la même commande avec l'option **-v** en spécifiant l'identifiant concerné :
-====La Commande hostname==== +
- +
-Lors du passage à une configuration en IPv4 fixe vous avez modifié la directive **HOSTNAME** du fichier **/etc/sysconfig/network** de **centos** à **centos.fenestros.loc**. Afin d'informer le système immédiatement de la modification du FQDN (//Fully Qualified Domain Name//), utilisez la commande **hostname** : +
  
 <code> <code>
-[root@centos6 ~]# hostname +[root@centos7 ~]# lspci -v -s 00:03.0 
-centos6 +00:03.0 Ethernet controller: Intel Corporation 82540EM Gigabit Ethernet Controller (rev 02) 
-[root@centos6 ~]# hostname centos6.fenestros.loc + Subsystem: Intel Corporation PRO/1000 MT Desktop Adapter 
-[root@centos6 ~]# hostname + Flags: bus master, 66MHz, medium devsel, latency 64, IRQ 19 
-centos6.fenestros.loc+ Memory at f0000000 (32-bit, non-prefetchable) [size=128K
 + I/O ports at d010 [size=8
 + Capabilities: [dc] Power Management version 2 
 + Capabilities: [e4] PCI-X non-bridge device 
 + Kernel driver in use: e1000
 </code> </code>
  
-Pour afficher le FQDN du système vous pouvez également utiliser la commande suivante :+ou :
  
 <code> <code>
-[root@centos6 ~]# uname -n +[root@centos7 ~]# lspci -vv -s 00:03.0 
-centos6.fenestros.loc+00:03.0 Ethernet controller: Intel Corporation 82540EM Gigabit Ethernet Controller (rev 02) 
 + Subsystem: Intel Corporation PRO/1000 MT Desktop Adapter 
 + Control: I/O+ Mem+ BusMaster+ SpecCycle- MemWINV- VGASnoop- ParErr- Stepping- SERR- FastB2B- DisINTx- 
 + Status: Cap+ 66MHz+ UDF- FastB2B- ParErr- DEVSEL=medium >TAbort- <TAbort- <MAbort- >SERR- <PERR- INTx- 
 + Latency: 64 (63750ns min) 
 + Interrupt: pin A routed to IRQ 19 
 + Region 0: Memory at f0000000 (32-bit, non-prefetchable) [size=128K] 
 + Region 2: I/O ports at d010 [size=8] 
 + Capabilities: [dc] Power Management version 2 
 + Flags: PMEClk- DSI+ D1- D2- AuxCurrent=0mA PME(D0-,D1-,D2-,D3hot-,D3cold-) 
 + Status: D0 NoSoftRst- PME-Enable- DSel=0 DScale=0 PME- 
 + Capabilities: [e4] PCI-X non-bridge device 
 + Command: DPERE- ERO+ RBC=512 OST=1 
 + Status: Dev=ff:1f.0 64bit- 133MHz- SCD- USC- DC=simple DMMRBC=2048 DMOST=1 DMCRS=8 RSCEM- 266MHz- 533MHz- 
 + Kernel driver in use: e1000
 </code> </code>
  
-===Options de la commande hostname===+===Options de la commande===
  
 Les options de cette commande sont : Les options de cette commande sont :
  
 <code> <code>
-[root@centos6 ~]# hostname --help +[root@centos7 ~]# lspci --help 
-Syntaxe hostname [-v] {hôte|-F fichier}      définit le nom d'hôte (depuis le fichier) +lspciinvalid option -- '-' 
-       domainname [-v] {domaine_nis|-F fichier}   définit le domaine NIS (depuis le fichier) +Usage: lspci [<switches>]
-       hostname [-v[-d|-f|-s|-a|-i|-y]  display formatted name +
-       hostname [-v]                         affiche le nom d'hôte+
  
-       hostname -V|--version|-h|--help       affiche des infos et termine+Basic display modes: 
 +-mm Produce machine-readable output (single -m for an obsolete format) 
 +-t Show bus tree
  
-    dnsdomainname=hostname -d, {yp,nis,}domainname=hostname -y+Display options: 
 +-v Be verbose (-vv for very verbose) 
 +-k Show kernel drivers handling each device 
 +-x Show hex-dump of the standard part of the config space 
 +-xxx Show hex-dump of the whole config space (dangerous; root only) 
 +-xxxx Show hex-dump of the 4096-byte extended config space (root only) 
 +-b Bus-centric view (addresses and IRQ's as seen by the bus) 
 +-D Always show domain numbers
  
-    -s, --short           nom d'hôte court +Resolving of device ID'to names: 
-    -a, --alias           noms d'alias +-n Show numeric ID's 
-    -i, --ip-address      adresses de l'hôte +-nn Show both textual and numeric ID'(names & numbers
-    -f, --fqdn, --long    nom d'hôte long (FQDN+-q Query the PCI ID database for unknown ID's via DNS 
-    -d, --domain          nom de domaine DNS +-qq As abovebut re-query locally cached entries 
-    -y, --yp, --nis       nom de domaine NIS/YP +-Q Query the PCI ID database for all ID's via DNS
-    -F, --file            read hostname or NIS domainname from given file+
  
-   This command can read or set the hostname or the NIS domainname. You can +Selection of devices: 
-   also read the DNS domain or the FQDN (fully qualified domain name). +-s [[[[<domain>]:]<bus>]:][<slot>][.[<func>]] Show only devices in selected slots 
-   Unless you are using bind or NIS for host lookups you can change the +-d [<vendor>]:[<device>] Show only devices with specified ID's
-   FQDN (Fully Qualified Domain Name) and the DNS domain name (which is +
-   part of the FQDN) in the /etc/hosts file. +
-</code>+
  
-====La Commande ifconfig==== +Other options
- +-i <file> Use specified ID database instead of /usr/share/hwdata/pci.ids 
-Pour afficher la configuration IP de la machine il faut saisir la commande suivante +-p <file> Look up kernel modules in a given file instead of default modules.pcimap 
- +-M Enable `bus mapping' mode (dangerous; root only)
-<code> +
-[root@centos6 ~]# ifconfig +
-eth0      Link encap:Ethernet  HWaddr 08:00:27:48:7D:7F   +
-          inet adr:10.0.2.15  Bcast:10.0.2.255  Masque:255.255.255.0 +
-          adr inet6: fe80::a00:27ff:fe48:7d7f/64 Scope:Lien +
-          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1 +
-          RX packets:16765 errors:0 dropped:0 overruns:0 frame:0 +
-          TX packets:15256 errors:0 dropped:0 overruns:0 carrier:0 +
-          collisions:0 lg file transmission:1000  +
-          RX bytes:12435171 (11.8 MiB)  TX bytes:4767389 (4.5 MiB)+
  
-lo        Link encap:Boucle locale   +PCI access options
-          inet adr:127.0.0.1  Masque:255.0.0.0 +-A <method> Use the specified PCI access method (see `-A help' for a list) 
-          adr inet6: ::1/128 Scope:Hôte +-O <par>=<val> Set PCI access parameter (see `-O help' for a list) 
-          UP LOOPBACK RUNNING  MTU:16436  Metric:+-G Enable PCI access debugging 
-          RX packets:8 errors:0 dropped:0 overruns:0 frame:0 +-H <mode> Use direct hardware access (<mode>or 2) 
-          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0 +-F <file> Read PCI configuration dump from a given file
-          collisions:0 lg file transmission:0  +
-          RX bytes:480 (480.0 b)  TX bytes:480 (480.0 b)+
 </code> </code>
  
-La commande ifconfig est également utilisée pour configurer une interface. +====La Commande lsusb====
  
-Créez maintenant une interface fictive ainsi :+Cette commande vous renseigne sur les adaptateurs reliés au bus usb :
  
 <code> <code>
-[root@centos6 ~]# ifconfig eth0:1 192.168.1.netmask 255.255.255.0 broadcast 192.168.1.255 +[root@centos7 ~]# lsusb 
-</code>+Bus 001 Device 001ID 1d6b:0002 Linux Foundation 2.0 root hub 
 +Bus 002 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
  
-Constatez maintenant le résultat : +[root@centos7 ~]# lsusb -vt 
- +/:  Bus 02.Port 1: Dev 1, Class=root_hub, Driver=ohci-pci/8p, 12M 
-<code> +/:  Bus 01.Port 1: Dev 1, Class=root_hub, Driver=ehci-pci/8p, 480M
-[root@centos6 ~]# ifconfig +
-eth0      Link encap:Ethernet  HWaddr 08:00:27:48:7D:7F   +
-          inet adr:10.0.2.15  Bcast:10.0.2.255  Masque:255.255.255.0 +
-          adr inet6: fe80::a00:27ff:fe48:7d7f/64 Scope:Lien +
-          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1 +
-          RX packets:16904 errors:0 dropped:0 overruns:0 frame:0 +
-          TX packets:15337 errors:0 dropped:0 overruns:0 carrier:0 +
-          collisions:0 lg file transmission:1000  +
-          RX bytes:12445250 (11.8 MiB)  TX bytes:4816855 (4.5 MiB) +
- +
-eth0:   Link encap:Ethernet  HWaddr 08:00:27:48:7D:7F   +
-          inet adr:192.168.1.2  Bcast:192.168.1.255  Masque:255.255.255.0 +
-          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1 +
- +
-lo        Link encap:Boucle locale   +
-          inet adr:127.0.0.1  Masque:255.0.0.0 +
-          adr inet6: ::1/128 Scope:Hôte +
-          UP LOOPBACK RUNNING  MTU:16436  Metric:1 +
-          RX packets:8 errors:0 dropped:0 overruns:0 frame:0 +
-          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0 +
-          collisions:0 lg file transmission:0  +
-          RX bytes:480 (480.0 b)  TX bytes:480 (480.0 b)+
 </code> </code>
  
-===Options de la commande ifconfig===+===Options de la commande===
  
 Les options de cette commande sont : Les options de cette commande sont :
  
 <code> <code>
-[root@centos6 ~]# ifconfig --help +[root@centos7 ~]# lsusb --help 
-Usage: +Usage: lsusb [options]... 
-  ifconfig [-a] [-v] [-s] <interface> [[<AF>] <address>] +List USB devices 
-  [add <adresse>[/<lg_prefixe>]] +  -v--verbose 
-  [del <adresse>[/<lg_prefixe>]] +      Increase verbosity (show descriptors) 
-  [[-]broadcast [<adresse>]]  [[-]pointopoint [<adresse>]+  -[[bus]:][devnum
-  [netmask <address> [dstaddr <address> [tunnel <address>+      Show only devices with specified device and/or 
-  [outfill <NN>] [keepalive <NN>] +      bus numbers (in decimal) 
-  [hw <HW> <adresse> [metric <NN> [mtu <NN>] +  -d vendor:[product
-  [[-]trailers]  [[-]arp]  [[-]allmulti+      Show only devices with the specified vendor and 
-  [multicast]  [[-]promisc] +      product ID numbers (in hexadecimal) 
-  [mem_start <NN> [io_addr <NN> [irq <NN> [media <type>] +  -D device 
-  [txqueuelen <NN>+      Selects which device lsusb will examine 
-  [[-]dynamic] +  -t, --tree 
-  [up|down] ... +      Dump the physical USB device hierarchy as a tree 
- +  -V, --version 
-  <HW>=Type de matériel. +      Show version of program 
-  Liste des types de matériels possibles: +  -h, --help 
-    loop (Boucle locale) slip (IP ligne série) cslip (IP ligne série VJ )  +      Show usage and help
-    slip6 (IP ligne série 6 bits) cslip6 (IP ligne série 6 bits VJ) adaptive (IP ligne série adaptative)  +
-    strip (Metricom Starmode IP) ash (Ash) ether (Ethernet)  +
-    tr (16/4 Mbps Token Ring) tr (16/4 Mbps Token Ring (New)) ax25 (AMPR AX.25)  +
-    netrom (AMPR NET/ROM) rose (AMPR ROSE) tunnel (IPIP Tunnel)  +
-    ppp (Protocole Point-à-Point) hdlc ((Cisco)-HDLC) lapb (LAPB)  +
-    arcnet (ARCnet) dlci (Frame Relay DLCI) frad (Périphériue d'accès Frame Relay)  +
-    sit (IPv6-dans-IPv4) fddi (Fiber Distributed Data Interface) hippi (HIPPI)  +
-    irda (IrLAP) ec (Econet) x25 (generic X.25)  +
-    infiniband (InfiniBand)  +
-  <AF>=famille d'Adresses. Défaut: inet +
-  Liste des familles d'adresses possibles: +
-    unix (Domaine UNIX) inet (DARPA Internet) inet6 (IPv6)  +
-    ax25 (AMPR AX.25) netrom (AMPR NET/ROM) rose (AMPR ROSE)  +
-    ipx (Novell IPX) ddp (Appletalk DDP) ec (Econet)  +
-    ash (Ash) x25 (CCITT X.25) +
 </code> </code>
  
-====Activer/Désactiver une Interface Manuellement====+====La Commande dmidecode====
  
-Deux commandes existent pour activer et désactiver manuellement une interface réseau :+La commande **dmidecode** lit la table **DMI** (//Desktop Management Interface//) aussi appelée **SMBIOS** (//System Management BIOS//et fourni les informations sur : 
 + 
 +  * l'état du matériel actuel, 
 +  * les extensions possibles.
  
 <code> <code>
-[root@centos6 ~]# ifdown eth0 +[root@centos7 ~]# dmidecode 
-[root@centos6 ~]ifconfig +dmidecode 2.12 
-lo        Link encap:Boucle locale   +SMBIOS 2.5 present
-          inet adr:127.0.0.1  Masque:255.0.0.0 +10 structures occupying 450 bytes. 
-          adr inet6: ::1/128 Scope:Hôte +Table at 0x000E1000.
-          UP LOOPBACK RUNNING  MTU:65536  Metric:1 +
-          RX packets:384 errors:0 dropped:0 overruns:0 frame:0 +
-          TX packets:384 errors:0 dropped:0 overruns:0 carrier:0 +
-          collisions:0 lg file transmission:0  +
-          RX bytes:32496 (31.7 KiB)  TX bytes:32496 (31.7 KiB)+
  
-[root@centos6 ~]# ifup eth0 +Handle 0x0000, DMI type 0, 20 bytes 
-État de connexion active&nbsp;activation +BIOS Information 
-État de chemin actif&nbsp;: /org/freedesktop/NetworkManager/ActiveConnection/0 + Vendorinnotek GmbH 
-état&nbsp;activé + VersionVirtualBox 
-Connexion activée + Release Date: 12/01/2006 
-[root@centos6 ~]# ifconfig + Address0xE0000 
-eth0      Link encap:Ethernet  HWaddr 08:00:27:9B:55:B1   + Runtime Size128 kB 
-          inet adr:10.0.2.15  Bcast:10.0.2.255  Masque:255.255.255.0 + ROM Size128 kB 
-          adr inet6: fe80::a00:27ff:fe9b:55b1/64 Scope:Lien + Characteristics
-          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1 + ISA is supported 
-          RX packets:27 errors:0 dropped:0 overruns:0 frame:0 + PCI is supported 
-          TX packets:42 errors:0 dropped:0 overruns:0 carrier:0 + Boot from CD is supported 
-          collisions:0 lg file transmission:1000  + Selectable boot is supported 
-          RX bytes:4271 (4.1 KiB TX bytes:6145 (6.0 KiB)+ 8042 keyboard services are supported (int 9h) 
 + CGA/mono video services are supported (int 10h) 
 + ACPI is supported
  
-lo        Link encap:Boucle locale   +Handle 0x0001, DMI type 1, 27 bytes 
-          inet adr:127.0.0.1  Masque:255.0.0.0 +System Information 
-          adr inet6::1/128 Scope:Hôte + Manufacturerinnotek GmbH 
-          UP LOOPBACK RUNNING  MTU:65536  Metric:1 + Product NameVirtualBox 
-          RX packets:392 errors:0 dropped:0 overruns:0 frame:0 + Version: 1.2 
-          TX packets:392 errors:0 dropped:0 overruns:0 carrier:0 + Serial Number: 0 
-          collisions:0 lg file transmission: + UUIDDDEE345C-66F8-4250-B5A2-85CEF2C1C54D 
-          RX bytes:33600 (32.8 KiB)  TX bytes:33600 (32.8 KiB) + Wake-up TypePower Switch 
-</code>+ SKU NumberNot Specified 
 + FamilyVirtual Machine
  
-===/etc/networks===+Handle 0x0008, DMI type 2, 15 bytes 
 +Base Board Information 
 + Manufacturer: Oracle Corporation 
 + Product Name: VirtualBox 
 + Version: 1.2 
 + Serial Number: 0 
 + Asset Tag: Not Specified 
 + Features: 
 + Board is a hosting board 
 + Location In Chassis: Not Specified 
 + Chassis Handle: 0x0003 
 + Type: Motherboard 
 + Contained Object Handles: 0
  
-Ce fichier contient la correspondance entre des noms de réseaux et l'adresse IP du réseau :+Handle 0x0003, DMI type 3, 13 bytes 
 +Chassis Information 
 + ManufacturerOracle Corporation 
 + Type: Other 
 + Lock: Not Present 
 + Version: Not Specified 
 + Serial Number: Not Specified 
 + Asset Tag: Not Specified 
 + Boot-up State: Safe 
 + Power Supply State: Safe 
 + Thermal State: Safe 
 + Security Status: None
  
-<code> +Handle 0x0007, DMI type 126, 42 bytes 
-[root@centos6 ~]# cat /etc/networks  +Inactive
-default 0.0.0.0 +
-loopback 127.0.0.0 +
-link-local 169.254.0.0 +
-</code>+
  
-=== Résolution d'adresses IP ===+Handle 0x0005, DMI type 126, 15 bytes 
 +Inactive
  
-La configuration DNS est stockée dans le fichier **/etc/resolv.conf**.+Handle 0x0006, DMI type 126, 28 bytes 
 +Inactive
  
 +Handle 0x0002, DMI type 11, 7 bytes
 +OEM Strings
 + String 1: vboxVer_4.3.28
 + String 2: vboxRev_100309
  
-== /etc/resolv.conf ==+Handle 0x0008, DMI type 128, 8 bytes 
 +OEM-specific Type 
 + Header and Data: 
 + 80 08 08 00 01 15 21 00
  
-La configuration DNS est stockée dans le fichier /etc/resolv.conf :+Handle 0xFEFF, DMI type 127, 4 bytes 
 +End Of Table
  
-<code> 
-[root@centos6 ~]# cat /etc/resolv.conf 
-# Generated by NetworkManager 
- 
- 
-# No nameservers found; try putting DNS servers into your 
-# ifcfg files in /etc/sysconfig/network-scripts like so: 
-# 
-# DNS1=xxx.xxx.xxx.xxx 
-# DNS2=xxx.xxx.xxx.xxx 
-# DOMAIN=lab.foo.com bar.foo.com 
-nameserver 8.8.8.8 
-nameserver 8.8.4.4 
-search fenestros.loc  
 </code> </code>
  
-<WRAP center round important> +===Options de la commande===
-Notez que les DNS utilisés sont les serveurs DNS publics de Google. +
-</WRAP>+
  
- +Les options de cette commande sont :
-==/etc/nsswitch.conf== +
- +
-L'ordre de recherche des services de noms est stocké dans le fichier **/etc/nsswitch.conf**. Pour connaître l'ordre, saisissez la commande suivante :+
  
 <code> <code>
-[root@centos6 ~]# grep '^hosts:/etc/nsswitch.conf +[root@centos7 ~]# dmidecode --help 
-hosts:      files dns+Usage: dmidecode [OPTIONS] 
 +Options are: 
 + -d, --dev-mem FILE     Read memory from device FILE (default: /dev/mem) 
 + -h, --help             Display this help text and exit 
 + -q, --quiet            Less verbose output 
 + -s, --string KEYWORD   Only display the value of the given DMI string 
 + -t, --type TYPE        Only display the entries of given type 
 + -u, --dump             Do not decode the entries 
 +     --dump-bin FILE    Dump the DMI data to a binary file 
 +     --from-dump FILE   Read the DMI data from a binary file 
 + -V, --version          Display the version and exit
 </code> </code>
  
-== /etc/hosts ==+=====Répertoire /proc=====
  
-Le mot **files** dans la sortie de la commande précédente fait référence au fichier **/etc/hosts** :+Le répertoire /proc contient des fichiers et des répertoires virtuels. Le contenu de ces fichiers est créé dynamiquement lors de la consultation. Seul root peut consulter la totalité des informations dans le répertoire /proc.
  
 <code> <code>
-[root@centos6 ~]# cat /etc/hosts +[root@centos7 ~]# ls /proc 
-10.0.2.15 centos6 # Added by NetworkManager +1      217    260   2833  3085  465   5898         fb            sched_debug 
-127.0.0.1 localhost.localdomain localhost +10     22619  2605  2879  3091  478   5933         filesystems   scsi 
-::1 centos6 localhost6.localdomain6 localhost6+11     22650  2606  2883  3104  482   5940         fs            self 
 +12     228    261   2884  3108  484   60           interrupts    slabinfo 
 +1215   229    262   29    3124  485   604          iomem         softirqs 
 +1217   22908  263   2901  3172  488   698          ioports       stat 
 +1227   230    264   2906  3185  490              irq           swaps 
 +1228   232    265   2910  3304  492   7110         kallsyms      sys 
 +1230   233    2671  2913  3496  494              kcore         sysrq-trigger 
 +1264   23387  2676  2924  3543  495   83           keys          sysvipc 
 +13     235    27    2926  363                  key-users     timer_list 
 +1372   23580  2749  2931  370   502   acpi         kmsg          timer_stats 
 +14     23916  2752  2937  372   503   asound       kpagecount    tty 
 +15     23998  2759  2948  38    508   buddyinfo    kpageflags    uptime 
 +16     24     2762  2955  381   509   bus          loadavg       version 
 +17     24013  2764  2967  40    519   cgroups      locks         vmallocinfo 
 +1732   2427   2765  2971  41    521   cmdline      mdstat        vmstat 
 +1744   248    2767  2973  414   525   consoles     meminfo       zoneinfo 
 +17788  2486   2768  2983  431   530   cpuinfo      misc 
 +18     25     2782  2985  432   536   crypto       modules 
 +19     2586   2798  2988  433   549   devices      mounts 
 +2      259    28    2998  434   586   diskstats    mtrr 
 +20     2595   2802  3     436   587   dma          net 
 +20638  2597   2806  3058  454   5894  driver       pagetypeinfo 
 +21     26     2818  3084  458   5897  execdomains  partitions
 </code> </code>
  
-Pour tester le serveur DNS, deux commandes sont possibles :+====Répertoires====
  
-<code> +===ide/scsi===
-[root@centos6 ~]# nslookup www.i2tch.com +
-Server: 8.8.8.8 +
-Address: 8.8.8.8#53+
  
-Non-authoritative answer: +Ce répertoire contient des répertoires dans lesquels se trouvent des informations sur la capacité, le type et la géométrie des disques.
-www.i2tch.com canonical name = i2tch.com. +
-Name: i2tch.com +
-Address: 90.119.37.144+
  
-[root@centos6 ~]# dig www.i2tch.com+===acpi===
  
-; <<>> DiG 9.10.3-P4-Ubuntu <<>> www.i2tch.com +Ce répertoire contient des informations sur la gestion de l'énérgieles températuresles vitesses de ventilateursla charge des batteries.
-;; global options: +cmd +
-;; Got answer: +
-;; ->>HEADER<<- opcode: QUERYstatus: NOERRORid: 25061 +
-;; flags: qr rd ra; QUERY: 1ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1+
  
-;; OPT PSEUDOSECTION: +===bus===
-; EDNS: version: 0, flags:; udp: 65494 +
-;; QUESTION SECTION: +
-;www.i2tch.com. IN A+
  
-;; ANSWER SECTION: +Ce répertoire contient un sous-répertoire par bus.
-www.i2tch.com. 6563 IN CNAME i2tch.com. +
-i2tch.com. 50 IN A 90.119.37.144+
  
-;; Query time: 1 msec +===net===
-;; SERVER: 8.8.8.8#53(8.8.8.8) +
-;; WHEN: Mon Jan 22 18:00:27 CET 2018 +
-;; MSG SIZE  rcvd: 72 +
-</code>+
  
-==== Services réseaux ====+Ce répertoire contient des informations sur le réseau.
  
-Quand un client émet une demande de connexion vers une application réseau sur un serveur, il utilise un socket attaché à un port local **supérieur à 1023**, alloué d'une manière dynamique. La requête contient le port de destination sur le serveur. Certaines applications serveurs se gèrent toutes seules, ce qui est la cas par exemple d'**httpd**. Par contre d'autres sont gérées par le service **xinetd**. +===sys===
  
-=== xinetd ===+Ce répertoire contient des paramètres du noyau. Certains des fichiers dans ce répertoire sont accessibles en écriture par root en temps réel. Par exemple pour éviter des attaques réseau **%%DoS%%** utilisant la commande **ping**, saisissez la commande suivante :
  
-Sous RHEL/CentOS 6 xinetd n'est pas installé par défaut. Installez-le grâce à yum :+  # echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all [Entrée]
  
-<code> +Cette commande a pour résultat d'ignorer les reqûetes ping.
-[root@centos6 ~]# yum install xinetd +
-Loaded plugins: fastestmirror, refresh-packagekit +
-Loading mirror speeds from cached hostfile +
- * base: fr2.rpmfind.net +
- * extras: fr2.rpmfind.net +
- * updates: fr2.rpmfind.net +
-Setting up Install Process +
-Resolving Dependencies +
---> Running transaction check +
----> Package xinetd.i686 2:2.3.14-33.el6 set to be updated +
---> Finished Dependency Resolution+
  
-Dependencies Resolved+===La commande sysctl===
  
-================================================================================ +Les fichiers dans le répertoire **/proc/sys** peuvent être administrés par la commande **sysctl** en temps réel
- Package          Arch           Version                   Repository      Size +
-================================================================================ +
-Installing: +
- xinetd           i686           2:2.3.14-33.el6           base           121 k+
  
-Transaction Summary +La commande **sysctl** applique les règles consignés dans le fichier **/etc/sysctl.conf** au démarrage de la machine.
-================================================================================ +
-Install       1 Package(s) +
-Upgrade       0 Package(s) +
- +
-Total download size: 121 k +
-Installed size: 258 k +
-Is this ok [y/N]: y +
-Downloading Packages: +
-xinetd-2.3.14-33.el6.i686.rpm                            | 121 kB     00:00      +
-Running rpm_check_debug +
-Running Transaction Test +
-Transaction Test Succeeded +
-Running Transaction +
-  Installing     : 2:xinetd-2.3.14-33.el6.i686                              1/1  +
- +
-Installed: +
-  xinetd.i686 2:2.3.14-33.el6                                                    +
- +
-Complete! +
-</code>+
  
-Le programme xinetd est configuré via le fichier **/etc/xinetd.conf** :+Saisissez la commande :
  
 <code> <code>
-[root@centos6 ~]# cat /etc/xinetd.conf+[root@centos7 ~]# cat /etc/sysctl.conf 
 +# System default settings live in /usr/lib/sysctl.d/00-system.conf. 
 +# To override those settings, enter new settings here, or in an /etc/sysctl.d/<name>.conf file
 # #
-This is the master xinetd configuration fileSettings in the +For more information, see sysctl.conf(5) and sysctl.d(5).
-# default section will be inherited by all service configurations +
-# unless explicitly overridden in the service configurationSee +
-# xinetd.conf in the man pages for a more detailed explanation of +
-# these attributes.+
  
-defaults +[root@centos7 ~]cat /usr/lib/sysctl.d/00-system.conf 
-+Kernel sysctl configuration file
-The next two items are intended to be a quick access place to +
-temporarily enable or disable services.+
 # #
-# enabled = +For binary values, 0 is disabled, 1 is enabled.  See sysctl(8) and 
-# disabled =+sysctl.conf(5) for more details.
  
-Define general logging characteristics+Disable netfilter on bridges
- log_type SYSLOG daemon info  +net.bridge.bridge-nf-call-ip6tables 0 
- log_on_failure HOST +net.bridge.bridge-nf-call-iptables 0 
- log_on_success PID HOST DURATION EXIT+net.bridge.bridge-nf-call-arptables 0
  
-Define access restriction defaults +Controls the maximum shared segment size, in bytes 
-+kernel.shmmax 4294967295
-# no_access = +
-# only_from = +
-# max_load = 0 +
- cps = 50 10 +
- instances = 50 +
- per_source 10+
  
-Address and networking defaults +Controls the maximum number of shared memory segments, in pages
-+
-# bind = +
-# mdns = yes +
- v6only = no+
  
-setup environmental attributes +[root@centos7 ~]ls -l /etc/sysctl.d/ 
-+total 0 
-# passenv = +lrwxrwxrwx. 1 root root 14 Jun  4 09:54 99-sysctl.conf -> ../sysctl.conf
- groups = yes +
- umask = 002+
  
-Generallybanners are not usedThis sets up their global defaults+[root@centos7 ~]cat /etc/sysctl.d/99-sysctl.conf  
 +# System default settings live in /usr/lib/sysctl.d/00-system.conf. 
 +# To override those settingsenter new settings here, or in an /etc/sysctl.d/<name>.conf file
 # #
-# banner = +For more information, see sysctl.conf(5) and sysctl.d(5).
-# banner_fail = +
-# banner_success = +
-+
- +
-includedir /etc/xinetd.d+
 </code> </code>
  
-Les valeurs des directives dans le fichier **/etc/xinetd.conf** sont héritées par toutes les configurations des services sauf dans le cas où une variable est explicitement fixée dans un des fichiers de définitions des services se trouvant dans **/etc/xinetd.d**.+==Options de la commande==
  
-Les variables les plus importantes dans **/etc/xinetd.conf** : +Les options de la commande **sysctl** sont :
- +
-^  Directive  ^  Déscription +
-|  instances  | Le nombre de demandes d'accès simultanés | +
-|  log_type  | Indique à xinetd d'adresser les traces à SYSLOG avec l'étiquette de sous-système applicatif **daemon** et la priorité de **info** +
-|  log_on_succes  | Indique que SYSLOG doit journaliser le PID, HOST, DURATION et EXIT en cas de succès | +
-|  log_on_failure  | Indique que SYSLOG doit journaliser le HOST en cas d'échec | +
-|  cps  | Indique 50 connexions par seconde avec un temps d'indisponibilité de 10 secondes si le seuil est atteint |  +
- +
-Les options concernant les journaux sont +
- +
-|  HOST  | Journalisation de l'adresse IP de l'hôte distant | +
-|  PID  | Journalisation du PID du processus qui reçoit la demande d'accès | +
-|  DURATION  | Journalisation des durées d'utilisation | +
-|  EXIT  | Journalisation de l'état ou di signal de fin de service | +
- +
-Il est aussi possible de trouver les options suivantes pour les journaux : +
- +
-|  ATTEMPT  | Journalisation des connexions en échec | +
-|  USERID  | Journalisation des données concernant l'utilisateur selon la RFC 1413 | +
- +
-Examinons maintenant le répertoire **/etc/xinetd.d** +
  
 <code> <code>
-[root@centos6 ~]# ls -l /etc/xinetd.d +[root@centos7 ~]# sysctl --help
-total 52 +
--rw-------. 1 root root 1157  7 déc.  22:07 chargen-dgram +
--rw-------. 1 root root 1159  7 déc.  22:07 chargen-stream +
--rw-r--r--. 1 root root  523 25 juin   2011 cvs +
--rw-------. 1 root root 1157  7 déc.  22:07 daytime-dgram +
--rw-------. 1 root root 1159  7 déc.  22:07 daytime-stream +
--rw-------. 1 root root 1157  7 déc.  22:07 discard-dgram +
--rw-------. 1 root root 1159  7 déc.  22:07 discard-stream +
--rw-------. 1 root root 1148  7 déc.  22:07 echo-dgram +
--rw-------. 1 root root 1150  7 déc.  22:07 echo-stream +
--rw-r--r--. 1 root root  332 20 mai    2009 rsync +
--rw-------. 1 root root 1212  7 déc.  22:07 tcpmux-server +
--rw-------. 1 root root 1149  7 déc.  22:07 time-dgram +
--rw-------. 1 root root 1150  7 déc.  22:07 time-stream +
-</code>+
  
-A l'examen de ce répertoire vous noterez que celui-ci contient des fichiers nominatifs par application-serveur, par exemple pour le serveur cvs :+Usage: 
 + sysctl [options] [variable[=value] ...]
  
-<code> +Options
-[root@centos6 ~]# cat /etc/xinetd.d/cvs +  -a, --all            display all variables 
-# defaultoff +  -A                   alias of -
-# description: The CVS service can record the history of your source \ +  -X                   alias of -
-#              files. CVS stores all the versions of a file in a single \ +      --deprecated     include deprecated parameters to listing 
-#              file in clever way that only stores the differences \ +  -b, --binary         print value without new line 
-#              between versions. +  -e, --ignore         ignore unknown variables errors 
-service cvspserver +  -N, --names          print variable names without values 
-{ +  -n, --values         print only values of a variables 
- disable = yes +  -p, --load[=<file> read values from file 
- port = 2401 +  -f                   alias of -p 
- socket_type stream +      --system         read values from all system directories 
- protocol = tcp +  -r, --pattern <expression> 
- wait = no +                       select setting that match expression 
- user = root +  -q, --quiet          do not echo variable set 
- passenv = PATH +  -w, --write          enable writing a value to variable 
- server = /usr/bin/cvs +  -o                   does nothing 
- env = HOME=/var/cvs +  -x                   does nothing 
- server_args = ---allow-root=/var/cvs pserver +  -d                   alias of -h
-# bind = 127.0.0.1 +
-+
-</code>+
  
-Les directives principales de ce fichier sont :+ -h, --help     display this help and exit 
 + -V, --version  output version information and exit
  
-^  Paramètre  ^  Déscription +For more details see sysctl(8).
-|  disable  | **no** : Le service est actif**yes** : Le service est désactivé | +
-|  port  | Le numéro de port ou, à défaut, le numéro indiqué pour le service dans le fichier /etc/services | +
-|  socket_type  | Nature du socket, soit **stream** pour TCP soit **dgram** pour UDP | +
-|  protocol  | Protocole utilisé soit **TCP** soit **UDP** | +
-|  wait  | **no** : indique si xinetd active un serveur par client. **yes** : indique que xinetd active un seul serveur pour tous les client |  +
-|  user  | Indique le compte sous lequel le serveur est exécuté | +
-|  server  | Indique le chemin d'accès de l'application serveur | +
-|  env  | Définit un environnement système | +
-|  server_args  | Donne les arguments transmis à l'application serveur | +
- +
-Cependant il est aussi possible d'utiliser les directives suivantes : +
- +
-^  Paramètre  ^  Déscription  ^  Exemple +
-|  nice  | Fixe le niveau de nice entre -19 et +20 |  10  | +
-|  max_load  | Fixe la charge CPU maximum admise. Au delà aucune connexion supplémenatire en sera acceptée |  2.5  | +
-|  bind  | Limite le service à l'interface dont l'adresse IP est indiquée |  192.168.1.1 +
-|  only_from  | Limite le service aux seuls clients indiqués par la plage donnée |  192.168.1.0/24 fenestros.loc +
-|  no_access  | Interdit le service aux clients indiqués par la plage donnée |  192.168.2.0/24, i2tch.loc  |  +
-|  access_time  | Limite l'accès au service à une plage horaire |  09:00-19:00 +
-|  redirect  | Redirige les requêtes sur un port donné à une autre adresse IP |  192.168.1.10 23  | +
- +
-Afin d'activer une application serveur, il suffit de modifier le paramètre **disable** dans le fichier concerné et de relancer le service xinetd. +
- +
-=== TCP Wrapper === +
- +
-**TCP Wrapper** contrôle l'accès à des services réseaux grâce à des **ACL**.  +
- +
-Quand une requête arrive pour un serveur, xinetd active le wrapper **tcpd** au lieu d'activer le serveur directement. +
- +
-**tcpd** met à jour un journal et vérifie si le client a le droit d'utiliser le service concerné. Les ACL se trouvent dans deux fichiers: +
- +
-  * **/etc/hosts.allow** +
-  * **/etc/hosts.deny** +
- +
-Il faut noter que si ces fichiers n'existent pas ou sont vides, il n'y a pas de contrôle d'accès. +
- +
-Le format d'une ligne dans un de ces deux fichiers est: +
- +
-<file> +
-démon : liste_de_clients +
-</file> +
- +
-Par exemple dans le cas d'un serveur **démon**, on verrait une ligne dans le fichier **/etc/hosts.allow** similaire à: +
- +
-<file> +
-démon : LOCAL, .fenestros.loc +
-</file> +
- +
-ce qui implique que les machines dont le nom ne comporte pas de point ainsi que les machines du domaine **fenestros.loc** sont autorisées à utiliser le service. +
- +
-Le mot clef **ALL** peut être utilisé pour indiquer tout. Par exemple, **ALL:ALL** dans le fichier **/etc/host.deny** bloque effectivement toute tentative de connexion à un service xinetd sauf pour les ACL inclus dans le fichier /etc/host.allow. +
- +
-====Routage Statique==== +
- +
-===La Commande route=== +
- +
-Pour afficher la table de routage de la machine vous pouvez utiliser la commande **route** : +
- +
-<code> +
-[root@centos6 ~]# route +
-Table de routage IP du noyau +
-Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface +
-192.168.1.0                   255.255.255.0            0        0 eth0 +
-10.0.2.0        *               255.255.255.0            0        0 eth0 +
-link-local      *               255.255.0.0         1002          0 eth0 +
-default         10.0.2.2        0.0.0.0         UG    0      0        0 eth0+
 </code> </code>
  
-La table issue de la commande **route** indique les informations suivantes:+<WRAP center round important> 
 +**Important** : Consultez la page de la traduction du manuel de **sysctl** **[[http://www.delafond.org/traducmanfr/man/man8/sysctl.8.html|ici]]** pour comprendre la commande. 
 +</WRAP>
  
-  * La destination qui peut être un hôte ou un réseau et est identifiée par les champs **Destination** et **Genmask** +====Fichiers====
-  * La route à prendre identifiée par les champs **Gateway** et **Iface**. Dans le cas d'une valeur de 0.0.0.0 ceci spécifie une route directe. La valeur d'Iface spécifie la carte à utiliser, +
-  * Le champ **Indic** qui peux prendre un ou plusieurs de svaleurs suivantes: +
-    * U - **Up** - la route est active +
-    * H - **Host** - la route conduit à un hôte +
-    * G - **Gateways** - la route passe par une passerelle +
-  * Le champ **Metric** indique le nombre de sauts (passerelles) pour atteindre la destination, +
-  * Le champ **Ref** indique le nombre de références à cette route. Ce champs est usilisé par le Noyau de Linux, +
-  * Le champ **Use** indique le nombre de recherches associés à cette route.+
  
-La commande **route** permet aussi de paramétrer le routage indirect. Par exemple pour supprimer la route vers le réseau 192.168.1.0 :+===Processeur===
  
 <code> <code>
-[root@centos6 ~]# route del -net 192.168.1.0 netmask 255.255.255.+[root@centos7 ~]# cat /proc/cpuinfo 
-[root@centos6 ~]# route +processor : 
-Table de routage IP du noyau +vendor_id : GenuineIntel 
-Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface +cpu family : 6 
-10.0.2.0        *               255.255.255.0   U                 eth0 +model : 55 
-link-local      *               255.255.0.0         1002          0 eth0 +model name : Intel(R) Celeron(R) CPU  N2840  @ 2.16GHz 
-default         10.0.2.2        0.0.0.0         UG    0      0        0 eth0+stepping : 8 
 +microcode : 0x19 
 +cpu MHz : 2167.721 
 +cache size : 6144 KB 
 +physical id : 0 
 +siblings : 1 
 +core id : 0 
 +cpu cores : 1 
 +apicid : 0 
 +initial apicid : 
 +fpu : yes 
 +fpu_exception : yes 
 +cpuid level : 5 
 +wp : yes 
 +flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush mmx fxsr sse sse2 syscall nx rdtscp lm constant_tsc rep_good nopl pni monitor ssse3 lahf_lm 
 +bogomips : 4335.44 
 +clflush size : 64 
 +cache_alignment : 64 
 +address sizes : 36 bits physical, 48 bits virtual 
 +power management:
 </code> </code>
  
-Pour ajouter la route vers le réseau 192.168.1.0 :+===Interruptions système===
  
 <code> <code>
-[root@centos6 ~]# route add -net 192.168.1.netmask 255.255.255.0 gw 192.168.1.2 +[root@centos7 ~]# cat /proc/interrupts 
-[root@centos6 ~]# route +           CPU0        
-Table de routage IP du noyau +  0:        189   IO-APIC-edge      timer 
-Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface +  1:       5890   IO-APIC-edge      i8042 
-192.168.1.0     192.168.1.2     255.255.255.0   UG    0             eth0 +  8:            IO-APIC-edge      rtc0 
-10.0.2.0        *               255.255.255.0   U     0      0        eth0 +  9:            IO-APIC-fasteoi   acpi 
-link-local      *               255.255.0.    U     1002   0        eth0 + 12:      22452   IO-APIC-edge      i8042 
-default         10.0.2.2        0.0.0.0         UG                eth0+ 14:          0   IO-APIC-edge      ata_piix 
 + 15:      13891   IO-APIC-edge      ata_piix 
 + 19:      25816   IO-APIC-fasteoi   ehci_hcd:usb1, enp0s3 
 + 20:     119352   IO-APIC-fasteoi   vboxguest 
 + 21:      33754   IO-APIC-fasteoi   ahci, snd_intel8x0 
 + 22:            IO-APIC-fasteoi   ohci_hcd:usb2 
 +NMI:            Non-maskable interrupts 
 +LOC:    1630315   Local timer interrupts 
 +SPU:          0   Spurious interrupts 
 +PMI:            Performance monitoring interrupts 
 +IWI:      83206   IRQ work interrupts 
 +RTR:            APIC ICR read retries 
 +RES:            Rescheduling interrupts 
 +CAL:            Function call interrupts 
 +TLB:          0   TLB shootdowns 
 +TRM:            Thermal event interrupts 
 +THR:            Threshold APIC interrupts 
 +MCE:            Machine check exceptions 
 +MCP:         48   Machine check polls 
 +ERR:          0 
 +MIS:          0
 </code> </code>
  
 <WRAP center round important> <WRAP center round important>
-La commande utilisée pour ajouter une passerelle par défaut prend la forme suivante **route add default gw //numéro_ip// //interface//**. +**Important** : Un pilote de périphérique demande au processeur de fournir un service en utilisant un IRQ. Quand la demande est faite, le processeur interrompe ses activités et passe le contrôle au pilote identifié par l'IRQ. Techniquement l'attribution d'un IRQ à un périphérique doit être exclusive. Dans le cas où deux périphériques demandent un service en même temps, c'est le périphérique ayant l'IRQ le plus bas qui est prioritaire
-</WRAP>+</WRAP> 
  
-Les options cette commande sont :+===Canaux DMA===
  
 <code> <code>
-[root@centos6 ~]# route --help +[root@centos7 ~]# cat /proc/dma 
-Syntaxe: route [-nNvee] [-FC] [<AF>          Liste les tables de routage noyau + 4cascade
-       route [-v] [-FC] {add|del|flush} ...  Modifie la table de routage pour AF. +
- +
-       route {-h|--help} [<AF>             Utilisation détaillée pour l'AF spécifié. +
-       route {-V|--version}                  Affiche la version/auteur et termine. +
- +
-        -v, --verbose            mode verbeux +
-        -n, --numeric            don't resolve names +
-        -e, --extend             display other/more information +
-        -F, --fib                display Forwarding Information Base (default) +
-        -C, --cache              affiche le cache de routage au lieu de FIB +
- +
-  <AF>=Use '-A <af>' or '--<af>'; defaultinet +
-  Liste les familles d'adresses possibles (supportant le routage): +
-    inet (DARPA Internet) inet6 (IPv6) ax25 (AMPR AX.25)  +
-    netrom (AMPR NET/ROM) ipx (Novell IPX) ddp (Appletalk DDP)  +
-    x25 (CCITT X.25) +
 </code> </code>
  
-Vous pouvez aussi utiliser la commande **netstat** pour afficher la table de routage de la machine :+===Plages d'entrée/sortie===
  
 <code> <code>
-[root@centos6 ~]# netstat -nr +[root@centos7 ~]# cat /proc/ioports | more 
-Table de routage IP du noyau +0000-001f : dma1 
-Destination     Passerelle      Genmask         Indic   MSS Fenêtre irtt Iface +0020-0021 : pic1 
-192.168.1.0     192.168.1.2     255.255.255.0   UG        0 0          0 eth0 +0040-0043 : timer0 
-192.168.1.0     0.0.0.0         255.255.255.0           0 0          0 eth0 +0050-0053 : timer1 
-10.0.2.0        0.0.0.0         255.255.255.0           0 0          0 eth0 +0060-0060 : keyboard 
-0.0.0.0         10.0.2.2        0.0.0.0         UG        0 0          0 eth0+0064-0064 : keyboard 
 +0070-0071 : rtc_cmos 
 +  0070-0071 : rtc0 
 +0080-008f : dma page reg 
 +00a0-00a1 : pic2 
 +00c0-00df : dma2 
 +00f0-00ff : fpu 
 +0170-0177 : 0000:00:01.1 
 +  0170-0177 : ata_piix 
 +01f0-01f7 : 0000:00:01.1 
 +  01f0-01f7 : ata_piix 
 +0376-0376 : 0000:00:01.1 
 +  0376-0376 : ata_piix 
 +03c0-03df : vga+ 
 +03f6-03f6 : 0000:00:01.
 +  03f6-03f6 : ata_piix 
 +0cf8-0cff : PCI conf1 
 +4000-4003 : ACPI PM1a_EVT_BLK 
 +--More--
 </code> </code>
  
-La table issue de la commande **netstat -nr** indique les informations suivantes: +<WRAP center round alert 60%
- +Si deux périphériques ont le même portles **deux** périphériques seront inutilisables.
-  * La champ **MSS** indique la taille maximale des segments TCP sur la route, +
-  * Le champ **Window** indique la taille de la fenêtre sur cette route, +
-  * Le champ **irrt** indique le paramètre IRRT pour la route. +
- +
-===Activer/désactiver le routage sur le serveur=== +
- +
-Pour activer le routage sur le serveur, il convient d'activer la retransmission des paquets: +
- +
-<code+
-[root@centos6 ~]# echo 1 > /proc/sys/net/ipv4/ip_forward +
-[root@centos6 ~]# cat /proc/sys/net/ipv4/ip_forward +
-+
-</code> +
- +
-Pour désactiver le routage sur le serveuril convient de désactiver la retransmission des paquets: +
- +
-<code> +
-[root@centos6 ~]# echo 0 > /proc/sys/net/ipv4/ip_forward +
-[root@centos6 ~]# cat /proc/sys/net/ipv4/ip_forward +
-+
-</code> +
- +
-=====Configuration du Réseau sous RHEL/CentOS 7===== +
- +
-RHEL/CentOS 7 utilise exclusivement **Network Manager** pour gérer le réseau. Network Manager est composé de deux éléments : +
- +
-  un service qui gère les connexions réseaux et rapporte leurs états, +
-  des front-ends qui passent par un API de configuration du service. +
- +
-<WRAP center round important> +
-**Important** : Notez qu'avec cette version de NetworkManager, IPv6 est activée par défaut.+
 </WRAP> </WRAP>
  
-Le service NetworkManager doit toujours être lancé :+===Périphériques===
  
 <code> <code>
-[root@centos7 ~]# systemctl status NetworkManager.service +[root@centos7 ~]# cat /proc/devices 
-● NetworkManager.service - Network Manager +Character devices: 
-   Loadedloaded (/usr/lib/systemd/system/NetworkManager.service; enabled; vendor preset: enabled) +  1 mem 
-   Active: active (running) since Sun 2016-08-07 09:18:20 CEST; 1 day 1h ago +  4 /dev/vc/0 
- Main PID: 673 (NetworkManager) +  4 tty 
-   CGroup: /system.slice/NetworkManager.service +  4 ttyS 
-           ├─ 673 /usr/sbin/NetworkManager --no-daemon +  /dev/tty 
-           └─2673 /sbin/dhclient -d -q -sf /usr/libexec/nm-dhcp-helper -pf /var/run/dhclient-enp0s3.pid -lf /var/lib/NetworkManager/dhclient-45b701c1-0a21-4d76-a795-...+  /dev/console 
 +  /dev/ptmx 
 +  6 lp 
 +  7 vcs 
 + 10 misc 
 + 13 input 
 + 14 sound 
 + 29 fb 
 + 99 ppdev 
 +116 alsa 
 +128 ptm 
 +136 pts 
 +162 raw 
 +180 usb 
 +188 ttyUSB 
 +189 usb_device 
 +202 cpu/msr 
 +203 cpu/cpuid 
 +226 drm 
 +250 hidraw 
 +251 usbmon 
 +252 bsg 
 +253 watchdog 
 +254 rtc
  
-Aug 08 11:03:55 centos7.fenestros.loc NetworkManager[673]: <info>    nameserver '8.8.8.8' +Block devices: 
-Aug 08 11:03:55 centos7.fenestros.loc NetworkManager[673]: <info>  (enp0s3): DHCPv4 state changed unknown -> bound +259 blkext 
-Aug 08 11:03:55 centos7.fenestros.loc NetworkManager[673]: <info>  (enp0s3): device state change: ip-config -> ip-check (reason 'none') [70 80 0] +  sd 
-Aug 08 11:03:55 centos7.fenestros.loc NetworkManager[673]: <info>  (enp0s3): device state change: ip-check -> secondaries (reason 'none') [80 90 0] +  9 md 
-Aug 08 11:03:55 centos7.fenestros.loc NetworkManager[673]: <info>  (enp0s3): device state change: secondaries -> activated (reason 'none') [90 100 0] + 11 sr 
-Aug 08 11:03:55 centos7.fenestros.loc NetworkManager[673]: <info>  NetworkManager state is now CONNECTED_LOCAL + 65 sd 
-Aug 08 11:03:55 centos7.fenestros.loc NetworkManager[673]: <info>  NetworkManager state is now CONNECTED_GLOBAL + 66 sd 
-Aug 08 11:03:55 centos7.fenestros.loc NetworkManager[673]: <info>  Policy set 'Wired connection 1' (enp0s3) as default for IPv4 routing and DNS. + 67 sd 
-Aug 08 11:03:55 centos7.fenestros.loc NetworkManager[673]: <info>  (enp0s3): Activation: successful, device activated. + 68 sd 
-Aug 08 11:03:55 centos7.fenestros.loc dhclient[2673]: bound to 10.0.2.15 -- renewal in 39589 seconds.+ 69 sd 
 + 70 sd 
 + 71 sd 
 +128 sd 
 +129 sd 
 +130 sd 
 +131 sd 
 +132 sd 
 +133 sd 
 +134 sd 
 +135 sd 
 +253 device-mapper 
 +254 mdp
 </code> </code>
  
-====La Commande nmcli==== +===Modules===
- +
-La commande **nmcli** (Network Manager Command Line Interface) est utilisée pour configurer NetworkManager. +
- +
-Les options et les sous-commandes peuvent être consultées en utilisant les commandes suivantes :+
  
 <code> <code>
-[root@centos7 ~]# nmcli help +[root@centos7 ~]# cat /proc/modules more 
-Usage: nmcli [OPTIONS] OBJECT { COMMAND help } +tcp_lp 12663 0 - Live 0xffffffffa059d000 
- +lp 17759 0 - Live 0xffffffffa0593000 
-OPTIONS +nls_utf8 12557 1 Live 0xffffffffa0527000 
-  -t[erse]                                   terse output +isofs 39844 1 Live 0xffffffffa0588000 
-  -p[retty]                                  pretty output +bnep 19704 2 Live 0xffffffffa0516000 
-  -m[ode] tabular|multiline                  output mode +bluetooth 372662 7 bnepLive 0xffffffffa052c000 
-  -f[ields] <field1,field2,...>|all|common   specify fields to output +rfkill 26536 3 bluetoothLive 0xffffffffa051f000 
-  -e[scape] yes|no                           escape columns separators in values +fuse 87741 3 Live 0xffffffffa04ff000 
-  -n[ocheck]                                 don't check nmcli and NetworkManager versions +ip6t_rpfilter 12546 1 Live 0xffffffffa04fa000 
-  -a[sk]                                     ask for missing parameters +ip6t_REJECT 12939 2 Live 0xffffffffa04f5000 
-  -w[ait] <seconds>                          set timeout waiting for finishing operations +ipt_REJECT 12541 2 Live 0xffffffffa04f0000 
-  -v[ersion]                                 show program version +xt_conntrack 12760 7 Live 0xffffffffa04e6000 
-  -h[elp]                                    print this help +ebtable_nat 12807 0 Live 0xffffffffa04e1000 
- +ebtable_broute 12731 0 - Live 0xffffffffa04eb000 
-OBJECT +bridge 115385 1 ebtable_broute, Live 0xffffffffa04c3000 
-  g[eneral]       NetworkManager's general status and operations +stp 12976 1 bridge, Live 0xffffffffa04be000 
-  n[etworking]    overall networking control +llc 14552 2 bridge,stp, Live 0xffffffffa04b5000 
-  r[adio]         NetworkManager radio switches +ebtable_filter 12827 0 - Live 0xffffffffa04b0000 
-  c[onnection]    NetworkManager's connections +ebtables 30913 3 ebtable_nat,ebtable_broute,ebtable_filter, Live 0xffffffffa04a3 
-  d[evice]        devices managed by NetworkManager +000 
-  a[gent]         NetworkManager secret agent or polkit agent +ip6table_nat 12864 1 - Live 0xffffffffa049e000 
- +nf_conntrack_ipv6 18738 5 - Live 0xffffffffa0498000 
-[root@centos7 ~]# nmcli g help +nf_defrag_ipv6 34651 1 nf_conntrack_ipv6Live 0xffffffffa048a000 
-Usage: nmcli general { COMMAND | help } +--More--
- +
-COMMAND := { status | hostname | permissions | logging } +
- +
-  status +
- +
-  hostname [<hostname>+
- +
-  permissions +
- +
-  logging [level <log level>] [domains <log domains>+
- +
- +
-[root@centos7 ~]# nmcli g status help +
-Usage: nmcli general status { help } +
- +
-Show overall status of NetworkManager. +
-'status' is the default actionwhich means 'nmcli gen' calls 'nmcli gen status' +
 </code> </code>
  
-====Connections et Profils==== +===Statistiques de l'utilisation  des disques===
- +
-NetworkManager inclus la notion de **connections** ou **profils** permettant des configurations différentes en fonction de la localisation. Pour voir les connections actuelles, utilisez la commande **nmcli c** avec la sous-commande **show** :+
  
 <code> <code>
-[root@centos7 ~]# nmcli c show +[root@centos7 ~]# cat /proc/diskstats 
-NAME                UUID                                  TYPE            DEVICE  +  11       0 sr0 21 0 132 157 0 0 0 0 0 157 157 
-Wired connection  45b701c1-0a21-4d76-a795-2f2bcba86955  802-3-ethernet  enp0s3 +   8       0 sda 19700 638 2178341 386424 13324 1605 547086 356748 0 164849 740706 
 +         sda1 2129 0 9438 2181 2057 0 4122 392 0 2527 2569 
 +         2 sda2 17213 598 2165719 382957 11202 1605 542964 356316 0 164048 736814 
 +         sda3 170 31 1608 775 0 0 0 0 0 775 775
 </code> </code>
  
-Comme on peut constater ici, il n'existe pour le moment, qu'un seul profil. +===Partitions===
- +
-Créez donc un profil IP fixe rattaché au périphérique **enp0s3** :+
  
 <code> <code>
-[root@centos7 ~]# nmcli connection add con-name ip_fixe ifname enp0s3 type ethernet ip4 10.0.2.16/24 gw4 10.0.2.2 +[root@centos7 ~]# cat /proc/partitions 
-Connection 'ip_fixe' (fb3a11d9-4e03-4032-b26e-09d1195d2bcd) successfully added. +major minor  #blocks  name
-</code>+
  
-Constatez sa présence : +  11        0      56876 sr0 
- +   8        0   20971520 sda 
-<code> +   8        1     204800 sda1 
-[root@centos7 ~]# nmcli c show +   8        2    7168000 sda2 
-NAME                UUID                                  TYPE            DEVICE  +   8           3072000 sda3
-ip_fixe             fb3a11d9-4e03-4032-b26e-09d1195d2bcd  802-3-ethernet  --      +
-Wired connection 1  45b701c1-0a21-4d76-a795-2f2bcba86955  802-3-ethernet  enp0s3  +
 </code> </code>
  
-Notez que la sortie n'indique pas que le profil **ip_fixe** soit associé au periphérique **enp0s3** car le profil **ip_fixe** n'est pas activé :+===Espaces de pagination===
  
 <code> <code>
-[root@centos7 ~]# nmcli d show +[root@centos7 ~]# cat /proc/swaps 
-GENERAL.DEVICE:                         enp0s3 +Filename Type Size Used Priority 
-GENERAL.TYPE:                           ethernet +/dev/sda3                               partition 3071996 0 -1
-GENERAL.HWADDR:                         08:00:27:03:97:DD +
-GENERAL.MTU:                            1500 +
-GENERAL.STATE:                          100 (connected) +
-GENERAL.CONNECTION:                     Wired connection 1 +
-GENERAL.CON-PATH:                       /org/freedesktop/NetworkManager/ActiveConnection/2 +
-WIRED-PROPERTIES.CARRIER:               on +
-IP4.ADDRESS[1]:                         10.0.2.15/24 +
-IP4.GATEWAY:                            10.0.2.2 +
-IP4.DNS[1]:                             8.8.8.8 +
-IP6.ADDRESS[1]:                         fe80::a00:27ff:fe03:97dd/64 +
-IP6.GATEWAY:                             +
- +
-GENERAL.DEVICE:                         lo +
-GENERAL.TYPE:                           loopback +
-GENERAL.HWADDR:                         00:00:00:00:00:00 +
-GENERAL.MTU:                            65536 +
-GENERAL.STATE:                          10 (unmanaged) +
-GENERAL.CONNECTION:                     -+
-GENERAL.CON-PATH:                       -- +
-IP4.ADDRESS[1]:                         127.0.0.1/+
-IP4.GATEWAY:                             +
-IP6.ADDRESS[1]:                         ::1/128 +
-IP6.GATEWAY:+
 </code> </code>
  
-Pour activer le profil ip_fixe, utilisez la commande suivante :+===Statistiques d'utilisation du processeur===
  
 <code> <code>
-[root@centos7 ~]# nmcli connection up ip_fixe+[root@centos7 ~]# cat /proc/loadavg 
 +1.82 1.07 0.81 3/379 25349
 </code> </code>
  
-Le profil ip_fixe est maintenant activé tandis que le profil enp0s3 a été désactivé :+===Statistiques d'utilisation de la mémoire===
  
 <code> <code>
-[root@centos7 ~]# nmcli c show +[root@centos7 ~]# cat /proc/meminfo 
-NAME                UUID                                  TYPE            DEVICE  +MemTotal:        1791624 kB 
-ip_fixe             fb3a11d9-4e03-4032-b26e-09d1195d2bcd  802-3-ethernet  enp0s3  +MemFree:           72272 kB 
-Wired connection 1  45b701c1-0a21-4d76-a795-2f2bcba86955  802-3-ethernet  --      +MemAvailable:     769436 kB 
-[root@centos7 ~]# nmcli d show +Buffers:             404 kB 
-GENERAL.DEVICE                        enp0s3 +Cached          790132 kB 
-GENERAL.TYPE                          ethernet +SwapCached           0 kB 
-GENERAL.HWADDR                        08:00:27:03:97:DD +Active         1002556 kB 
-GENERAL.MTU                           1500 +Inactive        529520 kB 
-GENERAL.STATE                         100 (connected+Active(anon)    620404 kB 
-GENERAL.CONNECTION                    ip_fixe +Inactive(anon)  131808 kB 
-GENERAL.CON-PATH                      /org/freedesktop/NetworkManager/ActiveConnection/3 +Active(file):     382152 kB 
-WIRED-PROPERTIES.CARRIER:               on +Inactive(file)  397712 kB 
-IP4.ADDRESS[1]                        10.0.2.16/24 +Unevictable          0 kB 
-IP4.GATEWAY                           10.0.2.2 +Mlocked:               0 kB 
-IP6.ADDRESS[1]                        fe80::a00:27ff:fe03:97dd/64 +SwapTotal      3071996 kB 
-IP6.GATEWAY                            +SwapFree       3071992 kB 
- +Dirty            35168 kB 
-GENERAL.DEVICE                        lo +Writeback            0 kB 
-GENERAL.TYPE                          loopback +AnonPages       741568 kB 
-GENERAL.HWADDR                        00:00:00:00:00:00 +Mapped          138756 kB 
-GENERAL.MTU                           65536 +Shmem            10664 kB 
-GENERAL.STATE                         10 (unmanaged) +Slab             98304 kB 
-GENERAL.CONNECTION                    -- +SReclaimable     59848 kB 
-GENERAL.CON-PATH                      -- +SUnreclaim:        38456 kB 
-IP4.ADDRESS[1]                        127.0.0.1/8 +KernelStack       5808 kB 
-IP4.GATEWAY                            +PageTables       24140 kB 
-IP6.ADDRESS[1]                        ::1/128 +NFS_Unstable         0 kB 
-IP6.GATEWAY+Bounce               0 kB 
 +WritebackTmp         0 kB 
 +CommitLimit    3967808 kB 
 +Committed_AS   3006392 kB 
 +VmallocTotal  34359738367 kB 
 +VmallocUsed      28612 kB 
 +VmallocChunk  34359706684 kB 
 +HardwareCorrupted    0 kB 
 +AnonHugePages   256000 kB 
 +HugePages_Total      0 
 +HugePages_Free:        
 +HugePages_Rsvd       0 
 +HugePages_Surp       0 
 +Hugepagesize      2048 kB 
 +DirectMap4k      75712 kB 
 +DirectMap2M    1759232 kB
 </code> </code>
  
-Pour consulter les paramètres d'un profil, utilisez la commande suivante :+===Version du noyau===
  
 <code> <code>
-[root@centos7 ~]# nmcli -p connection show "Wired connection 1" +[root@centos7 ~]# cat /proc/version 
-=============================================================================== +Linux version 3.10.0-229.4.2.el7.x86_64 (builder@kbuilder.dev.centos.org) (gcc version 4.8.2 20140120 (Red Hat 4.8.2-16) (GCC) ) #SMP Wed May 13 10:06:09 UTC 2015
-                Connection profile details (Wired connection 1) +
-=============================================================================== +
-connection.id:                          Wired connection 1 +
-connection.uuid:                        45b701c1-0a21-4d76-a795-2f2bcba86955 +
-connection.interface-name:              -- +
-connection.type:                        802-3-ethernet +
-connection.autoconnect:                 yes +
-connection.autoconnect-priority:        0 +
-connection.timestamp:                   1470647387 +
-connection.read-only:                   no +
-connection.permissions:                  +
-connection.zone:                        -- +
-connection.master:                      -- +
-connection.slave-type:                  -- +
-connection.autoconnect-slaves:          -1 (default) +
-connection.secondaries:                  +
-connection.gateway-ping-timeout:        0 +
-connection.metered:                     unknown +
-------------------------------------------------------------------------------- +
-802-3-ethernet.port:                    -- +
-802-3-ethernet.speed:                   0 +
-802-3-ethernet.duplex:                  -- +
-802-3-ethernet.auto-negotiate:          yes +
-802-3-ethernet.mac-address:             08:00:27:03:97:DD +
-802-3-ethernet.cloned-mac-address:      -- +
-802-3-ethernet.mac-address-blacklist:    +
-802-3-ethernet.mtu:                     auto +
-802-3-ethernet.s390-subchannels:         +
-802-3-ethernet.s390-nettype:            -- +
-802-3-ethernet.s390-options:             +
-802-3-ethernet.wake-on-lan:             1 (default) +
-802-3-ethernet.wake-on-lan-password:    -- +
-------------------------------------------------------------------------------- +
-ipv4.method:                            auto +
-ipv4.dns:                                +
-ipv4.dns-search:                         +
-ipv4.addresses:                          +
-ipv4.gateway:                           -- +
-ipv4.routes:                             +
-ipv4.route-metric:                      -1 +
-ipv4.ignore-auto-routes:                no +
-ipv4.ignore-auto-dns:                   no +
-ipv4.dhcp-client-id:                    -- +
-ipv4.dhcp-send-hostname:                yes +
-ipv4.dhcp-hostname:                     -- +
-ipv4.never-default:                     no +
-ipv4.may-fail:                          yes +
-------------------------------------------------------------------------------- +
-ipv6.method:                            auto +
-ipv6.dns:                                +
-ipv6.dns-search:                         +
-ipv6.addresses:                          +
-ipv6.gateway:                           -- +
-ipv6.routes:                             +
-ipv6.route-metric:                      -1 +
-ipv6.ignore-auto-routes:                no +
-ipv6.ignore-auto-dns:                   no +
-ipv6.never-default:                     no +
-ipv6.may-fail:                          yes +
-ipv6.ip6-privacy:                       -1 (unknown) +
-ipv6.dhcp-send-hostname:                yes +
-ipv6.dhcp-hostname:                     -- +
-------------------------------------------------------------------------------- +
-[root@centos7 ~]# nmcli -p connection show ip_fixe +
-=============================================================================== +
-                     Connection profile details (ip_fixe) +
-=============================================================================== +
-connection.id:                          ip_fixe +
-connection.uuid:                        fb3a11d9-4e03-4032-b26e-09d1195d2bcd +
-connection.interface-name:              enp0s3 +
-connection.type:                        802-3-ethernet +
-connection.autoconnect:                 yes +
-connection.autoconnect-priority:        0 +
-connection.timestamp:                   1470647577 +
-connection.read-only:                   no +
-connection.permissions:                  +
-connection.zone:                        -- +
-connection.master:                      -- +
-connection.slave-type:                  -- +
-connection.autoconnect-slaves:          -1 (default) +
-connection.secondaries:                  +
-connection.gateway-ping-timeout:        0 +
-connection.metered:                     unknown +
-------------------------------------------------------------------------------- +
-802-3-ethernet.port:                    -- +
-802-3-ethernet.speed:                   0 +
-802-3-ethernet.duplex:                  -- +
-802-3-ethernet.auto-negotiate:          yes +
-802-3-ethernet.mac-address:             -- +
-802-3-ethernet.cloned-mac-address:      -- +
-802-3-ethernet.mac-address-blacklist:    +
-802-3-ethernet.mtu:                     auto +
-802-3-ethernet.s390-subchannels:         +
-802-3-ethernet.s390-nettype:            -- +
-802-3-ethernet.s390-options:             +
-802-3-ethernet.wake-on-lan:             (default) +
-802-3-ethernet.wake-on-lan-password:    -- +
-------------------------------------------------------------------------------- +
-ipv4.method:                            manual +
-ipv4.dns:                                +
-ipv4.dns-search:                         +
-ipv4.addresses:                         10.0.2.16/24 +
-ipv4.gateway:                           10.0.2.2 +
-ipv4.routes:                             +
-ipv4.route-metric:                      -1 +
-ipv4.ignore-auto-routes:                no +
-ipv4.ignore-auto-dns:                   no +
-ipv4.dhcp-client-id:                    -- +
-ipv4.dhcp-send-hostname:                yes +
-ipv4.dhcp-hostname:                     -- +
-ipv4.never-default:                     no +
-ipv4.may-fail:                          yes +
-------------------------------------------------------------------------------- +
-ipv6.method:                            auto +
-ipv6.dns:                                +
-ipv6.dns-search:                         +
-ipv6.addresses:                          +
-ipv6.gateway:                           -- +
-ipv6.routes:                             +
-ipv6.route-metric:                      -1 +
-ipv6.ignore-auto-routes:                no +
-ipv6.ignore-auto-dns:                   no +
-ipv6.never-default:                     no +
-ipv6.may-fail:                          yes +
-ipv6.ip6-privacy:                       -1 (unknown) +
-ipv6.dhcp-send-hostname:                yes +
-ipv6.dhcp-hostname:                     -- +
-------------------------------------------------------------------------------- +
-=============================================================================== +
-      Activate connection details (fb3a11d9-4e03-4032-b26e-09d1195d2bcd) +
-=============================================================================== +
-GENERAL.NAME:                           ip_fixe +
-GENERAL.UUID:                           fb3a11d9-4e03-4032-b26e-09d1195d2bcd +
-GENERAL.DEVICES:                        enp0s3 +
-GENERAL.STATE:                          activated +
-GENERAL.DEFAULT:                        yes +
-GENERAL.DEFAULT6:                       no +
-GENERAL.VPN:                            no +
-GENERAL.ZONE:                           -- +
-GENERAL.DBUS-PATH:                      /org/freedesktop/NetworkManager/ActiveConnection/+
-GENERAL.CON-PATH:                       /org/freedesktop/NetworkManager/Settings/1 +
-GENERAL.SPEC-OBJECT:                    / +
-GENERAL.MASTER-PATH:                    -- +
-------------------------------------------------------------------------------- +
-IP4.ADDRESS[1]:                         10.0.2.16/24 +
-IP4.GATEWAY                           10.0.2.2 +
-------------------------------------------------------------------------------- +
-IP6.ADDRESS[1]                        fe80::a00:27ff:fe03:97dd/64 +
-IP6.GATEWAY:                             +
--------------------------------------------------------------------------------+
 </code> </code>
  
-Pour consulter la liste profils associés à un périphérique, utilisez la commande suivante :+==== Interprétation des informations dans /proc====
  
-<code> +Les informations brutes stockées dans /proc peuvent être interprétées grâce à l'utilisation des commandes dites de //gestion des performances// :
-[root@centos7 ~]# nmcli -f CONNECTIONS device show enp0s3 +
-CONNECTIONS.AVAILABLE-CONNECTION-PATHS: /org/freedesktop/NetworkManager/Settings/{0,1} +
-CONNECTIONS.AVAILABLE-CONNECTIONS[1]  45b701c1-0a21-4d76-a795-2f2bcba86955 | Wired connection 1 +
-CONNECTIONS.AVAILABLE-CONNECTIONS[2]:   fb3a11d9-4e03-4032-b26e-09d1195d2bcd | ip_fixe +
-</code>+
  
-Les fichiers de configuration pour le periphérique **enp0s3** se trouvent dans le répertoire **/etc/sysconfig/network-scripts/** :+  free, 
 +  uptime et w, 
 +  iostat, 
 +  vmstat, 
 +  mpstat, 
 +  sar. 
  
-<code> +===Commandes===
-[root@centos7 ~]# ls -l /etc/sysconfig/network-scripts/ | grep ifcfg +
--rw-r--r--. 1 root root   296 Aug  8 11:08 ifcfg-ip_fixe +
--rw-r--r--. 1 root root   254 Sep 16  2015 ifcfg-lo +
-</code>+
  
-L'étude du fichier **/etc/sysconfig/network-scripts/ifcfg-ip_fixe** démontre l'abscence de directives concernant les DNS :+==free==
  
-<code> +La commande **free** permet de donner l’état de la mémoire totale, libre, partagée, swap et bufferiséeSaisissez donc la commande suivante :
-[root@centos7 ~]# cat /etc/sysconfig/network-scripts/ifcfg-ip_fixe +
-TYPE=Ethernet +
-BOOTPROTO=none +
-IPADDR=10.0.2.16 +
-PREFIX=24 +
-GATEWAY=10.0.2.2 +
-DEFROUTE=yes +
-IPV4_FAILURE_FATAL=no +
-IPV6INIT=yes +
-IPV6_AUTOCONF=yes +
-IPV6_DEFROUTE=yes +
-IPV6_PEERDNS=yes +
-IPV6_PEERROUTES=yes +
-IPV6_FAILURE_FATAL=no +
-NAME=ip_fixe +
-UUID=fb3a11d9-4e03-4032-b26e-09d1195d2bcd +
-DEVICE=enp0s3 +
-ONBOOT=yes +
-</code> +
- +
-La résolution des noms est donc inactive :+
  
 <code> <code>
-[root@centos7 ~]# ping www.free.fr +[root@centos7 ~]# free -m 
-ping: unknown host www.free.fr+              total        used        free      shared  buff/cache   available 
 +Mem:           1749         859          76                   813         707 
 +Swap:          2999                  2996
 </code> </code>
  
-Modifiez donc la configuration du profil **ip_fixe** :+Dans le cas de cet exemple, nous pouvons constater que l’affichage montre :
  
-<code> +  * 1749 Mo de mémoire physique totale, 
-[root@centos7 ~]# nmcli connection mod ip_fixe ipv4.dns 8.8.8.8 +  * 859 Mo de mémoire physique utilisée et 76 Mo de mémoire physique libre, 
-</code>+  * 2999 Mo de mémoire swap totale et 3 Mo de swap utilisé
  
-L'étude du fichier **/etc/sysconfig/network-scripts/ifcfg-ip_fixe** démontre que la directive concernant le serveur DNS a été ajoutée :+Les options de cette commande sont :
  
 <code> <code>
-[root@centos7 ~]# cat /etc/sysconfig/network-scripts/ifcfg-ip_fixe +[root@centos7 ~]# free --help
-TYPE=Ethernet +
-BOOTPROTO=none +
-DEFROUTE=yes +
-IPV4_FAILURE_FATAL=no +
-IPV6INIT=yes +
-IPV6_AUTOCONF=yes +
-IPV6_DEFROUTE=yes +
-IPV6_FAILURE_FATAL=no +
-NAME=ip_fixe +
-UUID=fb3a11d9-4e03-4032-b26e-09d1195d2bcd +
-DEVICE=enp0s3 +
-ONBOOT=yes +
-IPADDR=10.0.2.16 +
-PREFIX=24 +
-GATEWAY=10.0.2.2 +
-DNS1=8.8.8.8 +
-IPV6_PEERDNS=yes +
-IPV6_PEERROUTES=yes +
-</code>+
  
-Afin que la modification du serveur DNS soit prise en compte, re-démarrez le service NetworkManager :+Usage: 
 + free [options]
  
-<code> +Options: 
-[root@centos7 ~]# systemctl restart NetworkManager.service + -b, --bytes         show output in bytes 
-[root@centos7 ~]# systemctl status NetworkManager.service + -k, --kilo          show output in kilobytes 
-● NetworkManager.service Network Manager + -m, --mega          show output in megabytes 
-   Loaded: loaded (/usr/lib/systemd/system/NetworkManager.service; enabled; vendor preset: enabled) + -g, --giga          show output in gigabytes 
-   Active: active (running) since Mon 2016-08-08 11:16:53 CEST; 7s ago +     --tera          show output in terabytes 
- Main PID: 8394 (NetworkManager) + -h, --human         show human-readable output 
-   CGroup: /system.slice/NetworkManager.service +     --si            use powers of 1000 not 1024 
-           └─8394 /usr/sbin/NetworkManager --no-daemon+ -l, --lohi          show detailed low and high memory statistics 
 + -t, --total         show total for RAM + swap 
 + -s N, --seconds N   repeat printing every N seconds 
 + -c N, --count N     repeat printing N times, then exit 
 + -w, --wide          wide output
  
-Aug 08 11:16:53 centos7.fenestros.loc NetworkManager[8394]: <info>  (enp0s3): device state change: prepare -> config (reason 'none') [40 50 0] +     --help     display this help and exit 
-Aug 08 11:16:53 centos7.fenestros.loc NetworkManager[8394]: <info>  (enp0s3): device state change: config -> ip-config (reason 'none') [50 70 0] + -V, --version  output version information and exit
-Aug 08 11:16:53 centos7.fenestros.loc NetworkManager[8394]: <info>  (enp0s3): device state change: ip-config -> ip-check (reason 'none') [70 80 0] +
-Aug 08 11:16:53 centos7.fenestros.loc NetworkManager[8394]: <info>  (enp0s3): device state change: ip-check -> secondaries (reason 'none') [80 90 0] +
-Aug 08 11:16:53 centos7.fenestros.loc NetworkManager[8394]: <info>  (enp0s3): device state change: secondaries -> activated (reason 'none') [90 100 0] +
-Aug 08 11:16:53 centos7.fenestros.loc NetworkManager[8394]: <info>  NetworkManager state is now CONNECTED_LOCAL +
-Aug 08 11:16:53 centos7.fenestros.loc NetworkManager[8394]: <info>  NetworkManager state is now CONNECTED_GLOBAL +
-Aug 08 11:16:53 centos7.fenestros.loc NetworkManager[8394]: <info>  Policy set 'ip_fixe' (enp0s3) as default for IPv4 routing and DNS. +
-Aug 08 11:16:53 centos7.fenestros.loc NetworkManager[8394]: <info>  (enp0s3): Activation: successful, device activated. +
-Aug 08 11:16:53 centos7.fenestros.loc NetworkManager[8394]: <info>  wpa_supplicant running +
-</code>+
  
-Vérifiez que le fichier **/etc/resolv.conf** ait été modifié par NetworkManager : +For more details see free(1).
- +
-<code> +
-[root@centos7 ~]# cat /etc/resolv.conf +
-# Generated by NetworkManager +
-search fenestros.loc +
-nameserver 8.8.8.8+
 </code> </code>
  
-Dernièrement vérifiez la resolution des noms :+==uptime ou w==
  
-<code> +Chacune des ces commandes indique la charge moyenne du ou des processeurs depuis minute5 minutes et 15 minutes :
-[root@centos7 ~]# ping www.free.fr +
-PING www.free.fr (212.27.48.10) 56(84) bytes of data. +
-64 bytes from www.free.fr (212.27.48.10): icmp_seq=ttl=63 time=10.4 ms +
-64 bytes from www.free.fr (212.27.48.10): icmp_seq=2 ttl=63 time=9.44 ms +
-64 bytes from www.free.fr (212.27.48.10): icmp_seq=3 ttl=63 time=12.1 ms +
-^C +
---- www.free.fr ping statistics --- +
-3 packets transmitted3 received, 0% packet loss, time 2002ms +
-rtt min/avg/max/mdev = 9.448/10.680/12.171/1.126 ms +
-</code> +
- +
-<WRAP center round important> +
-**Important** : Notez qu'il existe un front-end graphique en mode texte, **nmtui**, pour configurer NetworkManager. +
-</WRAP> +
- +
-====Ajouter une Deuxième Adresse IP à un Profil==== +
- +
-Pour ajouter une deuxième adresse IP à un profil sous RHEL/CentOS 7, il convient d'utiliser la commande suivante :+
  
 <code> <code>
-[root@centos7 ~]# nmcli connection mod ip_fixe +ipv4.addresses 192.168.1.2/24 +[root@centos7 ~]# uptime 
-</code>+ 14:43:46 up  4:05,  2 users,  load average: 0.92, 1.23, 0.95
  
-Redémarrez la machine virtuelle puis en tant que root saisissez la commande suivante : +[root@centos7 ~]# w 
- + 14:43:49 up  4:05,  2 users,  load average: 0.92, 1.23, 0.95 
-<code> +USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT 
-[root@centos7 ~]# nmcli connection show ip_fixe +trainee  :0       :0               Wed09   ?xdm?  40:01   0.74s gdm-session-worker [pam/gdm-password] 
-connection.id                         ip_fixe +trainee  pts/0    :0               Wed10    5.00s  0.65s 26.90s /usr/libexec/gnome-terminal-server
-connection.uuid                       fb3a11d9-4e03-4032-b26e-09d1195d2bcd +
-connection.interface-name             enp0s3 +
-connection.type:                        802-3-ethernet +
-connection.autoconnect:                 yes +
-connection.autoconnect-priority       0 +
-connection.timestamp:                   1470555543 +
-connection.read-only:                   no +
-connection.permissions:                  +
-connection.zone:                        -- +
-connection.master:                      -- +
-connection.slave-type:                  -- +
-connection.autoconnect-slaves:          -(default) +
-connection.secondaries:                  +
-connection.gateway-ping-timeout:        0 +
-connection.metered:                     unknown +
-802-3-ethernet.port:                    -- +
-802-3-ethernet.speed:                   0 +
-802-3-ethernet.duplex:                  -- +
-802-3-ethernet.auto-negotiate:          yes +
-802-3-ethernet.mac-address:             -- +
-802-3-ethernet.cloned-mac-address:      -- +
-802-3-ethernet.mac-address-blacklist:    +
-802-3-ethernet.mtu                    auto +
-802-3-ethernet.s390-subchannels        +
-802-3-ethernet.s390-nettype:            -- +
-802-3-ethernet.s390-options:             +
-802-3-ethernet.wake-on-lan:             1 (default) +
-802-3-ethernet.wake-on-lan-password:    -- +
-ipv4.method:                            manual +
-ipv4.dns:                               8.8.8.8 +
-ipv4.dns-search:                         +
-ipv4.addresses:                         10.0.2.16/24, 192.168.1.2/24 +
-ipv4.gateway                          10.0.2.2 +
-ipv4.routes:                             +
-ipv4.route-metric:                      -+
-ipv4.ignore-auto-routes:                no +
-ipv4.ignore-auto-dns:                   no +
-ipv4.dhcp-client-id:                    -- +
-ipv4.dhcp-send-hostname:                yes +
-ipv4.dhcp-hostname:                     -- +
-ipv4.never-default:                     no +
-ipv4.may-fail:                          yes +
-ipv6.method:                            auto +
-ipv6.dns:                                +
-ipv6.dns-search:                         +
-ipv6.addresses:                          +
-ipv6.gateway:                           -- +
-ipv6.routes:                             +
-ipv6.route-metric:                      -1 +
-ipv6.ignore-auto-routes:                no +
-ipv6.ignore-auto-dns:                   no +
-ipv6.never-default:                     no +
-ipv6.may-fail:                          yes +
-ipv6.ip6-privacy:                       -1 (unknown) +
-ipv6.dhcp-send-hostname:                yes +
-ipv6.dhcp-hostname:                     -- +
-GENERAL.NAME:                           ip_fixe +
-GENERAL.UUID:                           fb3a11d9-4e03-4032-b26e-09d1195d2bcd +
-GENERAL.DEVICES:                        enp0s3 +
-GENERAL.STATE:                          activated +
-GENERAL.DEFAULT:                        yes +
-GENERAL.DEFAULT6:                       no +
-GENERAL.VPN:                            no +
-GENERAL.ZONE:                           -- +
-GENERAL.DBUS-PATH:                      /org/freedesktop/NetworkManager/ActiveConnection/0 +
-GENERAL.CON-PATH                      /org/freedesktop/NetworkManager/Settings/0 +
-GENERAL.SPEC-OBJECT:                    / +
-GENERAL.MASTER-PATH:                    -- +
-IP4.ADDRESS[1]:                         10.0.2.16/24 +
-IP4.ADDRESS[2]:                         192.168.1.2/24 +
-IP4.GATEWAY:                            10.0.2.2 +
-IP4.DNS[1]:                             8.8.8.8 +
-IP6.ADDRESS[1]:                         fe80::a00:27ff:fe03:97dd/64 +
-IP6.GATEWAY: +
 </code> </code>
  
-<WRAP center round important> +Les valeurs **load average** ou //charge moyenne// indiquent le nombre moyen de processus en cours de traitement ou en attente pour la période concernée.
-**Important** : Notez l'ajout de la ligne **IP4.ADDRESS[2]:**. +
-</WRAP>+
  
-Consultez maintenant le contenu du fichier **/etc/sysconfig/network-scripts/ifcfg-ip_fixe** :+Par exemple si les valeurs sur un système muni d'un seul processeur étaient **3,48  4,00  3,85** ceci indiquerait que le processeur a du mal à traiter les processus mettant en moyenne :
  
-<code> +  * 2,48 processus en attente dans la dernière minute, 
-[root@centos7 ~]# cat /etc/sysconfig/network-scripts/ifcfg-ip_fixe +  * 3,00 processus en attente dans les dernières 5 minutes, 
-TYPE=Ethernet +  2,85 processus en attente dans les dernières 15 minutes.
-BOOTPROTO=none +
-DEFROUTE=yes +
-IPV4_FAILURE_FATAL=no +
-IPV6INIT=yes +
-IPV6_AUTOCONF=yes +
-IPV6_DEFROUTE=yes +
-IPV6_FAILURE_FATAL=no +
-NAME=ip_fixe +
-UUID=fb3a11d9-4e03-4032-b26e-09d1195d2bcd +
-DEVICE=enp0s3 +
-ONBOOT=yes +
-DNS1=8.8.8.8 +
-IPADDR=10.0.2.16 +
-PREFIX=24 +
-IPADDR1=192.168.1.2 +
-PREFIX1=24 +
-GATEWAY=10.0.2.2 +
-IPV6_PEERDNS=yes +
-IPV6_PEERROUTES=yes +
-</code>+
  
-<WRAP center round important> +Les options de ces commandes sont :
-**Important** : Notez l'ajout de la ligne **IPADDR1=192.168.1.2**. +
-</WRAP> +
- +
-====La Commande hostname==== +
- +
-La procédure de la modification du hostname est simplifiée et sa prise en compte est immédiate :+
  
 <code> <code>
-[root@centos7 ~]# nmcli general hostname centos.fenestros.loc +[root@centos7 ~]# uptime --help
-[root@centos7 ~]# cat /etc/hostname +
-centos.fenestros.loc +
-[root@centos7 ~]# hostname +
-centos.fenestros.loc +
-[root@centos7 ~]# nmcli general hostname centos7.fenestros.loc +
-[root@centos7 ~]# cat /etc/hostname +
-centos7.fenestros.loc +
-[root@centos7 ~]# hostname +
-centos7.fenestros.loc +
-</code>+
  
-====La Commande ip====+Usage: 
 + uptime [options]
  
-Sous RHEL/CentOS 7 la commande **ip** est préférée par rapport à la commande ifconfig :+Options: 
 + -p, --pretty   show uptime in pretty format 
 + -h, --help     display this help and exit 
 + -s, --since    system up since 
 + -V, --version  output version information and exit
  
-<code> +For more details see uptime(1).
-[root@centos7 ~]# ip address +
-1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN  +
-    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 +
-    inet 127.0.0.1/8 scope host lo +
-       valid_lft forever preferred_lft forever +
-    inet6 ::1/128 scope host  +
-       valid_lft forever preferred_lft forever +
-2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 +
-    link/ether 08:00:27:03:97:dd brd ff:ff:ff:ff:ff:ff +
-    inet 10.0.2.16/24 brd 10.0.2.255 scope global enp0s3 +
-       valid_lft forever preferred_lft forever +
-    inet 192.168.1.2/24 brd 192.168.1.255 scope global enp0s3 +
-       valid_lft forever preferred_lft forever +
-    inet6 fe80::a00:27ff:fe03:97dd/64 scope link  +
-       valid_lft forever preferred_lft forever +
-[root@centos7 ~]# ip addr +
-1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN  +
-    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 +
-    inet 127.0.0.1/8 scope host lo +
-       valid_lft forever preferred_lft forever +
-    inet6 ::1/128 scope host  +
-       valid_lft forever preferred_lft forever +
-2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 +
-    link/ether 08:00:27:03:97:dd brd ff:ff:ff:ff:ff:ff +
-    inet 10.0.2.16/24 brd 10.0.2.255 scope global enp0s3 +
-       valid_lft forever preferred_lft forever +
-    inet 192.168.1.2/24 brd 192.168.1.255 scope global enp0s3 +
-       valid_lft forever preferred_lft forever +
-    inet6 fe80::a00:27ff:fe03:97dd/64 scope link  +
-       valid_lft forever preferred_lft forever +
-</code>+
  
-===Options de la Commande ip===+[root@centos7 ~]# w --help
  
-Les options de cette commande sont :+Usage: 
 + w [options]
  
-<code> +Options: 
-[root@centos7 ~]# ip --help + -h, --no-header     do not print header 
-Usage: ip [ OPTIONS ] OBJECT { COMMAND | help } + -u, --no-current    ignore current process username 
-       ip [ -force ] -batch filename + -s, --short         short format 
-where  OBJECT := { link | addr | addrlabel | route | rule | neigh | ntable | + -f, --from          show remote hostname field 
-                   tunnel | tuntap | maddr | mroute | mrule | monitor | xfrm | + -o, --old-style     old style output 
-                   netns | l2tp | tcp_metrics | token } + -i, --ip-addr       display IP address instead of hostname (if possible)
-       OPTIONS := { -V[ersion] | -s[tatistics] | -d[etails] | -r[esolve] | +
-                    -f[amily] { inet | inet6 | ipx | dnet | bridge | link } | +
-                    -4 | -6 | -I | -D | -B | -0 | +
-                    -l[oops] { maximum-addr-flush-attempts } | +
-                    -o[neline] | -t[imestamp] | -b[atch] [filename] | +
-                    -rc[vbuf] [size]}+
  
-</code>+     --help     display this help and exit 
 + -V, --version  output version information and exit
  
-====Activer/Désactiver une Interface Manuellement==== +For more details see w(1).
- +
-Deux commandes existent pour désactiver et activer manuellement une interface réseau : +
- +
-<code> +
-[root@centos7 ~]# nmcli device disconnect enp0s3 +
-[root@centos7 ~]# nmcli device connect enp0s3+
 </code> </code>
  
-====Routage Statique==== +==iostat==
- +
-===La commande ip===+
  
-Sous RHEL/CentOS 7pour supprimer la route vers le réseau 192.168.1.0 il convient d'utiliser la commande ip et non pas la commande route :+La commande **iostat** affiche des statistiques sur l'utilisation des disquesdes terminaux et des lecteurs de cartouche :
  
 <code> <code>
-[root@centos7 ~]# ip route +[root@centos7 ~]# iostat 
-default via 10.0.2.2 dev enp0s3  proto static  metric 100  +Linux 3.10.0-229.4.2.el7.x86_64 (centos7.fenestros.loc) 11/02/2015 _x86_64_ (CPU)
-10.0.2.0/24 dev enp0s3  proto kernel  scope link  src 10.0.2.16  metric 100  +
-192.168.1.0/24 dev enp0s3  proto kernel  scope link  src 192.168.1.2  metric 100 +
  
-[root@centos7 ~]# ip route del 192.168.1.0/24 via 0.0.0.0+avg-cpu:  %user   %nice %system %iowait  %steal   %idle 
 +           9.00    0.14    2.67    0.29    0.00   87.90
  
-[root@centos7 ~]# ip route +Device:            tps    kB_read/   kB_wrtn/   kB_read    kB_wrtn 
-default via 10.0.2.2 dev enp0s3  proto static  metric 100  +scd0              0.00         0.00         0.00         66          0 
-10.0.2.0/24 dev enp0s3  proto kernel  scope link  src 10.0.2.16  metric 100 +sda               2.56        95.04        37.09    1409026     549881
 </code> </code>
  
-Pour ajouter la route vers le réseau 192.168.1.:+Au-dessous de la première ligne indiquant la version du noyau du système et son nom d'hôte ainsi que la date actuelle, iostat affiche une vue d'ensemble de l'utilisation CPU moyenne du système depuis le dernier démarrageLe rapport d'utilisation du CPU inclut les pourcentages suivants :
  
-<code> +  * Pourcentage de temps passé en mode utilisateur (exécutant des applications, etc.) 
-[root@centos7 ~]# ip route add 192.168.1.0/24 via 10.0.2.2+  * Pourcentage de temps passé en mode utilisateur (pour les processus qui ont modifié leur priorité de programmation à l'aide de la commande nice) 
 +  * Pourcentage de temps passé en mode noyau 
 +  * Pourcentage de temps passé en inactivité
  
-[root@centos7 ~]# ip route +Notez la valeur de **%iowait**. Dans le cas où ce pourcentage est trop élévé, ceci indique que le processeur passe son temps à attendre les entrées et les sorties de disque.
-default via 10.0.2.2 dev enp0s3  proto static  metric 100  +
-10.0.2.0/24 dev enp0s3  proto kernel  scope link  src 10.0.2.16  metric 100  +
-192.168.1.0/24 via 10.0.2.2 dev enp0s3 +
-</code> +
- +
-<WRAP center round important> +
-La commande utilisée pour ajouter une passerelle par défaut prend la forme suivante **ip route add default via //adresse ip//**. +
-</WRAP>+
  
-===Activer/désactiver le routage sur le serveur===+Pour surveiller la vitesse des entrées et des sorties du disque, vous pouvez utiliser la commande **hdparm**.
  
-Pour activer le routage sur le serveuril convient d'activer la retransmission des paquets:+Sous RHEL/CentOS 7la commande **hdparm** n'est pas disponible par défaut. Installez donc le paquet **hdparm** :
  
 <code> <code>
-[root@centos7 ~]# echo 1 > /proc/sys/net/ipv4/ip_forward +[root@centos7 ~]# yum install hdparm
-[root@centos7 ~]# cat /proc/sys/net/ipv4/ip_forward +
-1+
 </code> </code>
- 
-Pour désactiver le routage sur le serveur, il convient de désactiver la retransmission des paquets: 
  
 <code> <code>
-[root@centos7 ~]# echo 0 > /proc/sys/net/ipv4/ip_forward +[root@centos7 ~]# hdparm -t /dev/sda
-[root@centos7 ~]# cat /proc/sys/net/ipv4/ip_forward +
-+
-</code>+
  
-=====Diagnostique du Réseau===== +/dev/sda
- + Timing buffered disk reads254 MB in  3.02 seconds  84.19 MB/sec
-====ping==== +
- +
-Pour tester l'accessibilité d'une machine, vous devez utiliser la commande **ping** +
- +
-<code> +
-[root@centos7 ~]# ping 10.0.2.2 +
-PING 10.0.2.2 (10.0.2.2) 56(84) bytes of data. +
-64 bytes from 10.0.2.2icmp_seq=1 ttl=63 time=0.602 ms +
-64 bytes from 10.0.2.2: icmp_seq=2 ttl=63 time=0.375 ms +
-64 bytes from 10.0.2.2: icmp_seq=ttl=63 time=0.512 ms +
-64 bytes from 10.0.2.2: icmp_seq=4 ttl=63 time=0.547 ms +
-^C +
---- 10.0.2.2 ping statistics --- +
-4 packets transmitted, 4 received, 0% packet loss, time 3035ms +
-rtt min/avg/max/mdev = 0.375/0.509/0.602/0.083 ms+
 </code> </code>
  
-===Options de la commande ping=== +Au-dessous du rapport d'utilisation du CPU de la sortie de la commande **iostat** figure le rapport d'utilisation des périphériques. Ce dernier contient une ligne pour chaque périphérique disque du système et inclut les informations suivantes :
- +
-Les options de cette commande sont : +
- +
-<code> +
-[root@centos7 ~]# ping --help +
-ping: invalid option -- '-' +
-Usage: ping [-aAbBdDfhLnOqrRUvV] [-c count] [-i interval] [-I interface] +
-            [-m mark] [-M pmtudisc_option] [-l preload] [-p pattern] [-Q tos] +
-            [-s packetsize] [-S sndbuf] [-t ttl] [-T timestamp_option] +
-            [-w deadline] [-W timeout] [hop1 ...] destination +
-</code> +
- +
-====netstat -i==== +
- +
-Pour visualiser les statistiques réseaux, vous disposez de la commande **netstat** : +
- +
-<code> +
-[root@centos7 ~]# netstat -i +
-Kernel Interface table +
-Iface      MTU    RX-OK RX-ERR RX-DRP RX-OVR    TX-OK TX-ERR TX-DRP TX-OVR Flg +
-enp0s3    1500   101676      0      0 0         72270      0      0      0 BMRU +
-lo       65536  1606599      0      0 0       1606599      0      0      0 LRU +
-</code>+
  
-===Options de la commande netstat===+  * La spécification du périphérique, apparaissant sous la forme dev<major-number>-sequence-number où <major-number> correspond au nombre majeur du périphérique et <sequence-number> correspond à un numéro de séquence commençant par zéro. 
 +  * Le nombre de transferts (ou opérations d'E/S) par seconde. 
 +  * Le nombre de blocs de 512 octets lus par seconde. 
 +  * Le nombre de blocs de 512 octets écrits par seconde. 
 +  * Le nombre total de blocs de 512 octets lus par seconde. 
 +  * Le nombre total de blocs de 512 octets écrits par seconde.
  
 Les options de cette commande sont : Les options de cette commande sont :
  
 <code> <code>
-[root@centos7 ~]# netstat --help +[root@centos7 ~]# iostat --help 
-usagenetstat [-vWeenNcCF] [<Af>] -r         netstat {-V|--version|-h|--help} +Usageiostat options ] [ <interval> [ <count
-       netstat [-vWnNcaeol] [<Socket...+Options are: 
-       netstat { [-vWeenNac-I[<Iface>[-veenNac] -[-cnNe-M | -s [-6tuw[delay] +[ -] [ -d ] [ --| -] [ -] [ -t ] [ -V ] [ -x ] [ -y ] [ -z ] 
- +-ID LABEL PATH UUID ... ] 
-        -r, --route              display routing table +[ [ -T ] -<group_name] [ -p [ <device[,...] | ALL ] ] 
-        -I, --interfaces=<Iface> display interface table for <Iface> +<device[...] | ALL ]
-        -i, --interfaces         display interface table +
-        -g, --groups             display multicast group memberships +
-        -s, --statistics         display networking statistics (like SNMP) +
-        -M, --masquerade         display masqueraded connections +
- +
-        -v, --verbose            be verbose +
-        -W, --wide               don'truncate IP addresses +
-        -n, --numeric            don't resolve names +
-        --numeric-hosts          don't resolve host names +
-        --numeric-ports          don't resolve port names +
-        --numeric-users          don't resolve user names +
-        -N, --symbolic           resolve hardware names +
-        -e, --extend             display other/more information +
-        -p, --programs           display PID/Program name for sockets +
-        -o, --timers             display timers +
-        -c, --continuous         continuous listing +
- +
-        -l, --listening          display listening server sockets +
-        -a, --all                display all sockets (default: connected) +
-        -F, --fib                display Forwarding Information Base (default) +
-        -C, --cache              display routing cache instead of FIB +
-        -Z, --context            display SELinux security context for sockets +
- +
-  <Socket>={-t|--tcp} {-u|--udp} {-U|--udplite} {-w|--raw} {-x|--unix+
-           --ax25 --ipx --netrom +
-  <AF>=Use '-6|-4' or '-A <af>' or '--<af>'; default: inet +
-  List of possible address families (which support routing): +
-    inet (DARPA Internet) inet6 (IPv6) ax25 (AMPR AX.25)  +
-    netrom (AMPR NET/ROM) ipx (Novell IPX) ddp (Appletalk DDP)  +
-    x25 (CCITT X.25)+
 </code> </code>
  
-====La commande traceroute====+==vmstat==
  
-La commande ping est à la base de la commande **traceroute**. Cette commande sert à découvrir la route empruntée pour accéder à un site donné :+La commande **vmstat** affiche des statistiques sur la mémoire, la pagination et la charge ponctuelle du processeur :
  
 <code> <code>
-[root@centos7 ~]# traceroute www.i2tch.eu +[root@centos7 ~]# vmstat 1 10 
-traceroute to www.i2tch.eu (217.160.122.33), 30 hops max, 60 byte packets +procs -----------memory---------- ---swap-- -----io---- -system-- ------cpu----- 
-  gateway (10.0.2.2)  0.245 ms  0.098 ms  0.196 ms +  b   swpd   free   buff  cache   si   so    bi    bo   in   cs us sy id wa st 
-  192.168.0.1 (192.168.0.1)  0.334 ms  0.312 ms  0.391 ms +    4600 352560     20 620332    0    0   114    37  157  236  9  3 88  
-  * * * +    4600 352736     20 620368           0      231  310 29  7 63  
-  195-132-10-137.rev.numericable.fr (195.132.10.137)  13.868 ms  13.799 ms  19.753 ms +  0   4600 352736     20 620368    0    0          223  318 32  7 60  0  0 
- 5  ip-190.net-80-236-8.asnieres.rev.numericable.fr (80.236.8.190)  20.041 ms  19.949 ms  19.859 ms +  0   4600 352776     20 620328    0    0          250  339 34  9 57  0  0 
-  ip-185.net-80-236-8.asnieres.rev.numericable.fr (80.236.8.185)  19.811 ms  15.239 ms  22.338 ms +  0   4600 352776     20 620328    0    0          215  285 30  9 61  0  0 
-  172.19.132.146 (172.19.132.146)  27.180 ms  27.044 ms  26.839 ms +  0   4600 352776     20 620328    0    0          234  326 31  7 61  0  0 
-  oneandone.franceix.net (37.49.236.42)  65.178 ms  64.946 ms  64.618 ms +  0   4600 352776     20 620328    0    0          219  306 31  8 62  0  0 
-  ae-8-0.bb-a.bap.rhr.de.oneandone.net (212.227.120.42)  30.706 ms  30.599 ms  30.493 ms +    4600 352776     20 620328    0    0          223  298 29  7 63   0 
-10  * * * +  0   4600 352776     20 620328    0    0          223  314 32  7 60   0 
-11  * * * +  0   4600 352776     20 620332    0    0          238  309 34  7 59  0  0
-12  * * * +
-13  * * * +
-14  * * * +
-15  * * * +
-16  * * * +
-17  * * * +
-18  * * * +
-...+
 </code> </code>
  
-===Options de la commande traceroute===+La première ligne subdivise le champ en six catégories à savoir : processus, mémoire, swap, E/S, système et CPU sur lesquelles elle donne des statistiques. La seconde ligne identifie de manière encore plus détaillée chacun des champs, permettant ainsi de parcourir simplement et rapidement l'ensemble des données lors de la recherche de statistiques spécifiques.
  
-Les options de cette commande sont :+Les champs relatifs aux processus sont les suivants :
  
-<code> +  * r — Le nombre de processus exécutables attendant d'avoir accès au CPU 
-[root@centos7 ~]# traceroute --help +  * b — Le nombre de processus exécutables dans un état de veille qui ne peut être interrompu
-Usage: +
-  traceroute [ -46dFITnreAUDV ] [ -f first_ttl ] [ -g gate,... ] [ -i device ] [ -m max_ttl ] [ -N squeries ] [ -p port ] [ -t tos ] [ -l flow_label ] [ -w waittime ] [ -q nqueries ] [ -s src_addr ] [ -z sendwait ] [ --fwmark=num ] host [ packetlen ] +
-Options: +
-  -4                          Use IPv4 +
-  -6                          Use IPv6 +
-  - --debug                 Enable socket level debugging +
-  -F  --dont-fragment         Do not fragment packets +
-  -f first_ttl  --first=first_ttl +
-                              Start from the first_ttl hop (instead from 1) +
-  -g gate,...  --gateway=gate,... +
-                              Route packets through the specified gateway +
-                              (maximum 8 for IPv4 and 127 for IPv6) +
-  -I  --icmp                  Use ICMP ECHO for tracerouting +
-  -T  --tcp                   Use TCP SYN for tracerouting (default port is 80) +
-  -i device  --interface=device +
-                              Specify a network interface to operate with +
-  -m max_ttl  --max-hops=max_ttl +
-                              Set the max number of hops (max TTL to be +
-                              reached). Default is 30 +
-  -N squeries  --sim-queries=squeries +
-                              Set the number of probes to be tried +
-                              simultaneously (default is 16) +
-  -n                          Do not resolve IP addresses to their domain names +
-  -p port  --port=port        Set the destination port to use. It is either +
-                              initial udp port value for "default" method +
-                              (incremented by each probe, default is 33434), or +
-                              initial seq for "icmp" (incremented as well, +
-                              default from 1), or some constant destination +
-                              port for other methods (with default of 80 for +
-                              "tcp", 53 for "udp", etc.) +
-  -t tos  --tos=tos           Set the TOS (IPv4 type of service) or TC (IPv6 +
-                              traffic class) value for outgoing packets +
-  -l flow_label  --flowlabel=flow_label +
-                              Use specified flow_label for IPv6 packets +
-  -w waittime  --wait=waittime +
-                              Set the number of seconds to wait for response to +
-                              a probe (default is 5.0). Non-integer (float +
-                              point) values allowed too +
-  -q nqueries  --queries=nqueries +
-                              Set the number of probes per each hop. Default is +
-                              3 +
-  -r                          Bypass the normal routing and send directly to a +
-                              host on an attached network +
-  -s src_addr  --source=src_addr +
-                              Use source src_addr for outgoing packets +
-  -z sendwait  --sendwait=sendwait +
-                              Minimal time interval between probes (default 0). +
-                              If the value is more than 10, then it specifies a +
-                              number in milliseconds, else it is a number of +
-                              seconds (float point values allowed too) +
-  -e  --extensions            Show ICMP extensions (if present), including MPLS +
-  -A  --as-path-lookups       Perform AS path lookups in routing registries and +
-                              print results directly after the corresponding +
-                              addresses +
-  -M name  --module=name      Use specified module (either builtin or external) +
-                              for traceroute operations. Most methods have +
-                              their shortcuts (`-Imeans `-M icmp' etc.) +
-  -O OPTS,...  --options=OPTS,... +
-                              Use module-specific option OPTS for the +
-                              traceroute module. Several OPTS allowed, +
-                              separated by comma. If OPTS is "help", print info +
-                              about available options +
-  --sport=num                 Use source port num for outgoing packets. Implies +
-                              `-N 1' +
-  --fwmark=num                Set firewall mark for outgoing packets +
-  -U  --udp                   Use UDP to particular port for tracerouting +
-                              (instead of increasing the port per each probe), +
-                              default port is 53 +
-  -UL                         Use UDPLITE for tracerouting (default dest port +
-                              is 53) +
-  -D  --dccp                  Use DCCP Request for tracerouting (default port +
-                              is 33434) +
-  -P prot  --protocol=prot    Use raw packet of protocol prot for tracerouting +
-  --mtu                       Discover MTU along the path being traced. Implies +
-                              `-F -N 1' +
-  --back                      Guess the number of hops in the backward path and +
-                              print if it differs +
-  -V  --version               Print version info and exit +
-  --help                      Read this help and exit+
  
-Arguments: +Les champs relatifs à la mémoire sont les suivants :
-+     host          The host to traceroute to +
-      packetlen     The full packet length (default is the length of an IP +
-                    header plus 40). Can be ignored or increased to a minimal +
-                    allowed value +
-</code>+
  
-=====Connexions à Distance=====+  * swpd — La quantité de mémoire virtuelle utilisée 
 +  * free — La quantité de mémoire libre 
 +  * buff — La quantité de mémoire utilisée par les tampons (ou buffers) 
 +  * cache — La quantité de mémoire utilisée comme cache de pages
  
-==== Telnet ====+Les champs relatifs au swap sont les suivants :
  
-<WRAP center round important> +  * si — La quantité de mémoire chargée depuis le disque 
-La commande **telnet** n'est pas installée par défaut sous CentOS 7. Installez-le à l'aide de la commande **yum install telnet** en tant que root. +  * so — La quantité de mémoire déchargée sur le disque
-</WRAP>+
  
-La commande **telnet** est utilisée pour établir une connexion à distance avec un serveur telnet :+Les champs relatifs aux Entrées/Sorties (E/S) sont les suivants :
  
-<file> +  * bi — Blocs envoyés vers un périphérique blocs 
-  # telnet numero_ip +  * bo— Blocs reçus d'un périphérique blocs 
-</file>+
  
-<WRAP center round important> +Les champs relatifs au système sont les suivants :
-Le service telnet revient à une redirection des canaux standards d'entrée et de sortie. Notez que la connexion n'est **pas** sécurisée. Pour fermer la connexion, il faut saisir la commande **exit**. La commande telnet n'offre pas de services de transfert de fichiers. Pour cela, il convient d'utiliser la command **ftp**. +
-</WRAP>+
  
-===Options de la commande telnet===+  * in — Nombre d'interruptions par seconde 
 +  * cs — Nombre de changements de contexte par seconde
  
-Les options de cette commande sont :+Les champs relatifs au CPU sont les suivants :
  
-<code> +  * us — Le pourcentage de temps pendant lequel le CPU exécute un code de niveau utilisateur 
-[root@centos7 ~]# telnet --help +  sy — Le pourcentage de temps pendant lequel le CPU exécute un code de niveau système 
-telnet: invalid option -- '-' +  * id — Le pourcentage de temps pendant lequel le CPU était inoccupé 
-Usage: telnet [-8] [-E] [-L] [-S tos] [-a] [-c] [-d] [-e char] [-l user] +  * wa — Attente d'E/S
- [-n tracefile] [-b hostalias ] [-r]  +
- [host-name [port]] +
-</code> +
- +
-==== wget ==== +
- +
-La commande **wget** est utilisée pour récupérer un fichier via http, https ou ftp :  +
- +
-<code> +
-[root@centos7 ~]# wget https://www.dropbox.com/s/li5tyou8msofuwb/fichier_test?dl=0 +
---2017-06-22 16:53:39--  https://www.dropbox.com/s/li5tyou8msofuwb/fichier_test?dl=0 +
-Resolving www.dropbox.com (www.dropbox.com)... 162.125.65.1 +
-Connecting to www.dropbox.com (www.dropbox.com)|162.125.65.1|:443... connected. +
-HTTP request sent, awaiting response... 302 Found +
-Location: https://dl.dropboxusercontent.com/content_link/enf8fglFyPxthmTsBfruPFaaOD7pStW4llpPQbU6SjeYhsRDwtN76xpVXuHrLIsZ/file [following] +
---2017-06-22 16:53:40--  https://dl.dropboxusercontent.com/content_link/enf8fglFyPxthmTsBfruPFaaOD7pStW4llpPQbU6SjeYhsRDwtN76xpVXuHrLIsZ/file +
-Resolving dl.dropboxusercontent.com (dl.dropboxusercontent.com)... 162.125.65.6 +
-Connecting to dl.dropboxusercontent.com (dl.dropboxusercontent.com)|162.125.65.6|:443... connected. +
-HTTP request sent, awaiting response... 200 OK +
-Length: 17 [text/plain] +
-Saving to: ‘fichier_test?dl=0’ +
- +
-100%[====================================================================================>] 17          --.-K/  in 0s       +
- +
-2017-06-22 16:53:41 (480 KB/s) - ‘fichier_test?dl=0’ saved [17/17] +
-</code> +
- +
-===Options de la commande wget===+
  
 Les options de cette commande sont : Les options de cette commande sont :
  
 <code> <code>
-[root@centos7 ~]# wget --help +[root@centos7 ~]# vmstat --help
-GNU Wget 1.14, a non-interactive network retriever. +
-Usage: wget [OPTION]... [URL]...+
  
-Mandatory arguments to long options are mandatory for short options too.+Usage: 
 + vmstat [options] [delay [count]]
  
-Startup+Options
-  -V --version           display the version of Wget and exit. + -a, --active           active/inactive memory 
-  -h --help              print this help. + -f, --forks            number of forks since boot 
-  -b --background        go to background after startup. + -m, --slabs            slabinfo 
-  -e,  --execute=COMMAND   execute a `.wgetrc'-style command.+ -n, --one-header       do not redisplay header 
 + -s--stats            event counter statistics 
 + -d, --disk             disk statistics 
 + -D, --disk-sum         summarize disk statistics 
 + -p, --partition <dev>  partition specific statistics 
 + -S, --unit <char>      define display unit 
 + -w, --wide             wide output 
 + -t, --timestamp        show timestamp
  
-Logging and input file: + -h, --help     display this help and exit 
-  -o --output-file=FILE    log messages to FILE. + -V, --version  output version information and exit
-  -a --append-output=FILE  append messages to FILE. +
-  -d,  --debug               print lots of debugging information+
-  -q,  --quiet               quiet (no output). +
-  -v,  --verbose             be verbose (this is the default). +
-  -nv, --no-verbose          turn off verboseness, without being quiet. +
-       --report-speed=TYPE   Output bandwidth as TYPE.  TYPE can be bits. +
-  -i,  --input-file=FILE     download URLs found in local or external FILE. +
-  -F,  --force-html          treat input file as HTML. +
-  -B,  --base=URL            resolves HTML input-file links (-i -F) +
-                             relative to URL. +
-       --config=FILE         Specify config file to use.+
  
-Download: +For more details see vmstat(8).
-  -t,  --tries=NUMBER            set number of retries to NUMBER (0 unlimits)+
-       --retry-connrefused       retry even if connection is refused. +
-  -O,  --output-document=FILE    write documents to FILE. +
-  -nc, --no-clobber              skip downloads that would download to +
-                                 existing files (overwriting them). +
-  -c,  --continue                resume getting a partially-downloaded file. +
-       --progress=TYPE           select progress gauge type. +
-  -N,  --timestamping            don't re-retrieve files unless newer than +
-                                 local. +
-  --no-use-server-timestamps     don't set the local file's timestamp by +
-                                 the one on the server. +
-  -S,  --server-response         print server response. +
-       --spider                  don't download anything. +
-  -T,  --timeout=SECONDS         set all timeout values to SECONDS. +
-       --dns-timeout=SECS        set the DNS lookup timeout to SECS. +
-       --connect-timeout=SECS    set the connect timeout to SECS. +
-       --read-timeout=SECS       set the read timeout to SECS. +
-  -w,  --wait=SECONDS            wait SECONDS between retrievals. +
-       --waitretry=SECONDS       wait 1..SECONDS between retries of a retrieval. +
-       --random-wait             wait from 0.5*WAIT...1.5*WAIT secs between retrievals. +
-       --no-proxy                explicitly turn off proxy. +
-  -Q,  --quota=NUMBER            set retrieval quota to NUMBER. +
-       --bind-address=ADDRESS    bind to ADDRESS (hostname or IP) on local host. +
-       --limit-rate=RATE         limit download rate to RATE. +
-       --no-dns-cache            disable caching DNS lookups. +
-       --restrict-file-names=OS  restrict chars in file names to ones OS allows. +
-       --ignore-case             ignore case when matching files/directories. +
-  -4,  --inet4-only              connect only to IPv4 addresses. +
-  -6,  --inet6-only              connect only to IPv6 addresses. +
-       --prefer-family=FAMILY    connect first to addresses of specified family, +
-                                 one of IPv6, IPv4, or none. +
-       --user=USER               set both ftp and http user to USER. +
-       --password=PASS           set both ftp and http password to PASS. +
-       --ask-password            prompt for passwords. +
-       --no-iri                  turn off IRI support. +
-       --local-encoding=ENC      use ENC as the local encoding for IRIs. +
-       --remote-encoding=ENC     use ENC as the default remote encoding. +
-       --unlink                  remove file before clobber. +
- +
-Directories: +
-  -nd, --no-directories           don't create directories. +
-  -x,  --force-directories        force creation of directories. +
-  -nH, --no-host-directories      don't create host directories. +
-       --protocol-directories     use protocol name in directories. +
-  -P,  --directory-prefix=PREFIX  save files to PREFIX/... +
-       --cut-dirs=NUMBER          ignore NUMBER remote directory components. +
- +
-HTTP options: +
-       --http-user=USER        set http user to USER. +
-       --http-password=PASS    set http password to PASS. +
-       --no-cache              disallow server-cached data. +
-       --default-page=NAME     Change the default page name (normally +
-                               this is `index.html'.). +
-  -E,  --adjust-extension      save HTML/CSS documents with proper extensions. +
-       --ignore-length         ignore `Content-Length' header field. +
-       --header=STRING         insert STRING among the headers. +
-       --max-redirect          maximum redirections allowed per page. +
-       --proxy-user=USER       set USER as proxy username. +
-       --proxy-password=PASS   set PASS as proxy password. +
-       --referer=URL           include `Referer: URL' header in HTTP request. +
-       --save-headers          save the HTTP headers to file. +
-  -U,  --user-agent=AGENT      identify as AGENT instead of Wget/VERSION. +
-       --no-http-keep-alive    disable HTTP keep-alive (persistent connections). +
-       --no-cookies            don't use cookies. +
-       --load-cookies=FILE     load cookies from FILE before session. +
-       --save-cookies=FILE     save cookies to FILE after session. +
-       --keep-session-cookies  load and save session (non-permanent) cookies. +
-       --post-data=STRING      use the POST method; send STRING as the data. +
-       --post-file=FILE        use the POST method; send contents of FILE. +
-       --content-disposition   honor the Content-Disposition header when +
-                               choosing local file names (EXPERIMENTAL). +
-       --content-on-error      output the received content on server errors. +
-       --auth-no-challenge     send Basic HTTP authentication information +
-                               without first waiting for the server'+
-                               challenge. +
- +
-HTTPS (SSL/TLS) options: +
-       --secure-protocol=PR     choose secure protocol, one of auto, SSLv2, +
-                                SSLv3, and TLSv1. +
-       --no-check-certificate   don't validate the server's certificate. +
-       --certificate=FILE       client certificate file. +
-       --certificate-type=TYPE  client certificate type, PEM or DER. +
-       --private-key=FILE       private key file. +
-       --private-key-type=TYPE  private key type, PEM or DER. +
-       --ca-certificate=FILE    file with the bundle of CA's. +
-       --ca-directory=DIR       directory where hash list of CA's is stored. +
-       --random-file=FILE       file with random data for seeding the SSL PRNG. +
-       --egd-file=FILE          file naming the EGD socket with random data. +
- +
-FTP options: +
-       --ftp-user=USER         set ftp user to USER. +
-       --ftp-password=PASS     set ftp password to PASS. +
-       --no-remove-listing     don't remove `.listing' files. +
-       --no-glob               turn off FTP file name globbing. +
-       --no-passive-ftp        disable the "passive" transfer mode. +
-       --preserve-permissions  preserve remote file permissions. +
-       --retr-symlinks         when recursing, get linked-to files (not dir). +
- +
-WARC options: +
-       --warc-file=FILENAME      save request/response data to a .warc.gz file. +
-       --warc-header=STRING      insert STRING into the warcinfo record. +
-       --warc-max-size=NUMBER    set maximum size of WARC files to NUMBER. +
-       --warc-cdx                write CDX index files. +
-       --warc-dedup=FILENAME     do not store records listed in this CDX file. +
-       --no-warc-compression     do not compress WARC files with GZIP. +
-       --no-warc-digests         do not calculate SHA1 digests. +
-       --no-warc-keep-log        do not store the log file in a WARC record. +
-       --warc-tempdir=DIRECTORY  location for temporary files created by the +
-                                 WARC writer. +
- +
-Recursive download: +
-  -r,  --recursive          specify recursive download. +
-  -l,  --level=NUMBER       maximum recursion depth (inf or 0 for infinite). +
-       --delete-after       delete files locally after downloading them. +
-  -k,  --convert-links      make links in downloaded HTML or CSS point to +
-                            local files. +
-  --backups=N   before writing file X, rotate up to N backup files. +
-  -K,  --backup-converted   before converting file X, back up as X.orig. +
-  -m,  --mirror             shortcut for -N -r -l inf --no-remove-listing. +
-  -p,  --page-requisites    get all images, etc. needed to display HTML page. +
-       --strict-comments    turn on strict (SGML) handling of HTML comments. +
- +
-Recursive accept/reject: +
-  -A,  --accept=LIST               comma-separated list of accepted extensions. +
-  -R,  --reject=LIST               comma-separated list of rejected extensions. +
-       --accept-regex=REGEX        regex matching accepted URLs. +
-       --reject-regex=REGEX        regex matching rejected URLs. +
-       --regex-type=TYPE           regex type (posix|pcre). +
-  -D,  --domains=LIST              comma-separated list of accepted domains. +
-       --exclude-domains=LIST      comma-separated list of rejected domains. +
-       --follow-ftp                follow FTP links from HTML documents. +
-       --follow-tags=LIST          comma-separated list of followed HTML tags. +
-       --ignore-tags=LIST          comma-separated list of ignored HTML tags. +
-  -H,  --span-hosts                go to foreign hosts when recursive. +
-  -L,  --relative                  follow relative links only. +
-  -I,  --include-directories=LIST  list of allowed directories. +
-  --trust-server-names             use the name specified by the redirection +
-                                   url last component. +
-  -X,  --exclude-directories=LIST  list of excluded directories. +
-  -np, --no-parent                 don't ascend to the parent directory. +
- +
-Mail bug reports and suggestions to <bug-wget@gnu.org>.+
 </code> </code>
- 
-==== ftp ==== 
  
 <WRAP center round important> <WRAP center round important>
-La commande **ftp** n'est pas installée par défaut sous CentOS 7. Installez-le à l'aide de la commande **yum install ftp** en tant que root.+**Important** : Par défaut la commande vmstat affiche des informations depuis le démarrage du système.
 </WRAP> </WRAP>
  
-La commande **ftp** est utilisée pour le transfert de fichiers:+==mpstat== 
 + 
 +La commande **mpstat** affiche des statistiques détaillées sur le CPU :
  
 <code> <code>
-[root@centos7 ~]# ftp ftp2.fenestros.com +[root@centos7 ~]# mpstat 
-Connected to ftp2.fenestros.com (213.186.33.14). +Linux 3.10.0-229.4.2.el7.x86_64 (centos7.fenestros.loc) 11/02/2015 _x86_64_ (1 CPU
-220 anonymous.ftp.ovh.net NcFTPd Server (licensed copyready. + 
-Name (ftp2.fenestros.com:root)anonymous +03:19:32 PM  CPU    %usr   %nice    %sys %iowait    %irq   %soft  %steal  %guest  %gnice   %idle 
-331 Guest login ok, send your complete e-mail address as password. +03:19:32 PM  all    9.38    0.14    2.52    0.31    0.00    0.24    0.00    0.00    0.00   87.42
-Password: +
-230 Logged in anonymously. +
-Remote system type is UNIX. +
-Using binary mode to transfer files. +
-ftp>  +
 </code> </code>
  
-Une fois connectéil convient d'utiliser la commande **help** pour afficher la liste des commandes disponibles :+Dans le cas où vous avez plusieurs processeurs ou coeursvous pouvez visualiser ces mêmes informations par unité de traitement :
  
 <code> <code>
-ftp> help +[root@centos7 ~]# mpstat -P ALL 
-Commands may be abbreviated Commands are:+Linux 3.10.0-229.4.2.el7.x86_64 (centos7.fenestros.loc) 11/02/2015 _x86_64_ (1 CPU)
  
-! debug mdir sendport site +03:20:06 PM  CPU    %usr   %nice    %sys %iowait    %irq   %soft  %steal  %guest  %gnice   %idle 
-$ dir mget put size +03:20:06 PM  all    9.42    0.14    2.53    0.31    0.00    0.24    0.00    0.00    0.00   87.36 
-account disconnect mkdir pwd status +03:20:06 PM    0    9.42    0.14    2.53    0.31    0.00    0.24    0.00    0.00    0.00   87.36
-append exit mls quit struct +
-ascii form mode quote system +
-bell get modtime recv sunique +
-binary glob mput reget tenex +
-bye hash newer rstatus tick +
-case help nmap rhelp trace +
-cd idle nlist rename type +
-cdup image ntrans reset user +
-chmod lcd open restart umask +
-close ls prompt rmdir verbose +
-cr macdef passive runique ? +
-delete mdelete proxy send +
-ftp> +
 </code> </code>
  
-Le caractère **!** permet d'exécuter une commande sur la machine cliente+Pour afficher 5 jeux de statistiques à des intervales de 2 secondes pour tous les unités de traitement, il convient d'utiliser la commande suivante :
  
 <code> <code>
-ftp> !pwd +[root@centos7 ~]# mpstat -P ALL 2 5 
-/root +Linux 3.10.0-229.4.2.el7.x86_64 (centos7.fenestros.loc) 11/02/2015 _x86_64_ (1 CPU)
-</code>+
  
-Pour transférer un fichier vers le serveur, il convient d'utiliser la commande **put** :+03:20:43 PM  CPU    %usr   %nice    %sys %iowait    %irq   %soft  %steal  %guest  %gnice   %idle 
 +03:20:45 PM  all   27.46    0.00    7.04    0.00    0.00    0.00    0.00    0.00    0.00   65.49 
 +03:20:45 PM    0   27.46    0.00    7.04    0.00    0.00    0.00    0.00    0.00    0.00   65.49
  
-<file> +03:20:45 PM  CPU    %usr   %nice    %sys %iowait    %irq   %soft  %steal  %guest  %gnice   %idle 
-ftp> put nom_fichier_local nom_fichier_distant +03:20:47 PM  all   24.83    0.00    5.37    0.00    0.00    0.67    0.00    0.00    0.00   69.13 
-</file>+03:20:47 PM    0   24.83    0.00    5.37    0.00    0.00    0.67    0.00    0.00    0.00   69.13
  
-Vous pouvez également transférer plusieurs fichiers à la fois grâce à la commande **mput**Dans ce cas précis, il convient de saisir la commande suivante:+03:20:47 PM  CPU    %usr   %nice    %sys %iowait    %irq   %soft  %steal  %guest  %gnice   %idle 
 +03:20:49 PM  all   17.95    0.00    4.49    0.00    0.00    0.00    0.00    0.00    0.00   77.56 
 +03:20:49 PM    0   17.95    0.00    4.49    0.00    0.00    0.00    0.00    0.00    0.00   77.56
  
-<file> +03:20:49 PM  CPU    %usr   %nice    %sys %iowait    %irq   %soft  %steal  %guest  %gnice   %idle 
-ftp> mput nom*.* +03:20:51 PM  all   18.18    0.00    3.90    0.00    0.00    0.00    0.00    0.00    0.00   77.92 
-</file>+03:20:51 PM    0   18.18    0.00    3.90    0.00    0.00    0.00    0.00    0.00    0.00   77.92
  
-Pour transférer un fichier du serveur, il convient d'utiliser la commande **get** :+03:20:51 PM  CPU    %usr   %nice    %sys %iowait    %irq   %soft  %steal  %guest  %gnice   %idle 
 +03:20:53 PM  all   24.14    0.00    6.21    0.00    0.00    0.00    0.00    0.00    0.00   69.66 
 +03:20:53 PM    0   24.14    0.00    6.21    0.00    0.00    0.00    0.00    0.00    0.00   69.66
  
-<file> +Average    CPU    %usr   %nice    %sys %iowait    %irq   %soft  %steal  %guest  %gnice   %idle 
-ftp> get nom_fichier +Average    all   22.39    0.00    5.36    0.00    0.00    0.13    0.00    0.00    0.00   72.12 
-</file> +Average:         22.39    0.00    5.36    0.00    0.00    0.13    0.00    0.00    0.00   72.12
- +
-Vous pouvez également transférer plusieurs fichiers à la fois grâce à la commande **mget** ( voir la commande **mput** ci-dessus ). +
- +
-Pour supprimer un fichier sur le serveur, il convient d'utiliser la commande **del** +
- +
-<file> +
-ftp> del nom_fichier +
-</file> +
- +
-Pour fermer la session, il convient d'utiliser la commande **quit** +
- +
-<code> +
-ftp> quit +
-[root@centos7 ~]# +
 </code> </code>
- 
-====SSH==== 
- 
-===Introduction=== 
- 
-La commande **[[wpfr>Ssh|ssh]]** est le successeur et la remplaçante de la commande **[[wpfr>Rlogin|rlogin]]**. Il permet d'établir des connexions sécurisées avec une machine distante. SSH comporte cinq acteurs : 
- 
-  * Le **serveur SSH** 
-    * le démon sshd, qui s'occupe des authentifications et autorisations des clients,  
-  * Le **client SSH** 
-    * ssh ou scp, qui assure la connexion et le dialogue avec le serveur, 
-  * La **session** qui représente la connexion courante et qui commence juste après l'authentification réussie, 
-  * Les **clefs** 
-    * **Couple de clef utilisateur asymétriques** et persistantes qui assurent l'identité d'un utilisateur et qui sont stockés sur disque dur, 
-    * **Clef hôte asymétrique et persistante** garantissant l'identité du serveur er qui est conservé sur disque dur 
-    * **Clef serveur asymétrique et temporaire** utilisée par le protocole SSH1 qui sert au chiffrement de la clé de session, 
-    * **Clef de session symétrique qui est générée aléatoirement** et qui permet le chiiffrement de la communication entre le client et le serveur. Elle est détruite en fin de session. SSH-1 utilise une seule clef tandis que SSH-2 utilise une clef par direction de la communication, 
-  * La **base de données des hôtes connus** qui stocke les clés des connexions précédentes. 
- 
-SSH fonctionne de la manière suivante pour la la mise en place d'un canal sécurisé: 
- 
-  * Le client contacte le serveur sur son port 22, 
-  * Les client et le serveur échangent leur version de SSH. En cas de non-compatibilité de versions, l'un des deux met fin au processus, 
-  * Le serveur SSH s'identifie auprès du client en lui fournissant : 
-    * Sa clé hôte, 
-    * Sa clé serveur, 
-    * Une séquence aléatoire de huit octets à inclure dans les futures réponses du client, 
-    * Une liste de méthodes de chiffrage, compression et authentification, 
-  * Le client et le serveur produisent un identifiant identique, un haché MD5 long de 128 bits contenant la clé hôte, la clé serveur et la séquence aléatoire, 
-  * Le client génère sa clé de session symétrique et la chiffre deux fois de suite, une fois avec la clé hôte du serveur et la deuxième fois avec la clé serveur. Le client envoie cette clé au serveur accompagnée de la séquence aléatoire et un choix d'algorithmes supportés, 
-  * Le serveur déchiffre la clé de session, 
-  * Le client et le serveur mettent en place le canal sécurisé. 
- 
-==SSH-1== 
- 
-SSH-1 utilise une paire de clefs de type RSA1. Il assure l'intégrité des données par une **[[wpfr>Contrôle_de_redondance_cyclique|Contrôle de Redondance Cyclique]]** (CRC) et est un bloc dit **monolithique**. 
- 
-Afin de s'identifier, le client essaie chacune des six méthodes suivantes : 
- 
-  * **Kerberos**, 
-  * **Rhosts**, 
-  * **%%RhostsRSA%%**, 
-  * Par **clef asymétrique**, 
-  * **TIS**, 
-  * Par **mot de passe**. 
- 
-==SSH-2== 
- 
-SSH-2 utilise **DSA** ou **RSA**. Il assure l'intégrité des données par l'algorithme **HMAC**. SSH-2 est organisé en trois **couches** : 
- 
-  * **SSH-TRANS** – Transport Layer Protocol, 
-  * **SSH-AUTH** – Authentification Protocol, 
-  * **SSH-CONN** – Connection Protocol. 
- 
-SSH-2 diffère de SSH-1 essentiellement dans la phase authentification.  
- 
-Trois méthodes d'authentification : 
- 
-  * Par **clef asymétrique**, 
-    * Identique à SSH-1 sauf avec l'algorithme DSA, 
-  * **%%RhostsRSA%%**, 
-  * Par **mot de passe**. 
- 
-==Options de la commande== 
  
 Les options de cette commande sont : Les options de cette commande sont :
  
 <code> <code>
-[root@centos6 ~]# ssh --help +[root@centos7 ~]# mpstat --help 
-usagessh [-1246AaCfgKkMNnqsTtVvXxYy] [-b bind_address] [-c cipher_spec] +Usagempstat options ] [ <interval> <count> ] ] 
-           [-D [bind_address:]port] [-e escape_char] [-F configfile+Options are
-           [-i identity_file] [-L [bind_address:]port:host:hostport] +[ -] [ -] [ -] [ -I { SUM | CPU | SCPU | ALL } 
-           [-l login_name] [-m mac_spec] [-O ctl_cmd] [-o option] [-p port+[ -P { <cpu> [,...| ON | ALL } ]
-           [-[bind_address:]port:host:hostport] [-S ctl_path] +
-           [-w local_tun[:remote_tun]] [user@]hostname [command]+
 </code> </code>
  
-===L'authentification par mot de passe===+==sar==
  
-L'utilisateur fournit un mot de passe au client ssh. Le client ssh le transmet de façon sécurisée au serveur ssh puis  le serveur vérifie le mot de passe et l'accepte ou non.+La commande **sar** permet de surveiller toutes les ressources du système selon l'option qui est passée en argument à la commandeQuelques options importantes sont :
  
-Avantage: +^ Option ^ Description ^ 
-  * Aucune configuration de clef asymétrique n'est nécessaire.+| -u | Pourcentage d'utilisation du CPU | 
 +| -q | Nombre de processus en attente | 
 +| -r | Utilisation de la mémoire centrale | 
 +| -w | Surveillance du swapping | 
 +| -p | Surveillance de la pagination | 
 +| -b | Utilisation des tampons | 
 +| -d | Utilisation des disques |
  
-Inconvénients: +Sous RHEL/CentOS 7 la commande **/usr/lib64/sa/sadc** permet de collecter les informations :
-  * L'utilisateur doit fournir à chaque connexion un identifiant et un mot de passe, +
-  * Moins sécurisé qu'un système par clef asymétrique. +
- +
-===L'authentification par clef asymétrique=== +
- +
-  * Le **client** envoie au serveur une requête d'authentification par clé asymétrique qui contient le module de la clé à utiliser, +
-  Le **serveur** recherche une correspondance pour ce module dans le fichier des clés autorisés **~/.ssh/authorized_keys**+
-    * Dans le cas où une correspondance n'est pas trouvée, le serveur met fin à la communication, +
-    * Dans le cas contraire le serveur génère une chaîne aléatoire de 256 bits appelée un **challenge** et la chiffre avec la **clé publique du client**, +
-  * Le **client** reçoit le challenge et le décrypte avec la partie privée de sa clé. Il combine le challenge avec l'identifiant de session et chiffre le résultat. Ensuite il envoie le résultat chiffré au serveur. +
-  * Le **serveur** génère le même haché et le compare avec celui reçu du client. Si les deux hachés sont identiques, l'authentification est réussie. +
- +
-===Installation=== +
- +
-Pour installer/mettre à jour le serveur **sshd**, utilisez **yum** :+
  
 <code> <code>
-[root@centos7 ~]# yum install openssh-server +[root@centos7 ~]# ls /usr/lib64/sa 
-Loaded plugins: fastestmirror, langpacks +sa1  sa2  sadc
-Loading mirror speeds from cached hostfile +
- * base: centos.mirror.fr.planethoster.net +
- * extras: ftp.ciril.fr +
- * updates: centos.mirrors.ovh.net +
-Package openssh-server-6.6.1p1-25.el7_2.x86_64 already installed and latest version +
-Nothing to do+
 </code> </code>
  
-<WRAP center round important> +Le script **/usr/lib64/sa/sa1** exécute la commande **sadc**. Ce script prend deux options :
-**Important** - Pour les stations de travail, installez le client : **openssh-clients**. +
-</WRAP>+
  
-==Options de la commande==+^ Option ^ Description ^ 
 +| -t | L'interval entre les collectes | 
 +| -n | Nombre de collectes |
  
-Les options de la commande sont :+Le script **/usr/lib64/sa/sa2** exécute la commande **sar** et consigne les informations dans un fichier au format **/var/log/sa/sar<jj>**. 
  
-<file> +Pour pouvoir fonctionner correctement, ces scripts doivent être appelés par **cron**. 
-SYNOPSIS +
-     sshd [-46DdeiqTt] [-b bits] [-C connection_spec] [-f config_file] [-g login_grace_time] [-h host_key_file] [-k key_gen_time] [-o option] [-p port]  [-u len] +
-</file>+
  
-===Configuration=== +Modifiez le fichier **/etc/cron.d/sysstat** ainsi :
- +
-<WRAP center round important> +
-**Important** - La configuration doit s'effectuer dans la fenêtre de la VM sous VirtualBox. Les connexions en ssh doivent de faire à partir d'un terminal ou à partir de l'application putty. +
-</WRAP> +
- +
-==Serveur== +
- +
-La configuration du serveur s'effectue dans le fichier **/etc/ssh/sshd_config** :+
  
 <code> <code>
-[root@centos7 ~]# cat /etc/ssh/sshd_config +[root@centos7 ~]# cat /etc/cron.d/sysstat 
-# $OpenBSD: sshd_config,v 1.93 2014/01/10 05:59:19 djm Exp $ +Run system activity accounting tool every 10 minutes 
- +*/10 * * * * root /usr/lib64/sa/sa1 1 1 
-This is the sshd server system-wide configuration file.  See +*/2 * * * * root /usr/lib64/sa/sa1 1 
-sshd_config(5) for more information. +0 * * * * root /usr/lib64/sa/sa1 600 6 & 
- +Generate a daily summary of process accounting at 23:53 
-# This sshd was compiled with PATH=/usr/local/bin:/usr/bin +53 23 * * * root /usr/lib64/sa/sa2 -A
- +
-# The strategy used for options in the default sshd_config shipped with +
-# OpenSSH is to specify options with their default value where +
-# possible, but leave them commented.  Uncommented options override the +
-# default value. +
- +
-# If you want to change the port on a SELinux system, you have to tell +
-# SELinux about this change. +
-# semanage port -a -t ssh_port_t -p tcp #PORTNUMBER +
-+
-#Port 22 +
-#AddressFamily any +
-#ListenAddress 0.0.0.0 +
-#ListenAddress :: +
- +
-# The default requires explicit activation of protocol 1 +
-#Protocol 2 +
- +
-# HostKey for protocol version +
-#HostKey /etc/ssh/ssh_host_key +
-# HostKeys for protocol version 2 +
-HostKey /etc/ssh/ssh_host_rsa_key +
-#HostKey /etc/ssh/ssh_host_dsa_key +
-HostKey /etc/ssh/ssh_host_ecdsa_key +
-HostKey /etc/ssh/ssh_host_ed25519_key +
- +
-# Lifetime and size of ephemeral version server key +
-#KeyRegenerationInterval 1h +
-#ServerKeyBits 1024 +
- +
-# Ciphers and keying +
-#RekeyLimit default none +
- +
-# Logging +
-# obsoletes QuietMode and FascistLogging +
-#SyslogFacility AUTH +
-SyslogFacility AUTHPRIV +
-#LogLevel INFO +
- +
-# Authentication: +
- +
-#LoginGraceTime 2m +
-#PermitRootLogin yes +
-#StrictModes yes +
-#MaxAuthTries 6 +
-#MaxSessions 10 +
- +
-#RSAAuthentication yes +
-#PubkeyAuthentication yes +
- +
-# The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2 +
-# but this is overridden so installations will only check .ssh/authorized_keys +
-AuthorizedKeysFile .ssh/authorized_keys +
- +
-#AuthorizedPrincipalsFile none +
- +
-#AuthorizedKeysCommand none +
-#AuthorizedKeysCommandUser nobody +
- +
-# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts +
-#RhostsRSAAuthentication no +
-# similar for protocol version 2 +
-#HostbasedAuthentication no +
-# Change to yes if you don't trust ~/.ssh/known_hosts for +
-# RhostsRSAAuthentication and HostbasedAuthentication +
-#IgnoreUserKnownHosts no +
-# Don't read the user's ~/.rhosts and ~/.shosts files +
-#IgnoreRhosts yes +
- +
-# To disable tunneled clear text passwords, change to no here! +
-#PasswordAuthentication yes +
-#PermitEmptyPasswords no +
-PasswordAuthentication yes +
- +
-# Change to no to disable s/key passwords +
-#ChallengeResponseAuthentication yes +
-ChallengeResponseAuthentication no +
- +
-# Kerberos options +
-#KerberosAuthentication no +
-#KerberosOrLocalPasswd yes +
-#KerberosTicketCleanup yes +
-#KerberosGetAFSToken no +
-#KerberosUseKuserok yes +
- +
-# GSSAPI options +
-GSSAPIAuthentication yes +
-GSSAPICleanupCredentials no +
-#GSSAPIStrictAcceptorCheck yes +
-#GSSAPIKeyExchange no +
-#GSSAPIEnablek5users no +
- +
-# Set this to 'yes' to enable PAM authentication, account processing, +
-# and session processing. If this is enabled, PAM authentication will +
-# be allowed through the ChallengeResponseAuthentication and +
-# PasswordAuthentication.  Depending on your PAM configuration, +
-# PAM authentication via ChallengeResponseAuthentication may bypass +
-# the setting of "PermitRootLogin without-password"+
-# If you just want the PAM account and session checks to run without +
-# PAM authentication, then enable this but set PasswordAuthentication +
-# and ChallengeResponseAuthentication to 'no'+
-# WARNING'UsePAM no' is not supported in Red Hat Enterprise Linux and may cause several +
-# problems. +
-UsePAM yes +
- +
-#AllowAgentForwarding yes +
-#AllowTcpForwarding yes +
-#GatewayPorts no +
-X11Forwarding yes +
-#X11DisplayOffset 10 +
-#X11UseLocalhost yes +
-#PermitTTY yes +
-#PrintMotd yes +
-#PrintLastLog yes +
-#TCPKeepAlive yes +
-#UseLogin no +
-UsePrivilegeSeparation sandbox # Default for new installations. +
-#PermitUserEnvironment no +
-#Compression delayed +
-#ClientAliveInterval 0 +
-#ClientAliveCountMax 3 +
-#ShowPatchLevel no +
-#UseDNS yes +
-#PidFile /var/run/sshd.pid +
-#MaxStartups 10:30:100 +
-#PermitTunnel no +
-#ChrootDirectory none +
-#VersionAddendum none +
- +
-# no default banner path +
-#Banner none +
- +
-# Accept locale-related environment variables +
-AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES +
-AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT +
-AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE +
-AcceptEnv XMODIFIERS +
- +
-# override default of no subsystems +
-Subsystem sftp /usr/libexec/openssh/sftp-server +
- +
-# Example of overriding settings on a per-user basis +
-#Match User anoncvs +
-# X11Forwarding no +
-# AllowTcpForwarding no +
-# PermitTTY no +
-# ForceCommand cvs server+
 </code> </code>
  
-Pour ôter les lignes de commentaires dans ce fichier, utilisez la commande suivante :+Attendez deux minutes puis saisissez les commandes suivantes :
  
 <code> <code>
-[root@centos7 ~]# cd /tmp ; grep -E -v '^(#|$)'  /etc/ssh/sshd_config > sshd_config +[root@centos7 ~]# sar 
-[root@centos7 tmp]# cat sshd_config +Linux 3.10.0-229.4.2.el7.x86_64 (centos7.fenestros.loc)  11/02/2015 _x86_64_ (1 CPU)
-HostKey /etc/ssh/ssh_host_rsa_key +
-HostKey /etc/ssh/ssh_host_ecdsa_key +
-HostKey /etc/ssh/ssh_host_ed25519_key +
-SyslogFacility AUTHPRIV +
-AuthorizedKeysFile .ssh/authorized_keys +
-PasswordAuthentication yes +
-ChallengeResponseAuthentication no +
-GSSAPIAuthentication yes +
-GSSAPICleanupCredentials no +
-UsePAM yes +
-X11Forwarding yes +
-UsePrivilegeSeparation sandbox # Default for new installations. +
-AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES +
-AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT +
-AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE +
-AcceptEnv XMODIFIERS +
-Subsystem sftp /usr/libexec/openssh/sftp-server +
-</code>+
  
-Pour sécuriser le serveur ssh, ajoutez ou modifiez les directives suivantes +02:20:02 PM     CPU     %user     %nice   %system   %iowait    %steal     %idle 
- +02:30:01 PM     all     12.95      0.01      3.36      0.01      0.00     83.67 
-<file> +02:40:01 PM     all     27.64      0.50      7.84      0.06      0.00     63.96 
-AllowGroups adm +02:50:01 PM     all     11.56      2.46      4.59      1.18      0.00     80.21 
-Banner /etc/issue.net +03:00:01 PM     all      0.45      0.01      0.64      0.03      0.00     98.88 
-HostbasedAuthentication no +03:10:01 PM     all      0.38      0.01      0.61      0.01      0.00     98.98 
-IgnoreRhosts yes +03:20:01 PM     all     25.80      0.02      6.68      0.85      0.00     66.66 
-LoginGraceTime 60 +03:28:02 PM     all     21.59      0.06      6.84      0.21      0.00     71.31 
-LogLevel INFO +03:30:01 PM     all     22.88      0.01      5.76      0.00      0.00     71.35 
-PermitEmptyPasswords no +03:32:01 PM     all     11.34      0.01      2.99      0.11      0.00     85.55 
-PermitRootLogin no +Average:        all     13.21      0.41      4.01      0.30      0.00     82.06
-PrintLastLog yes +
-Protocol 2 +
-StrictModes yes +
-X11Forwarding no +
-</file> +
- +
-Votre fichier ressemblera à celui-ci : +
- +
-<file> +
-AllowGroups adm +
-Banner /etc/issue.net +
-HostbasedAuthentication no +
-IgnoreRhosts yes +
-LoginGraceTime 60 +
-LogLevel INFO +
-PermitEmptyPasswords no +
-PermitRootLogin no +
-PrintLastLog yes +
-Protocol 2 +
-StrictModes yes +
-X11Forwarding no +
-HostKey /etc/ssh/ssh_host_rsa_key +
-HostKey /etc/ssh/ssh_host_ecdsa_key +
-HostKey /etc/ssh/ssh_host_ed25519_key +
-SyslogFacility AUTHPRIV +
-AuthorizedKeysFile .ssh/authorized_keys +
-PasswordAuthentication yes +
-ChallengeResponseAuthentication no +
-GSSAPIAuthentication yes +
-GSSAPICleanupCredentials no +
-UsePAM yes +
-UsePrivilegeSeparation sandbox # Default for new installations. +
-AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES +
-AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT +
-AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE +
-AcceptEnv XMODIFIERS +
-Subsystem sftp /usr/libexec/openssh/sftp-server +
-</file> +
- +
-<WRAP center round todo> +
-**A Faire** - Renommez le fichier **/etc/ssh/sshd_config** en **/etc/ssh/sshd_config.old** puis copiez le fichier **/tmp/sshd_config** vers **/etc/ssh/**Redémarrez ensuite le service sshdN'oubliez pas de mettre l'utilisateur **trainee** dans le groupe **adm** ! +
-</WRAP> +
- +
-Pour générer les clefs sur le serveur saisissez la commande suivante en tant que **root**: +
- +
-Lors de la génération des clefs, la passphrase doit être **vide**. +
- +
-<code> +
-[root@centos7 ~]# ssh-keygen -t dsa +
-Generating public/private dsa key pair. +
-Enter file in which to save the key (/root/.ssh/id_dsa): /etc/ssh/ssh_host_dsa_key +
-Enter passphrase (empty for no passphrase) +
-Enter same passphrase again +
-Your identification has been saved in /etc/ssh/ssh_host_dsa_key. +
-Your public key has been saved in /etc/ssh/ssh_host_dsa_key.pub+
-The key fingerprint is+
-d5:54:d3:30:1c:f5:da:f8:21:15:1f:c8:6c:3b:b1:ff root@centos7.fenestros.loc +
-The key's randomart image is: +
-+--[ DSA 1024]----+ +
-|            +oBB.+
-|           o *.o*| +
-|          o +.o| +
-|           +.+ | +
-       S    .=..+
-|              .o.+
-|                o| +
-|                E| +
-|                 | +
-+-----------------++
 </code> </code>
- 
-<WRAP center round important> 
-Le chemin à indiquer pour le fichier est **/etc/ssh/ssh_host_dsa_key**. De la même façon, il est possible de générer les clefs au format **[[https://fr.wikipedia.org/wiki/Chiffrement_RSA|RSA]]**, **[[https://fr.wikipedia.org/wiki/Elliptic_curve_digital_signature_algorithm|ECDSA]]** et **[[https://fr.wikipedia.org/wiki/EdDSA|ED25519]]**.  
-</WRAP> 
- 
-Les clefs publiques générées possèdent l'extension **.pub**. Les clefs privées n'ont pas d'extension : 
  
 <code> <code>
-[root@centos7 ~]# ls /etc/ssh +[root@centos7 ~]# sar -u 5 3 
-moduli      sshd_config       ssh_host_dsa_key.pub  ssh_host_ecdsa_key.pub  ssh_host_ed25519_key.pub  ssh_host_rsa_key.pub +Linux 3.10.0-229.4.2.el7.x86_64 (centos7.fenestros.loc) 11/02/2015 _x86_64_ (1 CPU)
-ssh_config  ssh_host_dsa_key  ssh_host_ecdsa_key    ssh_host_ed25519_key    ssh_host_rsa_key +
-</code>+
  
-Re-démarrez ensuite le service sshd +03:34:01 PM     CPU     %user     %nice   %system   %iowait    %steal     %idle 
- +03:34:06 PM     all     29.73      0.00     14.19      0.00      0.00     56.08 
-<code> +03:34:11 PM     all     17.62      0.00      4.40      0.00      0.00     77.98 
-[root@centos7 ~]# systemctl restart sshd.service+03:34:16 PM     all      4.75      0.00      1.30      0.00      0.00     93.95 
 +Average:        all     15.55      0.00      5.68      0.00      0.00     78.78
 </code> </code>
- 
-Saisissez maintenant les commandes suivantes en tant que **trainee** : 
- 
-<WRAP center round important> 
-Lors de la génération des clefs, la passphrase doit être **vide**. 
-</WRAP> 
  
 <code> <code>
-[trainee@centos7 ~]$ ssh-keygen -t dsa +[root@centos7 ~]# sar -r 5 3 
-Generating public/private dsa key pair. +Linux 3.10.0-229.4.2.el7.x86_64 (centos7.fenestros.loc)  11/02/2015 _x86_64_ (1 CPU)
-Enter file in which to save the key (/home/trainee/.ssh/id_dsa):  +
-Created directory '/home/trainee/.ssh'+
-Enter passphrase (empty for no passphrase):  +
-Enter same passphrase again:  +
-Your identification has been saved in /home/trainee/.ssh/id_dsa. +
-Your public key has been saved in /home/trainee/.ssh/id_dsa.pub. +
-The key fingerprint is: +
-97:92:85:d1:ae:97:f7:64:d2:54:45:89:eb:57:b1:66 trainee@centos7.fenestros.loc +
-The key's randomart image is: +
-+--[ DSA 1024]----+ +
-|        ..    ..=| +
-|         o.  . o.| +
-|        ...   ..o| +
-|         o.. ..E.| +
-|        S.o..oo .| +
-|        .oo o.+. | +
-|         . . =.  | +
-|              .  | +
-|                 | +
-+-----------------+ +
-[trainee@centos7 ~]$ ssh-keygen -t rsa +
-Generating public/private rsa key pair. +
-Enter file in which to save the key (/home/trainee/.ssh/id_rsa):  +
-Enter passphrase (empty for no passphrase):  +
-Enter same passphrase again:  +
-Your identification has been saved in /home/trainee/.ssh/id_rsa. +
-Your public key has been saved in /home/trainee/.ssh/id_rsa.pub. +
-The key fingerprint is: +
-80:4c:5a:bf:d0:2f:d1:a1:34:7c:09:a1:9c:0d:ed:2d trainee@centos7.fenestros.loc +
-The key's randomart image is: +
-+--[ RSA 2048]----+ +
-|    +o=o..       | +
-|   * Xo+o.       | +
-|  . B.Bo.        | +
-|     .E=.        | +
-|      o.S        | +
-|               | +
-|                 | +
-|                 | +
-|                 | +
-+-----------------+ +
-[trainee@centos7 ~]$ ssh-keygen -t ecdsa +
-Generating public/private ecdsa key pair. +
-Enter file in which to save the key (/home/trainee/.ssh/id_ecdsa):  +
-Enter passphrase (empty for no passphrase):  +
-Enter same passphrase again:  +
-Your identification has been saved in /home/trainee/.ssh/id_ecdsa. +
-Your public key has been saved in /home/trainee/.ssh/id_ecdsa.pub. +
-The key fingerprint is: +
-41:5d:64:cf:d6:4a:ce:8e:a9:a8:4a:62:04:57:09:fc trainee@centos7.fenestros.loc +
-The key's randomart image is: +
-+--[ECDSA  256]---+ +
-| .....  .. o+    | +
-|  ...  .  .. o . | +
-|. ..    .     = .| +
-| o  E    .   = . | +
-|  .         +
-| .             | +
-|  o .       o .  | +
-| . o     . .     | +
-|    ..... .      | +
-+-----------------+ +
-[trainee@centos7 ~]$ ssh-keygen -t ed25519 +
-Generating public/private ed25519 key pair. +
-Enter file in which to save the key (/home/trainee/.ssh/id_ed25519):  +
-Enter passphrase (empty for no passphrase):  +
-Enter same passphrase again:  +
-Your identification has been saved in /home/trainee/.ssh/id_ed25519. +
-Your public key has been saved in /home/trainee/.ssh/id_ed25519.pub. +
-The key fingerprint is: +
-66:3a:83:d1:6d:79:46:48:88:7c:d9:65:59:bb:e6:d0 trainee@centos7.fenestros.loc +
-The key's randomart image is: +
-+--[ED25519  256--+ +
-|   . . +..oo.    | +
-|    o +..o.  .   | +
-|      . . .    | +
-|     . . o . .   | +
-|    . . S + E    | +
-|     o = o +     | +
-|    . +        | +
-|               | +
-|                 | +
-+-----------------+ +
-</code>+
  
-<WRAP center round important> +03:34:48 PM kbmemfree kbmemused  %memused kbbuffers  kbcached  kbcommit   %commit  kbactive   kbinact   kbdirty 
-Les clés générées seront placées dans le répertoire **~/.ssh/**. +03:34:53 PM    137708   1653916     92.31        20    561940   2950052     60.66    776232    539396        12 
-</WRAP> +03:34:58 PM    130988   1660636     92.69        20    566552   3000196     61.69    779820    542436        20 
- +03:35:03 PM    131360   1660264     92.67        20    566584   2999016     61.66    779288    542472        48 
-==Utilisation== +Average      133352   1658272     92.56        20    565025   2983088     61.33    778447    541435        27
- +
-La commande ssh prend la forme suivante: +
- +
-  ssh -l nom_de_compte numero_ip (nom_de_machine) +
- +
-En saisissant cette commande sur votre propre machine, vous obtiendrez un résultat similaire à celle-ci : +
- +
-<code> +
-[trainee@centos7 ~]$ su - +
-Mot de passe :  +
-Dernière connexion lundi  9 mai 2016 à 22:47:48 CEST sur pts/0 +
- +
-[root@centos7 ~]# ssh -l trainee localhost +
-The authenticity of host 'localhost (127.0.0.1)' can't be established+
-ECDSA key fingerprint is 19:cd:05:58:af:2c:10:82:52:ba:e3:31:df:bd:72:54+
-Are you sure you want to continue connecting (yes/no)? yes +
-WarningPermanently added 'localhost' (ECDSA) to the list of known hosts. +
-trainee@localhost's password: trainee +
-Last login: Mon May  9 23:25:15 2016 from localhost.localdomain+
 </code> </code>
- 
-===Tunnels SSH=== 
- 
-Le protocole SSH peut être utilisé pour sécuriser les protocoles tels telnet, pop3 etc.. En effet, on peut créer un //tunnel// SSH dans lequel passe les communications du protocole non-sécurisé. 
- 
-La commande pour créer un tunnel ssh prend la forme suivante : 
- 
-  ssh -N -f compte@hôte -Lport-local:localhost:port_distant 
- 
-Dans votre cas, vous allez créer un tunnel dans votre propre vm entre le port 15023 et le port 23 : 
  
 <code> <code>
-[root@centos7 ~]# ssh --f trainee@localhost -L15023:localhost:23 +[root@centos7 ~]# sar -w 5 3 
-trainee@localhost's password:  +Linux 3.10.0-229.4.2.el7.x86_64 (centos7.fenestros.loc) 11/02/2015 _x86_64_ (1 CPU)
-</code>+
  
-Installez maintenant le client et le serveur telnet +03:35:51 PM    proc/  cswch/s 
- +03:35:56 PM      0.00    608.04 
-<code> +03:36:01 PM      1.06    531.75 
-[root@centos7 ~]# yum install telnet telnet-server+03:36:06 PM     25.94   1226.28 
 +Average:         8.36    767.19
 </code> </code>
- 
-Telnet n'est ni démarré ni activé. Il convient donc de le démarrer et de l'activer : 
  
 <code> <code>
-[root@centos7 ~]# systemctl status telnet.socket +[root@centos7 ~]# sar -b 5 3 
-● telnet.socket Telnet Server Activation Socket +Linux 3.10.0-229.4.2.el7.x86_64 (centos7.fenestros.loc) 11/02/2015 _x86_64_ (1 CPU)
-   Loaded: loaded (/usr/lib/systemd/system/telnet.socket; disabled; vendor preset: disabled) +
-   Active: inactive (dead) +
-     Docs: man:telnetd(8) +
-   Listen: [::]:23 (Stream) +
- Accepted: 0; Connected: 0+
  
-[root@centos7 ~]# systemctl start telnet.socket +03:36:09 PM       tps      rtps      wtps   bread/  bwrtn/s 
- +03:36:14 PM      0.00      0.00      0.00      0.00      0.00 
-[root@centos7 ~]# systemctl status telnet.socket +03:36:19 PM      0.00      0.00      0.00      0.00      0.00 
-● telnet.socket - Telnet Server Activation Socket +03:36:24 PM      2.32      0.00      2.32      0.00     31.79 
-   Loadedloaded (/usr/lib/systemd/system/telnet.socket; disabled; vendor presetdisabled) +Average        0.89      0.00      0.89      0.00     12.25
-   Active: active (listening) since Mon 2016-05-09 23:40:13 CEST; 3s ago +
-     Docs: man:telnetd(8) +
-   Listen: [::]:23 (Stream) +
- Accepted0; Connected: 0 +
- +
-May 09 23:40:13 centos7.fenestros.loc systemd[1]: Listening on Telnet Server Activation Socket+
-May 09 23:40:13 centos7.fenestros.loc systemd[1]: Starting Telnet Server Activation Socket. +
- +
-[root@centos7 ~]# systemctl enable telnet.socket +
-Created symlink from /etc/systemd/system/sockets.target.wants/telnet.socket to /usr/lib/systemd/system/telnet.socket+
-[root@centos7 ~]# systemctl status telnet.socket +
-● telnet.socket - Telnet Server Activation Socket +
-   Loadedloaded (/usr/lib/systemd/system/telnet.socket; enabled; vendor preset: disabled) +
-   Active: active (listening) since Mon 2016-05-09 23:40:13 CEST; 36s ago +
-     Docs: man:telnetd(8) +
-   Listen: [::]:23 (Stream) +
- Accepted: 0; Connected: 0 +
- +
-May 09 23:40:13 centos7.fenestros.loc systemd[1]: Listening on Telnet Server Activation Socket. +
-May 09 23:40:13 centos7.fenestros.loc systemd[1]: Starting Telnet Server Activation Socket.+
 </code> </code>
- 
-Connectez-vous ensuite via telnet sur le port 15023, vous constaterez que votre connexion n'aboutit pas : 
  
 <code> <code>
-[root@centos7 ~]# telnet localhost 15023 +[root@centos7 ~]# sar -d 5 3 
-Trying 127.0.0.1... +Linux 3.10.0-229.4.2.el7.x86_64 (centos7.fenestros.loc) 11/02/2015 _x86_64_ (1 CPU)
-Connected to localhost. +
-Escape character is '^]'.+
  
-Kernel 3.10.0-327.13.1.el7.x86_64 on an x86_64 +03:36:46 PM       DEV       tps  rd_sec/ wr_sec/ avgrq-sz  avgqu-sz     await     svctm     %util 
-centos7 logintrainee +03:36:51 PM   dev11-0      0.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00 
-Password +03:36:51 PM    dev8-0      0.31      0.00      2.45      8.00      0.00      0.00      0.00      0.00
-Last login: Mon May  9 23:26:32 from localhost.localdomain +
-[trainee@centos7 ~]$ +
  
-</code>+03:36:51 PM       DEV       tps  rd_sec/s  wr_sec/ avgrq-sz  avgqu-sz     await     svctm     %util 
 +03:36:56 PM   dev11-0      0.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00 
 +03:36:56 PM    dev8-0      4.31      0.00     55.38     12.86      0.04      9.36      1.93      0.83
  
-<WRAP center round important> +03:36:56 PM       DEV       tps  rd_sec/ wr_sec/ avgrq-sz  avgqu-sz     await     svctm     %util 
-Notez bien que votre communication telnet passe par le tunnel SSH+03:37:01 PM   dev11-0      0.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00 
-</WRAP>+03:37:01 PM    dev8-0      0.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00
  
-====SCP==== +Average         DEV       tps  rd_sec/s  wr_sec/s  avgrq-sz  avgqu-sz     await     svctm     %util 
- +Average     dev11-0      0.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00 
-===Introduction=== +Average      dev8-0      1.49      0.00     18.63     12.53      0.01      8.73      1.80      0.27
- +
-La commande **scp** est le successeur et la remplaçante de la commande **rcp** de la famille des commandes **remote**. Il permet de faire des transferts sécurisés à partir d'une machine distante : +
- +
-  $ scp compte@numero_ip(nom_de_machine):/chemin_distant/fichier_distant /chemin_local/fichier_local +
- +
-ou vers une machine distante : +
- +
-  $ scp /chemin_local/fichier_local compte@numero_ip(nom_de_machine):/chemin_distant/fichier_distant +
- +
-===Utilisation=== +
- +
-Nous allons maintenant utiliser **scp** pour chercher un fichier sur le <<serveur>> +
- +
-Créez le fichier **/home/trainee/scp_test** : +
- +
-<code> +
-[trainee@centos7 ~]$ pwd +
-/home/trainee +
-[trainee@centos7 ~]$ touch scp_test+
 </code> </code>
- 
-Récupérez le fichier **scp_test** en utilisant scp : 
  
 <code> <code>
-[trainee@centos7 ~]$ touch /home/trainee/scp_test +[root@centos7 ~]# sar -p 5 3 
-[trainee@centos7 ~]$ scp trainee@127.0.0.1:/home/trainee/scp_test /tmp/scp_test +Linux 3.10.0-229.4.2.el7.x86_64 (centos7.fenestros.loc 11/02/2015 _x86_64_ (1 CPU)
-The authenticity of host '127.0.0.(127.0.0.1)' can't be established. +
-ECDSA key fingerprint is 19:cd:05:58:af:2c:10:82:52:ba:e3:31:df:bd:72:54. +
-Are you sure you want to continue connecting (yes/no)? yes +
-Warning: Permanently added '127.0.0.1' (ECDSAto the list of known hosts. +
-trainee@127.0.0.1's password: trainee +
-scp_test                                                                                         100%    0     0.0KB/  00:00     +
-[trainee@centos7 ~]$ ls /tmp/scp_test  +
-/tmp/scp_test +
-</code>+
  
-==Mise en place des clefs== +03:37:16 PM     CPU     %user     %nice   %system   %iowait    %steal     %idle 
- +03:37:21 PM     all     38.30      0.00      7.31      0.00      0.00     54.39 
-Il convient maintenant de se connecter sur le <<serveur>> en utilisant ssh et vérifiez la présence du répertoire ~/.ssh : +03:37:26 PM     all     45.81      0.00      9.58      0.00      0.00     44.61 
- +03:37:31 PM     all     33.33      0.00      7.67      0.00      0.00     59.00 
-En saisissant cette commande, vous obtiendrez une fenêtre similaire à celle-ci +Average:        all     39.11      0.00      8.18      0.00      0.00     52.71
- +
-<code> +
-[trainee@centos7 ~]$ ssh -l trainee 127.0.0.1 +
-trainee@127.0.0.1's password:  +
-Last loginMon May  9 23:42:46 2016 from localhost.localdomain +
-[trainee@centos7 ~]$ ls -la | grep .ssh +
-drwx------ 2 trainee trainee 4096 May  9 23:25 .ssh +
-[trainee@centos7 ~]$ exit +
-logout +
-Connection to 127.0.0.1 closed.+
 </code> </code>
- 
-<WRAP center round important> 
-Si le dossier distant .ssh n'existe pas dans le répertoire personnel de l'utilisateur connecté, il faut le créer avec des permissions de 700. Dans votre cas, puisque votre machine joue le rôle de serveur **et** du client, le dossier /home/trainee/.ssh existe **déjà**. 
-</WRAP> 
- 
-Ensuite, il convient de transférer le fichier local **.ssh/id_ecdsa.pub** du <<client>> vers le <<serveur>> en le renommant en **authorized_keys** : 
  
 <code> <code>
-[trainee@centos7 ~]$ scp .ssh/id_ecdsa.pub trainee@127.0.0.1:/home/trainee/.ssh/authorized_keys +[root@centos7 ~]# sar -v 5 3 
-trainee@127.0.0.1's password: trainee +Linux 3.10.0-229.4.2.el7.x86_64 (centos7.fenestros.loc) 11/02/2015 _x86_64_ (1 CPU)
-id_ecdsa.pub                                                                                     100%  227     0.2KB/s   00:00  +
-</code>+
  
-Connectez-vous via telnet et insérer les clefs publiques restantes dans le fichier .ssh/authorized_keys : +03:38:44 PM dentunusd   file-nr  inode-nr    pty-nr 
- +03:38:49 PM    136266      5792    122548         2 
-<code> +03:38:54 PM    136266      5792    122548         2 
-root@centos7 ~]# ssh -l trainee localhost +03:38:59 PM    136266      5792    122548         2 
-trainee@localhost's passwordtrainee +Average:       136266      5792    122548         2
-Last loginTue May 10 01:39:33 2016 from localhost.localdomain +
-[trainee@centos7 ~]$ cat .ssh/id_rsa.pub >> .ssh/authorized_keys  +
-[trainee@centos7 ~]$ cat .ssh/id_dsa.pub >> .ssh/authorized_keys  +
-[trainee@centos7 ~]$ cat .ssh/id_ed25519.pub >> .ssh/authorized_keys  +
-[trainee@centos7 ~]$ cat .ssh/authorized_keys  +
-ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBG5BtOMFLrUbxD//RLELvkkA06CQvXuJqKSjSB2dlUXgaPyEJXuwHO0pxcdbrg4qqb0f9sE75oMVowXxYgqhWDE= trainee@centos7.fenestros.loc +
-ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC9KOuEH5+kyihhm99Na8UTA4Gi5AfiOVeJyS3UzH7ta73ewmv7JZqaXzar1NlHcpEMkCUs2yKxHyO/yAfjbCSdow5vfwJiuJTes+HbpvsJqKp1+OR7tf+OMgjDcajoGi7DYuybIs9QrbWgh57QclbldHQXRO+xbeUTykxcRun7AvR5uWZe4zMooBAmVVEms+l1rn8CUi+D811jqQGSpU39PxkojTAwgbxlevT/Twy4sfeRR47UHc3AbrHb8SgyKqbx5/S9UxkbkhJjckx0s58fnAwf9nX5rKE7RdCQisRvdLeLHozq3EOomvc7kzejefBtUDWxBEjnSeAgIP3+OEQl trainee@centos7.fenestros.loc +
-ssh-dss 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 trainee@centos7.fenestros.loc +
-ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIENas3A3hmXFj1cb+lrn2NAt6g95Pla6qUFQHd1wg2y1 trainee@centos7.fenestros.loc +
-ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBG5BtOMFLrUbxD//RLELvkkA06CQvXuJqKSjSB2dlUXgaPyEJXuwHO0pxcdbrg4qqb0f9sE75oMVowXxYgqhWDE= trainee@centos7.fenestros.loc+
 </code> </code>
  
-Lors de la connexion suivante au serveur, l'authentification utilise le couple de clefs asymétrique et aucun mot de passe n'est requis :+Les options de cette commande sont :
  
 <code> <code>
-[trainee@centos7 ~]$ ssh -l trainee localhost +[root@centos7 ~]# sar --help 
-Last loginTue May 10 01:50:39 2016 from localhost.localdomain +Usagesar [ options ] [ <interval> [ <count> ] ] 
-[trainee@centos7 ~]$ exit +Options are
-déconnexion +-A ] [ -B ] [ -b ] [ -C ] [ -d ] [ -H ] [ -h ] [ -p ] [ -q ] [ -R 
-Connection to localhost closed.+[ -r ] [ -S ] [ -t ] [ -u [ ALL ] ] [ -V ] [ -v ] [ -W ] [ -w ] [ -y ] 
 +[ -I { <int> [,...] | SUM | ALL | XALL } ] [ -P { <cpu> [,...] | ALL } ] 
 +[ -m { <keyword> [,...] | ALL } ] [ -n { <keyword> [,...] | ALL } ] 
 +[ -j { ID | LABEL | PATH | UUID | ... } ] 
 +[ -f [ <filename> ] | -o [ <filename> ] | -[0-9]+ ] 
 +[ -i <interval> ] [ -s [ <hh:mm:ss> ] ] [ -e [ <hh:mm:ss> ] ]
 </code> </code>
  
-<WRAP center round important> +===Utilisation des commandes en production===
-Le fichier **authorized_keys** doit avoir les permissions de 600. +
-</WRAP>+
  
-=====Gestion du Serveur NFS=====+==Identifier un système limité par le processeur==
  
-====Présentation====+Dans ce cas utilisez les commandes suivantes :
  
-Quand on parle de NFS, on parle d'**exportation** d'un répertoire sur le serveur afin que celui-ci puisse être vu par des clients sur le réseau. Ces clients peuvent ensuite monter le répertoire et l'utiliser comme si celui-ci faisait partie de son propre filesystem.+  uptime ou w 
 +  vmstat 
 +  mpstat -P ALL 
 +  sar -
 +  * iostat -c
  
-Le Network File System (NFS) est le protocole de partage de fichiers historique sur des systèmes Unix. Lors de l'introduction de Samba, NFS a vu sa popularité diminuée, essentiellement parce que la connexion est non-sécurisée :+==Identifier un système ayant un problème de mémoire==
  
-  * le partage ainsi que ses caractéristiques sont configurés par rapport à l'adresse IP du client, or l'IP Spoofing est de plus en plus répandu, +Dans ce cas utilisez les commandes suivantes :
-  * aucun mot de passe n'est demandé lors de la connexion d'un utilisateur à une ressource car le serveur NFS présume que l'utilisateur //jean// distant est le même utilisateur du compte //jean// sur le serveur NFS.+
  
-Cependant l'arrivée sur le marché de serveurs NAS domestiques ainsi que l'utilisation de la virtualisation dans le milieu professionnel fait que NFS connait un regain d'intérêt en tant que stockage mutualisé raid, simple à mettre en œuvre.+  * free 
 +  * sar -B
  
-Il existe actuellement 3 versions de NFS : 
  
-^ Version ^ Protocole Utilisé ^ Dépendance ^ +==Identifier un système ayant un problème d'E/S==
-| **NFSv2** | TCP et UDP | portmap | +
-| **NFSv3** | TCP et UDP | portmap | +
-| **NFSv4** | TCP | Aucune - les fonctions de portmap sont incluses dans NFSv4 |+
  
-La version utilisée par défaut sous CentOS/Redhat est **NFSv3**.+Utilisez la commande :
  
-===Les Services et Processus du Serveur NFSv3===+  * iostat -d -x
  
-La version NFSv3 utilise les services suivants : 
  
-^ Services ^ Fonction ^ +=====Modules usb=====
-| **nfs** | Démarre le service NFS ainsi que les processus RPC pour recevoir et traiter les demandes des clients | +
-| **nfslock** | Démarre les processus RPC qui permettent aux clients de verrouiller les fichiers sur le serveur +
-| **portmap** | Gestion des réservations des ports pour les services RPC locaux afin que les services RPC distants puissent se connecter |+
  
-==Les Services RPC==+L'**USB** (//Universal Serial Bus//) est un bus de données qui peut offrir des taux de transfert jusqu'à 480Mb/s sous la version 2.0 et jusqu'à 4.8 Gb/s sous la version 3.0. Les modules nécessaires pour les contrôleurs USB sont :
  
-Les services RPC ( //Remote Procedure Calls// ou appel de procédures distantes ) ont été inventé par SUN Microsystem pour faciliter le travail des développeurs  de pous des échanges entre mchines distantesLes RPC s'appuient sur des numéros de programmes.+^ Version USB ^ Module ^ Nom Complet ^ 
 +|  1.0\1.1  | **UHCI** | //Universal Controller Host Interface// 
 + :::  | **OHCI** | //Open Controller Host Interface// | 
 +|  2.0  | **EHCI** | //Enhanced Host Controller Interface// | 
 +|  3.0  | **XHCI** | //Extensible Host Controller Interface// |
  
-Lorsque le client veut faire une requête à un service RPC, il contacte en premier lieu le service **rpcbind** qui assigne un numéro de port au délà du numéro **32768** à un numéro de programme RPC.+Le tableau suivant liste les modules courrament chargés en fonction du périphérique utilisé :
  
-===Options d'un Partage NFS===+^ Module ^ Type de Périphérique ^  
 +|  **usb_storage**  | Supports de masse | 
 +|  **usbhid**  | Periphériques HID (//Human Interface Device//) | 
 +|  **snd-usb-audio**  | Cartes son usb | 
 +|  **usbvidéo**  | Cartes vidéo et d'acquisition | 
 +|  **irda-usb**  | Périphériques infrarouges | 
 +|  **usbnet**  | Cartes réseaux usb |
  
-Certaines options, appliquées à un partage, modifient le comportement du serveur NFS pour le partage concerné lors de son démarrage :+Les modules peuvent être chargés par un des moyens suivants :
  
-^ Option ^ Comportement ^ +  INITrd, 
-**ro** | Accès en lecture seule | +  Le processus init, 
-**rw** | Accès en lecture / écriture | +  kmod, d'une manière dynamique et transparente lors du branchement du périphérique, en utilisant le fichier **/lib/modules/2.6.18-194.3.1.el5/modules.usbmap**, 
-**sync** | Ecriture synchrone ( écriture immédiate sur disque ) | +  udev, 
-| **async** | Ecriture asynchrone ( écriture sur disque en utilisant une cache ) | +  manuellement.
-| **root_squash** | Root perd ses prérogatives sur le partage concerné | +
-**no_root_squash** | Root garde ses prérogatives sur le partage concerné | +
-**no_lock** | Pas de verrous sur les fichiers accédés | +
-**all_squash** | Force la mapping de tous les utilisateurs vers l'utilisateur **nobody** | +
-| **anonuid** | Fixe l'UID de l'utilisateur anonyme | +
-| **anongid** | Fixe le GID de l'utilisateur anonyme |+
  
-<WRAP center round important+<WRAP center round todo
-**Important** : Si plusieurs options sont spécifiéescelles-ci doivent être séparées par des virgules.+**A faire** : Branchez une clef USB avant de continuer. Si vous utilisez %%VirtualBox%%activez la clef dans votre machine virtuelle grâce aux menus **Périphériques > Périphériques USB > le_nom_de_votre_clef**.
 </WRAP> </WRAP>
  
-===Commandes de Base===+=====udev=====
  
-Plusieurs commandes permettent de gérer et de s'informer sur l'activité du serveur NFS :+Depuis le noyau Linux 2.6 Linux est capable de détecter des périphériques branchés à chaud. Cette technologie s'appelle le **//hotplugging//**. Le //hotplugging// est obtenu grâce à l'utilisation de trois composants :
  
-^ Commande ^ Comportement ^ +  Udev, 
-**exportfs** | Affiche les partages actifs sur le serveur courant | +  HAL, 
-**nfsstat** | Affiche les statistiques de l'activité NFS | +  Dbus.
-| **rpcinfo** | Affiche les démons gérés en effectuant une requête RPC sur le serveur courant | +
-| **showmount** | Affiche les partages actifs sur un serveur distant | +
-| **mount*| Permet de monter un partage distant sur un répertoire local |+
  
-====Mise en Place====+Les rôles de chaque composant sont les suivants :
  
-===Configuration du Serveur===+  * Udev se charge de créer et supprimer d'une manière dynamique les nœuds dans le répertoire **/dev**, 
 +  * HAL obtient des informations à partir d'Udev et créé un fichier au format XML représentant le périphérique branché. Il informe ensuite Nautilus en utilisant le Dbus, 
 +  * Dbus joue le rôle d'un bus système qui est utilisé pour la communication inter-processus.
  
-<WRAP center round important> +Lors de démarrage de LinuxUdev joue un rôle important :
-**Important** : Arrêtez votre VM. Dans la fenêtre de Oracle VM VirtualBoxcliquez sur **Fichier > Paramètres > Réseau** et créez un réseau NAT appelé **NatNetwork**. Dans les paramètres de votre VM, cliquez sur **Réseau** et configurez la Carte 1 en Réseau NAT dans le réseau NatNetwork. Démarrez votre VM. +
-</WRAP>+
  
-Configurez votre interface réseau si ce n'est pas déjà fait :+  * Au démarrage **tmpfs** est monté sur /dev, 
 +  * Udev copie les éventuels nœuds statiques de **/lib/udev/devices** vers /dev, 
 +  * le démon **udevd** collecte des données appelées **uevents** du noyau et cherche une règle correspondante dans le répertoire **/lib/udev/rules.d/**, 
 +  * Udev crée les nœuds et liens symboliques spécifiés dans la règle identifiée, 
 +  * Udev stocke les règles contenues dans **/lib/udev/rules.d/*.rules** en mémoire, 
 +  * En cas de modification des ces règles, Udev met à jour la mémoire.
  
-<code> +Udev repose sur le filesystem **sysfs** monté sur /sys qui permet de rendre les périphériques visibles à Udev dans l'//User Space//. Par exemple, lors du branchement d'une clé USB, Udev crée **/dev/sdb1** automatiquement et utilise les informations contenues dans le fichier **/lib/modules/`uname -r`/modules.alias** pour trouver le pilote nécessaire :
-[root@centos7 ~]# nmcli connection add con-name ip_fixe ifname enp0s3 type ethernet ip4 10.0.2.16/24 gw4 10.0.2.2 +
-Connection 'ip_fixe' (5ac899e6-3f7b-415e-b9d7-c950fab007d5) successfully added. +
-[root@centos7 ~]# nmcli connection mod ip_fixe ipv4.dns 8.8.8.8 +
-[root@centos7 ~]# nmcli connection up ip_fixe  +
-Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/1) +
-[root@centos7 ~]# systemctl restart NetworkManager.service +
-</code>+
  
-Ajoutez une autre adresse IP pour le NFS :+Le fichier de configuration principal d'Udev est **/etc/udev/udev.conf** :
  
 <code> <code>
-[root@centos7 ~]# nmcli connection mod ip_fixe +ipv4.addresses 192.168.1.2/24 +[root@centos7 ~]# cat /etc/udev/udev.conf 
-</code>+# see udev(7) for details
  
-Continuez maintenant par la mise en place du service **nfs** : +#udev_log="info"
- +
-<code> +
-[root@centos7 ~]systemctl status nfs.service +
-nfs-server.service - NFS server and services +
-   Loaded: loaded (/usr/lib/systemd/system/nfs-server.service; disabled) +
-   Active: inactive (dead) +
- +
-[root@centos7 ~]# systemctl enable nfs-server.service +
-ln -s '/usr/lib/systemd/system/nfs-server.service' '/etc/systemd/system/multi-user.target.wants/nfs-server.service' +
-[root@centos7 ~]# systemctl status nfs.service +
-nfs-server.service - NFS server and services +
-   Loaded: loaded (/usr/lib/systemd/system/nfs-server.service; enabled) +
-   Active: inactive (dead)+
 </code> </code>
  
-La mise en place d'un partage ponctuel se fait en utilisant la commande **exportfs** en indiquant en argument le répertoire sous la forme de //adresse_ip_du_serveur:chemin_du_partage// : +Les fichiers de règles se trouvent dans **/lib/udev/rules.d/** :
  
 <code> <code>
-[root@centos7 ~]# exportfs +[root@centos7 ~]# ls /lib/udev/rules.d/ 
-[root@centos7 ~]# exportfs 192.168.1.1:/home/trainee +10-dm.rules                       61-gnome-bluetooth-rfkill.rules  77-mm-ericsson-mbm.rules                  90-iprutils.rules 
-[root@centos7 ~]# exportfs +11-dm-lvm.rules                   62-multipath.rules               77-mm-huawei-net-port-types.rules         90-pulseaudio.rules 
-/home/trainee 192.168.1.1 +11-dm-mpath.rules                 63-md-raid-arrays.rules          77-mm-longcheer-port-types.rules          90-vconsole.rules 
-</code> +13-dm-disk.rules                  64-btrfs.rules                   77-mm-nokia-port-types.rules              91-drm-modeset.rules 
- +40-libgphoto2.rules               65-libwacom.rules                77-mm-pcmcia-device-blacklist.rules       95-cd-devices.rules 
-Démarrez maintenant le service **nfs** : +40-redhat.rules                   65-md-incremental.rules          77-mm-platform-serial-whitelist.rules     95-dm-notify.rules 
- +40-usb_modeswitch.rules           65-sane-backends.rules           77-mm-simtech-port-types.rules            95-udev-late.rules 
-<code> +42-usb-hid-pm.rules               69-cd-sensors.rules              77-mm-telit-port-types.rules              95-upower-battery-recall-dell.rules 
-[root@centos7 ~]# systemctl start nfs.service +50-rbd.rules                      69-dm-lvm-metad.rules            77-mm-usb-device-blacklist.rules          95-upower-battery-recall-fujitsu.rules 
-[root@centos7 ~]# systemctl status nfs.service +50-udev-default.rules             69-libmtp.rules                  77-mm-usb-serial-adapters-greylist.rules  95-upower-battery-recall-gateway.rules 
-nfs-server.service NFS server and services +56-hpmud.rules                    69-xorg-vmmouse.rules            77-mm-x22x-port-types.rules               95-upower-battery-recall-ibm.rules 
-   Loaded: loaded (/usr/lib/systemd/system/nfs-server.service; enabled) +60-alias-kmsg.rules               70-power-switch.rules            77-mm-zte-port-types.rules                95-upower-battery-recall-lenovo.rules 
-   Active: active (exited) since Thu 2015-10-01 13:18:13 CEST; 4s ago +60-cdrom_id.rules                 70-printers.rules                77-nm-olpc-mesh.rules                     95-upower-battery-recall-toshiba.rules 
-  Process: 9552 ExecStart=/usr/sbin/rpc.nfsd $RPCNFSDARGS (code=exited, status=0/SUCCESS) +60-fprint-autosuspend.rules       70-spice-vdagentd.rules          78-sound-card.rules                       95-upower-csr.rules 
-  Process: 9551 ExecStartPre=/usr/sbin/exportfs -r (code=exited, status=0/SUCCESS) +60-keyboard.rules                 70-touchpad-quirks.rules         80-drivers.rules                          95-upower-hid.rules 
- Main PID: 9552 (code=exited, status=0/SUCCESS) +60-net.rules                      70-uaccess.rules                 80-kvm.rules                              95-upower-wup.rules 
-   CGroup: /system.slice/nfs-server.service +60-persistent-alsa.rules          70-wacom.rules                   80-mm-candidate.rules                     97-bluetooth-serial.rules 
- +60-persistent-input.rules         71-biosdevname.rules             80-net-name-slot.rules                    98-kexec.rules 
-Oct 01 13:18:13 centos7.fenestros.loc systemd[1]: Starting NFS server and services... +60-persistent-serial.rules        71-seat.rules                    80-udisks2.rules                          98-rdma.rules 
-Oct 01 13:18:13 centos7.fenestros.loc systemd[1]: Started NFS server and services+60-persistent-storage.rules       73-idrac.rules                   81-kvm-rhel.rules                         99-qemu-guest-agent.rules 
-</code> +60-persistent-storage-tape.rules  73-seat-late.rules               85-regulatory.rules                       99-systemd.rules 
- +60-persistent-v4l.rules           75-net-description.rules         85-usbmuxd.rules 
-Afin de mettre en place un ou des partages **permanents**, il est nécessaire d'éditer le fichier **/etc/exports** : +60-raw.rules                      75-probe_mtd.rules               90-alsa-restore.rules 
- +61-accelerometer.rules            75-tty-description.rules         90-alsa-tools-firmware.rules
-<code> +
-/home/trainee 192.168.1.1 +
-/tmp *(fsid=0)+
 </code> </code>
  
 <WRAP center round important> <WRAP center round important>
-**Important** : Dans ce cas, nous avons partagé le répertoire **/home/trainee** pour la seule adresse IP 192.168.1.1.+**Important** : Il vous est possible d'ajouter des règles si besoin est. Dans ce cas, créez un fichier **99-local.rules** est éditez-le au lieu d'éditer les fichiers existants.
 </WRAP> </WRAP>
  
-Redémarrez maintenant le service nfs afin que le fichier **/etc/exports** soit re-lu :+Comme indique le nom de chaque fichier, le contenu est composé de règles à l'attention d'udev. Le fichier des règles par défaut est le **50-udev-default.rules** :
  
 <code> <code>
-[root@centos7 ~]# systemctl restart nfs.service +[root@centos7 ~]# cat /lib/udev/rules.d/50-udev-default.rules | more 
-[root@centos7 ~]# systemctl status nfs.service +# do not edit this fileit will be overwritten on update
-nfs-server.service - NFS server and services +
-   Loaded: loaded (/usr/lib/systemd/system/nfs-server.service; enabled) +
-   Active: active (exited) since Thu 2015-10-01 14:24:50 CEST; 18s ago +
-  Process: 4642 ExecStopPost=/usr/sbin/exportfs -f (code=exited, status=0/SUCCESS) +
-  Process: 4639 ExecStopPost=/usr/sbin/exportfs -au (code=exited, status=0/SUCCESS) +
-  Process: 4638 ExecStop=/usr/sbin/rpc.nfsd 0 (code=exited, status=0/SUCCESS) +
-  Process: 4650 ExecStart=/usr/sbin/rpc.nfsd $RPCNFSDARGS (code=exitedstatus=0/SUCCESS) +
-  Process: 4649 ExecStartPre=/usr/sbin/exportfs -r (code=exited, status=0/SUCCESS) +
- Main PID: 4650 (code=exited, status=0/SUCCESS) +
-   CGroup: /system.slice/nfs-server.service+
  
-Oct 01 14:24:50 centos7.fenestros.loc systemd[1]: Starting NFS server and services... +SUBSYSTEM=="virtio-ports", KERNEL=="vport*", ATTR{name}=="?*", SYMLINK+="virtio-ports/$attr{name}"
-Oct 01 14:24:50 centos7.fenestros.loc exportfs[4649]: exportfs: No options for /home/trainee 192.168.1.1: suggest 192.168.1.1(sync) to avoid warning +
-Oct 01 14:24:50 centos7.fenestros.loc exportfs[4649]: exportfs: No options for /tmp *: suggest *(sync) to avoid warning +
-Oct 01 14:24:50 centos7.fenestros.loc systemd[1]: Started NFS server and services. +
-</code>+
  
-Puisque aucune option ne soit spécifiée pour les montagesceux-ci ont été exportés avec des option par défaut. En utilisant l'option **-v** de la commande **exportfs**il est possible de consulter ces options :+# select "system RTC" or just use the first one 
 +SUBSYSTEM=="rtc"ATTR{hctosys}=="1"SYMLINK+="rtc" 
 +SUBSYSTEM=="rtc", KERNEL=="rtc0", SYMLINK+="rtc", OPTIONS+="link_priority=-100"
  
-<code> +SUBSYSTEM=="usb"ENV{DEVTYPE}=="usb_device"IMPORT{builtin}="usb_id"IMPORT{builtin}="hwdb --subsystem=usb" 
-[root@centos7 ~]# exportfs -v +SUBSYSTEM=="input"ENV{ID_INPUT}==""IMPORT{builtin}="input_id" 
-/home/trainee 192.168.1.1(ro,wdelay,root_squash,no_subtree_check,sec=sys,ro,secure,root_squash,no_all_squash) +ENV{MODALIAS}!="", IMPORT{builtin}="hwdb --subsystem=$env{SUBSYSTEM}"
-/tmp          <world>(ro,wdelay,root_squash,no_subtree_check,fsid=0,sec=sys,ro,secure,root_squash,no_all_squash) +
-</code>+
  
-===Configuration du Client===+ACTION!="add", GOTO="default_permissions_end"
  
-<WRAP center round important> +SUBSYSTEM=="tty", KERNEL=="ptmx", GROUP="tty", MODE="0666" 
-**Important** : Arrêtez votre VM. Créez une clône de votre VM. Démarrez la VM clonée. +SUBSYSTEM=="tty", KERNEL=="tty", GROUP="tty", MODE="0666" 
-</WRAP>+SUBSYSTEM=="tty", KERNEL=="tty[0-9]*", GROUP="tty", MODE="0620" 
 +SUBSYSTEM=="tty", KERNEL=="sclp_line[0-9]*", GROUP="tty", MODE="0620" 
 +SUBSYSTEM=="tty", KERNEL=="ttysclp[0-9]*", GROUP="tty", MODE="0620" 
 +SUBSYSTEM=="tty", KERNEL=="3270/tty[0-9]*", GROUP="tty", MODE="0620" 
 +SUBSYSTEM=="vc", KERNEL=="vcs*|vcsa*", GROUP="tty" 
 +KERNEL=="tty[A-Z]*[0-9]|pppox[0-9]*|ircomm[0-9]*|noz[0-9]*|rfcomm[0-9]*", GROUP="dialout"
  
-Re-configurez ensuite l'interface réseau de votre VM Client :+SUBSYSTEM=="mem", KERNEL=="mem|kmem|port", GROUP="kmem", MODE="0640"
  
-<code> +SUBSYSTEM=="input", KERNEL=="js[0-9]*", MODE="0664"
-[root@centos7 ~]# nmcli connection del ip_fixe+
  
-[root@centos7 ~]# nmcli connection show ip_fixe +SUBSYSTEM=="video4linux", GROUP="video" 
-Error: ip_fixe - no such connection profile. +SUBSYSTEM=="misc", KERNEL=="agpgart", GROUP="video" 
- +--More--
-[root@centos7 ~]# nmcli connection add con-name ip_fixe ifname enp0s3 type ethernet ip4 10.0.2.17/24 gw4 10.0.2.2 +
-Connection 'ip_fixe' (5b54ad20-c3e2-4606-b54d-38b225cc578f) successfully added. +
- +
-[root@centos7 ~]# nmcli connection mod ip_fixe ipv4.dns 8.8.8.8 +
- +
-[root@centos7 ~]# nmcli connection mod ip_fixe +ipv4.addresses 192.168.1.1/24 +
- +
-[root@centos7 ~]# nmcli connection up ip_fixe  +
-Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/1) +
- +
-[root@centos7 ~]# systemctl restart NetworkManager.service+
 </code> </code>
  
-<WRAP center round important > +Chaque règle prend la forme suivante :
-**Important** : Démarrez la VM d'origine. +
-</WRAP>+
  
-Dans la VM d'origine (serveur) passez SELinux en mode permissive et arrêtez le pare-feu :+KEY, [KEY, ...] NAME [, SYMLINK]
  
-<code> +Chaque KEY est un champ au format **type=valeur** qui doit correspondre à un périphérique uniqueLa valeur de type peut prendre plusieurs formes :
-[root@centos7 ~]# getenforce +
-Enforcing +
-[root@centos7 ~]# setenforce permissive +
-[root@centos7 ~]# systemctl status firewalld.service +
-firewalld.service - firewalld - dynamic firewall daemon +
-   Loadedloaded (/usr/lib/systemd/system/firewalld.service; enabled) +
-   Active: active (running) since Thu 2015-10-01 14:54:57 CEST; 19min ago +
- Main PID: 479 (firewalld) +
-   CGroup: /system.slice/firewalld.service +
-           └─479 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid+
  
-Oct 01 14:54:57 centos7.fenestros.loc systemd[1]: Started firewalld dynamic firewall daemon. +^ Type ^ Description ^ Exemples ^ 
-[root@centos7 ~]# systemctl stop firewalld.service +| BUS | Type de bus | usb, scsi, ide | 
-</code>+| KERNEL | Le nom par défault du périphérique donné par le noyau | hda, ttyUSB0, lp0 | 
 +| SUBSYSTEM | Le nom noyau du sous-système, généralement identique à la valeur du BUS | usb, scsi | 
 +| DRIVER | Le nom du pilote qui contrôle le périphérique | usb-storage | 
 +| ID | Le numéro du périphérique sur son bus | PCI bus id, USB id | 
 +| PLACE | Ne concerne que les périphériques USB et donne la position topologique du périphérique sur son bus | S/O | 
 +| SYSFS{filename} | Le nom du fichier dans /sys pour le périphériqueCe fichier contient le fabricant, le label, le numéro de série et UUID du périphérique. La vérification de jusqu'à 5 fichiers est possible par règle | S/O | 
 +| PROGRAM | Ceci permet à Udev d'appeler un programme externe pour nommer un périphérique | S/O | 
 +| RESULT | Valeur à comparer au résultat de PROGRAM | S/O |
  
-A partir de votre client, consultez les répertoire exportés du serveur :+NAME et SYMLINK sont utilisées pour stipuler ce que Udev doit faire avec le périphérique :
  
-<code> +^ Type ^ Description ^ Exemples ^ 
-[root@centos7 ~]# showmount --exports 192.168.1.2 +| NAME | Le nome du nœud dans /dev | S/O | 
-Export list for 192.168.1.2: +| SYMLINK | Le ou les lien(s) symbolique(s) qui pointe(nt) vers le NAME | S/O |
-/tmp          * +
-/home/trainee 192.168.1.1 +
-</code>+
  
-Créez maintenant le répertoire **/nfs** dans le client et montez le partage **192.168.1.2:/home/trainee** : +====La commande udevadm====
- +
-<code> +
-[root@centos7 ~]# mkdir /nfs +
-[root@centos7 ~]# mount -t nfs 192.168.1.2:/home/trainee /nfs +
-</code>+
  
-Notez que quand vous essayer de rentrer dans le répertoire en tant que root, vous obtenez le message **-bash: cd: /nfs: Permission non accordée** :+Pour obtenir de l'information sur un périphérique il convient d'utiliser la commande **udevadm** :
  
 <code> <code>
-[root@centos7 ~]# cd /nfs +[root@centos7 ~]# udevadm info --query=all -n /dev/sda 
--bashcd: /nfsPermission denied+P: /devices/pci0000:00/0000:00:0d.0/ata3/host2/target2:0:0/2:0:0:0/block/sda 
 +N: sda 
 +S: disk/by-id/ata-VBOX_HARDDISK_VBc40eec8a-49b6b6f3 
 +EDEVLINKS=/dev/disk/by-id/ata-VBOX_HARDDISK_VBc40eec8a-49b6b6f3 
 +EDEVNAME=/dev/sda 
 +E: DEVPATH=/devices/pci0000:00/0000:00:0d.0/ata3/host2/target2:0:0/2:0:0:0/block/sda 
 +E: DEVTYPE=disk 
 +E: ID_ATA=1 
 +E: ID_ATA_FEATURE_SET_PM=1 
 +E: ID_ATA_FEATURE_SET_PM_ENABLED=1 
 +E: ID_ATA_SATA=1 
 +E: ID_ATA_SATA_SIGNAL_RATE_GEN2=1 
 +E: ID_ATA_WRITE_CACHE=1 
 +E: ID_ATA_WRITE_CACHE_ENABLED=1 
 +E: ID_BUS=ata 
 +E: ID_MODEL=VBOX_HARDDISK 
 +E: ID_MODEL_ENC=VBOX\x20HARDDISK\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20 
 +E: ID_PART_TABLE_TYPE=dos 
 +E: ID_REVISION=1.0 
 +E: ID_SERIAL=VBOX_HARDDISK_VBc40eec8a-49b6b6f3 
 +E: ID_SERIAL_SHORT=VBc40eec8a-49b6b6f3 
 +E: ID_TYPE=disk 
 +E: MAJOR=8 
 +E: MINOR=0 
 +E: MPATH_SBIN_PATH=/sbin 
 +E: SUBSYSTEM=block 
 +E: TAGS=:systemd: 
 +EUSEC_INITIALIZED=957366
 </code> </code>
  
-<WRAP center round important> +===Les options de la commande===
-**Important** : Puisque le répertoire **/home/trainee** a été exporté avec l'option par défaut **root_squash**. Ceci implique que root perd ses droits sur le répertoire quand il est monté. En fait, le service nfs remplace l'UID de 0 avec l'UID de l'utilisateur **nobody**. +
-</WRAP>+
  
-Retournez donc dans le serveur et modifiez le fichier **/etc/exports** ainsi :+Les options de la commande udevadm sont :
  
 <code> <code>
-[root@centos7 ~]# cat /etc/exports +[root@centos7 ~]# udevadm --help 
-/home/trainee 192.168.1.1(async,rw,no_root_squash)  +Usage: udevadm [--help] [--version] [--debug] COMMAND [COMMAND OPTIONS] 
-/tmp *(fsid=0) +  info         query sysfs or the udev database 
-</code>+  trigger      request events from the kernel 
 +  settle       wait for the event queue to finish 
 +  control      control the udev daemon 
 +  monitor      listen to kernel and udev events 
 +  hwdb         maintain the hardware database index 
 +  test         test an event run 
 +  test-builtin test a built-in command
  
-Redémarrez le service nfs : +[root@centos7 ~]# udevadm info --help 
- +Usage: udevadm info OPTIONS 
-<code> +  --query=<type>             query device information: 
-[root@centos7 ~]# systemctl restart nfs.service+      name                     name of device node 
 +      symlink                  pointing to node 
 +      path                     sys device path 
 +      property                 the device properties 
 +      all                      all values 
 +  --path=<syspath>           sys device path used for query or attribute walk 
 +  --name=<name>              node or symlink name used for query or attribute walk 
 +  --root                     prepend dev directory to path names 
 +  --attribute-walk           print all key matches while walking along the chain 
 +                             of parent devices 
 +  --device-id-of-file=<file> print major:minor of device containing this file 
 +  --export                   export key/value pairs 
 +  --export-prefix            export the key name with a prefix 
 +  --export-db                export the content of the udev database 
 +  --cleanup-db               cleanup the udev database 
 +  --help
 </code> </code>
  
-Vous noterez que maintenant vous êtes capable de vous positionner dans le répertoire **/nfs** du client en tant que **root** +=====Système de fichiers /sys=====
  
-<code> +Le système de fichiers virtuel **/sys** a été introduit avec le noyau Linux **2.6**. Son rôle est de décrire le matériel pour udev.
-[root@centos7 ~]# cd /nfs +
-[root@centos7 nfs]#  +
-</code>+
  
-====Surveillance du Serveur==== +Saisissez la commande suivante :
- +
-===La Commande rpcinfo=== +
- +
-La commande **rpcinfo** permet de faire une requête RPC sur le serveur et de voir les démons gérés :+
  
 <code> <code>
-[root@centos6 ~]# rpcinfo +[root@centos7 ~]# ls -l /sys 
-   program version netid     address                service    owner +total 
-    100000    4    tcp6      ::.0.111               portmapper superuser +drwxr-xr-x  2 root root Oct 28 09:40 block 
-    100000    3    tcp6      ::.0.111               portmapper superuser +drwxr-xr-x.  24 root root Oct 28 09:40 bus 
-    100000    4    udp6      ::.0.111               portmapper superuser +drwxr-xr-x 45 root root Oct 28 09:40 class 
-    100000    3    udp6      ::.0.111               portmapper superuser +drwxr-xr-x  4 root root Oct 28 09:40 dev 
-    100000    4    tcp       0.0.0.0.0.111          portmapper superuser +drwxr-xr-x 11 root root Oct 28 09:40 devices 
-    100000    3    tcp       0.0.0.0.0.111          portmapper superuser +drwxr-xr-x  5 root root Oct 28 09:40 firmware 
-    100000    2    tcp       0.0.0.0.0.111          portmapper superuser +drwxr-xr-x.   6 root root Oct 28 09:40 fs 
-    100000    4    udp       0.0.0.0.0.111          portmapper superuser +drwxr-xr-x.   2 root root Oct 28 09:40 hypervisor 
-    100000    3    udp       0.0.0.0.0.111          portmapper superuser +drwxr-xr-x.   9 root root Oct 28 09:40 kernel 
-    100000    2    udp       0.0.0.0.0.111          portmapper superuser +drwxr-xr-x146 root root 0 Oct 28 09:40 module 
-    100000    4    local     /var/run/rpcbind.sock  portmapper superuser +drwxr-xr-x.   2 root root 0 Oct 28 09:40 power
-    100000    3    local     /var/run/rpcbind.sock  portmapper superuser +
-    100024    1    udp       0.0.0.0.182.127        status     29 +
-    100024    1    tcp       0.0.0.0.182.157        status     29 +
-    100024    1    udp6      ::.146.50              status     29 +
-    100024    1    tcp6      ::.139.119             status     29 +
-    100011    1    udp       0.0.0.0.3.107          rquotad    superuser +
-    100011    2    udp       0.0.0.0.3.107          rquotad    superuser +
-    100011    1    tcp       0.0.0.0.3.107          rquotad    superuser +
-    100011    2    tcp       0.0.0.0.3.107          rquotad    superuser +
-    100005    1    udp       0.0.0.0.204.191        mountd     superuser +
-    100005    1    tcp       0.0.0.0.196.122        mountd     superuser +
-    100005    1    udp6      ::.177.18              mountd     superuser +
-    100005    1    tcp6      ::.229.141             mountd     superuser +
-    100005    2    udp       0.0.0.0.215.201        mountd     superuser +
-    100005    2    tcp       0.0.0.0.174.127        mountd     superuser +
-    100005    2    udp6      ::.199.96              mountd     superuser +
-    100005    2    tcp6      ::.147.162             mountd     superuser +
-    100005    3    udp       0.0.0.0.210.10         mountd     superuser +
-    100005    3    tcp       0.0.0.0.155.14         mountd     superuser +
-    100005    3    udp6      ::.147.130             mountd     superuser +
-    100005    3    tcp6      ::.220.126             mountd     superuser +
-    100003    2    tcp       0.0.0.0.8.1            nfs        superuser +
-    100003    3    tcp       0.0.0.0.8.1            nfs        superuser +
-    100003    4    tcp       0.0.0.0.8.1            nfs        superuser +
-    100227    2    tcp       0.0.0.0.8.1            nfs_acl    superuser +
-    100227    3    tcp       0.0.0.0.8.1            nfs_acl    superuser +
-    100003    2    udp       0.0.0.0.8.1            nfs        superuser +
-    100003    3    udp       0.0.0.0.8.1            nfs        superuser +
-    100003    4    udp       0.0.0.0.8.1            nfs        superuser +
-    100227    2    udp       0.0.0.0.8.1            nfs_acl    superuser +
-    100227    3    udp       0.0.0.0.8.1            nfs_acl    superuser +
-    100003    2    tcp6      ::.8.1                 nfs        superuser +
-    100003    3    tcp6      ::.8.1                 nfs        superuser +
-    100003    4    tcp6      ::.8.1                 nfs        superuser +
-    100227    2    tcp6      ::.8.1                 nfs_acl    superuser +
-    100227    3    tcp6      ::.8.1                 nfs_acl    superuser +
-    100003    2    udp6      ::.8.1                 nfs        superuser +
-    100003    3    udp6      ::.8.1                 nfs        superuser +
-    100003    4    udp6      ::.8.1                 nfs        superuser +
-    100227    2    udp6      ::.8.1                 nfs_acl    superuser +
-    100227    3    udp6      ::.8.1                 nfs_acl    superuser +
-    100021    1    udp       0.0.0.0.163.78         nlockmgr   superuser +
-    100021    3    udp       0.0.0.0.163.78         nlockmgr   superuser +
-    100021    4    udp       0.0.0.0.163.78         nlockmgr   superuser +
-    100021    1    tcp       0.0.0.0.137.82         nlockmgr   superuser +
-    100021    3    tcp       0.0.0.0.137.82         nlockmgr   superuser +
-    100021    4    tcp       0.0.0.0.137.82         nlockmgr   superuser +
-    100021    1    udp6      ::.175.250             nlockmgr   superuser +
-    100021    3    udp6      ::.175.250             nlockmgr   superuser +
-    100021    4    udp6      ::.175.250             nlockmgr   superuser +
-    100021    1    tcp6      ::.188.197             nlockmgr   superuser +
-    100021    3    tcp6      ::.188.197             nlockmgr   superuser +
-    100021    4    tcp6      ::.188.197             nlockmgr   superuser+
 </code> </code>
  
-<code> +Chaque répertoire contient des informations :
-[root@centos7 ~]# rpcinfo +
-   program version netid     address                service    owner +
-    100000    4    tcp6      ::.0.111               portmapper superuser +
-    100000    3    tcp6      ::.0.111               portmapper superuser +
-    100000    4    udp6      ::.0.111               portmapper superuser +
-    100000    3    udp6      ::.0.111               portmapper superuser +
-    100000    4    tcp       0.0.0.0.0.111          portmapper superuser +
-    100000    3    tcp       0.0.0.0.0.111          portmapper superuser +
-    100000    2    tcp       0.0.0.0.0.111          portmapper superuser +
-    100000    4    udp       0.0.0.0.0.111          portmapper superuser +
-    100000    3    udp       0.0.0.0.0.111          portmapper superuser +
-    100000    2    udp       0.0.0.0.0.111          portmapper superuser +
-    100000    4    local     /var/run/rpcbind.sock  portmapper superuser +
-    100000    3    local     /var/run/rpcbind.sock  portmapper superuser +
-    100024    1    udp       0.0.0.0.231.232        status     29 +
-    100024    1    tcp       0.0.0.0.176.90         status     29 +
-    100024    1    udp6      ::.168.173             status     29 +
-    100024    1    tcp6      ::.234.102             status     29 +
-    100005    1    udp       0.0.0.0.78.80          mountd     superuser +
-    100005    1    tcp       0.0.0.0.78.80          mountd     superuser +
-    100005    1    udp6      ::.78.80               mountd     superuser +
-    100005    1    tcp6      ::.78.80               mountd     superuser +
-    100005    2    udp       0.0.0.0.78.80          mountd     superuser +
-    100005    2    tcp       0.0.0.0.78.80          mountd     superuser +
-    100005    2    udp6      ::.78.80               mountd     superuser +
-    100005    2    tcp6      ::.78.80               mountd     superuser +
-    100005    3    udp       0.0.0.0.78.80          mountd     superuser +
-    100005    3    tcp       0.0.0.0.78.80          mountd     superuser +
-    100005    3    udp6      ::.78.80               mountd     superuser +
-    100005    3    tcp6      ::.78.80               mountd     superuser +
-    100003    3    tcp       0.0.0.0.8.1            nfs        superuser +
-    100003    4    tcp       0.0.0.0.8.1            nfs        superuser +
-    100227    3    tcp       0.0.0.0.8.1            nfs_acl    superuser +
-    100003    3    udp       0.0.0.0.8.1            nfs        superuser +
-    100003    4    udp       0.0.0.0.8.1            nfs        superuser +
-    100227    3    udp       0.0.0.0.8.1            nfs_acl    superuser +
-    100003    3    tcp6      ::.8.1                 nfs        superuser +
-    100003    4    tcp6      ::.8.1                 nfs        superuser +
-    100227    3    tcp6      ::.8.1                 nfs_acl    superuser +
-    100003    3    udp6      ::.8.1                 nfs        superuser +
-    100003    4    udp6      ::.8.1                 nfs        superuser +
-    100227    3    udp6      ::.8.1                 nfs_acl    superuser +
-    100021    1    udp       0.0.0.0.193.97         nlockmgr   superuser +
-    100021    3    udp       0.0.0.0.193.97         nlockmgr   superuser +
-    100021    4    udp       0.0.0.0.193.97         nlockmgr   superuser +
-    100021    1    tcp       0.0.0.0.132.11         nlockmgr   superuser +
-    100021    3    tcp       0.0.0.0.132.11         nlockmgr   superuser +
-    100021    4    tcp       0.0.0.0.132.11         nlockmgr   superuser +
-    100021    1    udp6      ::.151.89              nlockmgr   superuser +
-    100021    3    udp6      ::.151.89              nlockmgr   superuser +
-    100021    4    udp6      ::.151.89              nlockmgr   superuser +
-    100021    1    tcp6      ::.234.241             nlockmgr   superuser +
-    100021    3    tcp6      ::.234.241             nlockmgr   superuser +
-    100021    4    tcp6      ::.234.241             nlockmgr   superuser +
-</code>+
  
-===La Commande nfsstat===+  * **block** 
 +    * contient des informations sur les périphériques bloc 
 +  * **bus** 
 +    * contient des informations sur les bus de données 
 +  * **class** 
 +    * contient des informations sur des classes de matériel 
 +  * **devices** 
 +    * contient des informations sur la position des périphériques sur les bus 
 +  * **firmware** 
 +    * contient, entre autre, des informations sur l'ACPI 
 +  * **module** 
 +    * contient des informations sur les modules du noyau 
 +  * **power** 
 +    * contient des informations sur la gestion de l'énergie 
 +  * **fs** 
 +    * contient des informations sur les systèmes de fichiers
  
-La Commande **nfsstat** permet de vérifier l'activité sur le serveur NFS :+Pour illustrer ceci, saisissez la commande suivante :
  
 <code> <code>
-[root@centos6 ~]# nfsstat +[root@centos7 ~]# cat /sys/block/sda/sda1/size 
-Server rpc stats: +409600
-calls      badcalls   badauth    badclnt    xdrcall +
-50                  0          0          0        +
- +
-Server nfs v4: +
-null         compound      +
-2         4% 48       96%  +
- +
-Server nfs v4 operations: +
-op0-unused   op1-unused   op2-future   access       close        commit        +
-0         0% 0         0% 0         0% 5         4% 0         0% 0         0%  +
-create       delegpurge   delegreturn  getattr      getfh        link          +
-0         0% 0         0% 0         0% 45       41% 5         4% 0         0%  +
-lock         lockt        locku        lookup       lookup_root  nverify       +
-0         0% 0         0% 0         0% 3         2% 0         0% 0         0%  +
-open         openattr     open_conf    open_dgrd    putfh        putpubfh      +
-0         0% 0         0% 0         0% 0         0% 46       42% 0         0%  +
-putrootfh    read         readdir      readlink     remove       rename        +
-2         1% 0         0% 3         2% 0         0% 0         0% 0         0%  +
-renew        restorefh    savefh       secinfo      setattr      setcltid      +
-0         0% 0         0% 0         0% 0         0% 0         0% 0         0%  +
-setcltidconf verify       write        rellockowner bc_ctl       bind_conn     +
-0         0% 0         0% 0         0% 0         0% 0         0% 0         0%  +
-exchange_id  create_ses   destroy_ses  free_stateid getdirdeleg  getdevinfo    +
-0         0% 0         0% 0         0% 0         0% 0         0% 0         0%  +
-getdevlist   layoutcommit layoutget    layoutreturn secinfononam sequence      +
-0         0% 0         0% 0         0% 0         0% 0         0% 0         0%  +
-set_ssv      test_stateid want_deleg   destroy_clid reclaim_comp  +
-0         0% 0         0% 0         0% 0         0% 0         0% +
 </code> </code>
  
-<code> +Ce chiffre correspond aux nombre de secteurs.
-[root@centos7 ~]# nfsstat +
-Server rpc stats: +
-calls      badcalls   badclnt    badauth    xdrcall +
-34                  0          0          0       +
  
-Server nfs v4: +=====Limitation des ressources=====
-null         compound      +
-1         2% 33       97% +
  
-Server nfs v4 operations: +====ulimit====
-op0-unused   op1-unused   op2-future   access       close        commit        +
-0         0% 0         0% 0         0% 5         7% 0         0% 0         0%  +
-create       delegpurge   delegreturn  getattr      getfh        link          +
-0         0% 0         0% 0         0% 22       31% 4         5% 0         0%  +
-lock         lockt        locku        lookup       lookup_root  nverify       +
-0         0% 0         0% 0         0% 5         7% 0         0% 0         0%  +
-open         openattr     open_conf    open_dgrd    putfh        putpubfh      +
-0         0% 0         0% 0         0% 0         0% 23       33% 0         0%  +
-putrootfh    read         readdir      readlink     remove       rename        +
-1         1% 0         0% 0         0% 0         0% 0         0% 0         0%  +
-renew        restorefh    savefh       secinfo      setattr      setcltid      +
-5         7% 0         0% 0         0% 0         0% 0         0% 2         2%  +
-setcltidconf verify       write        rellockowner bc_ctl       bind_conn     +
-2         2% 0         0% 0         0% 0         0% 0         0% 0         0%  +
-exchange_id  create_ses   destroy_ses  free_stateid getdirdeleg  getdevinfo    +
-0         0% 0         0% 0         0% 0         0% 0         0% 0         0%  +
-getdevlist   layoutcommit layoutget    layoutreturn secinfononam sequence      +
-0         0% 0         0% 0         0% 0         0% 0         0% 0         0%  +
-set_ssv      test_stateid want_deleg   destroy_clid reclaim_comp  +
-0         0% 0         0% 0         0% 0         0% 0         0%  +
-</code>+
  
 +Les ressources disponibles aux utilisateurs peuvent être limitées par l'utilisation de la commande **ulimit**. 
  
-=====Le Parefeu Netfilter=====+La commande **ulimit** gère deux types de limite, la limite //hard// en utilisant l'option **-H** et la limite //soft// en utilisant l'option **-S**. Seul root peut positionner une limite //hard// et ceci à condition que la limite ne dépasse pas les ressources réelles.
  
-===Configuration du Pare-feu Netfilter/iptables==== +La limite //soft// est la limite imposée à l'utilisateur par défaut tandis que la limite //hard// est la limite que l'utilisateur peut atteindre en utilisant la commande ulimit lui-même.
- +
-==Introduction== +
- +
-**Netfilter** est composé de 5 //hooks// : +
- +
-  * NF_IP_PRE_ROUTING +
-  * NF_IP_LOCAL_IN +
-  * NF_IP_LOCAL_OUT +
-  * NF_IP_FORWARD +
-  * NF_IP_POSTROUTING +
- +
-Ces hooks sont utilisés par deux branches, la première est celle concernée par les paquets qui entrent vers des services locaux : +
- +
-  * NF_IP_PRE_ROUTING > NF_IP_LOCAL_IN > NF_IP_LOCAL_OUT > NF_IP_POSTROUTING +
- +
-tandis que la deuxième concerne les paquets qui traversent la passerelle: +
- +
-  * NF_IP_PRE_ROUTING > NF_IP_FORWARD > NF_IP_POSTROUTING +
- +
-Si IPTABLES a été compilé en tant que module, son utilisation nécessite le chargement de plusieurs modules supplémentaires en fonction de la situation: +
- +
-  * iptable_filter +
-  * iptable_mangle +
-  * iptable_net +
-  * etc +
- +
-Netfilter est organisé en **tables**. La commande **iptables** de netfilter permet d'insérer des **policies** dans les **chaines**: +
- +
-  * La table **FILTER** +
-    * La chaîne INPUT +
-      * Concerne les paquets entrants +
-        * Policies: ACCEPT, DROP, REJECT +
-    * La chaîne OUTPUT +
-      * Concerne les paquets sortants +
-        * Policies: ACCEPT, DROP, REJECT +
-    * La chaîne FORWARD +
-      * Concerne les paquets traversant le par-feu. +
-        * Policies: ACCEPT, DROP, REJECT +
- +
-Si aucune table n'est précisée, c'est la table FILTER qui s'applique par défaut+
- +
-  * La table **NAT** +
-    * La chaîne PREROUTING +
-      * Permet de faire la translation d'adresse de destination +
-        * Cibles: SNAT, DNAT, MASQUERADE +
-    * La chaîne POSTROUTING +
-      * Permet de faire la translation d'adresse de la source +
-        * Cibles: SNAT, DNAT, MASQUERADE +
-    * Le cas spécifique OUTPUT +
-      * Permet la modification de la destination des paquets générés localement +
- +
-  * La table **MANGLE** +
-    * Permet le marquage de paquets générés localement (OUTPUT) et entrants (PREROUTING) +
- +
-Les **policies** sont: +
- +
-  * ACCEPT +
-    * Permet d'accepter le paquet concerné +
-  * DROP +
-    * Permet de rejeter le paquet concerné sans générer un message d'erreur +
-  * REJECT +
-    * Permet de rejeter le paquet concerné en générant une message d'erreur +
- +
-Les **cibles** sont: +
- +
-  * SNAT +
-    * Permet de modifier l'adresse source du paquet concerné +
-  * DNAT +
-    * Permet de modifier l'adresse de destination du paquet concerné +
-  * MASQUERADE +
-    * Permet de remplacer l'adresse IP privée de l'expéditeur par un socket public de la passerelle. +
- +
-IPTABLES peut être configuré soit par des outils tels shorewall, soit en utilisant des lignes de commandes ou un script. Dans ce dernier cas, la ligne prend la forme: +
- +
-  # IPTABLES --action CHAINE --option1 --option2 +
- +
-Les actions sont: +
- +
-^  Action  ^  Abréviation  ^  Déscription +
-| - -append |  -A  | Ajouter une règle à la fin de la chaîne spécifiée |  +
-| - -delete |  -D  | Supprimer une règle en spécifiant son numéro ou la règle à supprimer |  +
-| - -replace |  -R  | Permet de remplacer la règle spécifée par son numéro |  +
-| - -insert |  -I  | Permet d'insérer une règle à l'endroit spécifié |  +
-| - -list |  -L  | Permet d'afficher des règles | +
-| - -flush |  -F  | Permet de vider toutes les règles d'une chaîne |   +
- +
-Les options sont: +
- +
-^  Option  ^  Abréviation  ^  Déscription +
-| - -protocol |  -p  | Permet de spécifier un protocol - tcp, udp, icmp, all |  +
-| - -source |  -s  | Permet de spécifier une adresse source |  +
-| - -destination |  -d  | Permet de spécifier une adresse de destination |  +
-| - -in-interface |  -i  | Permet de spécifier une interface réseau d'entrée |  +
-| - -out-interface |  -o  | Permet de spécifier une interface réseau de sortie | +
-| - -fragment |  -f  | Permet de ne spécifier que les paquets fragmentés |   +
-| - -source-port |  -sport  | Permet de spécifier un port source ou une plage de ports source |  +
-| - -destination-port |  -dport  | Permet de spécifier un port de destination ou une plage de ports de destination |  +
-| - -tcp-flags |  s/o  | Permet de spécifier un flag TCP à matcher - SYN, ACK, FIN, RST, URG, PSH, ALL, NONE |  +
-| - -icmp-type |  s/o  | Permet de spécifier un type de paquet ICMP | +
-| - -mac-source |  s/o  | Permet de spécifier une adresse MAC |  +
- +
-Les options spécifiques à NET sont: +
- +
-| - -to-destination |  s/o  | Permet de spécifier l'adresse de destination d'une translation |  +
-| - -to-source |  s/o  | Permet spécifier l'adresse source d'une translation |  +
- +
-Les options spécifiques aux LOGS sont: +
- +
-| - -log-level |  s/o  | Permet de spécifier le niveau de logs |  +
-| - -log-prefix |  s/o  | Permet de spécifier un préfix pour les logs | +
- +
-L'option spécifique au STATEFUL est+
- +
-| - -state |  s/o  | Permet de spécifier l'état du paquet à vérifier |  +
- +
-Ce dernier cas fait référence au STATEFUL. Le STATEFUL est la capacité du par-feu à enregistrer dans une table spécifique, l'état des différentes connexionsCette table s'appelle une **table d'état**. Le principe du fonctionnement de STATEFUL est simple, à savoir, si le paquet entrant appartient à une communication déjà établie, celui-ci n'est pas vérifié. +
- +
-Il existe 4 états: +
- +
-  * NEW +
-    * Le paquet concerne une nouvelle connexion et contient donc un flag SYN à 1 +
-  * ESTABLISHED +
-    * Le paquet concerne une connexion déjà établie. Le paquet ne doit contenir **ni** flag SYN à 1, **ni** flag FIN à 1 +
-  * RELATED +
-    * Le paquet est d'une connexion qui présente une relation avec une autre connexion +
-  * INVALID +
-    * La paquet provient d'une connexion anormale. +
- +
-==Configuration par Scripts sous RHEL/CentOS 6 et versions Antérieures== +
- +
-Dans l'exemple suivant, expliquez le fonctionnement du script en détaillant les règles écrites : +
- +
-<file> +
-#!/bin/bash +
-##################################### +
-# proxy server IP +
-PROXY_SERVER="192.168.1.2" +
-# Interface connected to Internet +
-INTERNET="eth1" +
-# Interface connected to LAN +
-LAN_IN="eth0" +
-# Local Interface +
-LOCAL="lo" +
-# Squid port +
-PROXY_PORT="8080" +
-# DO NOT MODIFY BELOW +
-# Clean old firewall +
-iptables -F +
-iptables -X +
-iptables -t nat -F +
-iptables -t nat -X +
-iptables -t mangle -F +
-iptables -t mangle -X +
-# Load IPTABLES modules for NAT and IP conntrack support +
-modprobe ip_conntrack +
-modprobe ip_conntrack_ftp +
-# For win xp ftp client +
-modprobe ip_nat_ftp +
-echo 1 > /proc/sys/net/ipv4/ip_forward +
-# Setting default filter policy +
-iptables -P INPUT DROP +
-iptables -P OUTPUT ACCEPT +
-# Unlimited access to loop back +
-iptables -A INPUT -i lo -j ACCEPT +
-iptables -A OUTPUT -o lo -j ACCEPT +
-# Allow UDP, DNS and Passive FTP +
-iptables -A INPUT -i $INTERNET -m state --state ESTABLISHED,RELATED -j ACCEPT +
-# set this system as a router for Rest of LAN +
-iptables --table nat --append POSTROUTING --out-interface $INTERNET -j MASQUERADE +
-iptables --append FORWARD --in-interface $LAN_IN -j ACCEPT +
-# unlimited access to LAN +
-iptables -A INPUT -i $LAN_IN -j ACCEPT +
-iptables -A OUTPUT -o $LAN_IN -j ACCEPT +
-# DNAT port 80 request comming from LAN systems to squid 3128 ($SQUID_PORT) aka transparent proxy +
-iptables -t nat -A PREROUTING -i $LAN_IN -p tcp --dport 80 -j DNAT --to $PROXY_SERVER:$PROXY_PORT +
-# iptables -t nat -A PREROUTING -i br0 -p tcp --dport 80 -j REDIRECT --to-port 3128 +
-# if it is same system +
-iptables -t nat -A PREROUTING -i $INTERNET -p tcp --dport 80 -j REDIRECT --to-port $PROXY_PORT +
-# DROP everything and Log it +
-iptables -A INPUT -j LOG +
-iptables -A INPUT -j DROP +
-</file>+
  
-Dans l'exemple suivant, expliquez le fonctionnement du script en détaillant les règles écrites :+L'utilisateur root peut paramétrer les limites accordées en éditant la fichier **/etc/security/limits.conf** :
  
 <code> <code>
-#!/bin/sh+[root@centos7 ~]cat /etc/security/limits.conf 
 +# /etc/security/limits.conf
 # #
-Generated iptables firewall script for the Linux 2.4 kernel +#This file sets the resource limits for the users logged in via PAM
-Script generated by Easy Firewall Generator for IPTables 1.15 +#It does not affect resource limits of the system services.
-# copyright 2002 Timothy Scott Morizot +
-#  +
-# Redhat chkconfig comments - firewall applied early, +
-#                             removed late +
-# chkconfig: 2345 08 92 +
-# description: This script applies or removes iptables firewall rules +
-#  +
-# This generator is primarily designed for RedHat installations, +
-# although it should be adaptable for others.+
 # #
-It can be executed with the typical start and stop arguments+#Also note that configuration files in /etc/security/limits.d directory, 
-If used with stopit will stop after flushing the firewall. +#which are read in alphabetical orderoverride the settings in this 
-The save and restore arguments will save or restore the rules +#file in case the domain is the same or more specific
-# from the /etc/sysconfig/iptables file The save and restore +#That means for example that setting a limit for wildcard domain here 
-arguments are included to preserve compatibility with +#can be overriden with a wildcard setting in a config file in the 
-Redhat's or Fedora's init.d script if you prefer to use it. +#subdirectory, but a user specific setting here can be overriden only 
- +#with a user specific setting in the subdirectory.
-Redhat/Fedora installation instructions+
 # #
-1. Have the system link the iptables init.d startup script into run states +#Each line describes a limit for a user in the form:
-#    2, 3, and 5. +
-#    chkconfig --level 235 iptables on+
 # #
-2. Save this script and execute it to load the ruleset from this file. +#<domain>        <type>  <item>  <value>
-#    You may need to run the dos2unix command on it to remove carraige returns.+
 # #
-3. To have it applied at startup, copy this script to +#Where: 
-   /etc/init.d/iptables.  It accepts stop, start, save, and restore +#<domain> can be: 
-   arguments.  (You may wish to save the existing one first.) +       - a user name 
-   Alternativelyif you issue the 'service iptables save' command +       - a group namewith @group syntax 
-   the init.d script should save the rules and reload them at runtime.+#        - the wildcard *, for default entry 
 +       the wildcard %, can be also used with %group syntax, 
 +#                 for maxlogin limit
 # #
-4. For non-Redhat systems (or Redhat systems if you have a problem), you +#<type> can have the two values: 
-#    may want to append the command to execute this script to rc.local. +       - "soft" for enforcing the soft limits 
-   rc.local is typically located in /etc and /etc/rc.d and is usually +       - "hard" for enforcing hard limits
-#    the last thing executed on startup.  Simply add /path/to/script/script_name +
-   on its own line in the rc.local file. +
- +
-############################################################################### +
-#  +
-# Local Settings+
 # #
- +#<item> can be one of the following: 
-sysctl location.  If set, it will use sysctl to adjust the kernel parameters. +       - core - limits the core file size (KB
-If this is set to the empty string (or is unset), the use of sysctl +       - data - max data size (KB) 
-is disabled. +#        - fsize - maximum filesize (KB) 
- +#        - memlock - max locked-in-memory address space (KB) 
-SYSCTL="/sbin/sysctl -w"  +       - nofile - max number of open file descriptors 
- +       - rss - max resident set size (KB) 
-To echo the value directly to the /proc file instead +#        - stack - max stack size (KB) 
-SYSCTL="" +       cpu - max CPU time (MIN) 
- +#        - nproc - max number of processes 
-IPTables Location adjust if needed +#        - as - address space limit (KB) 
- +#        maxlogins - max number of logins for this user 
-IPT="/sbin/iptables" +#        maxsyslogins - max number of logins on the system 
-IPTS="/sbin/iptables-save" +#        - priority - the priority to run user process with 
-IPTR="/sbin/iptables-restore" +       - locks - max number of file locks the user can hold 
- +       - sigpending - max number of pending signals 
-Internet Interface +       - msgqueue - max memory used by POSIX message queues (bytes) 
-INET_IFACE="eth1" +       nice - max nice priority allowed to raise to values: [-20, 19
- +#        rtprio - max realtime priority
-Local Interface Information +
-LOCAL_IFACE="eth0" +
-LOCAL_IP="192.168.1.1" +
-LOCAL_NET="192.168.1.0/24" +
-LOCAL_BCAST="192.168.1.255" +
- +
-Localhost Interface +
- +
-LO_IFACE="lo" +
-LO_IP="127.0.0.1" +
- +
-Save and Restore arguments handled here +
-if [ "$1" = "save"+
-then +
- echo -n "Saving firewall to /etc/sysconfig/iptables ... " +
- $IPTS > /etc/sysconfig/iptables +
- echo "done" +
- exit 0 +
-elif "$1" = "restore" +
-then +
- echo -n "Restoring firewall from /etc/sysconfig/iptables ... " +
- $IPTR < /etc/sysconfig/iptables +
- echo "done" +
- exit 0 +
-fi +
- +
-###############################################################################+
 # #
-Load Modules+#<domain>      <type>  <item>         <value>
 # #
  
-echo "Loading kernel modules ..."+#*               soft    core            0 
 +#*               hard    rss             10000 
 +#@student        hard    nproc           20 
 +#@faculty        soft    nproc           20 
 +#@faculty        hard    nproc           50 
 +#ftp             hard    nproc           0 
 +#@student        -       maxlogins       4
  
-You should uncomment the line below and run it the first time just to +End of file 
-# ensure all kernel module dependencies are OK.  There is no need to run +</code> 
-# every time, however. +
- +
-# /sbin/depmod -a +
- +
-# Unless you have kernel module auto-loading disabled, you should not +
-# need to manually load each of these modules.  Other than ip_tables, +
-# ip_conntrack, and some of the optional modules, I've left these +
-# commented by default.  Uncomment if you have any problems or if +
-# you have disabled module autoload.  Note that some modules must +
-# be loaded by another kernel module. +
- +
-# core netfilter module +
-/sbin/modprobe ip_tables +
- +
-# the stateful connection tracking module +
-/sbin/modprobe ip_conntrack +
- +
-# filter table module +
-# /sbin/modprobe iptable_filter +
- +
-# mangle table module +
-# /sbin/modprobe iptable_mangle +
- +
-# nat table module +
-# /sbin/modprobe iptable_nat +
- +
-# LOG target module +
-# /sbin/modprobe ipt_LOG +
- +
-# This is used to limit the number of packets per sec/min/hr +
-# /sbin/modprobe ipt_limit +
- +
-# masquerade target module +
-# /sbin/modprobe ipt_MASQUERADE +
- +
-# filter using owner as part of the match +
-# /sbin/modprobe ipt_owner<WRAP center round important> +
-Importez une machine virtuelle vierge de CentOS 6 pour effectuer le LABS #8. +
-</WRAP> +
- +
-# REJECT target drops the packet and returns an ICMP response. +
-# The response is configurable.  By default, connection refused. +
-# /sbin/modprobe ipt_REJECT +
- +
-# This target allows packets to be marked in the mangle table +
-# /sbin/modprobe ipt_mark +
- +
-# This target affects the TCP MSS +
-# /sbin/modprobe ipt_tcpmss +
- +
-# This match allows multiple ports instead of a single port or range +
-# /sbin/modprobe multiport +
- +
-# This match checks against the TCP flags +
-# /sbin/modprobe ipt_state +
- +
-# This match catches packets with invalid flags +
-# /sbin/modprobe ipt_unclean +
- +
-# The ftp nat module is required for non-PASV ftp support +
-/sbin/modprobe ip_nat_ftp +
- +
-# the module for full ftp connection tracking +
-/sbin/modprobe ip_conntrack_ftp +
- +
-# the module for full irc connection tracking +
-/sbin/modprobe ip_conntrack_irc +
- +
- +
-############################################################################### +
-+
-# Kernel Parameter Configuration +
-+
-# See http://ipsysctl-tutorial.frozentux.net/chunkyhtml/index.html +
-# for a detailed tutorial on sysctl and the various settings +
-# available. +
- +
-# Required to enable IPv4 forwarding. +
-# Redhat users can try setting FORWARD_IPV4 in /etc/sysconfig/network to true +
-# Alternatively, it can be set in /etc/sysctl.conf +
-if [ "$SYSCTL" = ""+
-then +
-    echo "1" > /proc/sys/net/ipv4/ip_forward +
-else +
-    $SYSCTL net.ipv4.ip_forward="1" +
-fi +
- +
-# This enables dynamic address hacking. +
-# This may help if you have a dynamic IP address \(e.g. slip, ppp, dhcp\). +
-#if [ "$SYSCTL" = ""+
-#then +
-#    echo "1" > /proc/sys/net/ipv4/ip_dynaddr +
-#else +
-#    $SYSCTL net.ipv4.ip_dynaddr="1" +
-#fi +
- +
-# This enables SYN flood protection. +
-# The SYN cookies activation allows your system to accept an unlimited +
-# number of TCP connections while still trying to give reasonable +
-# service during a denial of service attack. +
-if [ "$SYSCTL" = ""+
-then +
-    echo "1" > /proc/sys/net/ipv4/tcp_syncookies +
-else +
-    $SYSCTL net.ipv4.tcp_syncookies="1" +
-fi +
- +
-# This enables source validation by reversed path according to RFC1812. +
-# In other words, did the response packet originate from the same interface +
-# through which the source packet was sent?  It's recommended for single-homed +
-# systems and routers on stub networks.  Since those are the configurations +
-# this firewall is designed to support, I turn it on by default. +
-# Turn it off if you use multiple NICs connected to the same network. +
-if [ "$SYSCTL" = ""+
-then +
-    echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter +
-else +
-    $SYSCTL net.ipv4.conf.all.rp_filter="1" +
-fi +
- +
-# This option allows a subnet to be firewalled with a single IP address. +
-# It's used to build a DMZ.  Since that's not a focus of this firewall +
-# script, it's not enabled by default, but is included for reference. +
-# See: http://www.sjdjweis.com/linux/proxyarp/  +
-#if [ "$SYSCTL" = ""+
-#then +
-#    echo "1" > /proc/sys/net/ipv4/conf/all/proxy_arp +
-#else +
-#    $SYSCTL net.ipv4.conf.all.proxy_arp="1" +
-#fi +
- +
-# The following kernel settings were suggested by Alex Weeks. Thanks! +
- +
-# This kernel parameter instructs the kernel to ignore all ICMP +
-# echo requests sent to the broadcast address.  This prevents +
-# a number of smurfs and similar DoS nasty attacks. +
-if [ "$SYSCTL" = ""+
-then +
-    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts +
-else +
-    $SYSCTL net.ipv4.icmp_echo_ignore_broadcasts="1" +
-fi +
- +
-# This option can be used to accept or refuse source routed +
-# packets.  It is usually on by default, but is generally +
-# considered a security risk.  This option turns it off. +
-if [ "$SYSCTL" = ""+
-then +
-    echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route +
-else +
-    $SYSCTL net.ipv4.conf.all.accept_source_route="0" +
-fi +
- +
-# This option can disable ICMP redirects.  ICMP redirects +
-# are generally considered a security risk and shouldn't be +
-# needed by most systems using this generator. +
-#if [ "$SYSCTL" = ""+
-#then +
-#    echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects +
-#else +
-#    $SYSCTL net.ipv4.conf.all.accept_redirects="0" +
-#fi +
- +
-# However, we'll ensure the secure_redirects option is on instead. +
-# This option accepts only from gateways in the default gateways list. +
-if [ "$SYSCTL" = ""+
-then +
-    echo "1" > /proc/sys/net/ipv4/conf/all/secure_redirects +
-else +
-    $SYSCTL net.ipv4.conf.all.secure_redirects="1" +
-fi +
- +
-# This option logs packets from impossible addresses. +
-if [ "$SYSCTL" = ""+
-then +
-    echo "1" > /proc/sys/net/ipv4/conf/all/log_martians +
-else +
-    $SYSCTL net.ipv4.conf.all.log_martians="1" +
-fi +
- +
- +
-############################################################################### +
-+
-# Flush Any Existing Rules or Chains +
-+
- +
-echo "Flushing Tables ..." +
- +
-# Reset Default Policies +
-$IPT -P INPUT ACCEPT +
-$IPT -P FORWARD ACCEPT +
-$IPT -P OUTPUT ACCEPT +
-$IPT -t nat -P PREROUTING ACCEPT +
-$IPT -t nat -P POSTROUTING ACCEPT +
-$IPT -t nat -P OUTPUT ACCEPT +
-$IPT -t mangle -P PREROUTING ACCEPT +
-$IPT -t mangle -P OUTPUT ACCEPT +
- +
-# Flush all rules +
-$IPT -F +
-$IPT -t nat -F +
-$IPT -t mangle -F +
- +
-# Erase all non-default chains +
-$IPT -X +
-$IPT -t nat -X +
-$IPT -t mangle -X +
- +
-if [ "$1" = "stop"+
-then +
- echo "Firewall completely flushed!  Now running with no firewall." +
- exit 0 +
-fi +
- +
-############################################################################### +
-+
-# Rules Configuration +
-+
- +
-############################################################################### +
-+
-# Filter Table +
-+
-############################################################################### +
- +
-# Set Policies +
- +
-$IPT -P INPUT DROP +
-$IPT -P OUTPUT DROP +
-$IPT -P FORWARD DROP +
- +
-############################################################################### +
-+
-# User-Specified Chains +
-+
-# Create user chains to reduce the number of rules each packet +
-# must traverse. +
- +
-echo "Create and populate custom rule chains ..." +
- +
-# Create a chain to filter INVALID packets +
- +
-$IPT -N bad_packets +
- +
-# Create another chain to filter bad tcp packets +
- +
-$IPT -N bad_tcp_packets +
- +
-# Create separate chains for icmp, tcp (incoming and outgoing), +
-# and incoming udp packets. +
- +
-$IPT -N icmp_packets +
- +
-# Used for UDP packets inbound from the Internet +
-$IPT -N udp_inbound +
- +
-# Used to block outbound UDP services from internal network +
-# Default to allow all +
-$IPT -N udp_outbound +
- +
-# Used to allow inbound services if desired +
-# Default fail except for established sessions +
-$IPT -N tcp_inbound +
- +
-# Used to block outbound services from internal network +
-# Default to allow all +
-$IPT -N tcp_outbound +
- +
-############################################################################### +
-+
-# Populate User Chains +
-+
- +
-# bad_packets chain +
-+
- +
-# Drop packets received on the external interface +
-# claiming a source of the local network +
-$IPT -A bad_packets -p ALL -i $INET_IFACE -s $LOCAL_NET -j LOG \ +
-    --log-prefix "fp=bad_packets:2 a=DROP " +
-$IPT -A bad_packets -p ALL -i $INET_IFACE -s $LOCAL_NET -j DROP +
- +
-# Drop INVALID packets immediately +
-$IPT -A bad_packets -p ALL -m state --state INVALID -j LOG \ +
-    --log-prefix "fp=bad_packets:1 a=DROP " +
- +
-$IPT -A bad_packets -p ALL -m state --state INVALID -j DROP +
- +
-# Then check the tcp packets for additional problems +
-$IPT -A bad_packets -p tcp -j bad_tcp_packets +
- +
-# All good, so return +
-$IPT -A bad_packets -p ALL -j RETURN +
- +
-# bad_tcp_packets chain +
-+
-# All tcp packets will traverse this chain. +
-# Every new connection attempt should begin with +
-# a syn packet.  If it doesn't, it is likely a +
-# port scan.  This drops packets in state +
-# NEW that are not flagged as syn packets. +
- +
-# Return to the calling chain if the bad packets originate +
-# from the local interface. This maintains the approach +
-# throughout this firewall of a largely trusted internal +
-# network. +
-$IPT -A bad_tcp_packets -p tcp -i $LOCAL_IFACE -j RETURN +
- +
-# However, I originally did apply this filter to the forward chain +
-# for packets originating from the internal network.  While I have +
-# not conclusively determined its effect, it appears to have the +
-# interesting side effect of blocking some of the ad systems. +
-# Apparently some ad systems have the browser initiate a NEW +
-# connection that is not flagged as a syn packet to retrieve +
-# the ad image.  If you wish to experiment further comment the +
-# rule above. If you try it, you may also wish to uncomment the +
-# rule below.  It will keep those packets from being logged. +
-# There are a lot of them. +
-# $IPT -A bad_tcp_packets -p tcp -i $LOCAL_IFACE ! --syn -m state \ +
-#     --state NEW -j DROP +
- +
-$IPT -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \ +
-    --log-prefix "fp=bad_tcp_packets:1 a=DROP " +
-$IPT -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP +
- +
-$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL NONE -j LOG \ +
-    --log-prefix "fp=bad_tcp_packets:2 a=DROP " +
-$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL NONE -j DROP +
- +
-$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL ALL -j LOG \ +
-    --log-prefix "fp=bad_tcp_packets:3 a=DROP " +
-$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL ALL -j DROP +
- +
-$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL FIN,URG,PSH -j LOG \ +
-    --log-prefix "fp=bad_tcp_packets:4 a=DROP " +
-$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP +
- +
-$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j LOG \ +
-    --log-prefix "fp=bad_tcp_packets:5 a=DROP " +
-$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP +
- +
-$IPT -A bad_tcp_packets -p tcp --tcp-flags SYN,RST SYN,RST -j LOG \ +
-    --log-prefix "fp=bad_tcp_packets:6 a=DROP " +
-$IPT -A bad_tcp_packets -p tcp --tcp-flags SYN,RST SYN,RST -j DROP +
- +
-$IPT -A bad_tcp_packets -p tcp --tcp-flags SYN,FIN SYN,FIN -j LOG \ +
-    --log-prefix "fp=bad_tcp_packets:7 a=DROP " +
-$IPT -A bad_tcp_packets -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP +
- +
-# All good, so return +
-$IPT -A bad_tcp_packets -p tcp -j RETURN +
- +
-# icmp_packets chain +
-+
-# This chain is for inbound (from the Internet) icmp packets only. +
-# Type 8 (Echo Request) is not accepted by default +
-# Enable it if you want remote hosts to be able to reach you. +
-# 11 (Time Exceeded) is the only one accepted +
-# that would not already be covered by the established +
-# connection rule.  Applied to INPUT on the external interface. +
-#  +
-# See: http://www.ee.siue.edu/~rwalden/networking/icmp.html +
-# for more info on ICMP types. +
-+
-# Note that the stateful settings allow replies to ICMP packets. +
-# These rules allow new packets of the specified types. +
- +
-# ICMP packets should fit in a Layer 2 frame, thus they should +
-# never be fragmented.  Fragmented ICMP packets are a typical sign +
-# of a denial of service attack. +
-$IPT -A icmp_packets --fragment -p ICMP -j LOG \ +
-    --log-prefix "fp=icmp_packets:1 a=DROP " +
-$IPT -A icmp_packets --fragment -p ICMP -j DROP +
- +
-# Echo - uncomment to allow your system to be pinged. +
-# Uncomment the LOG command if you also want to log PING attempts +
-#  +
-# $IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j LOG \ +
-#    --log-prefix "fp=icmp_packets:2 a=ACCEPT " +
-# $IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT +
- +
-# By default, however, drop pings without logging. Blaster +
-# and other worms have infected systems blasting pings. +
-# Comment the line below if you want pings logged, but it +
-# will likely fill your logs. +
-$IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j DROP +
- +
-# Time Exceeded +
-$IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT +
- +
-# Not matched, so return so it will be logged +
-$IPT -A icmp_packets -p ICMP -j RETURN +
- +
-# TCP & UDP +
-# Identify ports at: +
-#    http://www.chebucto.ns.ca/~rakerman/port-table.html +
-#    http://www.iana.org/assignments/port-numbers +
- +
-# udp_inbound chain +
-+
-# This chain describes the inbound UDP packets it will accept. +
-# It's applied to INPUT on the external or Internet interface. +
-# Note that the stateful settings allow replies. +
-# These rules are for new requests. +
-# It drops netbios packets (windows) immediately without logging. +
- +
-# Drop netbios calls +
-# Please note that these rules do not really change the way the firewall +
-# treats netbios connections.  Connections from the localhost and +
-# internal interface (if one exists) are accepted by default. +
-# Responses from the Internet to requests initiated by or through +
-# the firewall are also accepted by default.  To get here, the +
-# packets would have to be part of a new request received by the +
-# Internet interface.  You would have to manually add rules to +
-# accept these.  I added these rules because some network connections, +
-# such as those via cable modems, tend to be filled with noise from +
-# unprotected Windows machines.  These rules drop those packets +
-# quickly and without logging them.  This prevents them from traversing +
-# the whole chain and keeps the log from getting cluttered with +
-# chatter from Windows systems. +
-$IPT -A udp_inbound -p UDP -s 0/0 --destination-port 137 -j DROP +
-$IPT -A udp_inbound -p UDP -s 0/0 --destination-port 138 -j DROP +
- +
-# Ident requests (Port 113) must have a REJECT rule rather than the +
-# default DROP rule.  This is the minimum requirement to avoid +
-# long delays while connecting.  Also see the tcp_inbound rule. +
-$IPT -A udp_inbound -p UDP -s 0/0 --destination-port 113 -j REJECT +
- +
-# A more sophisticated configuration could accept the ident requests. +
-# $IPT -A udp_inbound -p UDP -s 0/0 --destination-port 113 -j ACCEPT +
- +
-# However, if this is a gateway system that masquerades/nats for internal systems +
-# and the internal systems wish to chat, a simple changing these rules to +
-# ACCEPT won't work.  The ident daemon on the gateway will need to know how +
-# to handle the requests.  The stock daemon in most linux distributions +
-# can't do that.   oidentd is one package that can. +
-# See: http://dev.ojnk.net/ +
- +
-# Network Time Protocol (NTP) Server +
-$IPT -A udp_inbound -p UDP -s 0/0 --destination-port 123 -j ACCEPT +
- +
-# Dynamic Address +
-# If DHCP, the initial request is a broadcast. The response +
-# doesn't exactly match the outbound packet.  This explicitly +
-# allow the DHCP ports to alleviate this problem. +
-# If you receive your dynamic address by a different means, you +
-# can probably comment this line. +
-$IPT -A udp_inbound -p UDP -s 0/0 --source-port 67 --destination-port 68 \ +
-     -j ACCEPT +
- +
- +
-# Not matched, so return for logging +
-$IPT -A udp_inbound -p UDP -j RETURN +
- +
-# udp_outbound chain +
-+
-# This chain is used with a private network to prevent forwarding for +
-# UDP requests on specific protocols.  Applied to the FORWARD rule from +
-# the internal network.  Ends with an ACCEPT +
- +
- +
-# No match, so ACCEPT +
-$IPT -A udp_outbound -p UDP -s 0/0 -j ACCEPT +
- +
-# tcp_inbound chain +
-+
-# This chain is used to allow inbound connections to the +
-# system/gateway.  Use with care.  It defaults to none. +
-# It's applied on INPUT from the external or Internet interface. +
- +
-# Ident requests (Port 113) must have a REJECT rule rather than the +
-# default DROP rule.  This is the minimum requirement to avoid +
-# long delays while connecting.  Also see the tcp_inbound rule. +
-$IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 113 -j REJECT +
- +
-# A more sophisticated configuration could accept the ident requests. +
-# $IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 113 -j ACCEPT +
- +
-# However, if this is a gateway system that masquerades/nats for internal systems +
-# and the internal systems wish to chat, a simple changing these rules to +
-# ACCEPT won't work.  The ident daemon on the gateway will need to know how +
-# to handle the requests.  The stock daemon in most linux distributions +
-# can't do that.   oidentd is one package that can. +
-# See: http://dev.ojnk.net/ +
- +
-# Web Server +
- +
-# HTTP +
-$IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 80 -j ACCEPT +
- +
-# HTTPS (Secure Web Server) +
-$IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 443 -j ACCEPT +
- +
-# FTP Server (Control) +
-$IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 21 -j ACCEPT +
- +
-# FTP Client (Data Port for non-PASV transfers) +
-$IPT -A tcp_inbound -p TCP -s 0/0 --source-port 20 -j ACCEPT +
- +
-# Passive FTP +
-#  +
-# With passive FTP, the server provides a port to the client +
-# and allows the client to initiate the connection rather +
-# than initiating the connection with the client from the data port. +
-# Web browsers and clients operating behind a firewall generally +
-# use passive ftp transfers.  A general purpose FTP server +
-# will need to support them. +
-#  +
-# However, by default an FTP server will select a port from the entire +
-# range of high ports.  It is not particularly safe to open all +
-# high ports.  Fortunately, that range can be restricted.  This +
-# firewall presumes that the range has been restricted to a specific +
-# selected range.  That range must also be configured in the ftp server. +
-#  +
-# Instructions for specifying the port range for the wu-ftpd server +
-# can be found here: +
-# http://www.wu-ftpd.org/man/ftpaccess.html +
-# (See the passive ports option.) +
-#  +
-# Instructions for the ProFTPD server can be found here: +
-# http://proftpd.linux.co.uk/localsite/Userguide/linked/x861.html +
- +
-$IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 62000:64000 -j ACCEPT +
- +
-# Email Server (SMTP) +
-$IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 25 -j ACCEPT +
- +
-# Email Server (POP3) +
-$IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 110 -j ACCEPT +
- +
-# Email Server (IMAP4) +
-$IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 143 -j ACCEPT +
- +
-# SSL Email Server (POP3) +
-$IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 995 -j ACCEPT +
- +
-# SSL Email Server (IMAP4) +
-$IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 993 -j ACCEPT +
- +
-# sshd +
-$IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 22 -j ACCEPT +
- +
-# ICQ File Transfers & Other Advanced Features +
-#  +
-# ICQ supports a number of options beyond simple instant messaging. +
-# For those to function, the instant messaging system must allow +
-# new connections initiated from remote systems. This option will +
-# open a specified port range on the firewalled system.  The ICQ client +
-# on the firewalled system must also be configured to use the specified +
-# port range. +
- +
-$IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 5000:5100 -j ACCEPT +
- +
-# MSN Messenger File Transfers +
-#  +
-# Messenger supports file transfers.  For transfers initiated by +
-# remote systems to function, the system must allow +
-# new connections initiated from remote systems a specific port range. +
-# This option defaults to the port range 6891 through 6900. +
-# Unless the MSN Messenger client can be configured to specify any +
-# port range, don't change the default. +
- +
-$IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 6891:6900 -j ACCEPT +
- +
-# User specified allowed UDP protocol +
-$IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 32500:36000 -j ACCEPT +
- +
- +
-# Not matched, so return so it will be logged +
-$IPT -A tcp_inbound -p TCP -j RETURN +
- +
-# tcp_outbound chain +
-+
-# This chain is used with a private network to prevent forwarding for +
-# requests on specific protocols.  Applied to the FORWARD rule from +
-# the internal network.  Ends with an ACCEPT +
- +
- +
-# No match, so ACCEPT +
-$IPT -A tcp_outbound -p TCP -s 0/0 -j ACCEPT +
- +
-############################################################################### +
-+
-# INPUT Chain +
-+
- +
-echo "Process INPUT chain ..." +
- +
-# Allow all on localhost interface +
-$IPT -A INPUT -p ALL -i $LO_IFACE -j ACCEPT +
- +
-# Drop bad packets +
-$IPT -A INPUT -p ALL -j bad_packets +
- +
-# DOCSIS compliant cable modems +
-# Some DOCSIS compliant cable modems send IGMP multicasts to find +
-# connected PCs.  The multicast packets have the destination address +
-# 224.0.0.1.  You can accept them.  If you choose to do so, +
-# Uncomment the rule to ACCEPT them and comment the rule to DROP +
-# them  The firewall will drop them here by default to avoid +
-# cluttering the log.  The firewall will drop all multicasts +
-# to the entire subnet (224.0.0.1) by default.  To only affect +
-# IGMP multicasts, change '-p ALL' to '-p 2' Of course, +
-# if they aren't accepted elsewhere, it will only ensure that +
-# multicasts on other protocols are logged. +
-# Drop them without logging. +
-$IPT -A INPUT -p ALL -d 224.0.0.1 -j DROP +
-# The rule to accept the packets. +
-# $IPT -A INPUT -p ALL -d 224.0.0.1 -j ACCEPT +
- +
-# Rules for the private network (accessing gateway system itself) +
-$IPT -A INPUT -p ALL -i $LOCAL_IFACE -s $LOCAL_NET -j ACCEPT +
-$IPT -A INPUT -p ALL -i $LOCAL_IFACE -d $LOCAL_BCAST -j ACCEPT +
- +
- +
-# Inbound Internet Packet Rules +
- +
-# Accept Established Connections +
-$IPT -A INPUT -p ALL -i $INET_IFACE -m state --state ESTABLISHED,RELATED \ +
-     -j ACCEPT +
- +
-# Route the rest to the appropriate user chain +
-$IPT -A INPUT -p TCP -i $INET_IFACE -j tcp_inbound +
-$IPT -A INPUT -p UDP -i $INET_IFACE -j udp_inbound +
-$IPT -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets +
- +
-# Drop without logging broadcasts that get this far. +
-# Cuts down on log clutter. +
-# Comment this line if testing new rules that impact +
-# broadcast protocols. +
-$IPT -A INPUT -m pkttype --pkt-type broadcast -j DROP +
- +
-# Log packets that still don't match +
-$IPT -A INPUT -j LOG --log-prefix "fp=INPUT:99 a=DROP " +
- +
-############################################################################### +
-+
-# FORWARD Chain +
-+
- +
-echo "Process FORWARD chain ..." +
- +
-# Used if forwarding for a private network +
- +
-# Drop bad packets +
-$IPT -A FORWARD -p ALL -j bad_packets +
- +
-# Accept TCP packets we want to forward from internal sources +
-$IPT -A FORWARD -p tcp -i $LOCAL_IFACE -j tcp_outbound +
- +
-# Accept UDP packets we want to forward from internal sources +
-$IPT -A FORWARD -p udp -i $LOCAL_IFACE -j udp_outbound +
- +
-# If not blocked, accept any other packets from the internal interface +
-$IPT -A FORWARD -p ALL -i $LOCAL_IFACE -j ACCEPT +
- +
-# Deal with responses from the internet +
-$IPT -A FORWARD -i $INET_IFACE -m state --state ESTABLISHED,RELATED \ +
-     -j ACCEPT +
- +
-# Port Forwarding is enabled, so accept forwarded traffic +
-$IPT -A FORWARD -p tcp -i $INET_IFACE --destination-port 8080 \ +
-     --destination 192.168.1.50 -j ACCEPT  +
- +
-# Log packets that still don't match +
-$IPT -A FORWARD -j LOG --log-prefix "fp=FORWARD:99 a=DROP " +
- +
-############################################################################### +
-+
-# OUTPUT Chain +
-+
- +
-echo "Process OUTPUT chain ..." +
- +
-# Generally trust the firewall on output +
- +
-# However, invalid icmp packets need to be dropped +
-# to prevent a possible exploit. +
-$IPT -A OUTPUT -m state -p icmp --state INVALID -j DROP +
- +
-# Localhost +
-$IPT -A OUTPUT -p ALL -s $LO_IP -j ACCEPT +
-$IPT -A OUTPUT -p ALL -o $LO_IFACE -j ACCEPT +
- +
-# To internal network +
-$IPT -A OUTPUT -p ALL -s $LOCAL_IP -j ACCEPT +
-$IPT -A OUTPUT -p ALL -o $LOCAL_IFACE -j ACCEPT +
- +
-# To internet +
-$IPT -A OUTPUT -p ALL -o $INET_IFACE -j ACCEPT +
- +
-# Log packets that still don't match +
-$IPT -A OUTPUT -j LOG --log-prefix "fp=OUTPUT:99 a=DROP " +
- +
-############################################################################### +
-+
-# nat table +
-+
-############################################################################### +
- +
-# The nat table is where network address translation occurs if there +
-# is a private network.  If the gateway is connected to the Internet +
-# with a static IP, snat is used.  If the gateway has a dynamic address, +
-# masquerade must be used instead.  There is more overhead associated +
-# with masquerade, so snat is better when it can be used. +
-# The nat table has a builtin chain, PREROUTING, for dnat and redirects. +
-# Another, POSTROUTING, handles snat and masquerade. +
- +
-echo "Load rules for nat table ..." +
- +
-############################################################################### +
-+
-# PREROUTING chain +
-+
- +
-# Port Forwarding +
-#  +
-# Port forwarding forwards all traffic on a port or ports from +
-# the firewall to a computer on the internal LAN.  This can +
-# be required to support special situations.  For instance, +
-# this is the only way to support file transfers with an ICQ +
-# client on an internal computer.  It's also required if an internal +
-# system hosts a service such as a web server.  However, it's also +
-# a dangerous option.  It allows Internet computers access to +
-# your internal network.  Use it carefully and only if you're +
-# certain you know what you're doing. +
- +
-$IPT -t nat -A PREROUTING -p tcp -i $INET_IFACE --destination-port 80:80 \ +
-     -j DNAT --to-destination 192.168.1.50:8080 +
- +
-# This is a sample that will exempt a specific host from the transparent proxy +
-#$IPT -t nat -A PREROUTING -p tcp -s 192.168.1.50 --destination-port 80 \ +
-#     -j RETURN +
-#$IPT -t nat -A PREROUTING -p tcp -s 192.168.1.50 --destination-port 443 \ +
-#     -j RETURN +
- +
-# Redirect HTTP for a transparent proxy +
-$IPT -t nat -A PREROUTING -p tcp --destination-port 80 \ +
-     -j REDIRECT --to-ports 3128 +
-# Redirect HTTPS for a transparent proxy - commented by default +
-# $IPT -t nat -A PREROUTING -p tcp --destination-port 443 \ +
-#     -j REDIRECT --to-ports 3128 +
- +
-############################################################################### +
-+
-# POSTROUTING chain +
-+
- +
-$IPT -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE +
- +
-############################################################################### +
-+
-# mangle table +
-+
-############################################################################### +
- +
-# The mangle table is used to alter packets.  It can alter or mangle them in +
-# several ways.  For the purposes of this generator, we only use its ability +
-# to alter the TTL in packets.  However, it can be used to set netfilter +
-# mark values on specific packets.  Those marks could then be used in another +
-# table like filter, to limit activities associated with a specific host, for +
-# instance.  The TOS target can be used to set the Type of Service field in +
-# the IP header.  Note that the TTL target might not be included in the +
-# distribution on your system.  If it is not and you require it, you will +
-# have to add it.  That may require that you build from source. +
- +
-echo "Load rules for mangle table ..." +
- +
-# Set the TTL in outbound packets to the same consistent value. +
-# A value around 128 is a good value.  Do not set this too high as +
-# it will adversely affect your network.  It is also considered bad +
-# form on the Internet. +
-$IPT -t mangle -A OUTPUT -o $INET_IFACE -j TTL --ttl-set 128 +
-</code> +
- +
-<WRAP center round todo> +
-**A Faire** : Utilisez la commande **system-config-firewall** pour lancer l'outil graphique **Configuration du pare-feu** et constatez la configuration de netfilter. +
-</WRAP> +
- +
-===La Configuration par firewalld sous RHEL/CentOS 7===+
  
 <WRAP center round important> <WRAP center round important>
-**Important** : Importez une machine virtuelle vierge de CentOS 7.+**Important** : La valeur de la limite peut être un **nombre** ou le mot **unlimited**.
 </WRAP> </WRAP>
  
-firewalld est à Netfilter ce que NetworkManager est au réseau. firewalld utilise des **zones** - des jeux de règles pré-définis dans lesquels sont placés les interfaces :+Par exemple, si root inscrit les deux ligne suivantes dans le fichier /etc/security/limits.conf :
  
-  * **trusted** - un réseau fiable. Dans ce cas tous les ports sont autorisés, +<file> 
-  * **work**, **home**, **internal** - un réseau partiellement fiableDans ce cas quelques ports sont autorisés, +..
-  * **dmz**, **public**, **external** - un réseau non fiableDans ce cas peu de ports sont autorisés, +trainee                soft        nofile          1024 
-  * **block**, **drop** - tout est interditLa zone drop n'envoie pas de messages d'erreurs.+trainee                hard        nofile          4096 
 +..
 +</file>
  
-<WRAP center round important> +la limite du nombre de fichiers ouverts simultanément par trainee est de 1 024Par contre, trainee a la possibilité d'augmenter cette limite jusqu'à 4 096 en utilisant la commande suivante :
-Une interface ne peut être que dans une zone à la fois tandis que plusieurs interfaces peuvent être dans la même zone. +
-</WRAP> +
- +
-Le service firewalld doit toujours être lancé :+
  
 <code> <code>
-[root@centos7 ~]# systemctl status firewalld.service +$ ulimit -n 4096
-firewalld.service firewalld - dynamic firewall daemon +
-   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled) +
-   Active: active (running) since Tue 2015-07-07 15:53:56 CEST; 1 day 21h ago +
- Main PID: 493 (firewalld) +
-   CGroup: /system.slice/firewalld.service +
-           └─493 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid +
- +
-Jul 07 15:53:56 centos7.fenestros.loc systemd[1]: Started firewalld - dynamic firewall daemon.+
 </code> </code>
  
-==La Configuration de Base de firewalld== +Pour consulter la liste des limites actuelles, il convient d'utiliser la commande ulimit avec l'option **-a** :
- +
-La configuration par défaut de firewalld se trouve dans **/usr/lib/firewalld** :+
  
 <code> <code>
-[root@centos7 ~]# ls -l /usr/lib/firewalld/ +[root@centos7 ~]# ulimit -a 
-total 12 +core file size          (blocks, -c) 0 
-drwxr-x---. 2 root root 4096 Jun  4 09:52 icmptypes +data seg size           (kbytes, -d) unlimited 
-drwxr-x---. 2 root root 4096 Jun  4 09:52 services +scheduling priority             (-e) 0 
-drwxr-x---. 2 root root 4096 Jun  4 09:52 zones +file size               (blocks, -f) unlimited 
-[root@centos7 ~]# ls -l /usr/lib/firewalld/zones +pending signals                 (-i) 6929 
-total 36 +max locked memory       (kbytes, -l) 64 
--rw-r-----. 1 root root 299 Mar  6 00:35 block.xml +max memory size         (kbytes, -m) unlimited 
--rw-r-----. 1 root root 293 Mar  6 00:35 dmz.xml +open files                      (-n) 1024 
--rw-r-----. 1 root root 291 Mar  6 00:35 drop.xml +pipe size            (512 bytes, -p) 8 
--rw-r-----. 1 root root 304 Mar  6 00:35 external.xml +POSIX message queues     (bytes, -q) 819200 
--rw-r-----. 1 root root 400 Mar  6 00:35 home.xml +real-time priority              (-r) 0 
--rw-r-----. 1 root root 415 Mar  6 00:35 internal.xml +stack size              (kbytes, -s) 8192 
--rw-r-----. 1 root root 315 Mar  6 00:35 public.xml +cpu time               (seconds, -t) unlimited 
--rw-r-----. 1 root root 162 Mar  6 00:35 trusted.xml +max user processes              (-u) 6929 
--rw-r-----. 1 root root 342 Mar  6 00:35 work.xml +virtual memory          (kbytes, -v) unlimited 
-[root@centos7 ~]# ls -l /usr/lib/firewalld/services +file locks                      (-x) unlimited
-total 192 +
--rw-r-----. 1 root root 412 Mar  6 00:35 amanda-client.xml +
--rw-r-----. 1 root root 320 Mar  6 00:35 bacula-client.xml +
--rw-r-----. 1 root root 346 Mar  6 00:35 bacula.xml +
--rw-r-----. 1 root root 305 Mar  6 00:35 dhcpv6-client.xml +
--rw-r-----. 1 root root 234 Mar  6 00:35 dhcpv6.xml +
--rw-r-----. 1 root root 227 Mar  6 00:35 dhcp.xml +
--rw-r-----. 1 root root 346 Mar  6 00:35 dns.xml +
--rw-r-----. 1 root root 374 Mar  6 00:35 ftp.xml +
--rw-r-----. 1 root root 476 Mar  6 00:35 high-availability.xml +
--rw-r-----. 1 root root 448 Mar  6 00:35 https.xml +
--rw-r-----. 1 root root 353 Mar  6 00:35 http.xml +
--rw-r-----. 1 root root 372 Mar  6 00:35 imaps.xml +
--rw-r-----. 1 root root 454 Mar  6 00:35 ipp-client.xml +
--rw-r-----. 1 root root 427 Mar  6 00:35 ipp.xml +
--rw-r-----. 1 root root 517 Mar  6 00:35 ipsec.xml +
--rw-r-----. 1 root root 233 Mar  6 00:35 kerberos.xml +
--rw-r-----. 1 root root 221 Mar  6 00:35 kpasswd.xml +
--rw-r-----. 1 root root 232 Mar  6 00:35 ldaps.xml +
--rw-r-----. 1 root root 199 Mar  6 00:35 ldap.xml +
--rw-r-----. 1 root root 385 Mar  6 00:35 libvirt-tls.xml +
--rw-r-----. 1 root root 389 Mar  6 00:35 libvirt.xml +
--rw-r-----. 1 root root 424 Mar  6 00:35 mdns.xml +
--rw-r-----. 1 root root 211 Mar  6 00:35 mountd.xml +
--rw-r-----. 1 root root 190 Mar  6 00:35 ms-wbt.xml +
--rw-r-----. 1 root root 171 Mar  6 00:35 mysql.xml +
--rw-r-----. 1 root root 324 Mar  6 00:35 nfs.xml +
--rw-r-----. 1 root root 389 Mar  6 00:35 ntp.xml +
--rw-r-----. 1 root root 335 Mar  6 00:35 openvpn.xml +
--rw-r-----. 1 root root 433 Mar  6 00:35 pmcd.xml +
--rw-r-----. 1 root root 474 Mar  6 00:35 pmproxy.xml +
--rw-r-----. 1 root root 544 Mar  6 00:35 pmwebapis.xml +
--rw-r-----. 1 root root 460 Mar  6 00:35 pmwebapi.xml +
--rw-r-----. 1 root root 357 Mar  6 00:35 pop3s.xml +
--rw-r-----. 1 root root 181 Mar  6 00:35 postgresql.xml +
--rw-r-----. 1 root root 261 Mar  6 00:35 proxy-dhcp.xml +
--rw-r-----. 1 root root 446 Mar  6 00:35 radius.xml +
--rw-r-----. 1 root root 517 Mar  6 00:35 RH-Satellite-6.xml +
--rw-r-----. 1 root root 214 Mar  6 00:35 rpc-bind.xml +
--rw-r-----. 1 root root 384 Mar  6 00:35 samba-client.xml +
--rw-r-----. 1 root root 461 Mar  6 00:35 samba.xml +
--rw-r-----. 1 root root 550 Mar  6 00:35 smtp.xml +
--rw-r-----. 1 root root 463 Mar  6 00:35 ssh.xml +
--rw-r-----. 1 root root 393 Mar  6 00:35 telnet.xml +
--rw-r-----. 1 root root 301 Mar  6 00:35 tftp-client.xml +
--rw-r-----. 1 root root 437 Mar  6 00:35 tftp.xml +
--rw-r-----. 1 root root 211 Mar  6 00:35 transmission-client.xml +
--rw-r-----. 1 root root 475 Mar  6 00:35 vnc-server.xml +
--rw-r-----. 1 root root 310 Mar  6 00:35 wbem-https.xml +
-[root@centos7 ~]# ls -l /usr/lib/firewalld/icmptypes/ +
-total 36 +
--rw-r-----. 1 root root 222 Mar  6 00:35 destination-unreachable.xml +
--rw-r-----. 1 root root 173 Mar  6 00:35 echo-reply.xml +
--rw-r-----. 1 root root 210 Mar  6 00:35 echo-request.xml +
--rw-r-----. 1 root root 225 Mar  6 00:35 parameter-problem.xml +
--rw-r-----. 1 root root 185 Mar  6 00:35 redirect.xml +
--rw-r-----. 1 root root 227 Mar  6 00:35 router-advertisement.xml +
--rw-r-----. 1 root root 223 Mar  6 00:35 router-solicitation.xml +
--rw-r-----. 1 root root 248 Mar  6 00:35 source-quench.xml +
--rw-r-----. 1 root root 253 Mar  6 00:35 time-exceeded.xml+
 </code> </code>
  
-Ces fichiers sont au format **xml**, par exemple :+====Options de la commande====
  
-<code> +Les options de **ulimit** sont :
-[root@centos7 ~]# cat /usr/lib/firewalld/zones/home.xml  +
-<?xml version="1.0" encoding="utf-8"?> +
-<zone> +
-  <short>Home</short> +
-  <description>For use in home areas. You mostly trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description> +
-  <service name="ssh"/> +
-  <service name="ipp-client"/> +
-  <service name="mdns"/> +
-  <service name="samba-client"/> +
-  <service name="dhcpv6-client"/> +
-</zone> +
-</code> +
- +
-La configuration de firewalld ainsi que les définitions et règles personnalisées se trouvent dans **/etc/firewalld** :+
  
 <code> <code>
-[root@centos7 ~]# ls -l /etc/firewalld/ +[root@centos7 ~]# help ulimit 
-total 8 +ulimit: ulimit [-SHacdefilmnpqrstuvx] [limit] 
--rw-r-----. 1 root root 1026 Mar  6 00:35 firewalld.conf +    Modify shell resource limits. 
-drwxr-x---. 2 root root    6 Mar  6 00:35 icmptypes +     
--rw-r-----. 1 root root  271 Mar  6 00:35 lockdown-whitelist.xml +    Provides control over the resources available to the shell and processes 
-drwxr-x---. 2 root root    6 Mar  6 00:35 services +    it creates, on systems that allow such control. 
-drwxr-x---. 2 root root   23 Mar  6 00:35 zones +     
-[root@centos7 ~]# ls -l /etc/firewalld/zones/ +    Options: 
-total 4 +      -S use the `soft' resource limit 
--rw-r--r--. 1 root root 315 Mar  8 14:05 public.xml +      -H use the `hard' resource limit 
-[root@centos7 ~]# ls -l /etc/firewalld/services/ +      -a all current limits are reported 
-total 0 +      -b the socket buffer size 
-[root@centos7 ~]# ls -l /etc/firewalld/icmptypes/ +      -c the maximum size of core files created 
-total 0+      -d the maximum size of a process's data segment 
 +      -e the maximum scheduling priority (`nice') 
 +      -f the maximum size of files written by the shell and its children 
 +      -i the maximum number of pending signals 
 +      -l the maximum size a process may lock into memory 
 +      -m the maximum resident set size 
 +      -n the maximum number of open file descriptors 
 +      -p the pipe buffer size 
 +      -q the maximum number of bytes in POSIX message queues 
 +      -r the maximum real-time scheduling priority 
 +      -s the maximum stack size 
 +      -t the maximum amount of cpu time in seconds 
 +      -u the maximum number of user processes 
 +      -v the size of virtual memory 
 +      -x the maximum number of file locks 
 +     
 +    If LIMIT is given, it is the new value of the specified resource; the 
 +    special LIMIT values `soft', `hard', and `unlimited' stand for the 
 +    current soft limit, the current hard limit, and no limit, respectively. 
 +    Otherwise, the current value of the specified resource is printed.  If 
 +    no option is given, then -f is assumed
 +     
 +    Values are in 1024-byte increments, except for -t, which is in seconds, 
 +    -p, which is in increments of 512 bytes, and -u, which is an unscaled 
 +    number of processes
 +     
 +    Exit Status: 
 +    Returns success unless an invalid option is supplied or an error occurs.
 </code> </code>
  
-Le fichier de configuration de firewalld est **/etc/firewalld/firewalld.conf** :+====Groupes de Contrôle====
  
-<code> +Les **Groupes de Contrôles** (//Control Groups//) aussi appelés **CGroups**, sont une nouvelle façon sous RHEL/CentOS 7 de contrôler et de limiter des ressources. Les groupes de contrôle permettent l'allocation de ressources, même d'une manière dynamique pendant que le système fonctionne, telles le temps processeur, la mémoire système, la bande réseau, ou une combinaison de ces ressources parmi des groupes de tâches (processus) définis par l'utilisateur et exécutés sur un système.
-[root@centos7 ~]# cat /etc/firewalld/firewalld.conf  +
-# firewalld config file+
  
-# default zone +Les groupes de contrôle sont organisés de manière hiérarchique, comme des processus. Par contre, la comparaison entre les deux démontre que tandis que les processus se trouvent dans une arborescence unique descandant tous du processus init et héritant de l'environnement de leurs parents, les contrôles groupes peuvent être multiples donnant lieu à des arborescences ou **hiérarchies** multiples qui héritent de certains attributs de leurs groupes de contrôle parents.
-# The default zone used if an empty zone string is used. +
-# Default: public +
-DefaultZone=public+
  
-# Minimal mark +Ces hiérarchies multiples et séparés sont necéssaires parce que chaque hiérarchie est attaché à un ou plusieurs **sous-système(s)** aussi appelés des **Contrôleurs de Ressources** ou simplement des **Contrôleurs**Les contrôleurs disponibles sous RHEl/CentOS 7 sont :
-# Marks up to this minimum are free for use for example in the direct  +
-# interfaceIf more free marks are needed, increase the minimum +
-# Default100 +
-MinimalMark=100+
  
-# Clean up on exit +  * **blkio** - utilisé pour établir des limites sur l'accès des entrées/sorties à partir et depuis des périphériques blocs, 
-# If set to no or false the firewall configuration will not get cleaned up +  * **cpu** - utilisé pour fournir aux tâches des groupes de contrôle accès au CPU grâce au planificateur, 
-# on exit or stop of firewalld +  * **cpuacct** - utilisé pour produire des rapports automatiques sur les ressources CPU utilisées par les tâches dans un groupe de contrôle, 
-# Default: yes +  * **cpuset** - utilisé pour assigner des CPU individuels sur un système multicoeur et des noeuds de mémoire à des tâches dans un groupe de contrôle, 
-CleanupOnExit=yes+  * **devices** - utilisé pour autoriser ou pour refuser l'accès des tâches aux périphériques dans un groupe de contrôle, 
 +  * **freezer** - utilisé pour suspendre ou pour réactiver les tâches dans un groupe de contrôle, 
 +  * **memory** - utilisé pour établir les limites d'utilisation de la mémoire par les tâches d'un groupe de contrôle et pour génèrer des rapports automatiques sur les ressources rmémoire utilisées par ces tâches, 
 +  * **net_cls** - utilisé pour repèrer les paquets réseau avec un identifiant de classe (//classid//) afin de permettre au contrôleur de trafic Linux, **tc**,  d'identifier les paquets provenant d'une tâche particulière d'un groupe de contrôle. 
 +  * **perf_event**  - utilisé pour permettre le monitoring des CGroups avec l'outil perf, 
 +  * **hugetlb** - utilisé pour limiter des ressources sur des pages de mémoire virtuelle de grande taille.
  
-# Lockdown +Pour visualiser les hiérarchiesil convient d'utiliser la commande suivante :
-# If set to enabled, firewall changes with the D-Bus interface will be limited +
-# to applications that are listed in the lockdown whitelist. +
-# The lockdown whitelist file is lockdown-whitelist.xml +
-# Default: no +
-Lockdown=no +
- +
-# IPv6_rpfilter +
-# Performs a reverse path filter test on a packet for IPv6. If a reply to the +
-# packet would be sent via the same interface that the packet arrived on, the  +
-# packet will match and be accepted, otherwise dropped. +
-# The rp_filter for IPv4 is controlled using sysctl. +
-# Default: yes +
-IPv6_rpfilter=yes +
- +
-</code> +
- +
-===La Commande firewall-cmd=== +
- +
-firewalld s'appuie sur netfilter. Pour cette raisonl'utilisation de firewall-cmd est incompatible avec l'utilisation des commandes iptables et system-config-firewall. +
- +
-<WRAP center round important> +
-firewall-cmd est le front-end de firewalld en ligne de commande. Il existe aussi la commande **firewall-config** qui lance un outi de configuration graphique. +
-</WRAP> +
- +
-Pour obtenir la liste de toutes les zones prédéfinies, utilisez la commande suivante :+
  
 <code> <code>
-[root@centos7 ~]# firewall-cmd --get-zones +[root@centos7 ~]# lssubsys -am 
-block dmz drop external home internal public trusted work +cpuset /sys/fs/cgroup/cpuset 
-</code>+cpu,cpuacct /sys/fs/cgroup/cpu,cpuacct 
 +memory /sys/fs/cgroup/memory 
 +devices /sys/fs/cgroup/devices 
 +freezer /sys/fs/cgroup/freezer 
 +net_cls /sys/fs/cgroup/net_cls 
 +blkio /sys/fs/cgroup/blkio 
 +perf_event /sys/fs/cgroup/perf_event 
 +hugetlb /sys/fs/cgroup/hugetlb 
 +</code> 
  
-Pour obtenir la liste de toutes les services prédéfinisutilisez la commande suivante :+Sous RHEL/CentOS 7, **Systemd** organise les processus dans chaque CGroup. Par exemple tous les processus démarrés par le serveur Apache se trouveront dans le même CGroupy compris les scripts CGI. Ceci implique que la gestion des ressources en utilisant des hiérarchies est couplé avec l'arborescence des unités de Systemd.
  
-<code> +En haut de l'arborescence des unités de Systemd se trouve la tranche root - **-.slice**, dont dépend :
-[root@centos7 ~]# firewall-cmd --get-services +
-RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https +
-</code>+
  
-Pour obtenir la liste de toutes les types ICMP prédéfinisutilisez la commande suivante :+  * le **system.slice** - l'emplacement des services système, 
 +  * le **user.slice** - l'emplacement des sessions des utilisateurs, 
 +  * le **machine.slice** - l'emplacement des machines virtuelles et conteneurs.
  
-<code> +En dessous des tranches peuvent se trouver :
-[root@centos7 ~]# firewall-cmd --get-icmptypes +
-destination-unreachable echo-reply echo-request parameter-problem redirect router-advertisement router-solicitation source-quench time-exceeded +
-</code>+
  
-Pour obtenir la liste des zones de la configuration couranteutilisez la commande suivante :+  * des **scopes** - des processus crées par **fork**, 
 +  * des **services** - des processus créés par une **Unité**.
  
-<code> +Les slices peuvent être visualisés avec la commande suivante :
-[root@centos7 ~]# firewall-cmd --get-active-zones +
-public +
-  interfaces: enp0s3 +
-</code> +
- +
-Pour obtenir la liste des zones de la configuration courante pour une interface spécifique, utilisez la commande suivante :+
  
 <code> <code>
-[root@centos7 ~]# firewall-cmd --get-zone-of-interface=enp0s3 +[root@centos7 ~]# systemctl list-units --type=slice 
-public +UNIT               LOAD   ACTIVE SUB    DESCRIPTION 
-</code>+-.slice            loaded active active Root Slice 
 +system-getty.slice loaded active active system-getty.slice 
 +system.slice       loaded active active System Slice 
 +user-0.slice       loaded active active user-0.slice 
 +user-1000.slice    loaded active active user-1000.slice 
 +user.slice         loaded active active User and Session Slice
  
-Pour obtenir la liste des services autorisés pour la zone publicutilisez la commande suivante :+LOAD   = Reflects whether the unit definition was properly loaded. 
 +ACTIVE = The high-level unit activation statei.e. generalization of SUB. 
 +SUB    = The low-level unit activation state, values depend on unit type.
  
-<code> +6 loaded units listed. Pass --all to see loaded but inactive units, too. 
-[root@centos7 ~]# firewall-cmd --zone=public --list-services +To show all installed unit files use 'systemctl list-unit-files'.
-dhcpv6-client ssh+
 </code> </code>
  
-Pour obtenir toute la configuration pour la zone public, utilisez la commande suivante :+L'arborescence des unités de Systemd est la suivante :
  
 <code> <code>
-[root@centos7 ~]# firewall-cmd --zone=public --list-all +[root@centos7 ~]# systemd-cgls 
-public (default, active) +├─1 /usr/lib/systemd/systemd --switched-root --system --deserialize 21 
-  interfaces: enp0s3 +├─user.slice 
-  sources:  +│ └─user-1000.slice 
-  services: dhcpv6-client ssh +│   └─session-2.scope 
-  ports:  +│     ├─ 5577 sshdtrainee [priv] 
-  masqueradeno +│     ├─ 6004 sshd: trainee@pts/0  
-  forward-ports:  +│     ├─ 6167 -bash 
-  icmp-blocks:  +│     ├─ 6217 su - 
-  rich rules:  +│     ├─ 6245 -bash 
-  +│     ├─13457 systemd-cgls 
 +│     └─13459 systemd-cgls 
 +└─system.slice 
 +  ├─upower.service 
 +  │ └─3478 /usr/libexec/upowerd 
 +  ├─polkit.service 
 +  │ └─822 /usr/lib/polkit-1/polkitd --no-debug 
 +  ├─wpa_supplicant.service 
 +  │ └─821 /usr/sbin/wpa_supplicant -u -f /var/log/wpa_supplicant.log -c /etc/wpa_supplicant/wpa_supplicant.conf -u -f /var/log/wpa_supplicant.log -P /var/run/wpa_suppli 
 +  ├─crond.service 
 +  │ └─793 /usr/sbin/crond -n 
 +  ├─atd.service 
 +  │ └─789 /usr/sbin/atd -f 
 +  ├─tuned.service 
 +  │ └─762 /usr/bin/python -Es /usr/sbin/tuned -l -P 
 +  ├─simplegateway.service 
 +  │ ├─  760 /bin/sh /opt/JWrapper-Remote Access/JWAppsSharedConfig/SimpleGatewayService/service_launch.sh 
 +  │ ├─ 3202 /opt/JWrapper-Remote Access/JWrapper-Linux64JRE-00028603412-complete/bin/Remote Access -cp /opt/JWrapper-Remote Access/JWrapper-JWrapper-00041369502-complet 
 +  │ ├─ 3384 /opt/JWrapper-Remote Access/JWrapper-Linux64JRE-00028603412-complete/bin/Remote Access Monitoring -cp /opt/JWrapper-Remote Access/JWrapper-JWrapper-00041369 
 +  │ ├─13111 /bin/sh /opt/JWrapper-Remote Access/JWAppsSharedConfig/SimpleGatewayService/service_launch.sh 
 +  │ └─13458 sleep 1 
 +  ├─postfix.service 
 +  │ ├─1810 /usr/libexec/postfix/master -w 
 +  │ ├─1833 pickup -l -t unix -u 
 +  │ └─1834 qmgr -l -t unix -u 
 +  ├─cups.service 
 +  │ └─756 /usr/sbin/cupsd -f 
 +  ├─sshd.service 
 +  │ └─755 /usr/sbin/sshd -D 
 +  ├─docker.service 
 +  │ ├─750 /bin/sh -c /usr/bin/docker-current daemon $OPTIONS            $DOCKER_STORAGE_OPTIONS            $DOCKER_NETWORK_OPTIONS            $ADD_REGISTRY            $ 
 +  │ ├─753 /usr/bin/docker-current daemon --selinux-enabled 
 +  │ └─754 /usr/bin/forward-journald -tag docker 
 +  ├─NetworkManager.service 
 +  │ ├─ 678 /usr/sbin/NetworkManager --no-daemon 
 +  │ └─1968 /sbin/dhclient -d -q -sf /usr/libexec/nm-dhcp-helper -pf /var/run/dhclient-enp0s3.pid -lf /var/lib/NetworkManager/dhclient-3b386b69-23e8-4940-80e0-e16d346d43 
 +  ├─abrt-xorg.service 
 +  │ └─586 /usr/bin/abrt-watch-log -F Backtrace /var/log/Xorg.0.log -- /usr/bin/abrt-dump-xorg -xD 
 +  ├─abrt-oops.service 
 +  │ └─582 /usr/bin/abrt-watch-log -F BUGWARNING: at WARNING: CPU: INFO: possible recursive locking detected ernel BUG at list_del corruption list_add corruption do_IR 
 +  ├─abrtd.service 
 +  │ └─581 /usr/sbin/abrtd -d -s 
 +  ├─dbus.service 
 +  │ └─513 /bin/dbus-daemon --system --address=systemd--nofork --nopidfile --systemd-activation 
 +  ├─chronyd.service 
 +  │ └─525 /usr/sbin/chronyd 
 +  ├─firewalld.service 
 +  │ └─510 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid 
 +  ├─avahi-daemon.service 
 +  │ ├─507 avahi-daemonrunning [centos7.local 
 +  │ └─530 avahi-daemonchroot helpe 
 +  ├─ModemManager.service 
 +  │ └─506 /usr/sbin/ModemManager 
 +  ├─smartd.service 
 +  │ └─505 /usr/sbin/smartd -n -q never 
 +  ├─libstoragemgmt.service 
 +  │ └─494 /usr/bin/lsmd -d 
 +  ├─gssproxy.service 
 +  │ └─517 /usr/sbin/gssproxy -D 
 +  ├─systemd-logind.service 
 +  │ └─492 /usr/lib/systemd/systemd-logind 
 +  ├─rsyslog.service 
 +  │ └─488 /usr/sbin/rsyslogd -n 
 +  ├─alsa-state.service 
 +  │ └─487 /usr/sbin/alsactl -s -n 19 -c -E ALSA_CONFIG_PATH=/etc/alsa/alsactl.conf --initfile=/lib/alsa/init/00main rdaemon 
 +  ├─auditd.service 
 +  │ ├─463 /sbin/auditd -n 
 +  │ ├─473 /sbin/audispd 
 +  │ └─475 /usr/sbin/sedispatch 
 +  ├─systemd-udevd.service 
 +  │ └─381 /usr/lib/systemd/systemd-udevd 
 +  ├─lvm2-lvmetad.service 
 +  │ └─378 /usr/sbin/lvmetad -f 
 +  ├─systemd-journald.service 
 +  │ └─349 /usr/lib/systemd/systemd-journald 
 +  └─system-getty.slice 
 +    └─getty@tty1.service 
 +      └─798 /sbin/agetty --noclear tty1 linux
 </code> </code>
  
-Pour obtenir la liste complète de toutes les zones et leurs configurationsutilisez la commande suivante :+En utilisant Systemdplusieurs ressources peuvent être limitées :
  
-<code> +  * **CPUShares** - par défault 1024
-[root@centos7 ~]# firewall-cmd --list-all-zones +  * **MemoryLimit** - limite exprimée en Mo ou en GoPas de valeur par défaut
-block +  * **BlockIOWeight** - valeur entre 10 et 1000Pas de valeur par défaut
-  interfaces:  +  * **StartupCPUShares** - comme CPUShares mais uniquement appliqué pendant le démarrage
-  sources:  +  * **StartupBlockIOWeight** - comme BlockIOWeight mais uniquement appliqué pendant le démarrage
-  services:  +  * **CPUQuota** - utilisé pour limiter le temps CPUmême quand le système ne fait rien.
-  ports:  +
-  masquerade: no +
-  forward-ports:  +
-  icmp-blocks:  +
-  rich rules:  +
-  +
-dmz +
-  interfaces:  +
-  sources:  +
-  services: ssh +
-  ports:  +
-  masquerade: no +
-  forward-ports:  +
-  icmp-blocks:  +
-  rich rules:  +
-  +
-drop +
-  interfaces:  +
-  sources:  +
-  services:  +
-  ports:  +
-  masquerade: no +
-  forward-ports:  +
-  icmp-blocks:  +
-  rich rules:  +
-  +
-external +
-  interfaces:  +
-  sources:  +
-  services: ssh +
-  ports:  +
-  masquerade: yes +
-  forward-ports:  +
-  icmp-blocks:  +
-  rich rules:  +
-  +
-home +
-  interfaces:  +
-  sources:  +
-  services: dhcpv6-client ipp-client mdns samba-client ssh +
-  ports:  +
-  masquerade: no +
-  forward-ports:  +
-  icmp-blocks:  +
-  rich rules:  +
-  +
-internal +
-  interfaces:  +
-  sources:  +
-  services: dhcpv6-client ipp-client mdns samba-client ssh +
-  ports:  +
-  masquerade: no +
-  forward-ports:  +
-  icmp-blocks:  +
-  rich rules:  +
-  +
-public (default, active) +
-  interfaces: enp0s3 +
-  sources:  +
-  services: dhcpv6-client ssh +
-  ports:  +
-  masquerade: no +
-  forward-ports:  +
-  icmp-blocks:  +
-  rich rules:  +
-  +
-trusted +
-  interfaces:  +
-  sources:  +
-  services:  +
-  ports:  +
-  masquerade: no +
-  forward-ports:  +
-  icmp-blocks:  +
-  rich rules:  +
-  +
-work +
-  interfaces:  +
-  sources:  +
-  services: dhcpv6-client ipp-client ssh +
-  ports:  +
-  masquerade: no +
-  forward-ports:  +
-  icmp-blocks:  +
-  rich rules:  +
-</code> +
- +
-Pour changer la zone par défaut de public à work, utilisez la commande suivante : +
- +
-<code> +
-[root@centos7 ~]# firewall-cmd --set-default-zone=work +
-success +
-[root@centos7 ~]# firewall-cmd --get-active-zones +
-work +
-  interfaces: enp0s3 +
-</code> +
- +
-Pour ajouter l'interface ip_fixe à la zone work, utilisez la commande suivante : +
- +
-<code> +
-[root@centos7 ~]# firewall-cmd --zone=work --add-interface=ip_fixe +
-success +
-[root@centos7 ~]# firewall-cmd --get-active-zones +
-work +
-  interfaces: enp0s3 ip_fixe +
-</code> +
- +
-Pour supprimer l'interface ip_fixe à la zone work, utilisez la commande suivante : +
- +
-<code> +
-[root@centos7 ~]# firewall-cmd --zone=work --remove-interface=ip_fixe +
-success +
-[root@centos7 ~]# firewall-cmd --get-active-zones +
-work +
-  interfaces: enp0s3 +
-</code> +
- +
-Pour ajouter le service **http** à la zone **work**, utilisez la commande suivante : +
- +
-<code> +
-[root@centos7 ~]# firewall-cmd --zone=work --add-service=http +
-success +
-[root@centos7 ~]# firewall-cmd --zone=work --list-services +
-dhcpv6-client http ipp-client ssh +
-</code> +
- +
-Pour supprimer le service **http** de la zone **work**, utilisez la commande suivante : +
- +
-<code> +
-[root@centos7 ~]# firewall-cmd --zone=work --remove-service=http +
-success +
-[root@centos7 ~]# firewall-cmd --zone=work --list-services +
-dhcpv6-client ipp-client ssh +
-</code> +
- +
-Pour ajouter un nouveau bloc ICMP, utilisez la commande suivante : +
- +
-<code> +
-[root@centos7 ~]# firewall-cmd --zone=work --add-icmp-block=echo-reply +
-success +
-[root@centos7 ~]# firewall-cmd --zone=work --list-icmp-blocks +
-echo-reply +
-</code> +
- +
-Pour supprimer un bloc ICMP, utilisez la commande suivante : +
- +
-<code> +
-[root@centos7 ~]# firewall-cmd --zone=work --remove-icmp-block=echo-reply +
-success +
-[root@centos7 ~]# firewall-cmd --zone=work --list-icmp-blocks +
-[root@centos7 ~]#  +
-</code> +
- +
-Pour ajouter le port 591/tcp à la zone work, utilisez la commande suivante : +
- +
-<code> +
-[root@centos7 ~]# firewall-cmd --zone=work --add-port=591/tcp +
-success +
-[root@centos7 ~]# firewall-cmd --zone=work --list-ports +
-591/tcp +
-</code> +
- +
-Pour supprimer le port 591/tcp à la zone work, utilisez la commande suivante : +
- +
-<code> +
-[root@centos7 ~]# firewall-cmd --zone=work --remove-port=591/tcp +
-success +
-[root@centos7 ~]# firewall-cmd --zone=work --list-ports +
-[root@centos7 ~]# +
-</code> +
- +
-Pour créer un nouveau service, il convient de : +
- +
-  * copier un fichier existant se trouvant dans le répertoire **/usr/lib/firewalld/services** vers **/etc/firewalld/services**, +
-  * modifier le fichier, +
-  * recharger la configuration de firewalld, +
-  * vérifier que firewalld voit le nouveau service. +
- +
-Par exemple : +
- +
-<code> +
-[root@centos7 ~]# cp /usr/lib/firewalld/services/http.xml /etc/firewalld/services/filemaker.xml +
-[root@centos7 ~]# +
-[root@centos7 ~]# cat /etc/firewalld/services/filemaker.xml  +
-<?xml version="1.0" encoding="utf-8"?> +
-<service> +
-  <short>FileMakerPro</short> +
-  <description>fichier de service firewalld pour FileMaker Pro</description> +
-  <port protocol="tcp" port="591"/> +
-</service> +
-[root@centos7 ~]# +
-[root@centos7 ~]# firewall-cmd --reload +
-success +
-[root@centos7 ~]# +
-[root@centos7 ~]# firewall-cmd --get-services +
-RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns filemaker ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https +
-</code> +
- +
-==La Configuration Avancée de firewalld== +
- +
-La configuration de base de firewalld ne permet que la configuration des zones, services, blocs ICMP et les ports non-standard. Cependant firewalld peut également être configuré avec des **Rich Rules** ou **//Règles Riches//**. Rich Rules ou Règles Riches évaluent des **critères** pour ensuite entreprendre une **action**.  +
- +
-Les **Critères** sont : +
- +
-  * **source address="<adresse_IP>"** +
-  * **destination address="<adresse_IP>"**, +
-  * **rule port port="<numéro_du_port>"**, +
-  * **service name=<nom_d'un_sevice_prédéfini>**. +
- +
-Les **Actions** sont : +
- +
-  * **accept**, +
-  * **reject**, +
-    * une Action reject peut être associée avec un message d'erreur spécifique par la clause **type="<type_d'erreur>**+
-  * **drop**+
- +
-Saisissez la commande suivante pour ouvrir le port 80 : +
- +
-<code> +
-[root@centos7 ~]# firewall-cmd --add-rich-rule='rule port port="80" protocol="tcp" accept' +
-success +
-</code> +
- +
-<WRAP center round important 50%> +
-Notez que la Rich Rule doit être entourée de caractères **'**.  +
-</WRAP> +
- +
-Saisissez la commande suivante pour visualiser la règle iptables pour IPv4 : +
- +
-<code> +
-[root@centos7 ~]# iptables -L -n | grep 80 +
-ACCEPT     tcp  --  0.0.0.0/           0.0.0.0/           tcp dpt:80 ctstate NEW +
-</code> +
- +
-Saisissez la commande suivante pour visualiser la règle iptables pour IPv6 : +
- +
-<code> +
-[root@centos7 ~]# ip6tables -L -n | grep 80 +
-ACCEPT     udp      ::/0                 fe80::/64            udp dpt:546 ctstate NEW +
-ACCEPT     tcp      ::/0                 ::/                tcp dpt:80 ctstate NEW +
-</code> +
- +
-<WRAP center round important 50%> +
-Notez que la Rich Rule a créé deux règles, une pour IPv4 et une deuxième pour IPv6. Une règle peut être créée pour IPv4 seul en incluant le Critère **family=ipv4**. De la même façon, une règle peut être créée pour IPv6 seul en incluant le Critère **family=ipv6**. +
-</WRAP> +
- +
-Cette nouvelle règle est écrite en mémoire mais non pas sur disque. Pour l'écrire sur disque dans le fichier zone se trouvant dans **/etc/firewalld**, il faut ajouter l'option **--permanent** : +
- +
-<code> +
-[root@centos7 ~]# firewall-cmd --add-rich-rule='rule port port="80" protocol="tcp" accept' --permanent +
-success +
-[root@centos7 ~]# +
-[root@centos7 ~]# cat /etc/firewalld/zones/work.xml  +
-<?xml version="1.0" encoding="utf-8"?> +
-<zone> +
-  <short>Work</short> +
-  <description>For use in work areas. You mostly trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description> +
-  <service name="ipp-client"/> +
-  <service name="dhcpv6-client"/> +
-  <service name="ssh"/> +
-  <rule> +
-    <port protocol="tcp" port="80"/> +
-    <accept/> +
-  </rule> +
-</zone> +
-</code> +
- +
-<WRAP center round important 50%> +
-Attention ! La règle ajoutée avec l'option --permanent n'est pas prise en compte imédiatement mais uniquement au prochain redémmarge. Pour qu'une règle soit appliquée immédiatement **et** être écrite sur disque, il faut saisir la commande deux fois dont une avec l'option --permanent et l'autre sans l'option --permanent. +
-</WRAP> +
- +
-Pour visualiser cette règle dans la configuration de firewalldil convient de saisir la commande suivante : +
- +
-<code> +
-[root@centos7 ~]# firewall-cmd --list-all-zones +
-...  +
-work (default, active) +
-  interfaces: enp0s3 +
-  sources:  +
-  services: dhcpv6-client ipp-client ssh +
-  ports:  +
-  masquerade: no +
-  forward-ports:  +
-  icmp-blocks:  +
-  rich rules:  +
- rule port port="80" protocol="tcp" accept +
- +
-</code> +
- +
-Notez que la Rich Rule est créée dans la Zone par Défaut. Il est possible de créer une Rich Rule dans une autre zone en utilisant l'option **--zone=<zone>** de la commande firewall-cmd : +
- +
-<code> +
-[root@centos7 ~]# firewall-cmd --zone=public --add-rich-rule='rule port port="80" protocol="tcp" accept' +
-success +
-[root@centos7 ~]# firewall-cmd --list-all-zones +
-... +
-public +
-  interfaces:  +
-  sources:  +
-  services: dhcpv6-client ssh +
-  ports:  +
-  masquerade: no +
-  forward-ports:  +
-  icmp-blocks:  +
-  rich rules:  +
- rule port port="80" protocol="tcp" accept +
-trusted +
-  interfaces:  +
-  sources:  +
-  services:  +
-  ports:  +
-  masquerade: no +
-  forward-ports:  +
-  icmp-blocks:  +
-  rich rules:  +
-  +
-work (default, active) +
-  interfaces: enp0s3 +
-  sources:  +
-  services: dhcpv6-client ipp-client ssh +
-  ports:  +
-  masquerade: no +
-  forward-ports:  +
-  icmp-blocks:  +
-  rich rules:  +
- rule port port="80" protocol="tcp" accept +
-</code> +
- +
- +
-Pour supprimer une Rich Rule, il faut copier la ligne entière la concernant qui se trouve dans la sortie de la commande **firewall-cmd --list-all-zones** : +
- +
-<code> +
-[root@centos7 ~]# firewall-cmd --zone=public --remove-rich-rule='rule port port="80" protocol="tcp" accept' +
-success +
-</code> +
- +
-==Le mode Panic de firewalld== +
- +
-Le mode Panic de firewalld permet de bloquer tout le trafic avec une seule commandePour connaître l'état du mode Panic, utilisez la commande suivante : +
- +
-<code> +
-[root@centos7 ~]# firewall-cmd --query-panic +
-no +
-</code> +
- +
-Pour activer le mode Panic, il convient de saisir la commande suivante : +
- +
-<code> +
-[root@centos7 ~]# firewall-cmd --panic-on +
-success +
-[root@centos7 ~]# firewall-cmd --query-panic +
-yes +
-</code> +
- +
-Pour désactiver le mode Panic, il convient de saisir la commande suivante : +
- +
-<code> +
-[root@centos7 ~]# firewall-cmd --panic-off +
-success +
-[root@centos7 ~]# firewall-cmd --query-panic +
-no +
-</code> +
- +
-=====Annexe #1 - Comprendre les Réseaux===== +
- +
-====Présentation des Réseaux==== +
- +
-La définition d'un réseau peut être résumé ainsi : +
- +
-  * un ensemble d'**Equipements** (systèmes et périphériques) communiquant entre eux, +
-  * une entité destinée au transport de données dans différents environnements. +
- +
-Pour que la communication soit efficace, elle doit respecter les critères suivants : +
- +
-  * présenter des informations compréhensibles par tous les participants+
-  * être compatible avec un maximum d'interlocuteurs différents (dans le cas d'un réseau, les interlocuteurs sont des équipements : imprimantes, ordinateurs, clients, serveurs, téléphones...), +
-  si l'interlocuteur n'est pas disponible, les informations ne doivent pas se perdre, +
-  permettre une réduction des coûts (par ex. interconnexion à bas coût), +
-  * permettre une productivité accrue (par ex. interconnexion à haut débit), +
-  * être sécurisée si les informations à transmettre sont dites sensibles, +
-  * garantir l'**unicité** et de l'**universalité** de l'**accès à l'information**.  +
- +
-On peut distinguer deux familles d'**Equipements** - les **Eléments Passifs** et les **Eléments Actifs**. +
- +
-Les **Eléments Passifs** transmettent le signal d'un point à un autre : +
- +
-  * **Les Infrastructures ou Supports** - des câbles, de l'atmosphère ou des fibres optiques permettant de relier **physiquement** des équipements+
-  * **La Topologie** - l'architecture d'un réseau définissant les connexions entre les **Equipements** et, éventuellement, la hiérarchie entre eux. +
- +
-Les **Eléments Actifs** sont des équipements qui consomment de l'énergie en traitant ou en interprétant le signal. Les **Equipements** sont classés selon leurs fonctions : +
-  +
-  * **Equipement de Distribution Interne au Réseau** - Répartiteur (Hub, Switch, Commutateur etc.), Borne d'accès (Hotspot), Convertisseur de signal (Transciever), Amplificateur (Répéteur) ...+
-  * **Equipement d'Interconnexion de Réseaux** - RouteursPonts ..., +
-  * **Nœuds** et **Interfaces Réseaux** - postes informatiques, équipements en réseau .... +
- +
-Un **Nœud** est une extrémité de connexion qui peut être une intersection de plusieurs connexions ou de plusieurs **Equipements**. +
- +
-Une **Interface Réseau** est une prise ou élément d'un **Equipement Actif** faisant la connexion vers d'autres **Equipements** réseaux et qui reçoit et émet des données.+
  
 <WRAP center round important> <WRAP center round important>
-Dans le cas d'un mélange d'**Equipements** non-homogènes en termes de performances au sein du même réseau, c'est la loi du plus faible qui emporte.+**Important** : Consultez le manuel systemd.resource-control(5) pour voir les paramètres CGroup qui peuvent être passés à systemctl.
 </WRAP> </WRAP>
  
-Tous les **Equipements** connectés au même support doivent respecter un ensemble de règles appelé une **Protocole de Communication**. 
  
-Les **Protocoles de Communication** définissent de façon formelle et interopérable la manière dont les informations sont échangées entre les **Equipements**.+===LAB #1 - Travailler avec les cgroups sous RHEL/CentOS 7===
  
-Des **Logiciels**, dédiés à la gestion de ces **Protocoles de Communication**, sont installés sur des **Equipements d'Interconnexion** afin de fournir des fonctions de contrôle permettant une communication entre les **Equipements**.  +Créez un service appelé **foo** :
- +
-Se basant sur des **Protocoles de Communication**, des **Services** fournissent des fonctionnalités accessibles aux utilisateurs ou d'autres programmes. +
- +
-L'ensemble des **Equipements**, **Logiciels** et **Protocoles de Communication** constitue l'**Architecture Réseau**. +
- +
-====Classification des Réseaux==== +
- +
-Les réseaux peuvent être classifiés de trois façon différentes : +
- +
-  * par **Mode de Transmission**, +
-  * par **Topologie**, +
-  * par **Étendue**. +
- +
-===Classification par Mode de Transmission=== +
- +
-Il existe deux **Classes** de réseaux dans cette classification : +
- +
-  * les **Réseaux en Mode de Diffusion**, +
-    * utilise un seul support de transmission, +
-    * le message est envoyé sur tout le réseau à l'adresse d'**un** destinataire, +
- +
-  * les **Réseaux en Mode Point à Point**, +
-    * une seule liaison entre deux équipements, +
-    * les nœuds permettent de choisir la route en fonction de l'adresse du destinataire, +
-    * quand deux nœuds non directement connectés entre eux veulent communiquer ils le font par l'intermédiaire des autres noeuds du réseau. +
- +
-===Classification par Topologie=== +
- +
-<WRAP center round important> +
-La **Topologie Physique** d'un réseau décrit l'organisation de ce dernier en termes de câblage. La **Topologie Logique** d'un réseau décrit comment les données circulent sur le réseau. En effet c'est le choix des concentrateurs ainsi que les connections des câbles qui déterminent la topologie logique. +
-</WRAP> +
- +
-==La Topologie Physique== +
- +
-Il existe 6 topologies physiques de réseau : +
-  +
-  * La Topologie en Ligne, +
-  * La Topologie en Bus, +
-  * La Topologie en Etoile, +
-  * La Topologie en Anneau, +
-  * La Topologie en Arbre, +
-  * La Topologie Maillée. +
- +
-==La Topologie en Ligne== +
- +
-Tous les nœuds sont connectés à un seul support. L'inconvénient de cette topologie est que dans le cas d'une défaillance d'une station, le réseau se trouve coupé en deux sous-réseaux. +
- +
-==La Topologie en Bus== +
- +
-Tous les nœuds sont connectés à un seul support (un câble BNC en T) avec des bouchons à chaque extrémité. La longueur du bus est limitée à **185m**. Le nombre de stations de travail est limité à **30**. Les Stations sont reliées au Bus par des 'T'. Les bouchons sont des terminateurs qui sont des résistances de **50 Ohms**.  +
-Quand le support tombe en panne, le réseau ne fonctionne plus. Quand une station tombe en panne, elle ne perturbe pas le fonctionnement de l'ensemble du réseau. Les Stations étant reliés à un suel support, ce type de topologie necessite un **Protocole d'Accès** pour gérer le tour de parole des Stations afin d'éviter des conflits. +
- +
-{{:solaris:sol2:bus.png|}} +
- +
-==La Topologie en Étoile== +
- +
-Chaque nœud est connecté à un périphérique central appelé un **Hub** (**Concentrateur**) ou un **Switch** (**Commutateur**). Un Hub ou un Switch est prévu pour 4, 8, 16, 32 ... stations. En cas d'un réseau d'un plus grand nombre de stations, plusieurs Hubs ou Switches sont connectés ensemble. Quand une station tombe en panne, elle ne perturbe pas le fonctionnement de l'ensemble du réseau. Le point faible de cette topologie est l'équipement central. +
- +
-{{:solaris:sol2:etoile.png|}} +
- +
-==La Topologie en Anneau== +
- +
-Chaque nœud est relié directement à ses deux voisins dans une topologie logique de cercle ininterrompu et une topologie physique en étoile car les stations sont reliées à un type de hub spécial, appelé un **Multistation Access Unit** (MAU). +
- +
-{{:solaris:sol2:ring.png|}} +
- +
-Les stations sont reliées à la MAU par un câble 'IBM' munie d'une prise **AUI** du côté de la carte et une prise **Hermaphrodite** du coté de la MAU. Les données sont échangées dans un sens unidirectionnel. Une trame, appelée un **jeton**, circule en permanence. Si l'anneau est brisé, l'ensemble du réseau s'arrête. Pour cette raison, il est courant de voir deux anneaux contre-rotatifs. +
- +
-==La Topologie en Arbre== +
- +
-La Topologie en Arbre est utilisée dans un réseau hierarchique où le sommet, aussi appelé la **racine**, est connecté à plusieurs noeuds de niveau inférieur. Ces neouds peuvent à leur tour être connectés à d'autres noeuds inférieurs. L'ensemble forme une arborescence. Le point faible de cette topologie est sa racine. En cas de défaillance, le réseau est coupé en deux. +
- +
-==La Topologie Maillée== +
- +
-Cette Topologie est utilisée pour des grands réseaux de distribution tels Internet ou le WIFI. Chaque noeud à tous les autres via des liaisons point à point. Le nombre de liaisons devient très rapidement important en cas d'un grand nombre de noeuds. Par exemple dans le cas de 100 Stations (N), le nombre de liaisons est obtenu par la formule suivante : +
- +
-  N(N-1)/2 = 100(100-1)/2 = 4 950 +
- +
-<WRAP center round important> +
-La **Topologie Physique** la plus répandue est la **Topologie en Etoile**. +
-</WRAP> +
- +
-===Classification par Etendue=== +
- +
-La classification par étendue nous fournit 4 réseaux principaux : +
- +
-^ Nom ^ Description ^ Traduction ^ Taille Approximative (M) | +
-| PAN | Personal Area Network | Réseau Personnel | 1 -10 | +
-| LAN | Local Area Network | Réseau Local Entreprise (RLE) | 5 - 1 200 | +
-| MAN | Métropolitain Area Network | Réseau Urbain | 900 - 100 000 | +
-| WAN | Wide Area Network | Réseau Long Distance (RLD) | 50 000 et au delà | +
- +
-Cependant, d'autres classification existent : +
- +
-| CAN | Campus Area Network | Réseau de Campus | +
-| GAN | Global Area Network | Réseau Global | +
-| TAN | Tiny Area Network | Réseau Minuscule | +
-| FAN | Family Area Network | Réseau Familial | +
-| SAN | Storage Area Network | Réseau de Stockage | +
- +
-<WRAP center round important> +
-Etant donné que les WANs sont gérés par des opérateurs de télécommunications qui doivent demander une licence à l'état mais que les LANs ont été historiquement mis en oeuvre dans les entreprises, ces derniers sont en majorité issus du monde informatique.  +
-</WRAP> +
- +
-===Les Types de LAN=== +
- +
-Il existe deux types de LAN : +
-  +
-  * le réseau à serveur dédié, +
-  * le réseau poste à poste. +
- +
-==Réseau à Serveur Dédié== +
- +
-Le réseau à serveur dédié est caractérisé par le fait que toutes les ressources ( imprimantes, applications, lecteurs etc. ) sont gérées par le serveur. Les autres micro-ordinateurs ne jouent le rôle de client.  +
- +
-Des exemples des systèmes d'exploitation du réseau à serveur dédié sont :  +
- +
-  * Windows NT Server, +
-  * Windows 2000 Server, +
-  * Windows 2003 Server, +
-  * Windows 2008 Server, +
-  * Linux, +
-  * Unix.  +
- +
-{{:solaris:sol2:serveur_dedie.png|}} +
- +
-==Réseau Poste-à-Poste== +
- +
-Le réseau poste à poste est caractérisé par le fait que tous les ordinateurs peuvent jouer le rôle de client et de serveur : +
- +
-  * Windows 95, +
-  * Windows 98, +
-  * Windows NT Workstation. +
- +
-{{:solaris:sol2:poste_a_poste.png|}} +
- +
-====Le Modèle Client/Serveur==== +
- +
-Le modèle Client/Serveur est une des modalités des architectures informatiques distribuées. Dans ce modèle un serveur est tout **Logiciel** fournissant un **Service**.  +
-  +
-Le serveur est aussi : +
- +
-  * passif, c'est-à-dire en attente permenante d'une demande, appelée une requête d'un client, +
-  * capable de traiter plusieurs requêtes simultanément en utilisant le **multi-threading**, +
-  * garant de l'intégrité globale. +
- +
-Le client est, par contre **actif**, étant à l'origine des requêtes. +
- +
-Il existe trois types de modèle client/serveur : +
-  +
-  * **Plat** - tous les clients communiques avec un seul serveur, +
-  * **Hiérarchique** - les clients n'ont de contact qu'avec les serveurs de plus haut niveau qu'eux, +
-  * **Peer-to-Peer** - les équipements sont à la fois client **et** serveur en même temps. +
- +
-====Modèles de Communication==== +
- +
-Les réseaux sont bâtis sur des technologies et des modèles. Le modèle **théorique** le plus important est le modèle **O**pen **S**ystem **Interconnection** créé par l'**I**nternational **Organization** for **S**tandardization tandis que le modèle pratique le plus important est le modèle **TCP/IP**. +
- +
-=== Le modèle OSI === +
- +
-Le modèle OSI qui a été proposé par l'ISO est devenu le standard en termes de modèle pour décrire l'échange de données entre ordinateurs. Cette norme se repose sur sept couches, de la une - la Couche Physique, à la sept - la Couche d'Application, appelés des services. La communication entre les différentes couches est synchronisée entre le poste émetteur et le poste récepteur grâce à ce que l'on appelle un protocole. +
- +
-Ce modèle repose sur trois termes : +
- +
-  * Les **Couches**, +
-  * Les **Protocoles**, +
-  * Les **Interfaces**. +
- +
-==Les Couches== +
- +
-Des sept couches : +
- +
-  * Les couches 1 à 3 sont les **Couches Basses** orientées **Transmission**, +
-  * La couche 4 est la **Couche Charnière** entre les **Couches Basses** et les **Couches Hautes**, +
-  * Les couches 5 à 7 sont les **Couches Hautes** orientées **Traitement**. +
- +
-La couche du même niveau du système **A** parle avec son homologue du système **B**. +
- +
-  * **La Couche Physique** ( Couche 1 ) est responsable : +
-    * du transfert de données binaires sur le câble physique ou virtuel +
-    * de la définition de tout aspect physique allant du connecteur jusqu'au câble en passant par la carte réseau, y compris l'organisation même du réseau +
-    * de la définition des tensions électriques sur le câble pour obtenir le 0 et le 1 binaires +
- +
-  * **La Couche de Liaison** ( Couche 2 ) est responsable : +
-    * de la réception des données de la couche physique +
-    * de l'organisation des données en fragments, appelés des trames qui ont un format différent selon s'il s'agit d'un réseau basé sur la technologie Ethernet ou la technologie Token-Ring +
-    * de la préparation, émission et réception des trames +
-    * de la gestion de l'accès au réseau +
-    * de la communication nœud à nœud +
-    * de la gestion des erreurs +
-      * avant la transmission, le nœud émetteur calcule un code appelé un CRC et l'incorpore dans les données envoyées +
-      * le nœud récepteur recalcule un CRC en fonction du contenu de la trame reçue et le compare à celui incorporé avec l'envoi +
-      * en cas de deux CRC identique, le nœud récepteur envoie un accusé de réception au nœud émetteur +
-    * de la réception de l'accusé de réception +
-    * éventuellement de le ré-émission des données +
-    * En prenant ce modèle, l'IEEE ( Institute of Electrical and Eletronics Engineers ) l'a étendu avec le Modèle IEEE ( 802 ).  +
-        *Dans ce modèle la Couche de Liaison est divisée en deux sous-couches importantes : +
-           * La **Sous-Couche LLC** ( Logical Link Control ) qui : +
-             * gère les accusés de réception +
-             * gère le flux de trames +
-           * La **Sous-Couche MAC** ( Media Access Control ) qui : +
-             * gère la méthode d'accès au réseau +
-             * le CSMA/CD dans un réseau basé sur la technologie Ethernet +
-             * l'accès au jeton dans un réseau basé sur la technologie Token-Ring +
-             * gère les erreurs +
- +
-    * **La Couche de Réseau** ( Couche 3 ) est responsable de la gestion de la bonne distribution des différentes informations aux bonnes adresses en : +
-      * identifiant le chemin à emprunter d'un nœud donné à un autre +
-      * appliquant une conversion des adresses logiques ( des noms ) en adresses physiques +
-      * ajoutant des information adressage aux envois +
-      * détectant des paquets trop volumineux avant l'envoi et en les divisant en trames de données de tailles autorisées +
- +
-    * **La Couche de Transport** ( Couche 4 ) est responsable de veiller à ce que les données soient envoyées correctement en : +
-      * constituant des paquets de données corrects +
-      * les envoyant dans le bon ordre +
-      * vérifiant que les données sont traités dans le même ordre que l'ordre d'émission +
-      * permettant à un processus sur un nœud de communiquer avec un autre nœud et d'échanger des messages avec lui +
- +
-    * **La Couche de Session** ( Couche 5 ) est responsable : +
-      * de l'établissement, du maintien, et de la mise à fin de la communication entre deux noeuds distants, c'est-à-dire, de la session +
-      * de la conversation entre deux processus de vérification de la réception des messages envoyés en séquences, c'est-à-dire, le point de contrôle +
- +
-      * de la sécurité lors de l'ouverture de la session, c'est-à-dire, les droits d'utilisateurs etc. +
- +
-    * **La Couche de Présentation** ( Couche 6 ) est responsable : +
-      * du formatage et de la mise en forme des données +
-      * des conversions de données telles le cryptage/décryptage +
- +
-    * **La Couche d'Application** ( Couche 7 ) est responsable : +
-      * du dialogue homme/machine via des messages affichés +
-      * du partage des ressources +
-      * de la messagerie +
- +
-==Les Protocoles== +
- +
-Un **protocole** est un langage commun utilisé par dexu entités en communication pour pouvoir se comprendre. La nature du Protocole dépends directement de la nature de la communication. Cette bature dépend du **paradigme** de communication que l'application nécessite. Le paradigme est un modèle abstrait d'un problème ou d'une situation. Dans le paradigme de la diffusion, l'émetteur envoie dans informations au récepteur sans se soucier de ce que le récepteur va en faire. C'est la responsabilité du récepteur de comprendre et d'utiliser les informations. +
- +
-==Les Interfaces== +
- +
-Chaque couche rend des **services** à la couche immédiatement supérieure et utilise les services de la couche immédiatement inférieure. L'ensemble des services s'appelle une **Interface**. Les services sont composés de **S**ervice **D**ata **U**nits et sont disponibles par un **S**service **A**ccess **P**oint. +
- +
-==Protocol Data Units== +
- +
- L'**Unité de Données** ou //Protocol Data Unit// pour chaque couche comporte un nom spécifique : +
- +
-  * **Application Protocol Data Units** pour la couche **Application**, +
-  * **Présentation Protocol Data Units** pour la couche **Présentation**, +
-  * **Session Protocol Data Units** pour la couche **Session**, +
-  * **Transport Protocol Data Units** pour la couche **Transport**. +
- +
-Or, pour les **Couches Basses** on parle de : +
- +
-  * **Paquets** pour la couche **Réseau**, +
-  * **Trames** pour la couche **Liaison**, +
-  * **Bits** pouyr la couche **Physique**. +
- +
-==Encapsulation et Désencapsulation== +
- +
-Lorque les données sont communiqueés par le système A au système B, celles-ci commencent au niveau de la couche d'Application. Le couche d'Application ajoute une en-tête à l'unité de données qui contient des **informations de contrôle du protocole**. Au passage de chaque couche, celle-ci ajoute sa propre en-tête. De cette façon, lors de sa descente vers la couche physique, les données et l'entête de la couche supérieure sont encapulsulées : +
- +
-^ Couche Système A ^ Encapsulation ^ +
-| Application | Application Header (AH) + Unité de Données (UD) | +
-| Présentation | Présentation Header (PH) + AH + UD | +
-| Session | Session Header (SH) + PH + AH + UD | +
-| Transport | Transport Header (TH) + SH + PH + AH + UD | +
-| Réseau | Network Header (NH) + TH + SH + PH + AH + UD | +
-| Liaison | Liaison Header (DH) + NH + TH + SH + PH + AH + UD | +
- +
-Lors de son voyage de la couche Physique vers la couche Application dans le système B, les en-têtes sont supprimées par chaque couche correspondante. On parle alors de **désencapsulation** : +
- +
-^ Couche Système B ^ Encapsulation ^ +
-| Liaison | Liaison Header (DH) + NH + TH + SH + PH + AH + UD | +
-| Réseau | Network Header (NH) + TH + SH + PH + AH + UD | +
-| Transport | Transport Header (TH) + SH + PH + AH + UD | +
-| Session | Session Header (SH) + PH + AH + UD | +
-| Présentation | Présentation Header (PH) + AH + UD | +
-| Application | Application Header (AH) + Unité de Données (UD) | +
- +
-=== Spécification NDIS et le Modèle ODI === +
- +
-<note tip> +
-**[[https://www.i2tch.com/net/m11schema2.html|Cliquez ici pour ouvrir le schéma Simplifié du Modèle OSI incluant la spécification NDIS]]** +
-</note> +
- +
-La spécification NDIS ( Network Driver Interface Specification ) a été introduite conjointement par les sociétés Microsoft et 3Com. +
-Cette spécification ainsi que son homologue, le modèle ODI ( Open Datalink Interface ) introduit conjointement par les sociétés Novell et Apple à la même époque, définit des standards pour les pilotes de cartes réseau afin qu'ils puissent être indépendants des protocoles utilisées et les systèmes d'exploitation sur les machines. Des deux 'standards', la spécification NDIS est le plus répandu, intervenant a niveau de la sous-couche MAC et l a couche de liaison. Elle spécifie : +
- +
-        * l'interface pilote-matériel +
-        * l'interface pilote-protocole +
-        * l'interface pilote - système d'exploitation +
- +
-=== Le modèle TCP/IP === +
- +
-<note tip> +
-**[[https://www.i2tch.com/net/m11schema4.html|Cliquez ici pour voir le modèle OSI incluant la suite des protocoles et services TCP/IP]]** +
-</note> +
- +
-La suite des protocoles TCP/IP ( Transmission Control Protocol / Internet Protocol ) est issu de la DOD ( Dept. Américain de la Défense ) et le travail de l'ARPA ( Advanced Research Project Agency ).   +
- +
-    * La suite des protocoles TCP/IP +
-      * a été introduite en 1974 +
-      * a été utilisée dans l'ARPAnet en 1975 +
-      * permet la communication entre des réseaux à base de systèmes d'exploitation, architectures et technologies différents +
-      * est très proche du modèle OSI en termes d'architecture et se place au niveau de la couche d'Application jusqu'à la couche Réseau. +
-      * est, en réalité, une suite de protocoles et de services : +
-        * **IP** ( Internet Protocol ) +
-          * le protocole IP s'intègre dans la couche Réseau du modèle OSI en assurant la communication entre les systèmes. Bien qu'il puisse découper des messages en fragments ou datagrammes et les reconstituer dans le bon ordre à l'arrivée, il ne garantit pas la réception. +
-        * **ICMP** ( Internet Control Message Protocol ) +
-          * le protocole ICMP produit des messages de contrôle aidant à synchroniser le réseau. Un exemple de ceci est la commande ping. +
-        * **TCP** ( Transmission Control Protocol ) +
-          * le protocole TCP se trouve au niveau de la couche de Transport du modèle OSI et s'occupe de la transmission des données entre noeuds. +
-        * **UDP** ( User Datagram Protocol ) +
-          * le protocole UDP n'est pas orienté connexion. Il est utilisé pour la transmission rapide de messages entre nœuds sans garantir leur acheminement. +
-        * **Telnet** +
-          * le protocole Telnet est utilisé pour établir une connexion de terminal à distance. Il se trouve dans la couche d'Application du modèle OSI. +
-        * **Ftp** ( File Transfer Protocol ) +
-          * le protocole ftp est utilisé pour le transfert de fichiers. Il se trouve dans la couche d'Application du modèle OSI. +
-        * **SMTP** ( Simple Message Transfer Protocol ) +
-          * le service SMTP est utilisé pour le transfert de courrier électronique. Il se trouve dans la couche d'Application du modèle OSI. +
-        * **DNS** ( Domain Name Service ) +
-          * le service DNS est utilisé pour le résolution de noms en adresses IP. Il se trouve dans la couche d'Application du modèle OSI. +
-        * **SNMP** ( Simple Network Management Protocol ) +
-          * le protocole SNMP est composé d'un agent et un gestionnaire. L'agent SNMP collecte des informations sur les périphériques, les configurations et les performances tandis que le gestionnaire SNMP reçois ses informations et réagit en conséquence. +
-        * **NFS** ( Network File System ) +
-          * le NFS a été mis au point par Sun Microsystems +
-          * le NFS génère un lien virtuel entre les lecteurs et les disques durs permettant de monter dans un disque virtuel local un disque distant  +
-        * et aussi POP3, NNTP, IMAP etc ... +
- +
-<note tip> +
-**[[https://www.i2tch.com/net/m11schema5.html|Cliquez ici pour voir les modèles TCP/IP et OSI]]** +
-</note> +
- +
-Le modèle TCP/IP est composé de 4 couches : +
- +
-  * La couche d'Accès Réseau +
-    * Cette couche spécifie la forme sous laquelle les données doivent être acheminées, quelque soit le type de réseau utilisé. +
-  * La couche Internet +
-    * Cette couche est chargée de fournir le paquet de données. +
-  * La couche de Transport +
-    * Cette couche assure l'acheminement des données et se charge des mécanismes permettant de connaître l'état de la transmission. +
-  * La couche d'Application +
-    * Cette couche englobe les applications standards de réseau telles ftp, telnet, ssh, etc.. +
- +
-Les noms des Unités de Données sont différents selon le protocole utilisé et la couche du modèle TCP/IP : +
- +
-^ Couche  ^ TCP ^ UDP ^ +
-| Application | Stream | Message | +
-| Transport | Segment | Packet| +
-| Internet | Datagram| Datagram | +
-| Réseau | Frame | Frame |  +
- +
-====Les Raccordements==== +
- +
-===Les Modes de Transmission=== +
- +
-On peut distinguer 3 modes de transmission : +
- +
-  * La **Liaison Simplex**, +
-    * Les données ne circulent que dans un **seul** sens de l'émetteur ver le récepteur, +
-    * La liaison nécessite deux canaux de transmissions, +
-  * La **Liaison Half-Duplex** aussi appelée la **Liaison à l'Alternat** ou encore la **Liaison Semi-Duplex**, +
-    * Les données circulent dans un sens ou l'autre mais jamais dans les deux sens en même temps. Chaque extrémité émet donc à son tour, +
-    * La liaison permet d'avoir une liaison bi-directionnelle qui utilise la totalité de la banse passante, +
-  * La **Liaison Full-Duplex** dans les deux sens en **même** temps. Chaque extrémité peut émettre et recevoir simultanément, +
-    * La liaison est caractérisée par une bande passante divisée par deux pour chaque sens des émissions. +
- +
-===Les Câbles=== +
- +
-==Le Câble Coaxial== +
- +
-En partant de l'extérieur, le câble coaxial est composé : +
- +
-  * d'une **Gaine** en caoutchouc, PVC ou Téflon pour protéger le câble, +
-  * d'un **Blindage** en métal pour diminuer le bruit du aux parasites, +
-  * d'un **Isolant** (diélectrique) pour éviter le contact entre le blindage et l'âme et ainsi éviter des courts-circuits, +
-  * d'un **Âme** en cuivre ou torsadés pour transporter les données. +
- +
-Avantages : +
- +
-  * **Peux coûteux**, +
-  * Facilement **manipulable**, +
-  * Peut être utilisé pour de **longues distances**, +
-  * A un débit de 10 Mbit/s dans un LAN et 100 Mbit/s dans un WAN. +
- +
-Inconvénients : +
- +
-  * Fragile, +
-  * Instable, +
-  * Vulnérable aux interférences, +
-  * Half-Duplex. +
- +
-==Le Câble Paire Torsadée== +
- +
-Ce câble existe sous deux formes selon son utilisation : +
- +
-  * **Monobrin** pour du câblage **horizontal** (**Capillaire**), +
-    * chaque fil est composé d'un seul conducteur en cuivre, +
-    * la distance ne doit pas dépassée 90m. +
- +
-  * **Multibrin** pour des **cordons de brassage** : +
-    * chaque fil est composé de plusieurs brins en cuivre, +
-    * câble souple. +
- +
-Avantages : +
- +
-  * Un débit de 10 Mbit/s à 10 GBit/s, +
-  * A une bande passante plus large, +
-  * Pas d'interruption par coupure du câble, +
-  * Permet le **câblage universel** (téléphonie, fax, données ...), +
-  * Full-Duplex. +
- +
-Inconvénients : +
- +
-  * Nombre de câbles > câble coaxial, +
-  * Plus cher, +
-  * Plus encombrant dans les gaines techniques. +
- +
-== Catagories de Blindage== +
- +
-Il existe trois catagories de blindage : +
- +
-  * **Twisted** ou Torsadé, +
-  * **Foiled** ou Entouré, +
-  * **Shielded** ou Avec Ecran. +
- +
-De ce fait, il existe 5 catagories de câbles Paire Torsadée : +
- +
-Nom anglais ^ Appelation Ancienne ^ Nouvelle Appelation ^  +
-|  Unshielded Twisted Pair | UTP | U/UTP | +
-|  Foiled Twisted Pair | FTP | F/UTP | +
-|  Shield Twisted Pair | STP | S/UTP | +
-|  Shield Foiled Twisted Pair | SFTP | SF/UTP | +
-|  Shield Shield Twisted Pair | S/STP | SS/STP3 | +
- +
-Ces catégories donnent lieu à des **Classes** : +
- +
-^ Classe ^ Débit ^ Nombre de Paires Torsadées ^ Connecteur ^ Commentaires ^ +
-| 3 | 10 Mbit/s | 4 | RJ11 | | Téléphonie Analogique et Numérique  +
-| 4 | 16 Mbit/s | 4 | S/O | Non-utilisée de nos jours | +
-| 5 | 100 Mbit/s | 4 | RJ45 | Obsolète | +
-| 5e/D | 1 Gbit/s sur 100m | 4 | RJ45 | S/O |  +
-| 6/E | 2.5 Gbit/s sur 100m ou 10 Gbit/s sur 25m à 55m | 4 | Idéal pour PoE | +
-| 7/F | 10 Gbit/s sur 100m | 4 | GG45 ou Tera | Paires individuellement et collectivement blindées. Problème de compatibilité avec les classes precédentes due au connecteur. | +
- +
-==La Prise RJ45== +
- +
-Une prise RJ45 comporte 8 broches. Un câble peut être **droit** quand la broche 1 d'une extremité est connectée à la broche 1 de la prise RJ45 à l'autre extrémité, la broche 2 d'une extremité est connectée à la broche 2 de la prise RJ45 à l'autre extrémité et ainsi de suite ou bien **croisé** quand le brochage est inversé. +
- +
-Les câbles croisés sont utilisés lors du branchement de deux équipements identiques (PC à PC, Hub à Hub, Routeur à Routeur).  +
- +
-==Channel Link et Basic Link== +
- +
-Le **Channel Link** ou **Canal** est l'ensemble du **Basic Link** ou **Lien** de base et les cordons de brassage et de raccordement des équipements qui sont limités en distance à 10m.  +
- +
-Le **Basic Link** est le lien entre la prise RJ45 murale et la baie de brassage. Il est limité à 90m en classe 5D. +
- +
-===La Fibre Optique=== +
- +
-La **Fibre Optique** est un fil de **Silice** permettant le transfert de la lumière. De ce fait elle est caractérisée par : +
- +
-  * des meilleures performances que le cuivre, +
-  * de plus de communications simultanément, +
-  * de la capacité de relier de plus grandes distances, +
-  * une insensibilité aux perturbations, +
-  * une résistance à la corrosion. +
- +
-Qui plus est, elle ne produit aucune perturbation. +
- +
-Elle est composée : +
- +
-  * d'un coeur de 10, de 50/125 ou de 62.50 micron, +
-  * d'une gaine de 125 micron, +
-  * d'une protection de 230 micron. +
- +
-Il existe deux types de fibres, la **Fibre Monomode** et la **Fibre Multimodes**. +
- +
-La Fibre Monomode : +
- +
-  * a un coeur de 8 à 10 Microns, +
-  * est divisée en sous-catégories de distance, +
-    * 10 Km, +
-    * 15 Km,  +
-    * 20 Km, +
-    * 50 Km, +
-    * 80 Km, +
-    * 100 Km. +
- +
-La Fibre Multimode : +
- +
-  * a un coeur de 62,50 micron ou de 50/125 micron avec une gaine orange, +
-  * permet plusieurs trajets lumineux appelés **modes** en même temps en Full Duplex, +
-  * est utilisée pour de bas débits ou de courtes distances, +
-    * 2 Km pour 100 Mbit/s, +
-    * 500 m pour 1 Gbit/s. +
- +
-===Les Réseaux sans Fils=== +
- +
-Les réseaux sans fils sans basés sur une liaison qui utilise des ondes radio-électriques (radio et infra-rouges). +
- +
-Il existe des technologies différentes en fonction de la fréquence utilisée et de la portée des transmissions : +
- +
-  * Réseaux Personnels sans Fils - Bluetooth, HomeRF, +
-  * Réseaux Locaux sans Fils - LiFI, WiFI, +
-  * Réseaux Métropolitains sans Fil - wImax, +
-  * Réseaux Etendus sans Fils - GSM, GPRS, UMTS. +
- +
-Les principales ondes utilisées pour la transmission des données sont : +
- +
-  * Ondes GSM  - Ondes Hertziennes repeosant sur des micro-ondes à basse fréquence avec une portée d'une dizaine de kilomètres, +
-  * Ondes Wi-Fi - Ondes Hertziennes reposant sur des micro-ondes à haute fréquence avec une portée de 20 à 50 mètres, +
-  * Ondes Satellitaires - Ondes Hertziennes longues portées. +
- +
-===Le Courant Porteur en Ligne=== +
- +
-Le CPL utilise le réseau électrique domestique, le réseau moyenne et basse tension pour transmettre des informations numériques. +
- +
-Le CPL superpose un signal à plus haute fréquence au signal électrique. +
- +
-Seuls donc, les fils conducteurs transportent les signaux CPL. +
- +
-Le coupleur intégré en entrée des boîtiers CPL élimine les composants basses fréquences pour isoler le signal CPL. +
- +
-Le CPL utilise la phase électrique et le neutre. De ce fait, une installation triphasée fournit 3 réseaux CPL différents. +
- +
-Le signal CPL ne s'arrête pas necéssairement aux limites de l'installation électrique. En effet en cas de compteurs non-numériques le signal les traversent. +
- +
-Les normes CPL sont : +
- +
-^ Norme ^ Débit Théorique ^ Débit Pratique ^ Temps pour copier 1 Go ^ +
-| Homeplug 1.01 | 14 Mbps | 5.4 Mbps | 25m 20s | +
-| Homeplug 1.1 | 85 Mbps | 12 Mbps | 11m 20s | +
-| PréUPA 200 | 200 Mbps | 30 Mbps | 4m 30s | +
- +
-===Technologies=== +
- +
-Il existe plusieurs technologies de réseau :  +
- +
-  * Ethernet, +
-  * Token-Ring, +
-  * ARCnet, +
-  * etc.. +
- +
-Nous détaillerons ici les deux technologies les plus répandues, à savoir Ethernet et Token-Ring. +
- +
-==Ethernet== +
- +
-La technologie Ethernet se repose sur : +
- +
-  * une topologie logique de bus, +
-  * une topologie physique de bus ou étoile. +
- +
-L'accès au bus utilise le **CSMA/CD**, Carrier Sense Multiple Access / Collision Detection (Accès Multiple à Détection de Porteuse / Détection de Collisions).  +
- +
-Il faut noter que : +
- +
-  * les données sont transmises à chaque nœud - c'est la méthode d'**accès multiple**, +
-  * chaque nœud qui veut émettre écoute le réseau - c'est la **détection de porteuse**, +
-  * quand le réseau est silencieux une trame est émise dans laquelle se trouvent les données ainsi que l'adresse du destinataire, +
-  * le système est dit donc **aléatoire** ou **non-déterministe**, +
-  * quand deux nœuds émettent en même temps, il y a **collision de données**, +
-  * les deux nœuds vont donc cesser d'émettre, se mettant en attente jusqu'à ce qu'ils commencent à émettre de nouveau. +
- +
-==Token-Ring== +
- +
-La technologie Token-Ring se repose sur : +
- +
-  * une topologie logique en anneau, +
-  * une topologie physique en étoile. +
- +
-Token-Ring se traduit par **Anneau à Jeton**. Il n'est pas aussi répandu que l'Ethernet pour des raisons de coûts. En effet le rajout d'un nœud en Token-Ring peut coûter jusqu'à **4 fois plus cher qu'en Ethernet**. +
- +
-Il faut noter que : +
- +
-  * les données sont transmises dans le réseau par un système appelé **méthode de passage de jeton**, +
-  * le jeton est une **trame numérique vide** de données qui tourne en permanence dans l'anneau, +
-  * quand un nœud souhaite émettre, il saisit le jeton, y dépose des données avec l'adresse du destinataire et ensuite laisse poursuivre son chemin jusqu'à sa destination, +
-  * pendant son voyage, aucun autre nœud ne peut émettre, +
-  * une fois arrivé à sa destination, le jeton dépose ses données et retourne à l'émetteur pour confirmer la livraison, +
-  * ce système est appelé **déterministe**. +
- +
-L'intérêt de la technologie Token-Ring se trouve dans le fait : +
- +
-  * qu'il **évite des collisions**, +
-  * qu'il est **possible de déterminer avec exactitude le temps que prenne l'acheminement des données**. +
- +
-La technologie Token-Ring est donc idéale, voire obligatoire, dans des installations où chaque nœud doit disposer d'une opportunité à intervalle fixe d'émettre des données. +
- +
-====Périphériques Réseaux Spéciaux==== +
- +
-En plus du câblage, les périphériques de réseau spéciaux sont des éléments primordiaux tant au niveau de la topologie physique que la topologie logique. +
- +
-Les périphériques de réseau spéciaux sont : +
- +
-  * les Concentrateurs ou //Hubs//, +
-  * les Répéteurs ou //Repeaters//, +
-  * les Ponts ou //Bridges//, +
-  * les Commutateurs ou //Switches//, +
-  * les Routeurs ou //Routers//, +
-  * les Passerelles ou //Gateways//+
- +
-L'objectif ici est de vous permettre de comprendre le rôle de chaque périphérique. +
- +
-===Les Concentrateurs=== +
- +
-Les Concentrateurs permettent une connectivité entre les nœuds en topologie en étoile. Selon leur configuration, la topologie logique peut être en étoile, en bus ou en anneau. Il existe de multiples types de Concentrateurs allant du plus simple au Concentrateur intelligent. +
- +
-  * **Le Concentrateur Simple**  +
-    * est une boîte de raccordement centrale, +
-    * joue le rôle de récepteur et du réémetteur des signaux sans accélération ni gestion de ceux-ci, +
-    * est un périphérique utilisé pour des groupes de travail. +
- +
-  * **Le Concentrateur Évolué**  +
-    * est un Concentrateur simple qui offre en plus l'amplification des signaux, la gestion du type de topologie logique grâce à des capacités d'être configurés à l'aide d'un logiciel ainsi que l'homogénéisation du réseau en offrant des ports pour un câblage différent. Par exemple, 8 ports en paire torsadée non-blindée et un port BNC. +
- +
-  * **Le Concentrateur Intelligent** +
-    * est un Concentrateur évolué qui offre en plus la détection automatique des pannes, la connectique avec un Pont ou un Routeur ainsi que le diagnostic et la génération de rapports. +
- +
-===Les Répéteurs=== +
- +
-Un Répéteur est un périphérique réseau simple. Il est utilisé pour amplifier le signal quand : +
- +
-  * la longueur du câble dépasse la limite autorisée, +
-  * le câble passe par une zone ou les interférences sont importantes. +
- +
-Éventuellement, et uniquement dans le cas où le Répéteur serait muni d'une telle fonction, celui-ci peut être utiliser pour connecter deux réseaux ayant un câblage différent. +
- +
-===Les Ponts=== +
- +
-Un Pont est **Répéteur intelligent**. Outre sa capacité d'amplifier les signaux, le Pont analyse le trafic qui passe par lui et met à jour une liste d'adresses des cartes réseau, appelée **une table de routage**, n'autorisant que les transmissions destinées à d'autres segments du réseau.  +
- +
-Les **diffusions** sont néanmoins autorisées. +
- +
-Comme un Pont doit être intelligent, on utilise souvent un micro-ordinateur comme Pont. Forcément équipé de 2 cartes réseau, le Pont peut également jouer le rôle de serveur de fichiers. +
- +
-Le Pont sert donc à isoler des segments du réseau pour des raisons de : +
- +
-  * **sécurité** afin d'éviter à ce que des données sensibles soient propagées sur tout le réseau, +
-  * **performance** afin qu'une partie du réseau trop chargée ralentisse le réseau entier, +
-  * **fiabilité** afin par exemple qu'une carte en panne ne gène pas le reste du réseau avec une diffusion. +
- +
-Il existe trois types de configuration de Ponts +
- +
-==Le Pont de Base== +
- +
-Le Pont de Base est utilisé très rarement pour isoler deux segments. +
- +
-;#;{{:solaris:sol2:pont1.png|}};#; +
- +
-==Le Pont en Cascade== +
- +
-Le Pont en Cascade est à éviter car les données en provenance d'un segment doivent passer par plusieurs Ponts. Ceci a pour conséquence de ralentir la transmission des données, voire même de créer un trafic superflu en cas de rémission par le nœud +
- +
-;#;{{:solaris:sol2:pont2.png|}};#; +
- +
-==Le Pont en Dorsale== +
- +
-Le Pont en Dorsale coûte plus chère que la configuration précédente car il faut un nombre de Ponts équivalent au nombre de segments + 1. Par contre elle réduit les problèmes précédemment cités puisque les données ne transitent que par deux Ponts. +
- +
-;#;{{:solaris:sol2:pont3.png|}};#; +
- +
-===Les Commutateurs=== +
- +
-Un Commutateur peut être considéré comme un Concentrateur intelligent et un Pont. Ils sont gérés souvent par des logiciels. La topologie physique d'un réseau commuté est en étoile. Par contre la topologie logique est spéciale, elle s'appelle une topologie commutée. +
- +
-Lors de la communication de données entre deux nœuds, le Commutateur ouvre une connexion temporaire virtuelle en fermant les autres ports. De cette façon la bande passante totale est disponible pour cette transmission et les risques de collision sont minimisés. +
- +
-Certains Commutateurs haut de gamme sont équipés d'un système anti-catastrophe qui leur permet d'isoler une partie d'un réseau en panne afin que les autres parties puissent continuer à fonctionner sans problème. +
- +
-===Les Routeurs=== +
- +
-Un Routeur est un Pont sophistiqué capable :  +
- +
-  * d'assurer l'interconnexion entre des segments, +
-  * de filtrer le trafic, +
-  * d’isoler une partie du réseau, +
-  * d’ explorer les informations d'adressage pour trouver le chemin le plus approprié et le plus rentable pour la transmission des données. +
- +
-Les Routeurs utilisent une table de routage pour stocker les informations sur : +
-  +
-  * les adresses du réseau, +
-  * les solutions de connexion vers d'autres réseaux, +
-  * l'efficacité des différentes routes. +
- +
-Il existe deux types de Routeur : +
- +
-  * le **Routeur Statique**  +
-    * la table de routage est éditer manuellement, +
-    * les routes empruntées pour la transmission des données sont toujours les mêmes, +
-    * il n'y a pas de recherche d'efficacité. +
- +
-  * le **Routeur Dynamique**  +
-    * découvre automatiquement les routes à emprunter dans un réseau. +
- +
-===Les Passerelles=== +
- +
-Ce périphérique, souvent un logiciel, sert à faire une conversion de données : +
- +
-  * entre deux technologies différentes ( Ethernet - Token-Ring ), +
-  * entre deux protocoles différents, +
-  * entre des formats de données différents. +
- +
-=====Annexe #2 - Comprendre TCP Version 4===== +
- +
-==== En-tête TCP ==== +
- +
-L'en-tête TCP est codée sur 4 octets soit 32 bits :  +
- +
-^ 1er octet ^ 2ème octet ^ 3ème octet ^ 4 ème octet ^ +
-|   Port source   ||   Port destination   || +
-|   Numéro de séquence   |||| +
-|   Numéro d'acquittement   |||| +
-|   Offset  |  Flags  |  Fenêtre   || +
-|  Checksum  ||  Pointeur Urgent  || +
-|  Options  |||  Padding +
-|  Données  |||| +
- +
-Vous noterez que les numéros de ports sont codés sur 16 bits. Cette information nous permet de calculer le nombres de ports maximum en IPv4, soit 2<sup>16</sup> ports ou 65 535. +
- +
-L'**Offset** contient la taille de l'en-tête. +
- +
-Les **Flags** sont : +
- +
-  * URG - Si la valeur est 1 le pointeur urgent est utilisé. Le numéro de séquence et le pointeur urgent indique un octet spécifique. +
-  * ACK - Si la valeur est 1, le paquet est un accusé de réception +
-  * PSH - Si la valeur est 1, les données sont immédiatement présentées à l'application +
-  * RST - Si la valeur est 1, la communication comporte un problème et la connexion est réinitialisée +
-  * SYN - Si la valeur est 1, le paquet est un paquet de synchronisation +
-  * FIN - Si la valeur est 1, le paquet indique la fin de la connexion +
- +
-La **Fenêtre** est codée sur 16 bits. La Fenêtre est une donnée liée au fonctionnement d'expédition de données appelé le **sliding window** ou la **fenêtre glissante**. Puisque il serait impossible, pour des raisons de performance, d'attendre l'accusé de réception de chaque paquet envoyé, l'expéditeur envoie des paquets par groupe. La taille de cette groupe s'appelle la Fenêtre. Dans le cas d'un problème de réception d'une partie de la Fenêtre, toute la Fenêtre est ré-expédiée. +
- +
-Le **Checksum** est une façon de calculer si le paquet est complet. +
- +
-Le **Padding** est un champ pouvant être rempli de valeurs nulles de façon à ce que la taille de l'en-tête soit un multiple de 32 +
- +
-==== En-tête UDP ==== +
- +
-L'en-tête UDP est codée sur 4 octets soit 32 bits :  +
- +
-^ 1er octet ^ 2ème octet ^ 3ème octet ^ 4 ème octet ^ +
-|   Port source   ||   Port destination   || +
-|   longueur   ||   Checksum   || +
-|  Données  |||| +
- +
-L'en-tête UDP a une longueur de 8 octets. +
- +
-==== Fragmentation et Ré-encapsulation ==== +
- +
-La taille limite d'un paquet TCP, l'en-tête comprise, ne peut pas dépasser **65 535 octets**. Cependant chaque réseau est qualifié par son MTU ( Maximum Tranfer Unit ). Cette valeur est la taille maximum d'un paquet autorisée. L'unité est en **octets**. Pour un réseau Ethernet sa valeur est de 1 500. Quand un paquet doit être expédié sur un réseau ayant un MTU inférieur à sa propre taille, le paquet doit être **fractionné**. A la sortie du réseau, le paquet est reconstitué. Cette reconstitution s'appelle **ré-encapsulation**. +
- +
-==== Adressage ==== +
- +
-L'adressage IP requière que chaque périphérique sur le réseau possède une adresse IP unique de 4 octets, soit 32 bits au format XXX.XXX.XXX.XXX De cette façon le nombre total d'adresses est de 2<sup>32</sup> = 4.3 Milliards. +
- +
-Les adresses IP sont divisées en 5 classes, de A à E. Les 4 octets des classes A à C sont divisés en deux, une partie qui s'appelle le **Net ID** qui identifie le réseau et une partie qui s'appelle le **Host ID** qui identifie le hôte  : +
- +
-^     ^ 1er octet ^ 2ème octet ^ 3ème octet ^ 4 ème octet ^ +
-|  A  |   Net ID     Host ID   ||| +
-|  B  |   Net ID    ||   Host ID   || +
-|  C  |   Net ID    |||   Host ID   | +
-|  D  |   Multicast  |||| +
-|  E  |   Réservé  |||| +
- +
-L'attribution d'une classe dépend du nombre de hôtes à connecter. Chaque classe est identifié par un **Class ID** composé de 1 à 3 bits : +
- +
-^  Classe  ^  Bits ID Classe  ^  Valeur ID Classe  ^  Bits ID Réseau  ^  Nb. de Réseaux  ^  Bits ID hôtes  ^  Nb. d'adresses  ^  Octet de Départ +
-|  A  |  1  |  0  |  7  |  2<sup>7</sup>=128  |  24  |  2<sup>24</sup>=16 777 216  |  1 - 126  | +
-|  B  |  2  |  10  |  14  |  2<sup>14</sup>=16 834  |  16  |  2<sup>16</sup>=65 535  |  128 - 191  | +
-|  C  |  3  |  110  |  21  |  2<sup>21</sup>=2 097 152  |  8  |  2<sup>8</sup>=256  |  192 - 223  | +
-  +
-Le réseau 127. est réservé. Il s'appelle le **loopback** et identifie la machine locale. +
- +
-Dans chaque classe, certaines adresses sont réservées pour un usage privé : +
- +
-^  Classe  ^  IP de Départ  ^  IP de Fin  ^ +
-|  A  |  10.0.0.0  |  10.255.255.255 +
-|  B  |  172.16.0.0  |  172.31.255.255 +
-|  C  |  192.168.0.0  |  192.168.255.255 +
- +
-Il existe des adresses particulières ne pouvant pas être utilisées pour identifier un hôte : +
- +
-^  Adresse Particulière  ^  Description +
-|  169.254.0.0 à 169.254.255.255  |  Automatic Private IP Addressing de Microsoft +
-|  Hôte du réseau courant  |  Tous les bits du Net ID sont à 0  | +
-|  Adresse de réseau  |  Tous les bits du Host ID sont à 0  | +
-|  Adresse de diffusion  |  Tous les bits du Host ID sont à 1  | +
- +
-L'adresse de réseau identifie le **segment** du réseau entier tandis que l'adresse de diffusion identifie tous les hôtes sur le segment de réseau. +
- +
-Afin de mieux comprendre l'adresse de réseau et l'adresse de diffusion, prenons le cas de l'adresse 192.168.10.1 en classe C : +
- +
-^    ^ 1er octet ^ 2ème octet ^ 3ème octet ^ 4 ème octet ^ +
-^    ^  Net ID  ^^^  Host ID  ^ +
-|  Adresse IP  |   192     168    10  |  1  | +
-|  Binaire  |   11000000     10101000    000001010  |  00000001 +
-|  Calcul de l'adresse de réseau  ||||| +
-|  Binaire  |   11000000     10101000    000001010  |  **00000000** +
-|  Adresse réseau  |   192     168    10  |  0  | +
-|  Calcul de l'adresse de diffusion  ||||| +
-|  Binaire  |   11000000     10101000    000001010  |  **11111111** +
-|  Adresse de diffusion |   192     168    10  |  255  | +
- +
-==== Masques de sous-réseaux ==== +
- +
-Tout comme l'adresse IP, le masque de sous-réseau compte 4 octets ou 32 bits. Les masques de sous-réseaux permettent d'identifer le Net ID et le Host ID : +
- +
-^  Classe  ^  Masque  ^  Notation CIDR  ^ +
-|  A  |  255.0.0.0  |  /8  | +
-|  B  |  255.255.0.0  |  /16  | +
-|  C  |  255.255.255.0  |  /24  | +
- +
-Le terme **CIDR** veut dire **Classless %%InterDomain%% Routing**. Le terme Notation CIDR correspond au nombre de bits d'une valeur de 1 dans le masque de sous-réseau. +
- +
-Quand un hôte souhaite émettre il procède d'abord à l'identification de sa propre adresse réseau par un calcul AND (ET) appliqué à sa propre adresse et son masque de sous-réseau qui stipule : +
- +
-  * 1 x 1 = 1 +
-  * 0 x 1 = 0 +
-  * 1 x 0 = 0 +
-  * 0 x 0 = 0 +
- +
-Prenons le cas de l'adresse IP 192.168.10.1 ayant un masque de 255.255.255.0 : +
- +
-^    ^ 1er octet ^ 2ème octet ^ 3ème octet ^ 4 ème octet ^ +
-|  Adresse IP  |   192     168    10  |  1  | +
-|  Binaire  |   11000000     10101000    00001010  |  00000001 +
-|  Masque de sous-réseau  ||||| +
-|  Binaire  |   11111111     11111111    11111111 |  00000000 +
-|  Calcul AND  |   11000000     10101000    00001010 |  00000000 +
-|  Adresse réseau  |   192     168    10  |  0  | +
- +
- +
-Cet hôte essaie de communiquer avec un hôte ayant une adresse IP de 192.168.10.10. Il procède donc au même calcul en appliquant **son propre masque de sous-réseau** à l'adresse IP de l'hôte destinataire : +
- +
-^    ^ 1er octet ^ 2ème octet ^ 3ème octet ^ 4 ème octet ^ +
-|  Adresse IP  |   192     168    10  |  10  | +
-|  Binaire  |   11000000     10101000    00001010  |  00001010 +
-|  Masque de sous-réseau  ||||| +
-|  Binaire  |   11111111     11111111    11111111 |  00000000 +
-|  Calcul AND  |   11000000     10101000    00001010 |  00000000 +
-|  Adresse réseau  |   192     168    10  |  0  | +
- +
-Puisque l'adresse réseau est identique dans les deux cas, l'hôte émetteur présume que l'hôte de destination se trouve sur son réseau et envoie les paquets directement sur le réseau sans s'adresser à sa passerelle par défaut. +
- +
-L'hôte émetteur essaie maintenant de communiquer avec avec un hôte ayant une adresse IP de 192.168.2.1. Il procède donc au même calcul en appliquant **son propre masque de sous-réseau** à l'adresse IP de l'hôte destinataire : +
- +
-^    ^ 1er octet ^ 2ème octet ^ 3ème octet ^ 4 ème octet ^ +
-|  Adresse IP  |   192     168    2  |  1  | +
-|  Binaire  |   11000000     10101000    00000010  |  00000001 +
-|  Masque de sous-réseau  ||||| +
-|  Binaire  |   11111111     11111111    11111111 |  00000000 +
-|  Calcul AND  |   11000000     10101000    00000010 |  00000000 +
-|  Adresse réseau  |   192     168    2  |  0  | +
- +
-Dans ce cas, l'hôte émetteur constate que le réseau de destination 192.168.2.0 n'est pas identique à son propre réseau 192.168.10.0. Il adresse donc les paquets à la passerelle par défaut. +
- +
-==== VLSM ==== +
- +
-Puisque le stock de réseaux disponibles sous IPv4 est presque épuisé, une solution a du être trouvée pour créer des sous-réseaux en attendant l'introduction de l'IPv6. Cette solution s'appelle le VLSM ou Variable Length Subnet Masks. Le VLSM exprime les masques de sous-réseaux au format CIDR.  +
- +
-Son principe est simple. Afin de créer des réseaux différents à partir d'une adresse réseau d'une classe donnée, il convient de réduire le nombre d'hôtes. De cette façon les bits 'libérés' du Host ID peuvent être utilisés pour identifier les sous-réseaux. +
- +
-Pour illustrer ceci, prenons l'exemple d'un réseau 192.168.1.0. Sur ce réseau, nous pouvons mettre 2<sup>8</sup>-2 soit 254 hôtes entre 192.168.1.1 au 192.168.1.254. +
- +
-Supposons que nous souhaiterions diviser notre réseau en 2 sous-réseaux. Pour coder 2 sous-réseaux, il faut que l'on libère 2 bits du Host ID. Les deux bits libérés auront les valeurs binaires suivantes : +
- +
-  * 00 +
-  * 01 +
-  * 10 +
-  * 11 +
- +
-Les valeurs binaires du quatrième octet de nos adresses de sous-réseaux seront donc : +
- +
-  * 192.168.1.00XXXXXX +
-  * 192.168.1.01XXXXXX +
-  * 192.168.1.10XXXXXX +
-  * 192.168.1.11XXXXXX +
- +
-où les XXXXXX représentent les bits que nous réservons pour décrire les hôtes dans chacun des sous-réseaux. +
- +
-Nous ne pouvons pas utiliser les deux sous-réseaux suivants : +
- +
-  * 192.168.1.00XXXXXX +
-  * 192.168.1.11XXXXXX +
- +
-car ceux-ci correspondent aux débuts de l'adresse réseau 192.168.1.0 et de l'adresse de diffusion 192.168.1.255. +
- +
-Nous pouvons utiliser les deux sous-réseaux suivants : +
- +
-  * 192.168.1.01XXXXXX +
-  * 192.168.1.10XXXXXX +
- +
-Pour le premier sous-réseau l'adresse réseau et l'adresse de diffusion sont : +
- +
-|  Sous-réseau #1  |   192     168    1 |  01XXXXXX +
-|  Calcul de l'adresse de réseau  ||||| +
-|  Binaire  |   11000000     10101000    00000001  |  01**000000** | +
-|  Adresse réseau  |   192     168    1  |  **64** +
-|  Calcul de l'adresse de diffusion  ||||| +
-|  Binaire  |   11000000     10101000    00000001  |  01**111111** +
-|  Adresse de diffusion |   192     168    1  |  **127** +
- +
-  * L'adresse CIDR du réseau est donc 192.168.1.64/26 car le Net ID est codé sur 24+2 bits. +
- +
-  * Le masque de sous-réseau est donc le 11111111.11111111.11111111.11000000 ou le 255.255.255.192 +
- +
-  * Nous pouvons avoir 2<sup>6</sup>-2 soit 62 hôtes. +
- +
-  * La plage valide d'adresses IP est de 192.168.1.65 à 192.168.1.126 +
- +
-Pour le deuxième sous-réseau l'adresse réseau et l'adresse de diffusion sont : +
- +
-|  Sous-réseau #2  |   192     168    1 |  10XXXXXX +
-|  Calcul de l'adresse de réseau  ||||| +
-|  Binaire  |   11000000     10101000    00000001  |  10**000000** | +
-|  Adresse réseau  |   192     168    1  |  **128** +
-|  Calcul de l'adresse de diffusion  ||||| +
-|  Binaire  |   11000000     10101000    00000001  |  10**111111** +
-|  Adresse de diffusion |   192     168    1  |  **191** +
- +
-  * L'adresse CIDR du réseau est donc 192.168.1.128/26 car le Net ID est codé sur 24+2 bits. +
- +
-  * Le masque de sous-réseau est donc le 11111111.11111111.11111111.11000000 ou le 255.255.255.192 +
- +
-  * Nous pouvons avoir 2<sup>6</sup>-2 soit 62 hôtes. +
- +
-  * La plage valide d'adresses IP est de 192.168.1.129 à 192.168.1.190 +
- +
- +
-La valeur qui sépare les sous-réseaux est 64. Cette valeur comporte le nom **incrément**. +
- +
-==== Ports et sockets ==== +
- +
-Afin que les données arrivent aux applications que les attendent, TCP utilise des numéros de ports sur la couche transport. Le numéros de ports sont divisés en trois groupes : +
- +
-  * **Well Known Ports** +
-    * De 1 à 1023 +
-  * **Registered Ports** +
-    * De 1024 à 49151 +
-  * **Dynamic** et/ou **Private Ports** +
-    * De 49152 à 65535 +
- +
-Le couple **numéro IP:numéro de port** s'appelle un **socket**. +
- +
-==== /etc/services ==== +
- +
-Les ports les plus utilisés sont détaillés dans le fichier **/etc/services** :+
  
 <code> <code>
-[root@centos7 ~]# more /etc/services +[root@centos7 ~]# vi /etc/systemd/system/foo.service 
-/etc/services: +[root@centos7 ~]cat /etc/systemd/system/foo.service 
-# $Id: services,v 1.55 2013/04/14 ovasik Exp $ +[Unit] 
-# +Description=The foo service that does nothing useful 
-# Network services, Internet style +After=remote-fs.target nss-lookup.target
-# IANA services version: last updated 2013-04-10 +
-+
-# Note that it is presently the policy of IANA to assign a single well-known +
-# port number for both TCP and UDP; hence, most entries here have two entries +
-# even if the protocol doesn't support UDP operations. +
-# Updated from RFC 1700, ``Assigned Numbers'' (October 1994).  Not all ports +
-# are included, only the more common ones. +
-+
-# The latest IANA port assignments can be gotten from +
-#       http://www.iana.org/assignments/port-numbers +
-# The Well Known Ports are those from 0 through 1023+
-# The Registered Ports are those from 1024 through 49151 +
-The Dynamic and/or Private Ports are those from 49152 through 65535 +
-+
-# Each line describes one service, and is of the form: +
-+
-# service-name  port/protocol  [aliases ...]   [# comment]+
  
-tcpmux          1/tcp                           # TCP port service multiplexer +[Service] 
-tcpmux          1/udp                           # TCP port service multiplexer +ExecStart=/usr/bin/sha1sum /dev/zero  
-rje             5/tcp                           # Remote Job Entry +ExecStop=/bin/kill -WINCH ${MAINPID}
-rje             5/udp                           # Remote Job Entry +
-echo            7/tcp +
-echo            7/udp +
-discard         9/tcp           sink null +
-discard         9/udp           sink null +
-systat          11/tcp          users +
-systat          11/udp          users +
-daytime         13/tcp +
---More--(0%) +
-</code>+
  
-Notez que les ports sont listés par deux : +[Install
- +WantedBy=multi-user.target
-  * le port TCP +
-  * le port UDP +
- +
-La liste la plus complète peut être consultée à l'adresse suivante **https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml**. +
- +
-Pour connaitre la liste des sockets ouverts sur l'ordinateur, saisissez la commande suivante : +
- +
-<code> +
-[root@centos7 ~]# netstat -an | more +
-Active Internet connections (servers and established) +
-Proto Recv-Q Send-Q Local Address           Foreign Address         State       +
-tcp        0      0 0.0.0.0:22              0.0.0.0:              LISTEN      +
-tcp        0      0 127.0.0.1:7127          0.0.0.0:              LISTEN      +
-tcp        0      0 127.0.0.1:631           0.0.0.0:              LISTEN      +
-tcp        0      0 127.0.0.1:25            0.0.0.0:              LISTEN      +
-tcp        0      0 127.0.0.1:52284         0.0.0.0:              LISTEN      +
-tcp        0      0 127.0.0.1:49669         0.0.0.0:              LISTEN      +
-tcp        0      0 127.0.0.1:52284         127.0.0.1:46641         ESTABLISHED +
-tcp        0      0 10.0.2.15:22            10.0.2.2:47261          ESTABLISHED +
-tcp        0      0 127.0.0.1:46641         127.0.0.1:52284         ESTABLISHED +
-tcp6            0 :::22                   :::                   LISTEN      +
-tcp6            0 ::1:631                 :::                   LISTEN      +
-udp        0      0 10.0.2.15:49309         10.0.2.3:53             ESTABLISHED +
-udp        0      0 0.0.0.0:42155           0.0.0.0:                          +
-udp        0      0 0.0.0.0:5353            0.0.0.0:                          +
-udp        0      0 127.0.0.1:323           0.0.0.0:                          +
-udp        0      0 0.0.0.0:68              0.0.0.0:                          +
-udp        0      0 0.0.0.0:14451           0.0.0.0:                          +
-udp        0      0 10.0.2.15:37244         212.83.184.186:123      ESTABLISHED +
-udp6            0 ::1:323                 :::                               +
-udp6            0 :::35912                :::*                                +
-raw6            0 :::58                   :::                   7           +
-Active UNIX domain sockets (servers and established) +
-Proto RefCnt Flags       Type       State         I-Node   Path +
-unix  2      [ ACC ]     STREAM     LISTENING     20224    public/pickup +
-unix  2      [ ACC ]     STREAM     LISTENING     20228    public/cleanup +
-unix  2      [ ACC ]     STREAM     LISTENING     20231    public/qmgr +
-unix  2      [ ACC ]     STREAM     LISTENING     11278    /run/lvm/lvmpolld.socket +
-unix  2      [ ACC ]     STREAM     LISTENING     13838    /var/run/dbus/system_bus_s +
-ocket +
-unix  2      [ ACC ]     STREAM     LISTENING     20253    public/flush +
-unix  2      [ ACC ]     STREAM     LISTENING     20268    public/showq +
---More--+
 </code> </code>
  
-Pour connaitre la liste des applications ayant ouvert un port sur l'ordinateur, saisissez la commande suivante :+Consultez le statut du service foo :
  
 <code> <code>
-[root@centos7 ~]# netstat -anp | more +[root@centos7 ~]# systemctl status foo.service 
-Active Internet connections (servers and established) +● foo.service The foo service that does nothing useful 
-Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name     +   Loadedloaded (/etc/systemd/system/foo.service; disabled; vendor presetdisabled) 
-tcp        0      0 0.0.0.0:22              0.0.0.0:              LISTEN      855/sshd             +   Activeinactive (dead)
-tcp        0      0 127.0.0.1:7127          0.0.0.0:              LISTEN      3275/Remote Access   +
-tcp        0      0 127.0.0.1:631           0.0.0.0:              LISTEN      854/cupsd            +
-tcp        0      0 127.0.0.1:25            0.0.0.0:              LISTEN      2214/master          +
-tcp        0      0 127.0.0.1:52284         0.0.0.0:              LISTEN      3389/Remote Access   +
-tcp        0      0 127.0.0.1:49669         0.0.0.0:              LISTEN      3275/Remote Access   +
-tcp        0      0 127.0.0.1:52284         127.0.0.1:46641         ESTABLISHED 3389/Remote Access   +
-tcp        0      0 10.0.2.15:22            10.0.2.2:47261          ESTABLISHED 4557/sshd: trainee   +
-tcp        0      1 10.0.2.15:55144         86.241.135.118:443      SYN_SENT    3275/Remote Access   +
-tcp        0      0 127.0.0.1:46641         127.0.0.1:52284         ESTABLISHED 3275/Remote Access   +
-tcp6            0 :::22                   :::                   LISTEN      855/sshd             +
-tcp6            0 ::1:631                 :::                   LISTEN      854/cupsd            +
-udp        0      0 0.0.0.0:42155           0.0.0.0:                          525/avahi-daemon: r  +
-udp        0      0 0.0.0.0:5353            0.0.0.0:                          525/avahi-daemon: r  +
-udp        0      0 127.0.0.1:323           0.0.0.0:                          556/chronyd          +
-udp        0      0 0.0.0.0:68              0.0.0.0:                          4501/dhclient        +
-udp        0      0 0.0.0.0:14451           0.0.0.0:                          4501/dhclient        +
-udp        0      0 10.0.2.15:37244         212.83.184.186:123      ESTABLISHED 556/chronyd          +
-udp6            0 ::1:323                 :::                               556/chronyd          +
-udp6            0 :::35912                :::*                                4501/dhclient        +
-raw6            0 :::58                   :::                   7           653/NetworkManager   +
-Active UNIX domain sockets (servers and established) +
-Proto RefCnt Flags       Type       State         I-Node   PID/Program name     Path +
-unix  2      [ ACC ]     STREAM     LISTENING     20224    2214/master          public/pickup +
-unix  2      [ ACC ]     STREAM     LISTENING     20228    2214/master          public/cleanup +
-unix  2      [ ACC ]     STREAM     LISTENING     20231    2214/master          public/qmgr +
-unix  2      [ ACC ]     STREAM     LISTENING     11278    1/systemd            /run/lvm/lvmpolld.socket +
-unix  2      [ ACC ]     STREAM     LISTENING     13838    1/systemd            /var/run/dbus/system_bus_socket +
-unix  2      [ ACC ]     STREAM     LISTENING     20253    2214/master          public/flush +
-unix  2      [ ACC ]     STREAM     LISTENING     20268    2214/master          public/showq +
-unix  2      [ ACC ]     STREAM     LISTENING     13859    1/systemd            /var/run/rpcbind.sock +
---More--+
 </code> </code>
  
-==== Résolution d'adresses Ethernet ==== +Démarrez et actives le service :
- +
-Chaque protocole peut être encapsulé dans une **trame** Ethernet. Lorsque la trame doit être transportée de l'expéditeur au destinataire, ce premier doit connaitre l'adresse Ethernet du dernier. L'adresse Ethernet est aussi appelée l'adresse **Physique** ou l'adresse **MAC**. +
- +
-Pour connaître l'adresse Ethernet du destinataire, l'expéditeur fait appel au protocol **ARP**. Les informations reçues sont stockées dans une table. Pour visualiser ces informations, il convient d'utiliser la commande suivante :+
  
 <code> <code>
-[root@centos7 ~]# arp -a +[root@centos7 ~]# systemctl start foo.service 
-? (10.0.2.3) at 52:54:00:12:35:03 [etheron enp0s3 +[root@centos7 ~]# systemctl enable foo.service 
-gateway (10.0.2.2at 52:54:00:12:35:02 [ether] on enp0s3 +Created symlink from /etc/systemd/system/multi-user.target.wants/foo.service to /etc/systemd/system/foo.service. 
-</code>+[root@centos7 ~]# systemctl status foo.service 
 +● foo.service - The foo service that does nothing useful 
 +   Loaded: loaded (/etc/systemd/system/foo.service; enabled; vendor preset: disabled) 
 +   Activeactive (running) since Wed 2016-06-15 13:13:17 CEST; 24s ago 
 + Main PID22256 (sha1sum) 
 +   CGroup/system.slice/foo.service 
 +           └─22256 /usr/bin/sha1sum /dev/zero
  
-===Options de la commande=== +Jun 15 13:13:17 centos7.fenestros.loc systemd[1]: Started The foo service that does nothing useful. 
- +Jun 15 13:13:17 centos7.fenestros.loc systemd[1]: Starting The foo service that does nothing useful...
-Les options de cette commande sont : +
- +
-<code> +
-[root@centos7 ~]# arp --help +
-Usage: +
-  arp [-vn [<HW>] [-i <if>] [-a] [<hostname>            <-Display ARP cache +
-  arp [-v]          [-i <if>] -d  <host> [pub]               <-Delete ARP entry +
-  arp [-vnD] [<HW>] [-i <if>] -f  [<filename>           <-Add entry from file +
-  arp [-v]   [<HW>] [-i <if>] -s  <host> <hwaddr> [temp]            <-Add entry +
-  arp [-v]   [<HW>] [-i <if>] -Ds <host> <if> [netmask <nm>] pub          <-''+
- +
-        -a                       display (all) hosts in alternative (BSD) style +
-        -e                       display (all) hosts in default (Linux) style +
-        -s, --set                set a new ARP entry +
-        -d, --delete             delete a specified entry +
-        -v, --verbose            be verbose +
-        -n, --numeric            don't resolve names +
-        -i, --device             specify network interface (e.geth0) +
-        -D, --use-device         read <hwaddr> from given device +
-        -A, -p, --protocol       specify protocol family +
-        -f, --file               read new entries from file or from /etc/ethers +
- +
-  <HW>=Use '-H <hw>' to specify hardware address typeDefault: ether +
-  List of possible hardware types (which support ARP): +
-    ash (Ash) ether (Ethernet) ax25 (AMPR AX.25)  +
-    netrom (AMPR NET/ROM) rose (AMPR ROSE) arcnet (ARCnet)  +
-    dlci (Frame Relay DLCI) fddi (Fiber Distributed Data Interface) hippi (HIPPI)  +
-    irda (IrLAP) x25 (generic X.25) infiniband (InfiniBand)  +
-    eui64 (Generic EUI-64) +
 </code> </code>
  
-=====Annexe #3 - Comprendre le Chiffrement===== +Notez que notre service a été placé dans la tranche **system.slice** :
- +
-====Introduction à la cryptologie==== +
- +
-===Définitions=== +
- +
-  * **La Cryptologie** +
-    * La science qui étudie les aspects scientifiques de ces techniques, c'est-à-dire qu'elle englobe la cryptographie et la cryptanalyse.  +
-  * **La Cryptanalyse** +
-    * Lorsque la clef de déchiffrement n'est pas connue de l'attaquant on parle alors de cryptanalyse ou cryptoanalyse (on entend souvent aussi le terme plus familier de cassage). +
-  * **La Cryptographie** +
-    * Un terme générique désignant l'ensemble des techniques permettant de chiffrer des messages, c'est-à-dire permettant de les rendre inintelligibles sans une action spécifique. Les verbes crypter et chiffrer sont utilisés. +
-  * **Le Décryptement ou Décryptage** +
-    * Est le fait d'essayer de déchiffrer illégitimement le message (que la clé de déchiffrement soit connue ou non de l'attaquant). +
- +
-{{ :redhat:lx04:crypto1.gif|Cette image issue de Comment Ça Marche (www.commentcamarche.net) est mise à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de l'image, dans les conditions fixées par la licence, tant que cette note apparaît clairement. }} +
- +
-==La Cryptographie== +
- +
-La cryptographie apporte quatre points clefs:  +
- +
-  * La confidentialité +
-    * consiste à rendre l'information inintelligible à d'autres personnes que les acteurs de la transaction. +
-  * L'intégrité +
-    * consiste à déterminer si les données n'ont pas été altérées durant la communication (de manière fortuite ou intentionnelle). +
-  * L'authentification +
-    * consiste à assurer l'identité d'un utilisateur. +
-  * La non-répudiation +
-    * est la garantie qu'aucun des correspondants ne pourra nier la transaction.  +
- +
-La cryptographie est basée sur l'arithmétique. Il s'agit, dans le cas d'un texte, de transformer les lettres qui composent le message en une succession de chiffres (sous forme de bits dans le cas de l'informatique), puis ensuite de faire des calculs sur ces chiffres pour: +
- +
-  * Procéder au chiffrement +
-    * Le résultat de cette modification (le message chiffré) est appelé cryptogramme (Ciphertext) par opposition au message initial, appelé message en clair (Plaintext) +
-  * Procéder au déchiffrement +
- +
-Le chiffrement se fait à l'aide d'une clef de chiffrement. Le déchiffrement nécessite  une clef de déchiffrement. +
- +
-On distingue deux types de clefs: +
- +
-  * Les clés symétriques:  +
-    * des clés utilisées pour le chiffrement ainsi que pour le déchiffrement. On parle alors de chiffrement symétrique ou de chiffrement à clé secrète. +
-  * Les clés asymétriques:  +
-    * des clés utilisées dans le cas du chiffrement asymétrique (aussi appelé chiffrement à clé publique). Dans ce cas, une clé différente est utilisée pour le chiffrement et pour le déchiffrement. +
- +
-==Le Chiffrement par Substitution== +
-  +
-Le chiffrement par substitution consiste à remplacer dans un message une ou plusieurs entités (généralement des lettres) par une ou plusieurs autres entités. On distingue généralement plusieurs types de cryptosystèmes par substitution : +
- +
-  * La substitution **monoalphabétique** +
-    * consiste à remplacer chaque lettre du message par une autre lettre de l'alphabet +
-  * La substitution **polyalphabétique**  +
-    * consiste à utiliser une suite de chiffres monoalphabétique réutilisée périodiquement +
-  * La substitution **homophonique**  +
-    * permet de faire correspondre à chaque lettre du message en clair un ensemble possible d'autres caractères +
-  * La substitution de **polygrammes**   +
-    * consiste à substituer un groupe de caractères (polygramme) dans le message par un autre groupe de caractères +
- +
-====Algorithmes à clé secrète==== +
- +
-===Le Chiffrement Symétrique=== +
- +
-Ce système est aussi appelé le système à **Clef Secrète** ou à **clef privée**. +
- +
-Ce système consiste à effectuer une opération de chiffrement par algorithme mais comporte un inconvénient, à savoir qu'il nécessite un canal sécurisé pour la transmission de la clef de chiffrement/déchiffrement. +
- +
-{{:redhat:lx04:crypto2.gif|Cette image issue de Comment Ça Marche (www.commentcamarche.net) est mise à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de l'image, dans les conditions fixées par la licence, tant que cette note apparaît clairement.}} +
- +
-<WRAP center round important> +
-Le système de Méthode du Masque Jetable (One Time Pad) fût mis au point dans les années 1920. Il utilisait une clef générée aléatoirement à usage unique. +
-</WRAP> +
- +
-Les algorithmes de chiffrement symétrique couramment utilisés en informatique sont: +
- +
-  * **[[wpfr>Data_Encryption_Standard|Data Encryption Standard]]** (DES), +
-  * **[[wpfr>Triple_DES|Triple DES]]** (3DES), +
-  * **[[wpfr>RC2]]**,  +
-  * **[[wpfr>Blowfish|Blowfish]]**, +
-  * **[[wpfr>International_Data_Encryption_Algorithm|International Data Encryption Algorithm]]** (IDEA), +
-  * **[[wpfr>Standard_de_chiffrement_avancé|Advanced Encryption Standard]]** (AES). +
- +
-====Algorithmes à clef publique==== +
- +
-===Le Chiffrement Asymétrique=== +
- +
-Ce système est aussi appelé **Système à Clef Publique**. +
- +
-Ce système consiste à avoir deux clefs appelées des **bi-clefs**: +
- +
-  * Une clef **publique** pour le chiffrement +
-  * Une clef **secrète** ou **privée** pour le déchiffrement +
- +
-{{:redhat:lx04:crypto3.gif|Cette image issue de Comment Ça Marche (www.commentcamarche.net) est mise à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de l'image, dans les conditions fixées par la licence, tant que cette note apparaît clairement.}} +
- +
-  * L'utilisateur A (celui qui déchiffre) choisit une clef privée.  +
-  * A partir de cette clef il génère plusieurs clefs publiques grâce à un algorithme. +
-  * L'utilisateur B (celui qui chiffre) choisit une des clefs publiques à travers un canal non-sécurisé pour chiffrer les données à l'attention de l'utilisateur A. +
- +
-Ce système est basé sur ce que l'on appelle une **fonction à trappe à sens unique** ou **one-way trap door**. +
- +
-Il existe toutefois un problème – s'assurer que la clef publique récupérée est bien celle qui correspond au destinataire ! +
- +
-Les algorithmes de chiffrement asymétrique couramment utilisés en informatique sont: +
- +
-  * **[[wpfr>Digital_Signature_Algorithm|Digital Signature Algorithm]]** (DSA) +
-  * **[[wpfr>Rivest_Shamir_Adleman|Rivest, Shamir, Adleman]]** (RSA) +
- +
-===La Clef de Session=== +
- +
-Ce système est un compromis entre le système symétrique et le système asymétrique. Il permet l'envoie de données chiffrées à l'aide d'un algorithme de chiffrement symétrique par un canal non-sécurisé et a été mis au point pour palier au problème de lenteur de déchiffrement du système asymétrique. +
- +
-{{:redhat:lx04:crypto4.gif|Cette image issue de Comment Ça Marche (www.commentcamarche.net) est mise à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de l'image, dans les conditions fixées par la licence, tant que cette note apparaît clairement.}} +
- +
-Ce système fonctionne de la façon suivante : +
- +
-  L'utilisateur A chiffre une clef privée générée aléatoirement, appelée une « clef de session », en utilisant une des clefs publiques de l'utilisateur B. +
-  L'utilisateur A chiffre les données avec la clef de session. +
-  L'utilisateur B déchiffre la clef de session en utilisant sa propre clef privée. +
-  L'utilisateur B déchiffre les données en utilisant la clef de session. +
- +
-====Fonctions de Hachage==== +
- +
-La fonction de **hachage**, aussi appelée une fonction de **condensation**, est à **sens unique** (one way function). Il « condense » un message en clair et produit un haché unique. +
- +
-{{:redhat:lx04:crypto5.gif|Cette image issue de Comment Ça Marche (www.commentcamarche.net) est mise à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de l'image, dans les conditions fixées par la licence, tant que cette note apparaît clairement.}} +
- +
-Les deux algorithmes de hachage utilisés sont:  +
- +
-  * **[[wpfr>MD5|Message Digest 5]]** (MD5)  +
-  * **[[wpfr>SHA-1|Secure Hash Algorithm]]** (SHA) +
- +
-Lors de son envoie, le message est accompagné de son haché et il est donc possible de garantir son intégrité: +
- +
-{{:redhat:lx04:crypto6.gif|Cette image issue de Comment Ça Marche (www.commentcamarche.net) est mise à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de l'image, dans les conditions fixées par la licence, tant que cette note apparaît clairement.}} +
-  +
-  * A la réception du message, le destinataire ou l’utilisateur B calcule le haché du message reçu et le compare avec le haché accompagnant le document.  +
-  * Si le message ou le haché a été falsifié durant la communication, les deux empreintes ne correspondront pas.  +
- +
-<WRAP center round important> +
-Ce système permet de vérifier que l'empreinte correspond bien au message reçu, mais ne permet pas de prouver que le message a bien été envoyé par l’utilisateur A. +
-</WRAP> +
- +
-====Signature Numérique==== +
- +
-Pour garantir l'authentification du message l‘utilisateur A va chiffrer ou **signer** le haché à l'aide de sa clé privée. Le haché signé est appelé un **sceau**. +
- +
-{{:redhat:lx04:crypto7.gif|Cette image issue de Comment Ça Marche (www.commentcamarche.net) est mise à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de l'image, dans les conditions fixées par la licence, tant que cette note apparaît clairement.}} +
- +
-  * L’utilisateur A envoie le sceau au destinataire. +
-  * A la réception du message L’utilisateur B déchiffre le sceau avec la clé publique de l’utilisateur A. +
-  * Il compare le haché obtenu au haché reçu en pièce jointe. +
-  +
-Ce mécanisme de création de sceau est appelé **scellement**. +
- +
-Ce mécanisme est identique au procédé utilisé par SSH lors d'une connexion  +
- +
-====Utilisation de GnuPG==== +
- +
-===Présentation=== +
- +
-**GNU Privacy Guard** permet aux utilisateurs de transférer des messages chiffrés et/ou signés. +
- +
-===Installation=== +
- +
-Sous RHEL/CentOS 7, le paquet gnupg est installé par défaut :+
  
 <code> <code>
-[root@centos7 ~]# whereis gpg +[root@centos7 ~]# systemctl show -p Slice foo.service 
-gpg: /usr/bin/gpg /usr/share/man/man1/gpg.1.gz+Slice=system.slice
 </code> </code>
  
-===Configuration=== +Utilisez ps pour voir le pourcentage du CPU utilisé par ce service :
- +
-Pour initialiser %%GnuPG%%, saisissez la commande suivante :+
  
 <code> <code>
-[root@centos7 ~]# gpg +[root@centos7 ~]# ps -p 22256 -o pid,comm,cputime,%cpu 
-gpg: directory `/root/.gnupg' created +  PID COMMAND             TIME %CPU 
-gpgnew configuration file `/root/.gnupg/gpg.conf' created +22256 sha1sum         00:00:46 94.8
-gpgWARNING: options in `/root/.gnupg/gpg.conf' are not yet active during this run +
-gpg: keyring `/root/.gnupg/secring.gpg' created +
-gpg: keyring `/root/.gnupg/pubring.gpg' created +
-gpg: Go ahead and type your message ... +
-^C +
-gpg: signal Interrupt caught ..exiting+
 </code> </code>
  
-Pour générer les clefs, saisissez la commande suivante :+Fixez maintenant la valeur de CPUShares pour ce service à 250 :
  
 <code> <code>
-[root@centos7 ~]# gpg --gen-key +[root@centos7 ~]# systemctl set-property foo.service CPUShares=250
-gpg (GnuPG) 2.0.22; Copyright (C) 2013 Free Software Foundation, Inc. +
-This is free software: you are free to change and redistribute it. +
-There is NO WARRANTY, to the extent permitted by law. +
- +
-Please select what kind of key you want: +
-   (1) RSA and RSA (default) +
-   (2) DSA and Elgamal +
-   (3) DSA (sign only) +
-   (4) RSA (sign only) +
-Your selection? 1 +
-RSA keys may be between 1024 and 4096 bits long. +
-What keysize do you want? (2048)  +
-Requested keysize is 2048 bits +
-Please specify how long the key should be valid. +
-         key does not expire +
-      <n>  = key expires in n days +
-      <n>w = key expires in n weeks +
-      <n>m = key expires in n months +
-      <n>y = key expires in n years +
-Key is valid for? (0)  +
-Key does not expire at all +
-Is this correct? (y/N) y +
- +
-GnuPG needs to construct a user ID to identify your key. +
- +
-Real name: I2TCH +
-Email address: infos@i2tch.eu +
-Comment: Test Key +
-You selected this USER-ID: +
-    "I2TCH (Test Key) <infos@i2tch.eu>" +
- +
-Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit?+
-You need a Passphrase to protect your secret key. +
- +
-We need to generate a lot of random bytes. It is a good idea to perform +
-some other action (type on the keyboard, move the mouse, utilize the +
-disks) during the prime generation; this gives the random number +
-generator a better chance to gain enough entropy. +
-We need to generate a lot of random bytes. It is a good idea to perform +
-some other action (type on the keyboard, move the mouse, utilize the +
-disks) during the prime generation; this gives the random number +
-generator a better chance to gain enough entropy. +
-gpg: /root/.gnupg/trustdb.gpg: trustdb created +
-gpg: key F6A5B400 marked as ultimately trusted +
-public and secret key created and signed. +
- +
-gpg: checking the trustdb +
-gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model +
-gpg: depth: 0  valid:    signed:    trust: 0-, 0q, 0n, 0m, 0f, 1u +
-pub   2048R/F6A5B400 2016-08-10 +
-      Key fingerprint = CA95 0CB9 859B 2F80 B8AF  8C07 5365 C618 F6A5 B400 +
-uid                  I2TCH (Test Key) <infos@i2tch.eu> +
-sub   2048R/700F1CD5 2016-08-10+
 </code> </code>
  
-La liste de clefs peut être visualisée avec la commande suivante :+Cette limite est permenante et a été inscrite dans le fichier **50-CPUShares.conf** qui se trouve dans le répertoire **/etc/systemd/system/foo.service.d** :
  
 <code> <code>
-[root@centos7 ~]# gpg --list-keys +[root@centos7 ~]# ls /etc/systemd/system/foo.service.d 
-/root/.gnupg/pubring.gpg +50-CPUShares.conf 
------------------------- +[root@centos7 ~]# cat /etc/systemd/system/foo.service.d/50-CPUShares.conf  
-pub   2048R/F6A5B400 2016-08-10 +[Service] 
-uid                  I2TCH (Test Key) <infos@i2tch.eu> +CPUShares=250
-sub   2048R/700F1CD5 2016-08-10+
 </code> </code>
  
 <WRAP center round important> <WRAP center round important>
-Pour importer la clef d'un correspondant dans sa trousse de clefs il convient d'utiliser la commande suivante : +**Important** En utilisant l'option **--runtime** avec la commande **sysetmctl set-property** il est possible d'appliquer la limite d'une manière provisoire.
- +
-  # gpg --import la-clef.asc+
 </WRAP> </WRAP>
  
-Pour exporter sa clef publique, il convient d'utiliser la commande suivante :+Appliquez cette modification en rechargeant systemd et en re-démarrant le service foo.service :
  
 <code> <code>
-[root@centos7 ~]# gpg --export --armor I2TCH > ~/I2TCH.asc +[root@centos7 ~]# systemctl daemon-reload 
-[root@centos7 ~]# cat I2TCH.asc  +[root@centos7 ~]# systemctl restart foo.service
------BEGIN PGP PUBLIC KEY BLOCK----- +
-Version: GnuPG v2.0.22 (GNU/Linux) +
- +
-mQENBFeqtJkBCACgQWXgjwnOMvsI1KDgyCRrg3MZmjcvU9SBh+lEEEWfqY7MKXjs +
-PsXN/MHjQIWSptVe0OjVQhQWDicIEiVQ6nxV+jqx5Q9fqxmjsOrzIQFadsF5LS/+
-LR9KcXdBoSORGXMIsRKMzfS6oyK3yi5jM65P6jpH6PnyaX1PvlgjASh7F8OGoU8y +
-46WW/nW4DEN3MsX2FBtwY6aMcD5+Nvb8tJrQGz/DCrd045DRAR15mA8SVPPHSRMY +
-v3UzxXeRKxF/NDlecGubP1xfvvqkg/+hxUuybAc6MBhDQKvwL/ZpCoBlUCiouFPA +
-T9bYfagX2LHVBanY/mtIVhYDygtdc37hovEzABEBAAG0IUkyVENIIChUZXN0IEtl +
-eSkgPGluZm9zQGkydGNoLmV1PokBOQQTAQIAIwUCV6q0mQIbAwcLCQgHAwIBBhUI +
-AgkKCwQWAgMBAh4BAheAAAoJEFNlxhj2pbQAYW8H/iEg51IkqWYFSDBDWUljK3Sv +
-vvVGdQhqc7UptgYyqCWfegngdBH+2ScB8kbM8QVGX8kJ+xT4SeiV/VJdN6sHIkHV +
-sHBj5x77E5QVaU2Oz0cOlvg9cyGuQ5Y5sBN0MYEp7Q+mHpCTFhaCj8zwQ1/ZHdlK +
-Qk/8nNk/k2A94BJCwyQqITRWlOTYj0JGzgZV8yU5ROISsk+L6Pi4IHJw0+ZXlPXv +
-b0bG4p4mEmnhzZcfJ3runLJlCNrMRrWvBkkkGK/djuXDIR7HStQQlreSPG/m1JRF +
-hP/SARssyIWxyABSYOjR214jVLhC/pQvnbuVguYJoR6tdYqiui7oq+HBHXkP5pe5 +
-AQ0EV6q0mQEIAOSMChRKnaZgOLzh0FN7jCJT8z8xqj1Qze8F4Vz6nS+X0Rk38lQt +
-ICRSMJFm6CzyPbQamAAIPshT256brXF0jPp9vpirJn/bPsiT+rtu0dl5QyWJqcc/ +
-fE+/HaMVOuQ9HrplxV/heBqyPSA8BCppbAMti8i2DK7pNqe1JJ7CRxG0nakDSEgK +
-QbyrGjZYm0q2c9zb9QSbzxg/aKX2D9dlHUpNl4dhJ231d0OhBMQoW6psJjIrzfHd +
-dpgAYycgennv7Ik8+CIOjgb+Gl5AewLYCMFKCx/mV6/UkzXhmWw/o/POKsRFQJM+ +
-glXAr6ddQRhk6L482R3qkWTlQHx62KAr7BMAEQEAAYkBHwQYAQIACQUCV6q0mQIb +
-DAAKCRBTZcYY9qW0AF60B/9tpW1Bq8GyDN6kpj+of/b8xu37A4v6Ws43feuT7cNc +
-EuCi+EB6wyQ3dGSgQ9BUrO2KbF0OtjYxak3FWrFkmoFucvraxC2xQZuoqN+Qtydf +
-utmC6V4dCOsp3NWkuCBlUN4axI+m2M2tgTn06iDDkW0ZTISxMqapHjzIi43ufJrD +
-1RBPjl8BBvxSqcceZsybqNre8u9xka2fXW8xMTJr14xeYITd/YJbJ5UkpU0xmzJz +
-hR6B8Nji4yDplTZJtz8yJ+vOlg4p7TBN6O/BCvf83q9DfmhtlE8sYsoQ1dHhPNPR +
-VjdGSFRo2huGFd2KNCleilRVI3xcnrR9S7ziRJu9KG9H +
-=9R5l +
------END PGP PUBLIC KEY BLOCK-----+
 </code> </code>
  
-Cette clef peut ensuite être jointe à des messages électroniques ou bien déposée sur un serveur de clefs tel http://www.keyserver.net. +Vérifiez maintenant que la limite a été appliquée :
- +
-===Signer un message=== +
- +
-Créez maintenant un message à signer :+
  
 <code> <code>
-[root@centos7 ~]# vi ~/message.txt +[root@centos7 ~]# cat /sys/fs/cgroup/cpu/system.slice/foo.service/cpu.shares 
-[root@centos7 ~]# cat ~/message.txt +250 
-This is a test message for gpg+[root@centos7 ~]# systemctl show -p MainPID foo.service 
 +MainPID=27233 
 +[root@centos7 ~]# cat /proc/27233/cgroup | grep foo 
 +4:cpuacct,cpu:/system.slice/foo.service 
 +1:name=systemd:/system.slice/foo.service
 </code> </code>
  
-Pour signer ce message en format binaire, il convient d'utiliser la commande suivante :+Créez maintenant le service **bar** :
  
 <code> <code>
-[root@centos7 ~]# gpg --default-key I2TCH --detach-sign message.txt+[root@centos7 ~]# vi /etc/systemd/system/bar.service 
 +[root@centos7 ~]# cat /etc/systemd/system/bar.service 
 +[Unit] 
 +Description=The bar service that does nothing useful 
 +After=remote-fs.target nss-lookup.target
  
-You need a passphrase to unlock the secret key for +[Service] 
-user: "I2TCH (Test Key) <infos@i2tch.eu>" +ExecStart=/usr/bin/md5sum /dev/zero  
-2048-bit RSA key, ID F6A5B400, created 2016-08-10+ExecStop=/bin/kill -WINCH ${MAINPID}
  
-[root@centos7 ~]# ls -l | grep message +[Install
--rw-r--r--1 root    root          31 Aug 10 07:14 message.txt +WantedBy=multi-user.target
--rw-r--r--. 1 root    root         287 Aug 10 07:16 message.txt.sig +
- +
-[root@centos7 ~]# cat message.txt.sig +
-�W��� +
- Se����,�|�D=���X�@N�����|�k!�M[���yһ��p�������}(C$����Y��d:��E�і^-��W{Տ� +
-��2�;��`yj��9��]�b�{��`��ב���������|*�%��R[root@centos7 ~]# ��rt������;�_S9z���HK���Hq�!�G�$��2�=Scc=+
 </code> </code>
  
-Pour signer ce message en format ascii, il convient d'utiliser la commande suivante :+Fixez maintenant la limite de CPUShares pour ce service à 2000 :
  
 <code> <code>
-[root@centos7 ~]# gpg --default-key I2TCH --armor --detach-sign message.txt +[root@centos7 ~]# systemctl set-property bar.service CPUShares=2000 
- +Failed to set unit properties on bar.serviceUnit bar.service is not loaded
-You need a passphrase to unlock the secret key for +[root@centos7 ~]# systemctl start bar.service 
-user"I2TCH (Test Key) <infos@i2tch.eu>" +[root@centos7 ~]# systemctl enable bar.service 
-2048-bit RSA key, ID F6A5B400, created 2016-08-10 +Created symlink from /etc/systemd/system/multi-user.target.wants/bar.service to /etc/systemd/system/bar.service. 
- +[root@centos7 ~]# systemctl set-property bar.service CPUShares=2000
-[root@centos7 ~]# ls -l | grep message +
--rw-r--r--1 root    root          31 Aug 10 07:14 message.txt +
--rw-r--r--. 1 root    root         490 Aug 10 07:17 message.txt.asc +
--rw-r--r--. 1 root    root         287 Aug 10 07:16 message.txt.sig +
- +
-[root@centos7 ~]# cat message.txt.asc +
------BEGIN PGP SIGNATURE----- +
-Version: GnuPG v2.0.22 (GNU/Linux) +
- +
-iQEcBAABAgAGBQJXqrkDAAoJEFNlxhj2pbQATwoH/0oAm1YkXH3cfnlZef+qAc3X +
-AfFZz8lfwSlrBYwgDA/vd98tJNLv8VxYLRu02JcRBHqjV/LYqfCACoLKyYWCUzT/ +
-NZiOPZDVaEpOx1vLIbmBxGclfFtbvSiZj/eBrReE2tAnnTBSTPLH58kPAMEmVgM6 +
-Io8BPSnZvOlNhYQrPsGd046SLPRu8hTozwtB47Do6B6RazzpGLG7zOD1JZP56eD7 +
-oo3+1HxYdv4arVgjb/bfyCNtvyPyQm+sTZPYL3vfAjkHfBQAaoAVSPRKRLgUMPD0 +
-xrlhOU0PhK1+0pF8nVf/jt+SgCiGU8Jg1zEKCqSBuIT2Acs/kZIMo75Qo9zE2C4= +
-=rO70 +
------END PGP SIGNATURE-----+
 </code> </code>
  
-Pour vérifier la signature d'un message signé en mode ascii, il convient d'utiliser la commande :+Appliquez la limite :
  
 <code> <code>
-[root@centos7 ~]# gpg --verify message.txt.asc +[root@centos7 ~]# systemctl daemon-reload 
-gpgSignature made Wed 10 Aug 2016 07:43:49 CEST using RSA key ID F6A5B400 +[root@centos7 ~]# systemctl restart bar.service 
-gpgGood signature from "I2TCH (Test Key<infos@i2tch.eu>" +[root@centos7 ~]# systemctl status bar.service 
-</code>+● bar.service The bar service that does nothing useful 
 +   Loaded: loaded (/etc/systemd/system/bar.service; enabled; vendor preset: disabled) 
 +  Drop-In: /etc/systemd/system/bar.service.d 
 +           └─50-CPUShares.conf 
 +   Activeactive (running) since Wed 2016-06-15 13:37:54 CEST; 9s ago 
 + Main PID29515 (md5sum) 
 +   CGroup: /system.slice/bar.service 
 +           └─29515 /usr/bin/md5sum /dev/zero
  
-<WRAP center round important> +Jun 15 13:37:54 centos7.fenestros.loc systemd[1]: Started The bar service that does nothing useful
-Pour vérifier la signature d'un message signé en mode ascii et produit en dehors du message lui-même, il convient d'utiliser la commande : +Jun 15 13:37:54 centos7.fenestros.loc systemd[1]: Starting The bar service that does nothing useful...
- +
-  # gpg --verify message.txt.asc message.txt +
-</WRAP> +
- +
-Pour signer ce message **dans le message lui-même** en format ascii, il convient d'utiliser la commande suivante : +
- +
-<code> +
-[root@centos7 ~]# gpg --default-key I2TCH --clearsign message.txt +
- +
-You need a passphrase to unlock the secret key for +
-user: "I2TCH (Test Key) <infos@i2tch.eu>" +
-2048-bit RSA key, ID F6A5B400, created 2016-08-10 +
- +
-File `message.txt.asc' exists. Overwrite? (y/N) y +
- +
-[root@centos7 ~]# ls -l | grep message +
--rw-r--r--. 1 root    root          31 Aug 10 07:14 message.txt +
--rw-r--r--. 1 root    root         568 Aug 10 07:43 message.txt.asc +
--rw-r--r--. 1 root    root         287 Aug 10 07:16 message.txt.sig +
- +
-[root@centos7 ~]# cat message.txt.asc +
------BEGIN PGP SIGNED MESSAGE----- +
-Hash: SHA1 +
- +
-This is a test message for gpg +
------BEGIN PGP SIGNATURE----- +
-Version: GnuPG v2.0.22 (GNU/Linux) +
- +
-iQEcBAEBAgAGBQJXqr8VAAoJEFNlxhj2pbQAQ3cH+wemHfA6SoMOakxzno0iJ5ry +
-yROrwTm2clnEbN2zJ7rWzwRT6YtPU4mFgDyjL6G7TzOU5o9AI1dfm2iZ3kdJKmgQ +
-ug1F9SfhtGjltnPB46keYnzthaHNzwLwNJtv2pgxcfhO9gbFWH4FCjMRAGm9S4Hl +
-okF/xKVVoQzK/n/OyelUJJ6GzfNnoS75bv1WbFlie2+KlTs1MEZGZK4HiZKeXUM5 +
-8Z4wPBKy3AlcQlZdW9rScbyHjAeyQ/yFR8Bnax6m1MK7fJv3XoaDgRegENrGwvRN +
-YHV7kmFU3X/ew8l85FW3q1URjKxAZLqzYRXjNRoFs67yZYTNGqcZvP3BWlefpTw= +
-=JTVm +
------END PGP SIGNATURE-----+
 </code> </code>
  
-===Chiffrer un message=== +Re-démarrer les services foo et bar :
- +
-Pour chiffrer un message, il faut disposer de la clef publique du destinataire du message. Ce dernier utilisera ensuite sa clef privée pour déchiffrer le message. Il convient de préciser le destinataire du message, ou plus précisément la clef publique à utiliser, lors d'un chiffrement : +
- +
-    gpg --recipient <destinataire> --encrypt <message> +
- +
-  * //<destinataire>// représente toute information permettant de distinguer sans ambigüité une clef publique dans votre trousseau. Cette information peut-être le nom ou l'adresse email associé à la clef publique que vous voulez utiliser,  +
-  * //<message>// représente le message à chiffrer. +
- +
-Par exemple pour chiffrer un message en mode binaire, il convient de saisir la commande suivante :+
  
 <code> <code>
-[root@centos7 ~]# gpg --recipient I2TCH --encrypt message.txt+[root@centos7 ~]# systemctl restart foo.service 
 +[root@centos7 ~]# systemctl status foo.service 
 +● foo.service The foo service that does nothing useful 
 +   Loaded: loaded (/etc/systemd/system/foo.service; enabled; vendor preset: disabled) 
 +  Drop-In: /etc/systemd/system/foo.service.d 
 +           └─50-CPUShares.conf 
 +   Active: active (running) since Wed 2016-06-15 13:50:08 CEST; 11s ago 
 + Main PID: 652 (sha1sum) 
 +   CGroup: /system.slice/foo.service 
 +           └─652 /usr/bin/sha1sum /dev/zero
  
-[root@centos7 ~]# ls -l | grep message +Jun 15 13:50:08 centos7.fenestros.loc systemd[1]: Started The foo service that does nothing useful. 
--rw-r--r--root    root          31 Aug 10 07:14 message.txt +Jun 15 13:50:08 centos7.fenestros.loc systemd[1]: Starting The foo service that does nothing useful... 
--rw-r--r--1 root    root         568 Aug 10 07:43 message.txt.asc +[root@centos7 ~]# systemctl restart bar.service 
--rw-r--r--. 1 root    root         368 Aug 10 07:47 message.txt.gpg +[root@centos7 ~]# systemctl status bar.service 
--rw-r--r--. 1 root    root         287 Aug 10 07:16 message.txt.sig+● bar.service - The bar service that does nothing useful 
 +   Loadedloaded (/etc/systemd/system/bar.service; enabled; vendor preset: disabled) 
 +  Drop-In/etc/systemd/system/bar.service.d 
 +           └─50-CPUShares.conf 
 +   Active: active (running) since Wed 2016-06-15 13:50:38 CEST; 12s ago 
 + Main PID: 810 (md5sum) 
 +   CGroup: /system.slice/bar.service 
 +           └─810 /usr/bin/md5sum /dev/zero
  
-[root@centos7 ~]# cat message.txt.gpg +Jun 15 13:50:38 centos7.fenestros.loc systemd[1]: Started The bar service that does nothing useful
-� +Jun 15 13:50:38 centos7.fenestros.loc systemd[1]: Starting The bar service that does nothing useful...
-  �q3p����?�j* +
-���X��VL��_~7���_*�u���BD��R��҃E�%��!�j����X�$��aԼ�F0[�)\N܂��$&�S�1���i�c����Pt��ȉH#��9���lRe���MvX9Wi�K�h��ěWΚ�S5�i�H��U���/"�c~,��Mm����`���(��_�E��|Q�5;��e��L"�cLQ�+��/fhrS�E��F��3���&������Pk�*��$H��5طR]���rM�����Mt9*͊+
 </code> </code>
  
-Et pour chiffrer un message en mode ascii, il convient de saisir la commande suivante :+Utilisez ps pour voir le pourcentage du CPU utilisé par les deux services :
  
 <code> <code>
-[root@centos7 ~]# gpg --recipient I2TCH --armor --encrypt message.txt +[root@centos7 ~]# ps -p 652,810 -o pid,comm,cputime,%cpu 
-File `message.txt.asc' exists. Overwrite? (y/N) y +  PID COMMAND             TIME %CPU 
- +  652 sha1sum         00:00:08  9.7 
-[root@centos7 ~]# ls -l | grep message +  810 md5sum          00:00:45 78.9
--rw-r--r--. 1 root    root          31 Aug 10 07:14 message.txt +
--rw-r--r--. 1 root    root         596 Aug 10 07:49 message.txt.asc +
--rw-r--r--. 1 root    root         368 Aug 10 07:47 message.txt.gpg +
--rw-r--r--. 1 root    root         287 Aug 10 07:16 message.txt.sig +
- +
-[root@centos7 ~]# cat message.txt.asc +
------BEGIN PGP MESSAGE----- +
-VersionGnuPG v2.0.22 (GNU/Linux) +
- +
-hQEMA8ZxMwBwDxzVAQf/TAyZ0QI5NKvhQTQC5bAuALrxIXnX0t7yL5ARJ1A4qeE9 +
-vzKPBj7IJHANmW5t9Is+zq1fjdmNVBl7rDw9fLEHGXVARhWlyhMUPHdw2XPSE+VT +
-0Vzg89w/g5G6eirmKsvDDZq3jm3c/k1w0BrAH6nowAsNuQwoesDr2fazOYVZH+OA +
-BHr8aslUp06VEOC7dy9gXy7o0Q5Ycb94uM7wC/ByqP2a4sJG10MMUxdSw7vk53/+
-qdiIw0oCdhxNcirjSer3ZzHmqeSeQp6Sl424WuV1VZLnQXvmm084h3Z73kfBbeQc +
-BJfGqDWIv0pNb/5hn+LOdYn+8JZFguKu+H6ah//ogtJeAbg4kocR6zQzdMp1m8lY +
-p3h4HgfllK85X+WCQBcTgVaY7t0FHEkfQTrF3oYJI5kkRRnBvHKsKSN1fltKauBc +
-tmT2G6lZTHO+YRUItKjlAti21hVuRw1gUierqy97Rg== +
-=NeW+ +
------END PGP MESSAGE-----+
 </code> </code>
  
-Pour décrypter un message il convient d'utiliser la commande suivante :+-----
  
-<code> +Copyright © 2023 Hugh Norris.
-[root@centos7 ~]# gpg --decrypt message.txt.asc +
- +
-You need a passphrase to unlock the secret key for +
-user: "I2TCH (Test Key) <infos@i2tch.eu>" +
-2048-bit RSA key, ID 700F1CD5, created 2016-08-10 (main key ID F6A5B400) +
- +
-gpg: encrypted with 2048-bit RSA key, ID 700F1CD5, created 2016-08-10 +
-      "I2TCH (Test Key) <infos@i2tch.eu>" +
-This is a test message for gpg +
-</code> +
- +
-====PKI==== +
- +
-On appelle **[[wpfr>Public_Key_Infrastructure|PKI]]** (Public Key Infrastucture, ou en français **infrastructure à clé publique (ICP)**, parfois **infrastructure de gestion de clés (IGC)**) l’ensemble des solutions techniques basées sur la cryptographie à clé publique. +
- +
-Les cryptosystèmes à clés publiques permettent de s'affranchir de la nécessité d'avoir recours systématiquement à un canal sécurisé pour s'échanger les clés. En revanche, la publication de la clé publique à grande échelle doit se faire en toute confiance pour assurer que : +
- +
-    * La clé publique est bien celle de son propriétaire ; +
-    * Le propriétaire de la clé est digne de confiance ; +
-    * La clé est toujours valide.  +
- +
-Ainsi, il est nécessaire d'associer au bi-clé (ensemble clé publique / clé privée) un certificat délivré par un **tiers de confiance** : l'infrastructure de gestion de clés. +
- +
-Le tiers de confiance est une entité appelée communément autorité de certification (ou en anglais Certification authority, abrégé CA) chargée d'assurer la véracité des informations contenues dans le certificat de clé publique et de sa validité. +
- +
-Pour ce faire, l'autorité signe le certificat de clé publique à l'aide de sa propre clé en utilisant le principe de signature numérique. +
- +
-Le rôle de l'infrastructure de clés publiques est multiple et couvre notamment les champs suivants : +
- +
-    * enregistrer des demandes de clés en vérifiant l'identité des demandeurs ; +
-    * générer les paires de clés (clé privée / clé publique) ; +
-    * garantir la confidentialité des clés privées correspondant aux clés publiques ; +
-    * certifier l'association entre chaque utilisateurs et sa clé publique ; +
-    * révoquer des clés (en cas de perte par son propriétaire, d'expiration de sa date de validité ou de compromission).  +
- +
-Une infrastructure à clé publique est en règle générale composée de trois entités distinctes : +
- +
-    * L'autorité d'enregistrement (AE ou RA pour Recording authority), chargée des formalité administratives telles que la vérification de l'identité des demandeurs, le suivi et la gestion des demandes, etc.) ; +
-    * L'autorité de certification (AC ou CA pour Certification Authority), chargée des tâches techniques de création de certificats. L'autorité de certification est ainsi chargée de la signature des demandes de certificat (CSR pour Certificate Signing Request, parfois appelées PKCS#10, nom du format correspondant). L'autorité de certification a également pour mission la signature des listes de révocations (CRL pour Certificate Revocation List) ; +
-    * L'Autorité de dépôt (Repository) dont la mission est de conserver en sécurité les certificats. +
- +
-===Certificats X509=== +
- +
-Pour palier aux problèmes liés à des clefs publiques piratées, un système de certificats a été mis en place. +
- +
-Le certificat permet d’associer la clef publique à une entité ou une personne. Les certificats sont délivrés par des Organismes de Certification. +
- +
-Les certificats sont des fichiers divisés en deux parties :  +
- +
-  * La partie contenant les informations  +
-  * La partie contenant la signature de l'autorité de certification +
- +
-La structure des certificats est normalisée par le standard **[[wpfr>X.509|X.509]]** de l’**[[wpfr>UIT|Union internationale des télécommunications]]**.  +
- +
-Elle contient :  +
- +
-  * Le nom de l'autorité de certification  +
-  * Le nom du propriétaire du certificat  +
-  * La date de validité du certificat  +
-  * L'algorithme de chiffrement utilisé  +
-  * La clé publique du propriétaire  +
- +
-Le Certificat est signé par l'autorité de certification: +
- +
-{{:redhat:lx04:crypto8.gif|Cette image issue de Comment Ça Marche (www.commentcamarche.net) est mise à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de l'image, dans les conditions fixées par la licence, tant que cette note apparaît clairement.}} +
- +
-La vérification se passe ainsi: +
- +
-{{:redhat:lx04:crypto9.gif|Cette image issue de Comment Ça Marche (www.commentcamarche.net) est mise à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de l'image, dans les conditions fixées par la licence, tant que cette note apparaît clairement.}} +
- +
------ +
-<html> +
-<div align="center"> +
-Copyright © 2020 Hugh Norris. +
-</html>+

Piste :

Menu