Vous êtes ici : Formations en Ligne Gratuites » Catalogue » workbooks » lpic » 12 » Préparation à l'Examen LPIC 102-500 » Topic 110: Security

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

--- elearning:workbooks:lpic:12:500:l110 [2023/07/02 11:32] – created admin
+++ elearning:workbooks:lpic:12:500:l110 [2024/12/08 15:57] (Version actuelle) – admin
@@ Ligne 1: / Ligne 1: @@
 ~~PDF:LANDSCAPE~~
-Version : **2023.01**
+Version : **2024.01**
 Dernière mise-à-jour : ~~LASTMOD~~
@@ Ligne 11: / Ligne 11: @@
   * **Topic 110: Security**
     * Contenu du Module
+    * Le Fichier /etc/nologin
+    * La Commande find
+      * Options de la commande
+    * La Commande lsof
+      * Options de la commande
+    * La Commande ulimit
+      * Options de la commande
+    * La Commande sudo
+      * Options de la commande
+    * Services réseaux
+      * xinetd
+      * TCP Wrapper
+    * SSH
+      * Introduction
+        * SSH-1
+        * SSH-2
+        * Options de la commande
+    * L'authentification par mot de passe
+    * L'authentification par clef asymétrique
+      * Installation
+        * Options de la commande
+      * Configuration
+        * Serveur
+      * Utilisation
+      * Tunnels SSH
+    * SCP
+      * Introduction
+      * Utilisation
+      * Mise en place des clefs
+=====Le Fichier /etc/nologin=====
+Dans le cas où le fichier **/etc/nologin** existe, toute connexion au système est interdite, sauf pour l'utilisateur **root**.
 =====La Commande find=====
@@ Ligne 17: / Ligne 50: @@
 <code>
+[trainee@centos7 ~]$ touch aac
 [trainee@centos7 ~]$ find acc
 find: ‘acc’: No such file or directory
@@ Ligne 23: / Ligne 57: @@
 </code>
-<WRAP center round important>
+<WRAP center round important 60%>
 **Important** : Notez que si le fichier n'existe pas le système vous en informe clairement. Notez aussi que ce fichier existe le système vous en informe en vous indiquant son nom.
 </WRAP>
@@ Ligne 33: / Ligne 67: @@
 ===Options de la commande===
-<WRAP center round todo>
+<WRAP center round todo 60>
 **A faire** : Utilisez l'option **--help** de la commande **find** pour visualiser les options de la commande.
 </WRAP>
@@ Ligne 153: / Ligne 187: @@
 </code>
-<WRAP center round important>
+<WRAP center round important 60%>
 **Important** : La valeur de la limite peut être un **nombre** ou le mot **unlimited**.
 </WRAP>
@@ Ligne 244: / Ligne 278: @@
 =====La Commande sudo=====
-<WRAP center round important>
+<WRAP center round important 60%>
 **Important** : Afin de mettre en pratique les exemples qui suivent, vous devez être connecté à votre système en tant que root. Tapez donc la commande **exit** pour sortir de l’environnement de **fenestros2**.
 </WRAP>
@@ Ligne 587: / Ligne 621: @@
 </code>
-<WRAP center round important>
+<WRAP center round important 60%>
 **Important** : Notez la présence de la ligne en commentaire **# %wheel	ALL=(ALL) ALL**. Cette ligne possède le format **Qui Où = (En tant que qui) Quoi**. La ligne implique donc que les membres du groupe **wheel** peuvent exécuter à partir de n'importe quel hôte et en tant que n'importe quel utilisateur, toutes les commandes du système. Dans ce fichier donc, un groupe est référencé par un **%**. Un nom sans ce caractère est forcément un utilisateur. Pour éditer le fichier **/etc/sudoers**, il est **nécessaire** d'utiliser la commande **visudo**.
 </WRAP>
@@ Ligne 879: / Ligne 913: @@
   * Par **clef asymétrique**,
     * Identique à SSH-1 sauf avec l'algorithme DSA,
-  * **%%RhostsRSA%%**,
+  * **%%RhostsRSA%%** appelé **hostbased authentification**,
   * Par **mot de passe**.
@@ Ligne 895: / Ligne 929: @@
            [-w local_tun[:remote_tun]] [user@]hostname [command]
 </code>
+===RhostsRSA et Rlogin===
+Rlogin est un mécanism d'authentification basé sur le nom de la machine est le nom d'un utilisateur associé à cette machine. La machine est ensuite classifiée comme "machine hôte de confince". Aucun mot de passe n'est necéssaire pour se connecter au serveur distant.
+Selon Wikipédia **[[https://fr.wikipedia.org/wiki/Rlogin]]**
+"Normalement, les utilisateurs doivent fournir un code d'accès et un mot de passe valable sur la machine locale avant de pouvoir se connecter. Le concept de machine hôte de confiance repose sur le fait que les utilisateurs qui appellent à partir d'une machine hôte de confiance ne sont pas obligés de fournir un mot de passe. Quoique pratique, ce concept est dangereux vis-à-vis de la sécurité du système. De plus la confiance est transitive en ce sens que si la machine A fait confiance à la machine B et que B fait de même pour la machine C, alors un utilisateur sur C peut effectuer un rlogin sans mot de passe vers B, puis un autre rlogin, toujours sans mot de passe, vers A et ce, même si A ne fait pas explicitement confiance à la machine hôte C."
+RhostsRSA pour SSH-1, appelé hostbased authentification pour SSH-2, est un mécanism plus sur car l'authentification utilise la clef hôte du client. Pour une déscription complète, consultez la section "3.4.2.3. Trusted-host authentication (Rhosts and RhostsRSA)" à cette adresse - **[[https://docstore.mik.ua/orelly/networking_2ndEd/ssh/ch03_04.htm#ch03-19795.html]]**.
 ====L'authentification par mot de passe====
@@ Ligne 931: / Ligne 975: @@
 </code>
-<WRAP center round important>
+<WRAP center round important 60%>
 **Important** - Pour les stations de travail, installez le client : **openssh-clients**.
 </WRAP>
@@ Ligne 946: / Ligne 990: @@
 ====Configuration====
-<WRAP center round important>
+<WRAP center round important 60%>
 **Important** - La configuration doit s'effectuer dans la fenêtre de la VM sous VirtualBox. Les connexions en ssh doivent de faire à partir d'un terminal ou à partir de l'application putty.
 </WRAP>
@@ Ligne 1217: / Ligne 1261: @@
 </code>
-<WRAP center round important>
+<WRAP center round important 60%>
 Le chemin à indiquer pour le fichier est **/etc/ssh/ssh_host_dsa_key**. De la même façon, il est possible de générer les clefs au format **[[https://fr.wikipedia.org/wiki/Chiffrement_RSA|RSA]]**, **[[https://fr.wikipedia.org/wiki/Elliptic_curve_digital_signature_algorithm|ECDSA]]** et **[[https://fr.wikipedia.org/wiki/EdDSA|ED25519]]**.
 </WRAP>
@@ Ligne 1237: / Ligne 1281: @@
 Saisissez maintenant les commandes suivantes en tant que **trainee** :
-<WRAP center round important>
+<WRAP center round important 60%>
 Lors de la génération des clefs, la passphrase doit être **vide**.
 </WRAP>
@@ Ligne 1329: / Ligne 1373: @@
 </code>
-<WRAP center round important>
+<WRAP center round important 60%>
 Les clés générées seront placées dans le répertoire **~/.ssh/**.
 </WRAP>
@@ Ligne 1430: / Ligne 1474: @@
 </code>
-<WRAP center round important>
+<WRAP center round important 60%>
 Notez bien que votre communication telnet passe par le tunnel SSH.
 </WRAP>
@@ Ligne 1490: / Ligne 1534: @@
 </code>
-<WRAP center round important>
+<WRAP center round important 60%>
 Si le dossier distant .ssh n'existe pas dans le répertoire personnel de l'utilisateur connecté, il faut le créer avec des permissions de 700. Dans votre cas, puisque votre machine joue le rôle de serveur **et** du client, le dossier /home/trainee/.ssh existe **déjà**.
 </WRAP>
@@ Ligne 1529: / Ligne 1573: @@
 </code>
-<WRAP center round important>
+<WRAP center round important 60%>
 Le fichier **authorized_keys** doit avoir les permissions de 600.
 </WRAP>
@@ Ligne 1535: / Ligne 1579: @@
 -----
-Copyright © 2023 Hugh Norris.
+Copyright © 2024 Hugh Norris.

Piste : • LRF407 - System Hardening • LCF603 - Gestion du Réseau • SUSE Linux Enterprise Server (SLES) : Administration Système • LCF604 - Présentation, Installation et Configuration de KVM • Gestion des Paramètres du Matériel et les Ressources • HAR300 - Gestion du Linux Virtual Server • LRF408 - Sécurité Applicative • LCF606 - Gestion de la Sécurité

Différences

Recherche

Imprimer/exporter

Menu