Ceci est une ancienne révision du document !
Table des matières
Dernière mise-à-jour : 2021/12/29 10:30
LCF604 - Gestion du Réseau, le Pare-feu et SELinux
Contenu du Module
- LCF604 - Gestion du Réseau, le Pare-feu et SELinux
- Contenu du Module
- Présentation
- La Commande nmcli
- LAB #1 - Configuration du Réseau
- 1.1 - Connections et Profils
- 1.2 - Résolution des Noms
- 1.3 - Ajouter une Deuxième Adresse IP à un Profil
- 1.4 - La Commande hostname
- 1.5 - La Commande ip
- 1.6 - Activer/Désactiver une Interface Manuellement
- 1.7 - Routage Statique
- La commande ip
- Activer/désactiver le routage sur le serveur
- LAB #2 - Diagnostique du Réseau
- 2.1 - ping
- 2.2 - netstat -i
- 2.3 - traceroute
- LAB #3 - Connexions à Distance
- 3.1 - Telnet
- 3.2 - wget
- 3.3 - ftp
- 3.4 - SSH
- Présentation
- SSH-1
- SSH-2
- Authentification par mot de passe
- Authentification par clef asymétrique
- Configuration du Serveur
- Configuration du Client
- Tunnels SSH
- 3.5 - SCP
- Présentation
- Utilisation
- 3.6 - Mise en Place des Clefs Asymétriques
- LAB #4 - La Configuration de firewalld
- 4.1 - Présentation
- 4.2 - La Configuration de Base de firewalld
- 4.3 - L'Utilisation de Base de Firewalld
- 4.4 - La Configuration Avancée de firewalld
- 4.5 - Le mode Panic de firewalld
- LAB #5 - L'Utilisation de SELinux
- 5.1 - Introducton
- Security Context
- Domains et Types
- Roles
- Politiques de Sécurité
- Langage des Politiques
- allow
- type
- type_transition
- Décisions de SELinux
- Décisions d'Accès
- Décisions de Transition
- Commandes SELinux
- Les Etats de SELinux
- Booléens
- 5.2 - Copier et Déplacer des Fichiers
- 5.3 - Vérifier les SC des Processus
- 5.4 - Visualiser la SC d'un Utilisateur
- 5.5 - Vérifier la SC d'un fichier
- 5.6 - La commande chcon
- 5.7 - La commande restorecon
- 5.8 - Le fichier /.autorelabel
- 5.9 - La commande semanage
- 5.10 - La commande audit2allow
Présentation
RHEL/CentOS 8 utilise Network Manager pour gérer le réseau. Network Manager est composé de deux éléments :
- un service qui gère les connexions réseaux et rapporte leurs états,
- des front-ends qui passent par un API de configuration du service.
Important : Notez qu'avec cette version de NetworkManager, IPv6 est activée par défaut.
Le service NetworkManager doit toujours être lancé :
[root@centos8 ~]# systemctl status NetworkManager.service
● NetworkManager.service - Network Manager
Loaded: loaded (/usr/lib/systemd/system/NetworkManager.service; enabled; vendor pr>
Active: active (running) since Thu 2021-07-22 05:05:29 EDT; 1 months 7 days ago
Docs: man:NetworkManager(8)
Main PID: 1002 (NetworkManager)
Tasks: 3 (limit: 23535)
Memory: 6.8M
CGroup: /system.slice/NetworkManager.service
└─1002 /usr/sbin/NetworkManager --no-daemon
Warning: Journal has been rotated since unit was started. Log output is incomplete or>
lines 1-11/11 (END)
[^q]
La Commande nmcli
La commande nmcli (Network Manager Command Line Interface) est utilisée pour configurer NetworkManager.
Les options et les sous-commandes peuvent être consultées en utilisant les commandes suivantes :
[root@centos8 ~]# nmcli help
Usage: nmcli [OPTIONS] OBJECT { COMMAND | help }
OPTIONS
-a, --ask ask for missing parameters
-c, --colors auto|yes|no whether to use colors in output
-e, --escape yes|no escape columns separators in values
-f, --fields <field,...>|all|common specify fields to output
-g, --get-values <field,...>|all|common shortcut for -m tabular -t -f
-h, --help print this help
-m, --mode tabular|multiline output mode
-o, --overview overview mode
-p, --pretty pretty output
-s, --show-secrets allow displaying passwords
-t, --terse terse output
-v, --version show program version
-w, --wait <seconds> set timeout waiting for finishing operations
OBJECT
g[eneral] NetworkManager's general status and operations
n[etworking] overall networking control
r[adio] NetworkManager radio switches
c[onnection] NetworkManager's connections
d[evice] devices managed by NetworkManager
a[gent] NetworkManager secret agent or polkit agent
m[onitor] monitor NetworkManager changes
LAB #1 - Configuration du Réseau
1.1 - Connections et Profils
NetworkManager inclus la notion de connections ou profils permettant des configurations différentes en fonction de la localisation. Pour voir les connections actuelles, utilisez la commande nmcli c avec la sous-commande show :
[root@centos8 ~]# nmcli c show NAME UUID TYPE DEVICE ens18 fc4a4d23-b15e-47a7-bcfa-b2e08f49553e ethernet ens18 virbr0 03f6c432-2a09-47e7-9693-208431a572ee bridge virbr0
Créez donc un profil IP fixe rattaché au périphérique ens18 :
[root@centos8 ~]# nmcli connection add con-name ip_fixe ifname ens18 type ethernet ip4 10.0.2.46/24 gw4 10.0.2.1 Connection 'ip_fixe' (0f48c74d-5d16-4c37-8220-24644507b589) successfully added.
Constatez sa présence :
[root@centos8 ~]# nmcli c show NAME UUID TYPE DEVICE ens18 fc4a4d23-b15e-47a7-bcfa-b2e08f49553e ethernet ens18 virbr0 03f6c432-2a09-47e7-9693-208431a572ee bridge virbr0 ip_fixe 0f48c74d-5d16-4c37-8220-24644507b589 ethernet --
Notez que la sortie n'indique pas que le profil ip_fixe soit associé au periphérique ens18 car le profil ip_fixe n'est pas activé :
[root@centos8 ~]# nmcli d show GENERAL.DEVICE: ens18 GENERAL.TYPE: ethernet GENERAL.HWADDR: 4E:B1:31:BD:5D:B2 GENERAL.MTU: 1500 GENERAL.STATE: 100 (connected) GENERAL.CONNECTION: ens18 GENERAL.CON-PATH: /org/freedesktop/NetworkManager/ActiveConnect> WIRED-PROPERTIES.CARRIER: on IP4.ADDRESS[1]: 10.0.2.45/24 IP4.GATEWAY: 10.0.2.1 IP4.ROUTE[1]: dst = 10.0.2.0/24, nh = 0.0.0.0, mt = 100 IP4.ROUTE[2]: dst = 0.0.0.0/0, nh = 10.0.2.1, mt = 100 IP4.DNS[1]: 8.8.8.8 IP6.ADDRESS[1]: fe80::86b6:8d39:cab2:d84d/64 IP6.GATEWAY: -- IP6.ROUTE[1]: dst = fe80::/64, nh = ::, mt = 100 IP6.ROUTE[2]: dst = ff00::/8, nh = ::, mt = 256, table=255 GENERAL.DEVICE: virbr0 GENERAL.TYPE: bridge GENERAL.HWADDR: 52:54:00:79:02:66 GENERAL.MTU: 1500 GENERAL.STATE: 100 (connected (externally)) GENERAL.CONNECTION: virbr0 GENERAL.CON-PATH: /org/freedesktop/NetworkManager/ActiveConnect> IP4.ADDRESS[1]: 192.168.122.1/24 IP4.GATEWAY: -- IP4.ROUTE[1]: dst = 192.168.122.0/24, nh = 0.0.0.0, mt = 0 IP6.GATEWAY: -- GENERAL.DEVICE: lo GENERAL.TYPE: loopback GENERAL.HWADDR: 00:00:00:00:00:00 GENERAL.MTU: 65536 GENERAL.STATE: 10 (unmanaged) GENERAL.CONNECTION: -- GENERAL.CON-PATH: -- IP4.ADDRESS[1]: 127.0.0.1/8 IP4.GATEWAY: -- IP6.ADDRESS[1]: ::1/128 IP6.GATEWAY: -- IP6.ROUTE[1]: dst = ::1/128, nh = ::, mt = 256 GENERAL.DEVICE: virbr0-nic GENERAL.TYPE: tun GENERAL.HWADDR: 52:54:00:79:02:66 GENERAL.MTU: 1500 GENERAL.STATE: 10 (unmanaged) GENERAL.CONNECTION: -- GENERAL.CON-PATH: -- lines 28-50/50 (END) [q]
Pour activer le profil ip_fixe, utilisez la commande suivante :
[root@centos8 ~]# nmcli connection up ip_fixe
Notez que votre terminal est bloqué à cause du changement de l'adresse IP.
A faire - Revenez à l'accueil du cloud IT Training et re-connectez-vous à la VM en tant que trainee en utilisant la connexion CentOS8_SSH_10.0.2.46.
Le profil ip_fixe est maintenant activé tandis que le profil enp0s3 a été désactivé :
[root@centos8 ~]# nmcli c show NAME UUID TYPE DEVICE ip_fixe 0f48c74d-5d16-4c37-8220-24644507b589 ethernet ens18 virbr0 03f6c432-2a09-47e7-9693-208431a572ee bridge virbr0 ens18 fc4a4d23-b15e-47a7-bcfa-b2e08f49553e ethernet -- [root@centos8 ~]# nmcli d show GENERAL.DEVICE: ens18 GENERAL.TYPE: ethernet GENERAL.HWADDR: 4E:B1:31:BD:5D:B2 GENERAL.MTU: 1500 GENERAL.STATE: 100 (connected) GENERAL.CONNECTION: ip_fixe GENERAL.CON-PATH: /org/freedesktop/NetworkManager/ActiveConnect> WIRED-PROPERTIES.CARRIER: on IP4.ADDRESS[1]: 10.0.2.46/24 IP4.GATEWAY: 10.0.2.1 IP4.ROUTE[1]: dst = 10.0.2.0/24, nh = 0.0.0.0, mt = 100 IP4.ROUTE[2]: dst = 0.0.0.0/0, nh = 10.0.2.1, mt = 100 IP6.ADDRESS[1]: fe80::5223:aee1:998e:9f27/64 IP6.GATEWAY: -- IP6.ROUTE[1]: dst = fe80::/64, nh = ::, mt = 100 IP6.ROUTE[2]: dst = ff00::/8, nh = ::, mt = 256, table=255 GENERAL.DEVICE: virbr0 GENERAL.TYPE: bridge GENERAL.HWADDR: 52:54:00:79:02:66 GENERAL.MTU: 1500 GENERAL.STATE: 100 (connected (externally)) GENERAL.CONNECTION: virbr0 GENERAL.CON-PATH: /org/freedesktop/NetworkManager/ActiveConnect> IP4.ADDRESS[1]: 192.168.122.1/24 IP4.GATEWAY: -- IP4.ROUTE[1]: dst = 192.168.122.0/24, nh = 0.0.0.0, mt = 0 IP6.GATEWAY: -- GENERAL.DEVICE: lo GENERAL.TYPE: loopback GENERAL.HWADDR: 00:00:00:00:00:00 GENERAL.MTU: 65536 GENERAL.STATE: 10 (unmanaged) GENERAL.CONNECTION: -- GENERAL.CON-PATH: -- IP4.ADDRESS[1]: 127.0.0.1/8 IP4.GATEWAY: -- IP6.ADDRESS[1]: ::1/128 IP6.GATEWAY: -- IP6.ROUTE[1]: dst = ::1/128, nh = ::, mt = 256 GENERAL.DEVICE: virbr0-nic GENERAL.TYPE: tun GENERAL.HWADDR: 52:54:00:79:02:66 GENERAL.MTU: 1500 GENERAL.STATE: 10 (unmanaged) GENERAL.CONNECTION: -- GENERAL.CON-PATH: -- lines 27-49/49 (END) [q]
Pour consulter les paramètres du profil ens18, utilisez la commande suivante :
[root@centos8 ~]# nmcli -p connection show ens18
===============================================================================
Connection profile details (ens18)
===============================================================================
connection.id: ens18
connection.uuid: fc4a4d23-b15e-47a7-bcfa-b2e08f49553e
connection.stable-id: --
connection.type: 802-3-ethernet
connection.interface-name: ens18
connection.autoconnect: yes
connection.autoconnect-priority: 0
connection.autoconnect-retries: -1 (default)
connection.multi-connect: 0 (default)
connection.auth-retries: -1
connection.timestamp: 1630224060
connection.read-only: no
connection.permissions: --
connection.zone: --
connection.master: --
connection.slave-type: --
connection.autoconnect-slaves: -1 (default)
connection.secondaries: --
connection.gateway-ping-timeout: 0
connection.metered: unknown
connection.lldp: default
connection.mdns: -1 (default)
connection.llmnr: -1 (default)
connection.wait-device-timeout: -1
-------------------------------------------------------------------------------
802-3-ethernet.port: --
802-3-ethernet.speed: 0
802-3-ethernet.duplex: --
802-3-ethernet.auto-negotiate: no
802-3-ethernet.mac-address: --
802-3-ethernet.cloned-mac-address: --
802-3-ethernet.generate-mac-address-mask:--
802-3-ethernet.mac-address-blacklist: --
802-3-ethernet.mtu: auto
802-3-ethernet.s390-subchannels: --
802-3-ethernet.s390-nettype: --
802-3-ethernet.s390-options: --
802-3-ethernet.wake-on-lan: default
802-3-ethernet.wake-on-lan-password: --
-------------------------------------------------------------------------------
ipv4.method: manual
ipv4.dns: 8.8.8.8
ipv4.dns-search: ittraining.loc
ipv4.dns-options: --
ipv4.dns-priority: 0
ipv4.addresses: 10.0.2.45/24
ipv4.gateway: 10.0.2.1
ipv4.routes: --
ipv4.route-metric: -1
ipv4.route-table: 0 (unspec)
ipv4.routing-rules: --
ipv4.ignore-auto-routes: no
ipv4.ignore-auto-dns: no
ipv4.dhcp-client-id: --
ipv4.dhcp-iaid: --
ipv4.dhcp-timeout: 0 (default)
ipv4.dhcp-send-hostname: yes
ipv4.dhcp-hostname: --
ipv4.dhcp-fqdn: --
ipv4.dhcp-hostname-flags: 0x0 (none)
ipv4.never-default: no
ipv4.may-fail: yes
ipv4.dad-timeout: -1 (default)
ipv4.dhcp-vendor-class-identifier: --
ipv4.dhcp-reject-servers: --
-------------------------------------------------------------------------------
ipv6.method: auto
ipv6.dns: --
ipv6.dns-search: --
ipv6.dns-options: --
ipv6.dns-priority: 0
ipv6.addresses: --
ipv6.gateway: --
ipv6.routes: --
ipv6.route-metric: -1
ipv6.route-table: 0 (unspec)
ipv6.routing-rules: --
ipv6.ignore-auto-routes: no
ipv6.ignore-auto-dns: no
ipv6.never-default: no
ipv6.may-fail: yes
ipv6.ip6-privacy: 0 (disabled)
ipv6.addr-gen-mode: stable-privacy
ipv6.ra-timeout: 0 (default)
ipv6.dhcp-duid: --
ipv6.dhcp-iaid: --
ipv6.dhcp-timeout: 0 (default)
ipv6.dhcp-send-hostname: yes
ipv6.dhcp-hostname: --
ipv6.dhcp-hostname-flags: 0x0 (none)
ipv6.token: --
-------------------------------------------------------------------------------
proxy.method: none
proxy.browser-only: no
proxy.pac-url: --
proxy.pac-script: --
-------------------------------------------------------------------------------
lines 56-100/100 (END)
[q]
De même, pour consulter les paramètres du profil ip_fixe, utilisez la commande suivante :
[root@centos8 ~]# nmcli -p connection show ip_fixe
===============================================================================
Connection profile details (ip_fixe)
===============================================================================
connection.id: ip_fixe
connection.uuid: 0f48c74d-5d16-4c37-8220-24644507b589
connection.stable-id: --
connection.type: 802-3-ethernet
connection.interface-name: ens18
connection.autoconnect: yes
connection.autoconnect-priority: 0
connection.autoconnect-retries: -1 (default)
connection.multi-connect: 0 (default)
connection.auth-retries: -1
connection.timestamp: 1630224329
connection.read-only: no
connection.permissions: --
connection.zone: --
connection.master: --
connection.slave-type: --
connection.autoconnect-slaves: -1 (default)
connection.secondaries: --
connection.gateway-ping-timeout: 0
connection.metered: unknown
connection.lldp: default
connection.mdns: -1 (default)
connection.llmnr: -1 (default)
connection.wait-device-timeout: -1
-------------------------------------------------------------------------------
802-3-ethernet.port: --
802-3-ethernet.speed: 0
802-3-ethernet.duplex: --
802-3-ethernet.auto-negotiate: no
802-3-ethernet.mac-address: --
802-3-ethernet.cloned-mac-address: --
802-3-ethernet.generate-mac-address-mask:--
802-3-ethernet.mac-address-blacklist: --
802-3-ethernet.mtu: auto
802-3-ethernet.s390-subchannels: --
802-3-ethernet.s390-nettype: --
802-3-ethernet.s390-options: --
802-3-ethernet.wake-on-lan: default
802-3-ethernet.wake-on-lan-password: --
-------------------------------------------------------------------------------
ipv4.method: manual
ipv4.dns: --
ipv4.dns-search: --
ipv4.dns-options: --
ipv4.dns-priority: 0
ipv4.addresses: 10.0.2.46/24
ipv4.gateway: 10.0.2.1
ipv4.routes: --
ipv4.route-metric: -1
ipv4.route-table: 0 (unspec)
ipv4.routing-rules: --
ipv4.ignore-auto-routes: no
ipv4.ignore-auto-dns: no
ipv4.dhcp-client-id: --
ipv4.dhcp-iaid: --
ipv4.dhcp-timeout: 0 (default)
ipv4.dhcp-send-hostname: yes
ipv4.dhcp-hostname: --
ipv4.dhcp-fqdn: --
ipv4.dhcp-hostname-flags: 0x0 (none)
ipv4.never-default: no
ipv4.may-fail: yes
ipv4.dad-timeout: -1 (default)
ipv4.dhcp-vendor-class-identifier: --
ipv4.dhcp-reject-servers: --
-------------------------------------------------------------------------------
ipv6.method: auto
ipv6.dns: --
ipv6.dns-search: --
ipv6.dns-options: --
ipv6.dns-priority: 0
ipv6.addresses: --
ipv6.gateway: --
ipv6.routes: --
ipv6.route-metric: -1
ipv6.route-table: 0 (unspec)
ipv6.routing-rules: --
ipv6.ignore-auto-routes: no
ipv6.ignore-auto-dns: no
ipv6.never-default: no
ipv6.may-fail: yes
ipv6.ip6-privacy: -1 (unknown)
ipv6.addr-gen-mode: stable-privacy
ipv6.ra-timeout: 0 (default)
ipv6.dhcp-duid: --
ipv6.dhcp-iaid: --
ipv6.dhcp-timeout: 0 (default)
ipv6.dhcp-send-hostname: yes
ipv6.dhcp-hostname: --
ipv6.dhcp-hostname-flags: 0x0 (none)
ipv6.token: --
-------------------------------------------------------------------------------
proxy.method: none
proxy.browser-only: no
proxy.pac-url: --
proxy.pac-script: --
-------------------------------------------------------------------------------
===============================================================================
Activate connection details (0f48c74d-5d16-4c37-8220-24644507b589)
===============================================================================
GENERAL.NAME: ip_fixe
GENERAL.UUID: 0f48c74d-5d16-4c37-8220-24644507b589
GENERAL.DEVICES: ens18
GENERAL.IP-IFACE: ens18
GENERAL.STATE: activated
GENERAL.DEFAULT: yes
GENERAL.DEFAULT6: no
GENERAL.SPEC-OBJECT: --
GENERAL.VPN: no
GENERAL.DBUS-PATH: /org/freedesktop/NetworkManager/ActiveConnection/4
GENERAL.CON-PATH: /org/freedesktop/NetworkManager/Settings/4
GENERAL.ZONE: --
GENERAL.MASTER-PATH: --
-------------------------------------------------------------------------------
IP4.ADDRESS[1]: 10.0.2.46/24
IP4.GATEWAY: 10.0.2.1
IP4.ROUTE[1]: dst = 10.0.2.0/24, nh = 0.0.0.0, mt = 100
IP4.ROUTE[2]: dst = 0.0.0.0/0, nh = 10.0.2.1, mt = 100
-------------------------------------------------------------------------------
IP6.ADDRESS[1]: fe80::5223:aee1:998e:9f27/64
IP6.GATEWAY: --
IP6.ROUTE[1]: dst = fe80::/64, nh = ::, mt = 100
IP6.ROUTE[2]: dst = ff00::/8, nh = ::, mt = 256, table=255
-------------------------------------------------------------------------------
lines 83-127/127 (END)
[q]
Pour consulter la liste profils associés à un périphérique, utilisez la commande suivante :
[root@centos8 ~]# nmcli -f CONNECTIONS device show ens18 CONNECTIONS.AVAILABLE-CONNECTION-PATHS: /org/freedesktop/NetworkManager/Settings/1,/org/freedesktop/NetworkManager/Settings/4 CONNECTIONS.AVAILABLE-CONNECTIONS[1]: fc4a4d23-b15e-47a7-bcfa-b2e08f49553e | ens18 CONNECTIONS.AVAILABLE-CONNECTIONS[2]: 0f48c74d-5d16-4c37-8220-24644507b589 | ip_fixe
Les fichiers de configuration pour le periphérique ens18 se trouvent dans le répertoire /etc/sysconfig/network-scripts/ :
[root@centos8 ~]# ls -l /etc/sysconfig/network-scripts/ | grep ifcfg -rw-r--r--. 1 root root 417 Jun 16 06:39 ifcfg-ens18 -rw-r--r--. 1 root root 326 Aug 29 03:58 ifcfg-ip_fixe
1.2 - Résolution des Noms
L'étude du fichier /etc/sysconfig/network-scripts/ifcfg-ip_fixe démontre l'abscence de directives concernant les DNS :
[root@centos8 ~]# cat /etc/sysconfig/network-scripts/ifcfg-ip_fixe TYPE=Ethernet PROXY_METHOD=none BROWSER_ONLY=no BOOTPROTO=none IPADDR=10.0.2.46 PREFIX=24 GATEWAY=10.0.2.1 DEFROUTE=yes IPV4_FAILURE_FATAL=no IPV6INIT=yes IPV6_AUTOCONF=yes IPV6_DEFROUTE=yes IPV6_FAILURE_FATAL=no IPV6_ADDR_GEN_MODE=stable-privacy NAME=ip_fixe UUID=0f48c74d-5d16-4c37-8220-24644507b589 DEVICE=ens18 ONBOOT=yes
La résolution des noms est donc inactive :
[root@centos8 ~]# ping www.free.fr ping: www.free.fr: Name or service not known
Modifiez donc la configuration du profil ip_fixe :
[root@centos8 ~]# nmcli connection mod ip_fixe ipv4.dns 8.8.8.8
L'étude du fichier /etc/sysconfig/network-scripts/ifcfg-ip_fixe démontre que la directive concernant le serveur DNS a été ajoutée :
[root@centos8 ~]# cat /etc/sysconfig/network-scripts/ifcfg-ip_fixe TYPE=Ethernet PROXY_METHOD=none BROWSER_ONLY=no BOOTPROTO=none IPADDR=10.0.2.46 PREFIX=24 GATEWAY=10.0.2.1 DEFROUTE=yes IPV4_FAILURE_FATAL=no IPV6INIT=yes IPV6_AUTOCONF=yes IPV6_DEFROUTE=yes IPV6_FAILURE_FATAL=no IPV6_ADDR_GEN_MODE=stable-privacy NAME=ip_fixe UUID=0f48c74d-5d16-4c37-8220-24644507b589 DEVICE=ens18 ONBOOT=yes DNS1=8.8.8.8
Afin que la modification du serveur DNS soit prise en compte, re-démarrez le service NetworkManager :
root@centos8 ~]# systemctl restart NetworkManager.service
[root@centos8 ~]# systemctl status NetworkManager.service
● NetworkManager.service - Network Manager
Loaded: loaded (/usr/lib/systemd/system/NetworkManager.service; enabled; vendor preset: enabled)
Active: active (running) since Sun 2021-08-29 04:15:11 EDT; 8s ago
Docs: man:NetworkManager(8)
Main PID: 973390 (NetworkManager)
Tasks: 4 (limit: 23535)
Memory: 4.6M
CGroup: /system.slice/NetworkManager.service
└─973390 /usr/sbin/NetworkManager --no-daemon
Aug 29 04:15:12 centos8.ittraining.loc NetworkManager[973390]: <info> [1630224912.2235] device (ens18): state change: ip-check -> secondaries (reas>
Aug 29 04:15:12 centos8.ittraining.loc NetworkManager[973390]: <info> [1630224912.2237] device (virbr0): state change: secondaries -> activated (re>
Aug 29 04:15:12 centos8.ittraining.loc NetworkManager[973390]: <info> [1630224912.2241] manager: NetworkManager state is now CONNECTED_LOCAL
Aug 29 04:15:12 centos8.ittraining.loc NetworkManager[973390]: <info> [1630224912.2251] policy: set 'ip_fixe' (ens18) as default for IPv4 routing a>
Aug 29 04:15:12 centos8.ittraining.loc NetworkManager[973390]: <info> [1630224912.3090] device (virbr0): Activation: successful, device activated.
Aug 29 04:15:12 centos8.ittraining.loc NetworkManager[973390]: <info> [1630224912.3098] device (ens18): state change: secondaries -> activated (rea>
Aug 29 04:15:12 centos8.ittraining.loc NetworkManager[973390]: <info> [1630224912.3102] manager: NetworkManager state is now CONNECTED_SITE
Aug 29 04:15:12 centos8.ittraining.loc NetworkManager[973390]: <info> [1630224912.3111] device (ens18): Activation: successful, device activated.
Aug 29 04:15:12 centos8.ittraining.loc NetworkManager[973390]: <info> [1630224912.3116] manager: NetworkManager state is now CONNECTED_GLOBAL
Aug 29 04:15:12 centos8.ittraining.loc NetworkManager[973390]: <info> [1630224912.3121] manager: startup complete
lines 1-20/20 (END)
[q]
Vérifiez que le fichier /etc/resolv.conf ait été modifié par NetworkManager :
[root@centos8 ~]# cat /etc/resolv.conf # Generated by NetworkManager search ittraining.loc nameserver 8.8.8.8
Dernièrement vérifiez la resolution des noms :
[root@centos8 ~]# ping www.free.fr PING www.free.fr (212.27.48.10) 56(84) bytes of data. 64 bytes from www.free.fr (212.27.48.10): icmp_seq=1 ttl=47 time=29.3 ms 64 bytes from www.free.fr (212.27.48.10): icmp_seq=2 ttl=47 time=29.4 ms 64 bytes from www.free.fr (212.27.48.10): icmp_seq=3 ttl=47 time=29.4 ms 64 bytes from www.free.fr (212.27.48.10): icmp_seq=4 ttl=47 time=29.4 ms ^C --- www.free.fr ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 3005ms rtt min/avg/max/mdev = 29.266/29.377/29.428/0.183 ms
Important : Notez qu'il existe un front-end graphique en mode texte, nmtui, pour configurer NetworkManager.
1.3 - Ajouter une Deuxième Adresse IP à un Profil
Pour ajouter une deuxième adresse IP à un profil sous RHEL/CentOS 8, il convient d'utiliser la commande suivante :
[root@centos8 ~]# nmcli connection mod ip_fixe +ipv4.addresses 192.168.1.2/24
Rechargez la configuration du profil :
[root@centos8 ~]# nmcli con up ip_fixe
Saisissez ensuite la commande suivante :
[root@centos8 ~]# nmcli connection show ip_fixe connection.id: ip_fixe connection.uuid: 0f48c74d-5d16-4c37-8220-24644507b589 connection.stable-id: -- connection.type: 802-3-ethernet connection.interface-name: ens18 connection.autoconnect: yes connection.autoconnect-priority: 0 connection.autoconnect-retries: -1 (default) connection.multi-connect: 0 (default) connection.auth-retries: -1 connection.timestamp: 1630225792 connection.read-only: no connection.permissions: -- connection.zone: -- connection.master: -- connection.slave-type: -- connection.autoconnect-slaves: -1 (default) connection.secondaries: -- connection.gateway-ping-timeout: 0 connection.metered: unknown connection.lldp: default connection.mdns: -1 (default) connection.llmnr: -1 (default) connection.wait-device-timeout: -1 802-3-ethernet.port: -- 802-3-ethernet.speed: 0 802-3-ethernet.duplex: -- 802-3-ethernet.auto-negotiate: no 802-3-ethernet.mac-address: -- 802-3-ethernet.cloned-mac-address: -- 802-3-ethernet.generate-mac-address-mask:-- 802-3-ethernet.mac-address-blacklist: -- 802-3-ethernet.mtu: auto 802-3-ethernet.s390-subchannels: -- 802-3-ethernet.s390-nettype: -- 802-3-ethernet.s390-options: -- 802-3-ethernet.wake-on-lan: default 802-3-ethernet.wake-on-lan-password: -- ipv4.method: manual ipv4.dns: 8.8.8.8 ipv4.dns-search: -- ipv4.dns-options: -- ipv4.dns-priority: 0 ipv4.addresses: 10.0.2.46/24, 192.168.1.2/24 ipv4.gateway: 10.0.2.1 ipv4.routes: -- ipv4.route-metric: -1 ipv4.route-table: 0 (unspec) ipv4.routing-rules: -- ipv4.ignore-auto-routes: no ipv4.ignore-auto-dns: no ipv4.dhcp-client-id: -- ipv4.dhcp-iaid: -- ipv4.dhcp-timeout: 0 (default) ipv4.dhcp-send-hostname: yes ipv4.dhcp-hostname: -- ipv4.dhcp-fqdn: -- ipv4.dhcp-hostname-flags: 0x0 (none) ipv4.never-default: no ipv4.may-fail: yes ipv4.dad-timeout: -1 (default) ipv4.dhcp-vendor-class-identifier: -- ipv4.dhcp-reject-servers: -- ipv6.method: auto ipv6.dns: -- ipv6.dns-search: -- ipv6.dns-options: -- ipv6.dns-priority: 0 ipv6.addresses: -- ipv6.gateway: -- ipv6.routes: -- ipv6.route-metric: -1 ipv6.route-table: 0 (unspec) ipv6.routing-rules: -- ipv6.ignore-auto-routes: no ipv6.ignore-auto-dns: no ipv6.never-default: no ipv6.may-fail: yes ipv6.ip6-privacy: -1 (unknown) ipv6.addr-gen-mode: stable-privacy ipv6.ra-timeout: 0 (default) ipv6.dhcp-duid: -- ipv6.dhcp-iaid: -- ipv6.dhcp-timeout: 0 (default) ipv6.dhcp-send-hostname: yes ipv6.dhcp-hostname: -- ipv6.dhcp-hostname-flags: 0x0 (none) ipv6.token: -- proxy.method: none proxy.browser-only: no proxy.pac-url: -- proxy.pac-script: -- GENERAL.NAME: ip_fixe GENERAL.UUID: 0f48c74d-5d16-4c37-8220-24644507b589 GENERAL.DEVICES: ens18 GENERAL.IP-IFACE: ens18 GENERAL.STATE: activated GENERAL.DEFAULT: yes GENERAL.DEFAULT6: no GENERAL.SPEC-OBJECT: -- GENERAL.VPN: no GENERAL.DBUS-PATH: /org/freedesktop/NetworkManager/ActiveConnection/3 GENERAL.CON-PATH: /org/freedesktop/NetworkManager/Settings/2 GENERAL.ZONE: -- GENERAL.MASTER-PATH: -- IP4.ADDRESS[1]: 10.0.2.46/24 IP4.ADDRESS[2]: 192.168.1.2/24 IP4.GATEWAY: 10.0.2.1 IP4.ROUTE[1]: dst = 10.0.2.0/24, nh = 0.0.0.0, mt = 100 IP4.ROUTE[2]: dst = 192.168.1.0/24, nh = 0.0.0.0, mt = 100 IP4.ROUTE[3]: dst = 0.0.0.0/0, nh = 10.0.2.1, mt = 100 IP4.DNS[1]: 8.8.8.8 IP6.ADDRESS[1]: fe80::5223:aee1:998e:9f27/64 IP6.GATEWAY: -- IP6.ROUTE[1]: dst = fe80::/64, nh = ::, mt = 100 IP6.ROUTE[2]: dst = ff00::/8, nh = ::, mt = 256, table=255 lines 72-116/116 (END) [q]
Important : Notez l'ajout de l'adresse secondaire à la ligne ipv4.addresses: ainsi que l'ajout de la ligne IP4.ADDRESS[2]:.
Consultez maintenant le contenu du fichier /etc/sysconfig/network-scripts/ifcfg-ip_fixe :
[root@centos8 ~]# cat /etc/sysconfig/network-scripts/ifcfg-ip_fixe TYPE=Ethernet PROXY_METHOD=none BROWSER_ONLY=no BOOTPROTO=none IPADDR=10.0.2.46 PREFIX=24 GATEWAY=10.0.2.1 DEFROUTE=yes IPV4_FAILURE_FATAL=no IPV6INIT=yes IPV6_AUTOCONF=yes IPV6_DEFROUTE=yes IPV6_FAILURE_FATAL=no IPV6_ADDR_GEN_MODE=stable-privacy NAME=ip_fixe UUID=0f48c74d-5d16-4c37-8220-24644507b589 DEVICE=ens18 ONBOOT=yes DNS1=8.8.8.8 IPADDR1=192.168.1.2 PREFIX1=24
Important : Notez l'ajout de la ligne IPADDR1=192.168.1.2.
1.4 - La Commande hostname
La procédure de la modification du hostname est simplifiée et sa prise en compte est immédiate :
[root@centos8 ~]# hostname centos8.ittraining.loc [root@centos8 ~]# nmcli general hostname centos.ittraining.loc [root@centos8 ~]# cat /etc/hostname centos.ittraining.loc [root@centos8 ~]# hostname centos.ittraining.loc [root@centos8 ~]# nmcli general hostname centos8.ittraining.loc [root@centos8 ~]# cat /etc/hostname centos8.ittraining.loc [root@centos8 ~]# hostname centos8.ittraining.loc
1.5 - La Commande ip
Sous RHEL/CentOS 8 la commande ip est préférée par rapport à la commande ifconfig :
[root@centos8 ~]# ip address
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens18: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 4e:b1:31:bd:5d:b2 brd ff:ff:ff:ff:ff:ff
inet 10.0.2.46/24 brd 10.0.2.255 scope global noprefixroute ens18
valid_lft forever preferred_lft forever
inet 192.168.1.2/24 brd 192.168.1.255 scope global noprefixroute ens18
valid_lft forever preferred_lft forever
inet6 fe80::5223:aee1:998e:9f27/64 scope link noprefixroute
valid_lft forever preferred_lft forever
3: virbr0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default qlen 1000
link/ether 52:54:00:79:02:66 brd ff:ff:ff:ff:ff:ff
inet 192.168.122.1/24 brd 192.168.122.255 scope global virbr0
valid_lft forever preferred_lft forever
4: virbr0-nic: <BROADCAST,MULTICAST> mtu 1500 qdisc fq_codel master virbr0 state DOWN group default qlen 1000
link/ether 52:54:00:79:02:66 brd ff:ff:ff:ff:ff:ff
Options de la Commande ip
Les options de cette commande sont :
[root@centos8 ~]# ip --help
Usage: ip [ OPTIONS ] OBJECT { COMMAND | help }
ip [ -force ] -batch filename
where OBJECT := { link | address | addrlabel | route | rule | neigh | ntable |
tunnel | tuntap | maddress | mroute | mrule | monitor | xfrm |
netns | l2tp | fou | macsec | tcp_metrics | token | netconf | ila |
vrf | sr | nexthop | mptcp }
OPTIONS := { -V[ersion] | -s[tatistics] | -d[etails] | -r[esolve] |
-h[uman-readable] | -iec | -j[son] | -p[retty] |
-f[amily] { inet | inet6 | mpls | bridge | link } |
-4 | -6 | -I | -D | -M | -B | -0 |
-l[oops] { maximum-addr-flush-attempts } | -br[ief] |
-o[neline] | -t[imestamp] | -ts[hort] | -b[atch] [filename] |
-rc[vbuf] [size] | -n[etns] name | -N[umeric] | -a[ll] |
-c[olor]}
1.6 - Activer/Désactiver une Interface Manuellement
Deux commandes existent pour désactiver et activer manuellement une interface réseau :
# nmcli device disconnect enp0s3 # nmcli device connect enp0s3
Important : Veuillez ne PAS exécuter ces deux commandes.
1.7 - Routage Statique
La commande ip
Sous RHEL/CentOS 8, pour supprimer la route vers le réseau 192.168.1.0 il convient d'utiliser la commande ip et non pas la commande route :
[root@centos8 ~]# ip route default via 10.0.2.1 dev ens18 proto static metric 100 10.0.2.0/24 dev ens18 proto kernel scope link src 10.0.2.46 metric 100 192.168.1.0/24 dev ens18 proto kernel scope link src 192.168.1.2 metric 100 192.168.122.0/24 dev virbr0 proto kernel scope link src 192.168.122.1 linkdown root@centos8 ~]# ip route del 192.168.1.0/24 via 0.0.0.0 [root@centos8 ~]# ip route default via 10.0.2.1 dev ens18 proto static metric 100 10.0.2.0/24 dev ens18 proto kernel scope link src 10.0.2.46 metric 100 192.168.122.0/24 dev virbr0 proto kernel scope link src 192.168.122.1 linkdown
Pour ajouter la route vers le réseau 192.168.1.0 :
[root@centos8 ~]# ip route add 192.168.1.0/24 via 10.0.2.1 [root@centos8 ~]# ip route default via 10.0.2.1 dev ens18 proto static metric 100 10.0.2.0/24 dev ens18 proto kernel scope link src 10.0.2.46 metric 100 192.168.1.0/24 via 10.0.2.1 dev ens18 192.168.122.0/24 dev virbr0 proto kernel scope link src 192.168.122.1 linkdown
Important - La commande utilisée pour ajouter une passerelle par défaut prend la forme suivante ip route add default via adresse ip.
Désactiver/Activer le routage sur le serveur
Pour désactiver le routage sur le serveur, il convient de désactiver la retransmission des paquets:
[root@centos8 ~]# cat /proc/sys/net/ipv4/ip_forward 1 [root@centos8 ~]# echo 0 > /proc/sys/net/ipv4/ip_forward [root@centos8 ~]# cat /proc/sys/net/ipv4/ip_forward 0
Pour activer le routage sur le serveur, il convient d'activer la retransmission des paquets:
[root@centos8 ~]# echo 1 > /proc/sys/net/ipv4/ip_forward [root@centos8 ~]# cat /proc/sys/net/ipv4/ip_forward 1
LAB #2 - Diagnostique du Réseau
2.1 - ping
Pour tester l'accessibilité d'une machine, vous devez utiliser la commande ping :
[root@centos8 ~]# ping -c4 10.0.2.1 PING 10.0.2.1 (10.0.2.1) 56(84) bytes of data. 64 bytes from 10.0.2.1: icmp_seq=1 ttl=64 time=0.104 ms 64 bytes from 10.0.2.1: icmp_seq=2 ttl=64 time=0.325 ms 64 bytes from 10.0.2.1: icmp_seq=3 ttl=64 time=0.250 ms 64 bytes from 10.0.2.1: icmp_seq=4 ttl=64 time=0.123 ms --- 10.0.2.1 ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 3083ms rtt min/avg/max/mdev = 0.104/0.200/0.325/0.092 ms
Options de la commande ping
Les options de cette commande sont :
[root@centos8 ~]# ping --help
ping: invalid option -- '-'
Usage: ping [-aAbBdDfhLnOqrRUvV64] [-c count] [-i interval] [-I interface]
[-m mark] [-M pmtudisc_option] [-l preload] [-p pattern] [-Q tos]
[-s packetsize] [-S sndbuf] [-t ttl] [-T timestamp_option]
[-w deadline] [-W timeout] [hop1 ...] destination
Usage: ping -6 [-aAbBdDfhLnOqrRUvV] [-c count] [-i interval] [-I interface]
[-l preload] [-m mark] [-M pmtudisc_option]
[-N nodeinfo_option] [-p pattern] [-Q tclass] [-s packetsize]
[-S sndbuf] [-t ttl] [-T timestamp_option] [-w deadline]
[-W timeout] destination
2.2 - netstat -i
Pour visualiser les statistiques réseaux, vous disposez de la commande netstat :
[root@centos8 ~]# netstat -i Kernel Interface table Iface MTU RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg ens18 1500 476056 0 0 0 363562 0 0 0 BMRU lo 65536 10936 0 0 0 10936 0 0 0 LRU virbr0 1500 0 0 0 0 0 0 0 0 BMU
Options de la commande netstat
Les options de cette commande sont :
[root@centos8 ~]# netstat --help
usage: netstat [-vWeenNcCF] [<Af>] -r netstat {-V|--version|-h|--help}
netstat [-vWnNcaeol] [<Socket> ...]
netstat { [-vWeenNac] -I[<Iface>] | [-veenNac] -i | [-cnNe] -M | -s [-6tuw] } [delay]
-r, --route display routing table
-I, --interfaces=<Iface> display interface table for <Iface>
-i, --interfaces display interface table
-g, --groups display multicast group memberships
-s, --statistics display networking statistics (like SNMP)
-M, --masquerade display masqueraded connections
-v, --verbose be verbose
-W, --wide don't truncate IP addresses
-n, --numeric don't resolve names
--numeric-hosts don't resolve host names
--numeric-ports don't resolve port names
--numeric-users don't resolve user names
-N, --symbolic resolve hardware names
-e, --extend display other/more information
-p, --programs display PID/Program name for sockets
-o, --timers display timers
-c, --continuous continuous listing
-l, --listening display listening server sockets
-a, --all display all sockets (default: connected)
-F, --fib display Forwarding Information Base (default)
-C, --cache display routing cache instead of FIB
-Z, --context display SELinux security context for sockets
<Socket>={-t|--tcp} {-u|--udp} {-U|--udplite} {-S|--sctp} {-w|--raw}
{-x|--unix} --ax25 --ipx --netrom
<AF>=Use '-6|-4' or '-A <af>' or '--<af>'; default: inet
List of possible address families (which support routing):
inet (DARPA Internet) inet6 (IPv6) ax25 (AMPR AX.25)
netrom (AMPR NET/ROM) ipx (Novell IPX) ddp (Appletalk DDP)
x25 (CCITT X.25)
2.3 - traceroute
La commande ping est à la base de la commande traceroute. Cette commande sert à découvrir la route empruntée pour accéder à un site donné :
[root@centos8 ~]# traceroute www.ittraining.network bash: traceroute: command not found... Install package 'traceroute' to provide command 'traceroute'? [N/y] y * Waiting in queue... The following packages have to be installed: traceroute-3:2.1.0-6.el8.x86_64 Traces the route taken by packets over an IPv4/IPv6 network Proceed with changes? [N/y] y * Waiting in queue... * Waiting for authentication... * Waiting in queue... * Downloading packages... * Requesting data... * Testing changes... * Installing packages... traceroute to www.ittraining.network (109.228.56.52), 30 hops max, 60 byte packets 1 _gateway (10.0.2.1) 0.132 ms 0.101 ms 0.078 ms 2 79.137.68.252 (79.137.68.252) 0.542 ms 0.656 ms 0.809 ms 3 10.50.24.61 (10.50.24.61) 0.238 ms 0.219 ms 10.50.24.60 (10.50.24.60) 0.239 ms 4 10.50.0.16 (10.50.0.16) 0.172 ms 10.50.0.22 (10.50.0.22) 0.194 ms 0.173 ms 5 10.73.248.192 (10.73.248.192) 0.766 ms 10.73.248.194 (10.73.248.194) 0.730 ms 10.73.248.192 (10.73.248.192) 0.757 ms 6 waw-wa2-sbb1-nc5.pl.eu (91.121.131.150) 1.102 ms 1.396 ms 1.099 ms 7 fra-fr5-sbb1-nc5.de.eu (213.251.128.113) 18.309 ms fra-fr5-sbb2-nc5.de.eu (54.36.50.116) 21.881 ms fra-fr5-sbb1-nc5.de.eu (213.251.128.113) 16.764 ms 8 10.200.0.6 (10.200.0.6) 20.922 ms 10.200.0.0 (10.200.0.0) 16.959 ms 10.200.0.4 (10.200.0.4) 21.143 ms 9 decix.bb-a.fra3.fra.de.oneandone.net (80.81.192.123) 18.789 ms decix.bb-c.act.fra.de.oneandone.net (80.81.193.123) 20.310 ms decix.bb-a.fra3.fra.de.oneandone.net (80.81.192.123) 18.693 ms 10 ae-14.bb-b.fr7.fra.de.oneandone.net (212.227.120.149) 22.222 ms 22.206 ms 22.257 ms 11 port-channel-3.gw-ngcs-1.dc1.con.glo.gb.oneandone.net (88.208.255.131) 39.660 ms 39.679 ms ae-19.bb-b.thn.lon.gb.oneandone.net (212.227.120.33) 33.973 ms 12 109.228.63.209 (109.228.63.209) 37.363 ms port-channel-3.gw-ngcs-1.dc1.con.glo.gb.oneandone.net (88.208.255.131) 39.534 ms 109.228.63.209 (109.228.63.209) 37.901 ms 13 * 109.228.63.209 (109.228.63.209) 38.014 ms 37.991 ms 14 * * * 15 * * * 16 * * * 17 * * * 18 * * * 19 * * * 20 * * * 21 * * * 22 * * * 23 * * * 24 * * * 25 * * * 26 * * * 27 * * * 28 * * * 29 * * *^C
Options de la commande traceroute
Les options de cette commande sont :
[root@centos8 ~]# traceroute --help
Usage:
traceroute [ -46dFITnreAUDV ] [ -f first_ttl ] [ -g gate,... ] [ -i device ] [ -m max_ttl ] [ -N squeries ] [ -p port ] [ -t tos ] [ -l flow_label ] [ -w MAX,HERE,NEAR ] [ -q nqueries ] [ -s src_addr ] [ -z sendwait ] [ --fwmark=num ] host [ packetlen ]
Options:
-4 Use IPv4
-6 Use IPv6
-d --debug Enable socket level debugging
-F --dont-fragment Do not fragment packets
-f first_ttl --first=first_ttl
Start from the first_ttl hop (instead from 1)
-g gate,... --gateway=gate,...
Route packets through the specified gateway
(maximum 8 for IPv4 and 127 for IPv6)
-I --icmp Use ICMP ECHO for tracerouting
-T --tcp Use TCP SYN for tracerouting (default port is 80)
-i device --interface=device
Specify a network interface to operate with
-m max_ttl --max-hops=max_ttl
Set the max number of hops (max TTL to be
reached). Default is 30
-N squeries --sim-queries=squeries
Set the number of probes to be tried
simultaneously (default is 16)
-n Do not resolve IP addresses to their domain names
-p port --port=port Set the destination port to use. It is either
initial udp port value for "default" method
(incremented by each probe, default is 33434), or
initial seq for "icmp" (incremented as well,
default from 1), or some constant destination
port for other methods (with default of 80 for
"tcp", 53 for "udp", etc.)
-t tos --tos=tos Set the TOS (IPv4 type of service) or TC (IPv6
traffic class) value for outgoing packets
-l flow_label --flowlabel=flow_label
Use specified flow_label for IPv6 packets
-w MAX,HERE,NEAR --wait=MAX,HERE,NEAR
Wait for a probe no more than HERE (default 3)
times longer than a response from the same hop,
or no more than NEAR (default 10) times than some
next hop, or MAX (default 5.0) seconds (float
point values allowed too)
-q nqueries --queries=nqueries
Set the number of probes per each hop. Default is
3
-r Bypass the normal routing and send directly to a
host on an attached network
-s src_addr --source=src_addr
Use source src_addr for outgoing packets
-z sendwait --sendwait=sendwait
Minimal time interval between probes (default 0).
If the value is more than 10, then it specifies a
number in milliseconds, else it is a number of
seconds (float point values allowed too)
-e --extensions Show ICMP extensions (if present), including MPLS
-A --as-path-lookups Perform AS path lookups in routing registries and
print results directly after the corresponding
addresses
-M name --module=name Use specified module (either builtin or external)
for traceroute operations. Most methods have
their shortcuts (`-I' means `-M icmp' etc.)
-O OPTS,... --options=OPTS,...
Use module-specific option OPTS for the
traceroute module. Several OPTS allowed,
separated by comma. If OPTS is "help", print info
about available options
--sport=num Use source port num for outgoing packets. Implies
`-N 1'
--fwmark=num Set firewall mark for outgoing packets
-U --udp Use UDP to particular port for tracerouting
(instead of increasing the port per each probe),
default port is 53
-UL Use UDPLITE for tracerouting (default dest port
is 53)
-D --dccp Use DCCP Request for tracerouting (default port
is 33434)
-P prot --protocol=prot Use raw packet of protocol prot for tracerouting
--mtu Discover MTU along the path being traced. Implies
`-F -N 1'
--back Guess the number of hops in the backward path and
print if it differs
-V --version Print version info and exit
--help Read this help and exit
Arguments:
+ host The host to traceroute to
packetlen The full packet length (default is the length of an IP
header plus 40). Can be ignored or increased to a minimal
allowed value
LAB #3 - Connexions à Distance
3.1 - Telnet
WRAP center round important> Important - Si la commande telnet n'est pas installée sous CentOS 8, installez-le à l'aide de la commande dnf install telnet en tant que root. </WRAP>
La commande telnet est utilisée pour établir une connexion à distance avec un serveur telnet :
# telnet numero_ip
Important - Le service telnet revient à une redirection des canaux standards d'entrée et de sortie. Notez que la connexion n'est pas sécurisée. Pour fermer la connexion, il faut saisir la commande exit. La commande telnet n'offre pas de services de transfert de fichiers. Pour cela, il convient d'utiliser la command ftp.
Options de la commande telnet
Les options de cette commande sont :
[[root@centos8 ~]# telnet --help
telnet: invalid option -- '-'
Usage: telnet [-4] [-6] [-8] [-E] [-L] [-S tos] [-a] [-c] [-d] [-e char] [-l user]
[-n tracefile] [-b hostalias ] [-r]
[host-name [port]]
3.2 - wget
La commande wget est utilisée pour récupérer un fichier via http, https ou ftp :
[root@centos8 ~]# wget https://www.dropbox.com/s/lqtl47jpj2qu5od/wget_file.txt --2021-08-29 06:22:26-- https://www.dropbox.com/s/lqtl47jpj2qu5od/wget_file.txt Resolving www.dropbox.com (www.dropbox.com)... 162.125.67.18, 2620:100:6023:18::a27d:4312 Connecting to www.dropbox.com (www.dropbox.com)|162.125.67.18|:443... connected. HTTP request sent, awaiting response... 301 Moved Permanently Location: /s/raw/lqtl47jpj2qu5od/wget_file.txt [following] --2021-08-29 06:22:27-- https://www.dropbox.com/s/raw/lqtl47jpj2qu5od/wget_file.txt Reusing existing connection to www.dropbox.com:443. HTTP request sent, awaiting response... 302 Found Location: https://uc8a5f475f4a5f849fd1055f560f.dl.dropboxusercontent.com/cd/0/inline/BVLLQHvou_Z6M6ahJQIL0h_F294OM7CU4q_am-_dpLy8Ifk66MQQSSe66akMc1yzJ_gMMBw0rHAsccFgTriPPpRvY9gMEBBB9FP3gyf2eT1b7SeonjZZshyppFw9-KxrWTJN_3bRB4Rx_t6DXaozZVnV/file# [following] --2021-08-29 06:22:27-- https://uc8a5f475f4a5f849fd1055f560f.dl.dropboxusercontent.com/cd/0/inline/BVLLQHvou_Z6M6ahJQIL0h_F294OM7CU4q_am-_dpLy8Ifk66MQQSSe66akMc1yzJ_gMMBw0rHAsccFgTriPPpRvY9gMEBBB9FP3gyf2eT1b7SeonjZZshyppFw9-KxrWTJN_3bRB4Rx_t6DXaozZVnV/file Resolving uc8a5f475f4a5f849fd1055f560f.dl.dropboxusercontent.com (uc8a5f475f4a5f849fd1055f560f.dl.dropboxusercontent.com)... 162.125.67.15, 2620:100:6023:15::a27d:430f Connecting to uc8a5f475f4a5f849fd1055f560f.dl.dropboxusercontent.com (uc8a5f475f4a5f849fd1055f560f.dl.dropboxusercontent.com)|162.125.67.15|:443... connected. HTTP request sent, awaiting response... 200 OK Length: 46 [text/plain] Saving to: ‘wget_file.txt’ wget_file.txt 100%[===================>] 46 --.-KB/s in 0s 2021-08-29 06:22:27 (26.9 MB/s) - ‘wget_file.txt’ saved [46/46] [root@centos8 ~]# cat wget_file.txt This is a file retrieved by the wget command.
Options de la commande wget
Les options de cette commande sont :
[root@centos8 ~]# wget --help
GNU Wget 1.19.5, a non-interactive network retriever.
Usage: wget [OPTION]... [URL]...
Mandatory arguments to long options are mandatory for short options too.
Startup:
-V, --version display the version of Wget and exit
-h, --help print this help
-b, --background go to background after startup
-e, --execute=COMMAND execute a `.wgetrc'-style command
Logging and input file:
-o, --output-file=FILE log messages to FILE
-a, --append-output=FILE append messages to FILE
-d, --debug print lots of debugging information
-q, --quiet quiet (no output)
-v, --verbose be verbose (this is the default)
-nv, --no-verbose turn off verboseness, without being quiet
--report-speed=TYPE output bandwidth as TYPE. TYPE can be bits
-i, --input-file=FILE download URLs found in local or external FILE
--input-metalink=FILE download files covered in local Metalink FILE
-F, --force-html treat input file as HTML
-B, --base=URL resolves HTML input-file links (-i -F)
relative to URL
--config=FILE specify config file to use
--no-config do not read any config file
--rejected-log=FILE log reasons for URL rejection to FILE
Download:
-t, --tries=NUMBER set number of retries to NUMBER (0 unlimits)
--retry-connrefused retry even if connection is refused
--retry-on-http-error=ERRORS comma-separated list of HTTP errors to retry
-O, --output-document=FILE write documents to FILE
-nc, --no-clobber skip downloads that would download to
existing files (overwriting them)
--no-netrc don't try to obtain credentials from .netrc
-c, --continue resume getting a partially-downloaded file
--start-pos=OFFSET start downloading from zero-based position OFFSET
--progress=TYPE select progress gauge type
--show-progress display the progress bar in any verbosity mode
-N, --timestamping don't re-retrieve files unless newer than
local
--no-if-modified-since don't use conditional if-modified-since get
requests in timestamping mode
--no-use-server-timestamps don't set the local file's timestamp by
the one on the server
-S, --server-response print server response
--spider don't download anything
-T, --timeout=SECONDS set all timeout values to SECONDS
--dns-timeout=SECS set the DNS lookup timeout to SECS
--connect-timeout=SECS set the connect timeout to SECS
--read-timeout=SECS set the read timeout to SECS
-w, --wait=SECONDS wait SECONDS between retrievals
--waitretry=SECONDS wait 1..SECONDS between retries of a retrieval
--random-wait wait from 0.5*WAIT...1.5*WAIT secs between retrievals
--no-proxy explicitly turn off proxy
-Q, --quota=NUMBER set retrieval quota to NUMBER
--bind-address=ADDRESS bind to ADDRESS (hostname or IP) on local host
--limit-rate=RATE limit download rate to RATE
--no-dns-cache disable caching DNS lookups
--restrict-file-names=OS restrict chars in file names to ones OS allows
--ignore-case ignore case when matching files/directories
-4, --inet4-only connect only to IPv4 addresses
-6, --inet6-only connect only to IPv6 addresses
--prefer-family=FAMILY connect first to addresses of specified family,
one of IPv6, IPv4, or none
--user=USER set both ftp and http user to USER
--password=PASS set both ftp and http password to PASS
--ask-password prompt for passwords
--use-askpass=COMMAND specify credential handler for requesting
username and password. If no COMMAND is
specified the WGET_ASKPASS or the SSH_ASKPASS
environment variable is used.
--no-iri turn off IRI support
--local-encoding=ENC use ENC as the local encoding for IRIs
--remote-encoding=ENC use ENC as the default remote encoding
--unlink remove file before clobber
--keep-badhash keep files with checksum mismatch (append .badhash)
--metalink-index=NUMBER Metalink application/metalink4+xml metaurl ordinal NUMBER
--metalink-over-http use Metalink metadata from HTTP response headers
--preferred-location preferred location for Metalink resources
--xattr turn on storage of metadata in extended file attributes
Directories:
-nd, --no-directories don't create directories
-x, --force-directories force creation of directories
-nH, --no-host-directories don't create host directories
--protocol-directories use protocol name in directories
-P, --directory-prefix=PREFIX save files to PREFIX/..
--cut-dirs=NUMBER ignore NUMBER remote directory components
HTTP options:
--http-user=USER set http user to USER
--http-password=PASS set http password to PASS
--no-cache disallow server-cached data
--default-page=NAME change the default page name (normally
this is 'index.html'.)
-E, --adjust-extension save HTML/CSS documents with proper extensions
--ignore-length ignore 'Content-Length' header field
--header=STRING insert STRING among the headers
--compression=TYPE choose compression, one of auto, gzip and none. (default: none)
--max-redirect maximum redirections allowed per page
--proxy-user=USER set USER as proxy username
--proxy-password=PASS set PASS as proxy password
--referer=URL include 'Referer: URL' header in HTTP request
--save-headers save the HTTP headers to file
-U, --user-agent=AGENT identify as AGENT instead of Wget/VERSION
--no-http-keep-alive disable HTTP keep-alive (persistent connections)
--no-cookies don't use cookies
--load-cookies=FILE load cookies from FILE before session
--save-cookies=FILE save cookies to FILE after session
--keep-session-cookies load and save session (non-permanent) cookies
--post-data=STRING use the POST method; send STRING as the data
--post-file=FILE use the POST method; send contents of FILE
--method=HTTPMethod use method "HTTPMethod" in the request
--body-data=STRING send STRING as data. --method MUST be set
--body-file=FILE send contents of FILE. --method MUST be set
--content-disposition honor the Content-Disposition header when
choosing local file names (EXPERIMENTAL)
--content-on-error output the received content on server errors
--auth-no-challenge send Basic HTTP authentication information
without first waiting for the server's
challenge
HTTPS (SSL/TLS) options:
--secure-protocol=PR choose secure protocol, one of auto, SSLv2,
SSLv3, TLSv1, TLSv1_1, TLSv1_2 and PFS
--https-only only follow secure HTTPS links
--no-check-certificate don't validate the server's certificate
--certificate=FILE client certificate file
--certificate-type=TYPE client certificate type, PEM or DER
--private-key=FILE private key file
--private-key-type=TYPE private key type, PEM or DER
--ca-certificate=FILE file with the bundle of CAs
--ca-directory=DIR directory where hash list of CAs is stored
--crl-file=FILE file with bundle of CRLs
--pinnedpubkey=FILE/HASHES Public key (PEM/DER) file, or any number
of base64 encoded sha256 hashes preceded by
'sha256//' and separated by ';', to verify
peer against
--ciphers=STR Set the priority string (GnuTLS) or cipher list string (OpenSSL) directly.
Use with care. This option overrides --secure-protocol.
The format and syntax of this string depend on the specific SSL/TLS engine.
HSTS options:
--no-hsts disable HSTS
--hsts-file path of HSTS database (will override default)
FTP options:
--ftp-user=USER set ftp user to USER
--ftp-password=PASS set ftp password to PASS
--no-remove-listing don't remove '.listing' files
--no-glob turn off FTP file name globbing
--no-passive-ftp disable the "passive" transfer mode
--preserve-permissions preserve remote file permissions
--retr-symlinks when recursing, get linked-to files (not dir)
FTPS options:
--ftps-implicit use implicit FTPS (default port is 990)
--ftps-resume-ssl resume the SSL/TLS session started in the control connection when
opening a data connection
--ftps-clear-data-connection cipher the control channel only; all the data will be in plaintext
--ftps-fallback-to-ftp fall back to FTP if FTPS is not supported in the target server
WARC options:
--warc-file=FILENAME save request/response data to a .warc.gz file
--warc-header=STRING insert STRING into the warcinfo record
--warc-max-size=NUMBER set maximum size of WARC files to NUMBER
--warc-cdx write CDX index files
--warc-dedup=FILENAME do not store records listed in this CDX file
--no-warc-compression do not compress WARC files with GZIP
--no-warc-digests do not calculate SHA1 digests
--no-warc-keep-log do not store the log file in a WARC record
--warc-tempdir=DIRECTORY location for temporary files created by the
WARC writer
Recursive download:
-r, --recursive specify recursive download
-l, --level=NUMBER maximum recursion depth (inf or 0 for infinite)
--delete-after delete files locally after downloading them
-k, --convert-links make links in downloaded HTML or CSS point to
local files
--convert-file-only convert the file part of the URLs only (usually known as the basename)
--backups=N before writing file X, rotate up to N backup files
-K, --backup-converted before converting file X, back up as X.orig
-m, --mirror shortcut for -N -r -l inf --no-remove-listing
-p, --page-requisites get all images, etc. needed to display HTML page
--strict-comments turn on strict (SGML) handling of HTML comments
Recursive accept/reject:
-A, --accept=LIST comma-separated list of accepted extensions
-R, --reject=LIST comma-separated list of rejected extensions
--accept-regex=REGEX regex matching accepted URLs
--reject-regex=REGEX regex matching rejected URLs
--regex-type=TYPE regex type (posix)
-D, --domains=LIST comma-separated list of accepted domains
--exclude-domains=LIST comma-separated list of rejected domains
--follow-ftp follow FTP links from HTML documents
--follow-tags=LIST comma-separated list of followed HTML tags
--ignore-tags=LIST comma-separated list of ignored HTML tags
-H, --span-hosts go to foreign hosts when recursive
-L, --relative follow relative links only
-I, --include-directories=LIST list of allowed directories
--trust-server-names use the name specified by the redirection
URL's last component
-X, --exclude-directories=LIST list of excluded directories
-np, --no-parent don't ascend to the parent directory
Email bug reports, questions, discussions to <bug-wget@gnu.org>
and/or open issues at https://savannah.gnu.org/bugs/?func=additem&group=wget.
3.3 - ftp
Important - Si la commande ftp n'est pas installée sous CentOS 8, installez-le à l'aide de la commande dnf install ftp en tant que root.
La commande ftp est utilisée pour le transfert de fichiers. Une fois connecté, il convient d'utiliser la commande help pour afficher la liste des commandes disponibles :
ftp> help Commands may be abbreviated. Commands are: ! debug mdir sendport site $ dir mget put size account disconnect mkdir pwd status append exit mls quit struct ascii form mode quote system bell get modtime recv sunique binary glob mput reget tenex bye hash newer rstatus tick case help nmap rhelp trace cd idle nlist rename type cdup image ntrans reset user chmod lcd open restart umask close ls prompt rmdir verbose cr macdef passive runique ? delete mdelete proxy send ftp>
Le caractère ! permet d'exécuter une commande sur la machine cliente
ftp> !pwd /root
Pour transférer un fichier vers le serveur, il convient d'utiliser la commande put :
ftp> put nom_fichier_local nom_fichier_distant
Vous pouvez également transférer plusieurs fichiers à la fois grâce à la commande mput. Dans ce cas précis, il convient de saisir la commande suivante:
ftp> mput nom*.*
Pour transférer un fichier du serveur, il convient d'utiliser la commande get :
ftp> get nom_fichier
Vous pouvez également transférer plusieurs fichiers à la fois grâce à la commande mget ( voir la commande mput ci-dessus ).
Pour supprimer un fichier sur le serveur, il convient d'utiliser la commande del :
ftp> del nom_fichier
Pour fermer la session, il convient d'utiliser la commande quit :
ftp> quit [root@centos7 ~]#
3.4 - SSH
Présentation
La commande ssh est le successeur et la remplaçante de la commande rlogin. Il permet d'établir des connexions sécurisées avec une machine distante. SSH comporte cinq acteurs :
- Le serveur SSH
- le démon sshd, qui s'occupe des authentifications et autorisations des clients,
- Le client SSH
- ssh ou scp, qui assure la connexion et le dialogue avec le serveur,
- La session qui représente la connexion courante et qui commence juste après l'authentification réussie,
- Les clefs
- Couple de clef utilisateur asymétriques et persistantes qui assurent l'identité d'un utilisateur et qui sont stockés sur disque dur,
- Clef hôte asymétrique et persistante garantissant l'identité du serveur er qui est conservé sur disque dur
- Clef serveur asymétrique et temporaire utilisée par le protocole SSH1 qui sert au chiffrement de la clé de session,
- Clef de session symétrique qui est générée aléatoirement et qui permet le chiiffrement de la communication entre le client et le serveur. Elle est détruite en fin de session. SSH-1 utilise une seule clef tandis que SSH-2 utilise une clef par direction de la communication,
- La base de données des hôtes connus qui stocke les clés des connexions précédentes.
SSH fonctionne de la manière suivante pour la la mise en place d'un canal sécurisé:
- Le client contacte le serveur sur son port 22,
- Les client et le serveur échangent leur version de SSH. En cas de non-compatibilité de versions, l'un des deux met fin au processus,
- Le serveur SSH s'identifie auprès du client en lui fournissant :
- Sa clé hôte,
- Sa clé serveur,
- Une séquence aléatoire de huit octets à inclure dans les futures réponses du client,
- Une liste de méthodes de chiffrage, compression et authentification,
- Le client et le serveur produisent un identifiant identique, un haché MD5 long de 128 bits contenant la clé hôte, la clé serveur et la séquence aléatoire,
- Le client génère sa clé de session symétrique et la chiffre deux fois de suite, une fois avec la clé hôte du serveur et la deuxième fois avec la clé serveur. Le client envoie cette clé au serveur accompagnée de la séquence aléatoire et un choix d'algorithmes supportés,
- Le serveur déchiffre la clé de session,
- Le client et le serveur mettent en place le canal sécurisé.
SSH-1
SSH-1 utilise une paire de clefs de type RSA1. Il assure l'intégrité des données par une Contrôle de Redondance Cyclique (CRC) et est un bloc dit monolithique.
Afin de s'identifier, le client essaie chacune des six méthodes suivantes :
- Kerberos,
- Rhosts,
- RhostsRSA,
- Par clef asymétrique,
- TIS,
- Par mot de passe.
SSH-2
SSH-2 utilise DSA ou RSA. Il assure l'intégrité des données par l'algorithme HMAC. SSH-2 est organisé en trois couches :
- SSH-TRANS – Transport Layer Protocol,
- SSH-AUTH – Authentification Protocol,
- SSH-CONN – Connection Protocol.
SSH-2 diffère de SSH-1 essentiellement dans la phase authentification.
Trois méthodes d'authentification :
- Par clef asymétrique,
- Identique à SSH-1 sauf avec l'algorithme DSA,
- RhostsRSA,
- Par mot de passe.
Options de la commande
Les options de cette commande sont :
[root@centos8 ~]# ssh --help
unknown option -- -
usage: ssh [-46AaCfGgKkMNnqsTtVvXxYy] [-B bind_interface]
[-b bind_address] [-c cipher_spec] [-D [bind_address:]port]
[-E log_file] [-e escape_char] [-F configfile] [-I pkcs11]
[-i identity_file] [-J [user@]host[:port]] [-L address]
[-l login_name] [-m mac_spec] [-O ctl_cmd] [-o option] [-p port]
[-Q query_option] [-R address] [-S ctl_path] [-W host:port]
[-w local_tun[:remote_tun]] destination [command]
Authentification par mot de passe
L'utilisateur fournit un mot de passe au client ssh. Le client ssh le transmet de façon sécurisée au serveur ssh puis le serveur vérifie le mot de passe et l'accepte ou non.
Avantage:
- Aucune configuration de clef asymétrique n'est nécessaire.
Inconvénients:
- L'utilisateur doit fournir à chaque connexion un identifiant et un mot de passe,
- Moins sécurisé qu'un système par clef asymétrique.
Authentification par clef asymétrique
- Le client envoie au serveur une requête d'authentification par clé asymétrique qui contient le module de la clé à utiliser,
- Le serveur recherche une correspondance pour ce module dans le fichier des clés autorisés ~/.ssh/authorized_keys,
- Dans le cas où une correspondance n'est pas trouvée, le serveur met fin à la communication,
- Dans le cas contraire le serveur génère une chaîne aléatoire de 256 bits appelée un challenge et la chiffre avec la clé publique du client,
- Le client reçoit le challenge et le décrypte avec la partie privée de sa clé. Il combine le challenge avec l'identifiant de session et chiffre le résultat. Ensuite il envoie le résultat chiffré au serveur.
- Le serveur génère le même haché et le compare avec celui reçu du client. Si les deux hachés sont identiques, l'authentification est réussie.
Configuration du Serveur
La configuration du serveur s'effectue dans le fichier /etc/ssh/sshd_config :
[root@centos8 ~]# cat /etc/ssh/sshd_config # $OpenBSD: sshd_config,v 1.103 2018/04/09 20:41:22 tj Exp $ # This is the sshd server system-wide configuration file. See # sshd_config(5) for more information. # This sshd was compiled with PATH=/usr/local/bin:/usr/bin:/usr/local/sbin:/usr/sbin # The strategy used for options in the default sshd_config shipped with # OpenSSH is to specify options with their default value where # possible, but leave them commented. Uncommented options override the # default value. # If you want to change the port on a SELinux system, you have to tell # SELinux about this change. # semanage port -a -t ssh_port_t -p tcp #PORTNUMBER # #Port 22 #AddressFamily any #ListenAddress 0.0.0.0 #ListenAddress :: HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_ecdsa_key HostKey /etc/ssh/ssh_host_ed25519_key # Ciphers and keying #RekeyLimit default none # This system is following system-wide crypto policy. The changes to # crypto properties (Ciphers, MACs, ...) will not have any effect here. # They will be overridden by command-line options passed to the server # on command line. # Please, check manual pages for update-crypto-policies(8) and sshd_config(5). # Logging #SyslogFacility AUTH SyslogFacility AUTHPRIV #LogLevel INFO # Authentication: #LoginGraceTime 2m PermitRootLogin yes #StrictModes yes #MaxAuthTries 6 #MaxSessions 10 #PubkeyAuthentication yes # The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2 # but this is overridden so installations will only check .ssh/authorized_keys AuthorizedKeysFile .ssh/authorized_keys #AuthorizedPrincipalsFile none #AuthorizedKeysCommand none #AuthorizedKeysCommandUser nobody # For this to work you will also need host keys in /etc/ssh/ssh_known_hosts #HostbasedAuthentication no # Change to yes if you don't trust ~/.ssh/known_hosts for # HostbasedAuthentication #IgnoreUserKnownHosts no # Don't read the user's ~/.rhosts and ~/.shosts files #IgnoreRhosts yes # To disable tunneled clear text passwords, change to no here! #PasswordAuthentication yes #PermitEmptyPasswords no PasswordAuthentication yes # Change to no to disable s/key passwords #ChallengeResponseAuthentication yes ChallengeResponseAuthentication no # Kerberos options #KerberosAuthentication no #KerberosOrLocalPasswd yes #KerberosTicketCleanup yes #KerberosGetAFSToken no #KerberosUseKuserok yes # GSSAPI options GSSAPIAuthentication yes GSSAPICleanupCredentials no #GSSAPIStrictAcceptorCheck yes #GSSAPIKeyExchange no #GSSAPIEnablek5users no # Set this to 'yes' to enable PAM authentication, account processing, # and session processing. If this is enabled, PAM authentication will # be allowed through the ChallengeResponseAuthentication and # PasswordAuthentication. Depending on your PAM configuration, # PAM authentication via ChallengeResponseAuthentication may bypass # the setting of "PermitRootLogin without-password". # If you just want the PAM account and session checks to run without # PAM authentication, then enable this but set PasswordAuthentication # and ChallengeResponseAuthentication to 'no'. # WARNING: 'UsePAM no' is not supported in Fedora and may cause several # problems. UsePAM yes #AllowAgentForwarding yes #AllowTcpForwarding yes #GatewayPorts no X11Forwarding yes #X11DisplayOffset 10 #X11UseLocalhost yes #PermitTTY yes # It is recommended to use pam_motd in /etc/pam.d/sshd instead of PrintMotd, # as it is more configurable and versatile than the built-in version. PrintMotd no #PrintLastLog yes #TCPKeepAlive yes #PermitUserEnvironment no #Compression delayed #ClientAliveInterval 0 #ClientAliveCountMax 3 #UseDNS no #PidFile /var/run/sshd.pid #MaxStartups 10:30:100 #PermitTunnel no #ChrootDirectory none #VersionAddendum none # no default banner path #Banner none # Accept locale-related environment variables AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE AcceptEnv XMODIFIERS # override default of no subsystems Subsystem sftp /usr/libexec/openssh/sftp-server # Example of overriding settings on a per-user basis #Match User anoncvs # X11Forwarding no # AllowTcpForwarding no # PermitTTY no # ForceCommand cvs server
Pour ôter les lignes de commentaires dans ce fichier, utilisez la commande suivante :
[root@centos8 ~]# cd /tmp ; grep -E -v '^(#|$)' /etc/ssh/sshd_config > sshd_config [root@centos8 tmp]# cat sshd_config HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_ecdsa_key HostKey /etc/ssh/ssh_host_ed25519_key SyslogFacility AUTHPRIV PermitRootLogin yes AuthorizedKeysFile .ssh/authorized_keys PasswordAuthentication yes ChallengeResponseAuthentication no GSSAPIAuthentication yes GSSAPICleanupCredentials no UsePAM yes X11Forwarding yes PrintMotd no AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE AcceptEnv XMODIFIERS Subsystem sftp /usr/libexec/openssh/sftp-server
Pour sécuriser le serveur ssh, ajoutez ou modifiez les directives suivantes :
AllowGroups adm Banner /etc/issue.net HostbasedAuthentication no IgnoreRhosts yes LoginGraceTime 60 LogLevel INFO PermitEmptyPasswords no PermitRootLogin no PrintLastLog yes Protocol 2 StrictModes yes X11Forwarding no
Votre fichier ressemblera à celui-ci :
[root@centos8 tmp]# vi sshd_config [root@centos8 tmp]# cat sshd_config AllowGroups adm Banner /etc/issue.net HostbasedAuthentication no IgnoreRhosts yes LoginGraceTime 60 LogLevel INFO PermitEmptyPasswords no PermitRootLogin no PrintLastLog yes Protocol 2 StrictModes yes X11Forwarding no HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_ecdsa_key HostKey /etc/ssh/ssh_host_ed25519_key SyslogFacility AUTHPRIV PermitRootLogin yes AuthorizedKeysFile .ssh/authorized_keys PasswordAuthentication yes ChallengeResponseAuthentication no GSSAPIAuthentication yes GSSAPICleanupCredentials no UsePAM yes PrintMotd no AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE AcceptEnv XMODIFIERS Subsystem sftp /usr/libexec/openssh/sftp-server
Renommez le fichier /etc/ssh/sshd_config en /etc/ssh/sshd_config.old :
[root@centos8 tmp]# cp /etc/ssh/sshd_config /etc/ssh/sshd_config.old
Copiez le fichier /tmp/sshd_config vers /etc/ssh/ :
[root@centos8 tmp]# cp /tmp/sshd_config /etc/ssh cp: overwrite '/etc/ssh/sshd_config'? y
Redémarrez le service sshd :
[root@centos8 tmp]# systemctl restart sshd
[root@centos8 tmp]# systemctl status sshd
● sshd.service - OpenSSH server daemon
Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: enabled)
Active: active (running) since Mon 2021-08-30 02:17:00 EDT; 11s ago
Docs: man:sshd(8)
man:sshd_config(5)
Main PID: 1042039 (sshd)
Tasks: 1 (limit: 23535)
Memory: 1.1M
CGroup: /system.slice/sshd.service
└─1042039 /usr/sbin/sshd -D -oCiphers=aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,a>
Aug 30 02:17:00 centos8.ittraining.loc systemd[1]: Starting OpenSSH server daemon...
Aug 30 02:17:00 centos8.ittraining.loc sshd[1042039]: Server listening on 0.0.0.0 port 22.
Aug 30 02:17:00 centos8.ittraining.loc sshd[1042039]: Server listening on :: port 22.
Aug 30 02:17:00 centos8.ittraining.loc systemd[1]: Started OpenSSH server daemon.
[q]
Mettez l'utilisateur trainee dans le groupe adm :
[root@centos8 tmp]# groups trainee trainee : trainee [root@centos8 tmp]# usermod -aG adm trainee [root@centos8 tmp]# groups trainee trainee : trainee adm
Pour générer les clefs du serveur, saisissez la commande suivante en tant que root. Notez que la passphrase doit être vide.
[root@centos8 tmp]# ssh-keygen -t dsa Generating public/private dsa key pair. Enter file in which to save the key (/root/.ssh/id_dsa): /etc/ssh/ssh_host_dsa_key Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /etc/ssh/ssh_host_dsa_key. Your public key has been saved in /etc/ssh/ssh_host_dsa_key.pub. The key fingerprint is: SHA256:dywC6jKyIMaTxsaEamz1kmthEmuG18HxmS22qRICOYk root@centos8.ittraining.loc The key's randomart image is: +---[DSA 1024]----+ | | | . | |.o . o.+ | |E. o.*.. . | |+ooo.o +S o o | |X==++ o o o | |B/=+oo | |Ooo++ | |. .o | +----[SHA256]-----+
De la même façon, il est possible de générer les clefs au format RSA, ECDSA et ED25519 :
[root@centos8 tmp]# ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): /etc/ssh/ssh_host_rsa_key Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /etc/ssh/ssh_host_rsa_key. Your public key has been saved in /etc/ssh/ssh_host_rsa_key.pub. The key fingerprint is: SHA256:8jXFK50NnoJCz9E7aPKpFYSYCstCPfRsdmlLBTNUnKg root@centos8.ittraining.loc The key's randomart image is: +---[RSA 3072]----+ | . .==o. | | o oo o=+ . | |.. oo=+=o . + | |oo .+E++.+ = * | |o.. +.S B * . | |. B + = | | = | | o | | . | +----[SHA256]-----+ [root@centos8 tmp]# ssh-keygen -t ecdsa Generating public/private ecdsa key pair. Enter file in which to save the key (/root/.ssh/id_ecdsa): /etc/ssh/ssh_host_ecdsa_key Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /etc/ssh/ssh_host_ecdsa_key. Your public key has been saved in /etc/ssh/ssh_host_ecdsa_key.pub. The key fingerprint is: SHA256:AMqFUJKGqnUEPh/IYda0wnbW1kXK+lnprpHsOo4UMbI root@centos8.ittraining.loc The key's randomart image is: +---[ECDSA 256]---+ |++*=+ .o | |oX.=o+ o o | |o %.B + + | |...O.= o . | |..E.o . S o | |. . o = | | . * . | | . ... o | | ..ooo.. | +----[SHA256]-----+ [root@centos8 tmp]# ssh-keygen -t ed25519 Generating public/private ed25519 key pair. Enter file in which to save the key (/root/.ssh/id_ed25519): /etc/ssh/ssh_host_ed25519_key Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /etc/ssh/ssh_host_ed25519_key. Your public key has been saved in /etc/ssh/ssh_host_ed25519_key.pub. The key fingerprint is: SHA256:CtbcN9iXv00PfbHFGf2bEW7iRibOFwRctyqM5hmlhwE root@centos8.ittraining.loc The key's randomart image is: +--[ED25519 256]--+ | E .... . | | . .. . o| | . . . +.| | o . oB ..o.=| | o o S*+=o* *+| | . . .o.*o*.+.B| | . o o +o++| | o =o| | . o| +----[SHA256]-----+
Les clefs publiques générées possèdent l'extension .pub. Les clefs privées n'ont pas d'extension :
[root@centos8 tmp]# ls /etc/ssh moduli ssh_config.d sshd_config.old ssh_host_ecdsa_key.pub ssh_host_ed25519_key.pub ssh_host_rsa_key.pub ssh_config sshd_config ssh_host_ecdsa_key ssh_host_ed25519_key ssh_host_rsa_key
Re-démarrez ensuite le service sshd :
[root@centos8 tmp]# systemctl restart sshd.service
[root@centos8 tmp]# systemctl status sshd.service
● sshd.service - OpenSSH server daemon
Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: enabled)
Active: active (running) since Mon 2021-08-30 02:24:57 EDT; 9s ago
Docs: man:sshd(8)
man:sshd_config(5)
Main PID: 1042204 (sshd)
Tasks: 1 (limit: 23535)
Memory: 1.1M
CGroup: /system.slice/sshd.service
└─1042204 /usr/sbin/sshd -D -oCiphers=aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,a>
Aug 30 02:24:57 centos8.ittraining.loc systemd[1]: Starting OpenSSH server daemon...
Aug 30 02:24:57 centos8.ittraining.loc sshd[1042204]: Server listening on 0.0.0.0 port 22.
Aug 30 02:24:57 centos8.ittraining.loc sshd[1042204]: Server listening on :: port 22.
Aug 30 02:24:57 centos8.ittraining.loc systemd[1]: Started OpenSSH server daemon.
[q]
Configuration du Client
Saisissez maintenant les commandes suivantes en tant que trainee :
Important - Lors de la génération des clefs, la passphrase doit être vide.
[root@centos8 tmp]# exit logout [trainee@centos8 ~]$ ssh-keygen -t dsa Generating public/private dsa key pair. Enter file in which to save the key (/home/trainee/.ssh/id_dsa): Created directory '/home/trainee/.ssh'. Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /home/trainee/.ssh/id_dsa. Your public key has been saved in /home/trainee/.ssh/id_dsa.pub. The key fingerprint is: SHA256:Qd17X1iROjk5rLOQBbyVg1hNXkUdTeiFtEpn3rgPKc4 trainee@centos8.ittraining.loc The key's randomart image is: +---[DSA 1024]----+ | =o+o.o+OB| | o +o=o oo=| | . +.+oB+ | | o o.&+o.| | S o o.*.o| | o o o.| | . + + | | + . o | | E .| +----[SHA256]-----+ [trainee@centos8 ~]$ ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/home/trainee/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /home/trainee/.ssh/id_rsa. Your public key has been saved in /home/trainee/.ssh/id_rsa.pub. The key fingerprint is: SHA256:BgEjoWQrGCzdJfyZczVZYVoafiHsz9GK5PDWuywG/z0 trainee@centos8.ittraining.loc The key's randomart image is: +---[RSA 3072]----+ |o+o++oo .oo*. | |=+o.oo . .=B . | |=. ..o o+... | |. =.o o.. . | | oS= = o | | .. = = | | + . | | +...E | | . o+... | +----[SHA256]-----+ [trainee@centos8 ~]$ ssh-keygen -t ecdsa Generating public/private ecdsa key pair. Enter file in which to save the key (/home/trainee/.ssh/id_ecdsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /home/trainee/.ssh/id_ecdsa. Your public key has been saved in /home/trainee/.ssh/id_ecdsa.pub. The key fingerprint is: SHA256:mpBDgsCxP2DqRPkmGvXHpNnvm5B+Cl7MSiiZKfDjWLk trainee@centos8.ittraining.loc The key's randomart image is: +---[ECDSA 256]---+ |o.. | |.oo | |.*o . . | |+.++ B | |+o =B + S | |=*oo.* = | |B.* o O . | |.= = = o.. | |. E o oo+. | +----[SHA256]-----+ [trainee@centos8 ~]$ ssh-keygen -t ed25519 Generating public/private ed25519 key pair. Enter file in which to save the key (/home/trainee/.ssh/id_ed25519): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /home/trainee/.ssh/id_ed25519. Your public key has been saved in /home/trainee/.ssh/id_ed25519.pub. The key fingerprint is: SHA256:JfFxG2mg9feAvFGxoxZ8uSsON3sXvtYQYYg5iVxzZS4 trainee@centos8.ittraining.loc The key's randomart image is: +--[ED25519 256]--+ | ..o*=++=. | | o==O+Boo | | o ooE.O. | | o O.= | | S + ...| | . .o | | . + o.o| | + +.oo| | o..o.| +----[SHA256]-----+
Les clés générées seront placées dans le répertoire ~/.ssh/ :
[trainee@centos8 ~]$ ls .ssh id_dsa id_dsa.pub id_ecdsa id_ecdsa.pub id_ed25519 id_ed25519.pub id_rsa id_rsa.pub
Tunnels SSH
Le protocole SSH peut être utilisé pour sécuriser les protocoles tels telnet, pop3 etc.. En effet, on peut créer un tunnel SSH dans lequel passe les communications du protocole non-sécurisé.
La commande pour créer un tunnel ssh prend la forme suivante :
ssh -N -f compte@hôte -Lport-local:localhost:port_distant
Dans votre cas, vous allez créer un tunnel dans votre propre vm entre le port 15023 et le port 23 :
[root@centos8 ~]# ssh -N -f trainee@localhost -L15023:localhost:23 \S Kernel \r on an \m trainee@localhost's password: trainee
Installez maintenant le serveur telnet :
[root@centos8 ~]# dnf install telnet-server
Telnet n'est ni démarré ni activé. Il convient donc de le démarrer et de l'activer :
[root@centos8 ~]# systemctl status telnet.socket
● telnet.socket - Telnet Server Activation Socket
Loaded: loaded (/usr/lib/systemd/system/telnet.socket; disabled; vendor preset: disabled)
Active: inactive (dead)
Docs: man:telnetd(8)
Listen: [::]:23 (Stream)
Accepted: 0; Connected: 0;
[root@centos8 ~]# systemctl start telnet.socket
[root@centos8 ~]# systemctl status telnet.socket
● telnet.socket - Telnet Server Activation Socket
Loaded: loaded (/usr/lib/systemd/system/telnet.socket; disabled; vendor preset: disabled)
Active: active (listening) since Mon 2021-08-30 02:44:01 EDT; 4s ago
Docs: man:telnetd(8)
Listen: [::]:23 (Stream)
Accepted: 0; Connected: 0;
CGroup: /system.slice/telnet.socket
Aug 30 02:44:01 centos8.ittraining.loc systemd[1]: Listening on Telnet Server Activation Socket.
[root@centos8 ~]# systemctl enable telnet.socket
Created symlink /etc/systemd/system/sockets.target.wants/telnet.socket → /usr/lib/systemd/system/telnet.socket.
Connectez-vous ensuite via telnet sur le port 15023, vous constaterez que votre connexion n'aboutit pas :
[root@centos8 ~]# telnet localhost 15023 Trying ::1... Connected to localhost. Escape character is '^]'. Kernel 4.18.0-305.7.1.el8.i2tch.x86_64 on an x86_64 centos8 login: trainee Password: Last login: Mon Aug 30 02:37:00 from ::1 [trainee@centos8 ~]$ whoami trainee [trainee@centos8 ~]$ pwd /home/trainee
Important - Notez bien que votre communication telnet passe par le tunnel SSH.
3.5 - SCP
Présentation
La commande scp est le successeur et la remplaçante de la commande rcp de la famille des commandes remote. Il permet de faire des transferts sécurisés à partir d'une machine distante :
$ scp compte@numero_ip(nom_de_machine):/chemin_distant/fichier_distant /chemin_local/fichier_local
ou vers une machine distante :
$ scp /chemin_local/fichier_local compte@numero_ip(nom_de_machine):/chemin_distant/fichier_distant
Utilisation
Nous allons maintenant utiliser scp pour chercher un fichier sur le «serveur» :
Créez le fichier /home/trainee/scp_test :
[trainee@centos8 ~]$ touch scp-test [trainee@centos8 ~]$ exit logout Connection closed by foreign host. [root@centos8 ~]#
Récupérez le fichier scp_test en utilisant scp :
[root@centos8 ~]# scp trainee@127.0.0.1:/home/trainee/scp-test . The authenticity of host '127.0.0.1 (127.0.0.1)' can't be established. ECDSA key fingerprint is SHA256:Q7T/CP0SLiMbMAIgVzTuEHegYS/spPE5zzQchCHD5Vw. Are you sure you want to continue connecting (yes/no/[fingerprint])? yes Warning: Permanently added '127.0.0.1' (ECDSA) to the list of known hosts. \S Kernel \r on an \m trainee@127.0.0.1's password: trainee scp-test 100% 0 0.0KB/s 00:00 [root@centos8 ~]# ls -l total 32 -rw-------. 1 root root 1358 Jun 16 06:40 anaconda-ks.cfg drwxr-xr-x. 3 root root 21 Jun 16 06:39 home -rw-r--r--. 1 root root 1749 Aug 24 11:20 I2TCH.asc -rw-r--r--. 1 root root 1853 Jun 16 06:54 initial-setup-ks.cfg -rw-r--r--. 1 root root 31 Aug 24 11:22 message.txt -rw-r--r--. 1 root root 561 Aug 24 11:32 message.txt.asc -rw-r--r--. 1 root root 367 Aug 24 11:30 message.txt.gpg -rw-r--r--. 1 root root 329 Aug 24 11:23 message.txt.sig -rw-r--r--. 1 root root 0 Aug 30 03:55 scp-test -rw-r--r--. 1 root root 46 Aug 29 06:22 wget_file.txt
3.6 - Mise en Place des Clefs Asymétriques
Il convient maintenant de se connecter sur le «serveur» en utilisant ssh et vérifiez la présence du répertoire ~/.ssh :
[root@centos8 ~]# ssh -l trainee 127.0.0.1 \S Kernel \r on an \m trainee@127.0.0.1's password: trainee Activate the web console with: systemctl enable --now cockpit.socket [trainee@centos8 ~]$ ls -la | grep .ssh drwx------. 2 trainee trainee 4096 Aug 30 02:26 .ssh
Important - Si le dossier distant .ssh n'existe pas dans le répertoire personnel de l'utilisateur connecté, il faut le créer avec des permissions de 700. Dans votre cas, puisque votre machine joue le rôle de serveur et du client, le dossier /home/trainee/.ssh existe déjà.
Ensuite, il convient de transférer le fichier local .ssh/id_ecdsa.pub du «client» vers le «serveur» en le renommant en authorized_keys :
[trainee@centos8 ~]$ exit logout Connection to 127.0.0.1 closed. [root@centos8 ~]# exit logout [trainee@centos8 ~]$ scp .ssh/id_ecdsa.pub trainee@127.0.0.1:/home/trainee/.ssh/authorized_keys The authenticity of host '127.0.0.1 (127.0.0.1)' can't be established. ECDSA key fingerprint is SHA256:Q7T/CP0SLiMbMAIgVzTuEHegYS/spPE5zzQchCHD5Vw. Are you sure you want to continue connecting (yes/no/[fingerprint])? yes Warning: Permanently added '127.0.0.1' (ECDSA) to the list of known hosts. \S Kernel \r on an \m trainee@127.0.0.1's password: trainee id_ecdsa.pub 100% 192 497.6KB/s 00:00
Connectez-vous via telnet :
[trainee@centos8 ~]$ ssh -l trainee localhost The authenticity of host 'localhost (::1)' can't be established. ECDSA key fingerprint is SHA256:Q7T/CP0SLiMbMAIgVzTuEHegYS/spPE5zzQchCHD5Vw. Are you sure you want to continue connecting (yes/no/[fingerprint])? yes Warning: Permanently added 'localhost' (ECDSA) to the list of known hosts. \S Kernel \r on an \m Activate the web console with: systemctl enable --now cockpit.socket Last login: Mon Aug 30 03:57:14 2021 from 127.0.0.1 [trainee@centos8 ~]$
Important - Lors de la connexion au serveur, l'authentification utilise le couple de clefs asymétrique au format ecdsa et aucun mot de passe n'est requis.
Insérez maintenant les clefs publiques restantes dans le fichier .ssh/authorized_keys :
[trainee@centos8 ~]$ cd .ssh [trainee@centos8 .ssh]$ ls authorized_keys id_dsa id_dsa.pub id_ecdsa id_ecdsa.pub id_ed25519 id_ed25519.pub id_rsa id_rsa.pub known_hosts [trainee@centos8 .ssh]$ cat authorized_keys ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBHDrzSXP+Ecxf/sQ18VwCRNm7rrSrrsaJmuIw/RgTH5puKF5E+Yy15cvAAKBXpJPxUmrOaOyhab84PevV7XSHcI= trainee@centos8.ittraining.loc [trainee@centos8 .ssh]$ cat id_rsa.pub >> authorized_keys [trainee@centos8 .ssh]$ cat id_dsa.pub >> authorized_keys [trainee@centos8 .ssh]$ cat id_ed25519.pub >> authorized_keys [trainee@centos8 .ssh]$ cat authorized_keys ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBHDrzSXP+Ecxf/sQ18VwCRNm7rrSrrsaJmuIw/RgTH5puKF5E+Yy15cvAAKBXpJPxUmrOaOyhab84PevV7XSHcI= trainee@centos8.ittraining.loc ssh-rsa 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 trainee@centos8.ittraining.loc ssh-dss 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 trainee@centos8.ittraining.loc ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIOfFQULLU8IZyKiSU63D2Zz6yGLqyHcBHnCRdSR9JSmc trainee@centos8.ittraining.loc
LAB #4 - La Configuration de firewalld
4.1 - Présentation
firewalld utilise nftables en tant que backend. firewalld utilise des zones - des jeux de règles pré-définis dans lesquels sont placés les interfaces :
- trusted - un réseau fiable. Dans ce cas tous les ports sont autorisés,
- work, home, internal - un réseau partiellement fiable. Dans ce cas quelques ports sont autorisés,
- dmz, public, external - un réseau non fiable. Dans ce cas peu de ports sont autorisés,
- block, drop - tout est interdit. La zone drop n'envoie pas de messages d'erreurs.
Important - Une interface ne peut être que dans une zone à la fois tandis que plusieurs interfaces peuvent être dans la même zone.
Le service firewalld doit toujours être lancé :
[trainee@centos8 .ssh]$ exit
logout
Connection to localhost closed.
[trainee@centos8 ~]$ su -
Password: fenestros
[root@centos8 ~]# systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
Active: inactive (dead) since Thu 2021-07-22 06:14:27 EDT; 1 months 8 days ago
Docs: man:firewalld(1)
Main PID: 960 (code=exited, status=0/SUCCESS)
Warning: Journal has been rotated since unit was started. Log output is incomplete or unavailable.
[root@centos8 ~]# systemctl start firewalld
[root@centos8 ~]# systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
Active: active (running) since Mon 2021-08-30 04:13:51 EDT; 10s ago
Docs: man:firewalld(1)
Main PID: 1045271 (firewalld)
Tasks: 2 (limit: 23535)
Memory: 28.7M
CGroup: /system.slice/firewalld.service
└─1045271 /usr/libexec/platform-python -s /usr/sbin/firewalld --nofork --nopid
Aug 30 04:13:49 centos8.ittraining.loc systemd[1]: Starting firewalld - dynamic firewall daemon...
Aug 30 04:13:51 centos8.ittraining.loc systemd[1]: Started firewalld - dynamic firewall daemon.
Aug 30 04:13:51 centos8.ittraining.loc firewalld[1045271]: WARNING: AllowZoneDrifting is enabled. This is considered an insecure configuration optio>
[q]
4.2 - La Configuration de Base de firewalld
La configuration par défaut de firewalld se trouve dans /usr/lib/firewalld :
[root@centos8 ~]# ls -l /usr/lib/firewalld/ total 16 drwxr-xr-x. 2 root root 224 Jul 19 10:39 helpers drwxr-xr-x. 2 root root 4096 Jul 19 10:39 icmptypes drwxr-xr-x. 2 root root 20 Jul 19 10:39 ipsets drwxr-xr-x. 2 root root 8192 Jul 19 10:39 services drwxr-xr-x. 2 root root 203 Jul 19 10:39 zones [root@centos8 ~]# ls -l /usr/lib/firewalld/helpers/ total 52 -rw-r--r--. 1 root root 125 Jun 29 13:27 amanda.xml -rw-r--r--. 1 root root 119 Jun 29 13:27 ftp.xml -rw-r--r--. 1 root root 85 Jun 29 13:27 h323.xml -rw-r--r--. 1 root root 134 Jun 29 13:27 irc.xml -rw-r--r--. 1 root root 141 Jun 29 13:27 netbios-ns.xml -rw-r--r--. 1 root root 136 Jun 29 13:27 pptp.xml -rw-r--r--. 1 root root 90 Jun 29 13:27 proto-gre.xml -rw-r--r--. 1 root root 122 Jun 29 13:27 Q.931.xml -rw-r--r--. 1 root root 122 Jun 29 13:27 RAS.xml -rw-r--r--. 1 root root 122 Jun 29 13:27 sane.xml -rw-r--r--. 1 root root 158 Jun 29 13:27 sip.xml -rw-r--r--. 1 root root 135 Jun 29 13:27 snmp.xml -rw-r--r--. 1 root root 120 Jun 29 13:27 tftp.xml [root@centos8 ~]# ls -l /usr/lib/firewalld/icmptypes/ total 180 -rw-r--r--. 1 root root 385 Jun 29 13:27 address-unreachable.xml -rw-r--r--. 1 root root 258 Jun 29 13:27 bad-header.xml -rw-r--r--. 1 root root 294 Jun 29 13:27 beyond-scope.xml -rw-r--r--. 1 root root 279 Jun 29 13:27 communication-prohibited.xml -rw-r--r--. 1 root root 222 Jun 29 13:27 destination-unreachable.xml -rw-r--r--. 1 root root 173 Jun 29 13:27 echo-reply.xml -rw-r--r--. 1 root root 210 Jun 29 13:27 echo-request.xml -rw-r--r--. 1 root root 261 Jun 29 13:27 failed-policy.xml -rw-r--r--. 1 root root 280 Jun 29 13:27 fragmentation-needed.xml -rw-r--r--. 1 root root 266 Jun 29 13:27 host-precedence-violation.xml -rw-r--r--. 1 root root 257 Jun 29 13:27 host-prohibited.xml -rw-r--r--. 1 root root 242 Jun 29 13:27 host-redirect.xml -rw-r--r--. 1 root root 239 Jun 29 13:27 host-unknown.xml -rw-r--r--. 1 root root 247 Jun 29 13:27 host-unreachable.xml -rw-r--r--. 1 root root 229 Jun 29 13:27 ip-header-bad.xml -rw-r--r--. 1 root root 355 Jun 29 13:27 neighbour-advertisement.xml -rw-r--r--. 1 root root 457 Jun 29 13:27 neighbour-solicitation.xml -rw-r--r--. 1 root root 250 Jun 29 13:27 network-prohibited.xml -rw-r--r--. 1 root root 248 Jun 29 13:27 network-redirect.xml -rw-r--r--. 1 root root 239 Jun 29 13:27 network-unknown.xml -rw-r--r--. 1 root root 247 Jun 29 13:27 network-unreachable.xml -rw-r--r--. 1 root root 239 Jun 29 13:27 no-route.xml -rw-r--r--. 1 root root 328 Jun 29 13:27 packet-too-big.xml -rw-r--r--. 1 root root 225 Jun 29 13:27 parameter-problem.xml -rw-r--r--. 1 root root 233 Jun 29 13:27 port-unreachable.xml -rw-r--r--. 1 root root 256 Jun 29 13:27 precedence-cutoff.xml -rw-r--r--. 1 root root 249 Jun 29 13:27 protocol-unreachable.xml -rw-r--r--. 1 root root 185 Jun 29 13:27 redirect.xml -rw-r--r--. 1 root root 244 Jun 29 13:27 reject-route.xml -rw-r--r--. 1 root root 241 Jun 29 13:27 required-option-missing.xml -rw-r--r--. 1 root root 227 Jun 29 13:27 router-advertisement.xml -rw-r--r--. 1 root root 223 Jun 29 13:27 router-solicitation.xml -rw-r--r--. 1 root root 248 Jun 29 13:27 source-quench.xml -rw-r--r--. 1 root root 236 Jun 29 13:27 source-route-failed.xml -rw-r--r--. 1 root root 253 Jun 29 13:27 time-exceeded.xml -rw-r--r--. 1 root root 233 Jun 29 13:27 timestamp-reply.xml -rw-r--r--. 1 root root 228 Jun 29 13:27 timestamp-request.xml -rw-r--r--. 1 root root 258 Jun 29 13:27 tos-host-redirect.xml -rw-r--r--. 1 root root 257 Jun 29 13:27 tos-host-unreachable.xml -rw-r--r--. 1 root root 272 Jun 29 13:27 tos-network-redirect.xml -rw-r--r--. 1 root root 269 Jun 29 13:27 tos-network-unreachable.xml -rw-r--r--. 1 root root 293 Jun 29 13:27 ttl-zero-during-reassembly.xml -rw-r--r--. 1 root root 256 Jun 29 13:27 ttl-zero-during-transit.xml -rw-r--r--. 1 root root 259 Jun 29 13:27 unknown-header-type.xml -rw-r--r--. 1 root root 249 Jun 29 13:27 unknown-option.xml [root@centos8 ~]# ls -l /usr/lib/firewalld/ipsets total 4 -rw-r--r--. 1 root root 29 Jun 29 13:27 README [root@centos8 ~]# ls -l /usr/lib/firewalld/services/ total 688 -rw-r--r--. 1 root root 399 Jun 29 13:27 amanda-client.xml -rw-r--r--. 1 root root 427 Jun 29 13:27 amanda-k5-client.xml -rw-r--r--. 1 root root 283 Jun 29 13:27 amqps.xml -rw-r--r--. 1 root root 273 Jun 29 13:27 amqp.xml -rw-r--r--. 1 root root 285 Jun 29 13:27 apcupsd.xml -rw-r--r--. 1 root root 301 Jun 29 13:27 audit.xml -rw-r--r--. 1 root root 320 Jun 29 13:27 bacula-client.xml -rw-r--r--. 1 root root 346 Jun 29 13:27 bacula.xml -rw-r--r--. 1 root root 429 Jun 29 13:27 bb.xml -rw-r--r--. 1 root root 339 Jun 29 13:27 bgp.xml -rw-r--r--. 1 root root 275 Jun 29 13:27 bitcoin-rpc.xml -rw-r--r--. 1 root root 307 Jun 29 13:27 bitcoin-testnet-rpc.xml -rw-r--r--. 1 root root 281 Jun 29 13:27 bitcoin-testnet.xml -rw-r--r--. 1 root root 244 Jun 29 13:27 bitcoin.xml -rw-r--r--. 1 root root 410 Jun 29 13:27 bittorrent-lsd.xml -rw-r--r--. 1 root root 294 Jun 29 13:27 ceph-mon.xml -rw-r--r--. 1 root root 329 Jun 29 13:27 ceph.xml -rw-r--r--. 1 root root 168 Jun 29 13:27 cfengine.xml -rw-r--r--. 1 root root 211 Jun 29 13:27 cockpit.xml -rw-r--r--. 1 root root 296 Jun 29 13:27 collectd.xml -rw-r--r--. 1 root root 260 Jun 29 13:27 condor-collector.xml -rw-r--r--. 1 root root 296 Jun 29 13:27 ctdb.xml -rw-r--r--. 1 root root 305 Jun 29 13:27 dhcpv6-client.xml -rw-r--r--. 1 root root 234 Jun 29 13:27 dhcpv6.xml -rw-r--r--. 1 root root 227 Jun 29 13:27 dhcp.xml -rw-r--r--. 1 root root 205 Jun 29 13:27 distcc.xml -rw-r--r--. 1 root root 318 Jun 29 13:27 dns-over-tls.xml -rw-r--r--. 1 root root 346 Jun 29 13:27 dns.xml -rw-r--r--. 1 root root 374 Jun 29 13:27 docker-registry.xml -rw-r--r--. 1 root root 391 Jun 29 13:27 docker-swarm.xml -rw-r--r--. 1 root root 228 Jun 29 13:27 dropbox-lansync.xml -rw-r--r--. 1 root root 338 Jun 29 13:27 elasticsearch.xml -rw-r--r--. 1 root root 304 Jun 29 13:27 etcd-client.xml -rw-r--r--. 1 root root 304 Jun 29 13:27 etcd-server.xml -rw-r--r--. 1 root root 224 Jun 29 13:27 finger.xml -rw-r--r--. 1 root root 709 Jun 29 13:27 freeipa-4.xml -rw-r--r--. 1 root root 489 Jun 29 13:27 freeipa-ldaps.xml -rw-r--r--. 1 root root 488 Jun 29 13:27 freeipa-ldap.xml -rw-r--r--. 1 root root 242 Jun 29 13:27 freeipa-replication.xml -rw-r--r--. 1 root root 657 Jun 29 13:27 freeipa-trust.xml -rw-r--r--. 1 root root 361 Jun 29 13:27 ftp.xml -rw-r--r--. 1 root root 292 Jun 29 13:27 galera.xml -rw-r--r--. 1 root root 184 Jun 29 13:27 ganglia-client.xml -rw-r--r--. 1 root root 176 Jun 29 13:27 ganglia-master.xml -rw-r--r--. 1 root root 212 Jun 29 13:27 git.xml -rw-r--r--. 1 root root 218 Jun 29 13:27 grafana.xml -rw-r--r--. 1 root root 119 Jun 29 13:27 gre.xml -rw-r--r--. 1 root root 608 Jun 29 13:27 high-availability.xml -rw-r--r--. 1 root root 448 Jun 29 13:27 https.xml -rw-r--r--. 1 root root 353 Jun 29 13:27 http.xml -rw-r--r--. 1 root root 372 Jun 29 13:27 imaps.xml -rw-r--r--. 1 root root 327 Jun 29 13:27 imap.xml -rw-r--r--. 1 root root 454 Jun 29 13:27 ipp-client.xml -rw-r--r--. 1 root root 427 Jun 29 13:27 ipp.xml -rw-r--r--. 1 root root 894 Jun 29 13:27 ipsec.xml -rw-r--r--. 1 root root 255 Jun 29 13:27 ircs.xml -rw-r--r--. 1 root root 247 Jun 29 13:27 irc.xml -rw-r--r--. 1 root root 264 Jun 29 13:27 iscsi-target.xml -rw-r--r--. 1 root root 358 Jun 29 13:27 isns.xml -rw-r--r--. 1 root root 213 Jun 29 13:27 jenkins.xml -rw-r--r--. 1 root root 182 Jun 29 13:27 kadmin.xml -rw-r--r--. 1 root root 272 Jun 29 13:27 kdeconnect.xml -rw-r--r--. 1 root root 233 Jun 29 13:27 kerberos.xml -rw-r--r--. 1 root root 384 Jun 29 13:27 kibana.xml -rw-r--r--. 1 root root 249 Jun 29 13:27 klogin.xml -rw-r--r--. 1 root root 221 Jun 29 13:27 kpasswd.xml -rw-r--r--. 1 root root 182 Jun 29 13:27 kprop.xml -rw-r--r--. 1 root root 242 Jun 29 13:27 kshell.xml -rw-r--r--. 1 root root 308 Jun 29 13:27 kube-apiserver.xml -rw-r--r--. 1 root root 232 Jun 29 13:27 ldaps.xml -rw-r--r--. 1 root root 199 Jun 29 13:27 ldap.xml -rw-r--r--. 1 root root 385 Jun 29 13:27 libvirt-tls.xml -rw-r--r--. 1 root root 389 Jun 29 13:27 libvirt.xml -rw-r--r--. 1 root root 269 Jun 29 13:27 lightning-network.xml -rw-r--r--. 1 root root 324 Jun 29 13:27 llmnr.xml -rw-r--r--. 1 root root 349 Jun 29 13:27 managesieve.xml -rw-r--r--. 1 root root 432 Jun 29 13:27 matrix.xml -rw-r--r--. 1 root root 424 Jun 29 13:27 mdns.xml -rw-r--r--. 1 root root 245 Jun 29 13:27 memcache.xml -rw-r--r--. 1 root root 343 Jun 29 13:27 minidlna.xml -rw-r--r--. 1 root root 237 Jun 29 13:27 mongodb.xml -rw-r--r--. 1 root root 473 Jun 29 13:27 mosh.xml -rw-r--r--. 1 root root 211 Jun 29 13:27 mountd.xml -rw-r--r--. 1 root root 296 Jun 29 13:27 mqtt-tls.xml -rw-r--r--. 1 root root 287 Jun 29 13:27 mqtt.xml -rw-r--r--. 1 root root 170 Jun 29 13:27 mssql.xml -rw-r--r--. 1 root root 190 Jun 29 13:27 ms-wbt.xml -rw-r--r--. 1 root root 242 Jun 29 13:27 murmur.xml -rw-r--r--. 1 root root 171 Jun 29 13:27 mysql.xml -rw-r--r--. 1 root root 342 Jun 29 13:27 nfs3.xml -rw-r--r--. 1 root root 324 Jun 29 13:27 nfs.xml -rw-r--r--. 1 root root 293 Jun 29 13:27 nmea-0183.xml -rw-r--r--. 1 root root 247 Jun 29 13:27 nrpe.xml -rw-r--r--. 1 root root 389 Jun 29 13:27 ntp.xml -rw-r--r--. 1 root root 368 Jun 29 13:27 nut.xml -rw-r--r--. 1 root root 335 Jun 29 13:27 openvpn.xml -rw-r--r--. 1 root root 260 Jun 29 13:27 ovirt-imageio.xml -rw-r--r--. 1 root root 343 Jun 29 13:27 ovirt-storageconsole.xml -rw-r--r--. 1 root root 235 Jun 29 13:27 ovirt-vmconsole.xml -rw-r--r--. 1 root root 1024 Jun 29 13:27 plex.xml -rw-r--r--. 1 root root 433 Jun 29 13:27 pmcd.xml -rw-r--r--. 1 root root 474 Jun 29 13:27 pmproxy.xml -rw-r--r--. 1 root root 544 Jun 29 13:27 pmwebapis.xml -rw-r--r--. 1 root root 460 Jun 29 13:27 pmwebapi.xml -rw-r--r--. 1 root root 357 Jun 29 13:27 pop3s.xml -rw-r--r--. 1 root root 348 Jun 29 13:27 pop3.xml -rw-r--r--. 1 root root 181 Jun 29 13:27 postgresql.xml -rw-r--r--. 1 root root 509 Jun 29 13:27 privoxy.xml -rw-r--r--. 1 root root 213 Jun 29 13:27 prometheus.xml -rw-r--r--. 1 root root 261 Jun 29 13:27 proxy-dhcp.xml -rw-r--r--. 1 root root 424 Jun 29 13:27 ptp.xml -rw-r--r--. 1 root root 414 Jun 29 13:27 pulseaudio.xml -rw-r--r--. 1 root root 297 Jun 29 13:27 puppetmaster.xml -rw-r--r--. 1 root root 273 Jun 29 13:27 quassel.xml -rw-r--r--. 1 root root 520 Jun 29 13:27 radius.xml -rw-r--r--. 1 root root 183 Jun 29 13:27 rdp.xml -rw-r--r--. 1 root root 212 Jun 29 13:27 redis-sentinel.xml -rw-r--r--. 1 root root 268 Jun 29 13:27 redis.xml -rw-r--r--. 1 root root 737 Jun 29 13:27 RH-Satellite-6.xml -rw-r--r--. 1 root root 214 Jun 29 13:27 rpc-bind.xml -rw-r--r--. 1 root root 213 Jun 29 13:27 rquotad.xml -rw-r--r--. 1 root root 310 Jun 29 13:27 rsh.xml -rw-r--r--. 1 root root 311 Jun 29 13:27 rsyncd.xml -rw-r--r--. 1 root root 350 Jun 29 13:27 rtsp.xml -rw-r--r--. 1 root root 329 Jun 29 13:27 salt-master.xml -rw-r--r--. 1 root root 371 Jun 29 13:27 samba-client.xml -rw-r--r--. 1 root root 1298 Jun 29 13:27 samba-dc.xml -rw-r--r--. 1 root root 448 Jun 29 13:27 samba.xml -rw-r--r--. 1 root root 324 Jun 29 13:27 sane.xml -rw-r--r--. 1 root root 283 Jun 29 13:27 sips.xml -rw-r--r--. 1 root root 496 Jun 29 13:27 sip.xml -rw-r--r--. 1 root root 299 Jun 29 13:27 slp.xml -rw-r--r--. 1 root root 231 Jun 29 13:27 smtp-submission.xml -rw-r--r--. 1 root root 577 Jun 29 13:27 smtps.xml -rw-r--r--. 1 root root 550 Jun 29 13:27 smtp.xml -rw-r--r--. 1 root root 308 Jun 29 13:27 snmptrap.xml -rw-r--r--. 1 root root 342 Jun 29 13:27 snmp.xml -rw-r--r--. 1 root root 405 Jun 29 13:27 spideroak-lansync.xml -rw-r--r--. 1 root root 275 Jun 29 13:27 spotify-sync.xml -rw-r--r--. 1 root root 173 Jun 29 13:27 squid.xml -rw-r--r--. 1 root root 421 Jun 29 13:27 ssdp.xml -rw-r--r--. 1 root root 463 Jun 29 13:27 ssh.xml -rw-r--r--. 1 root root 631 Jun 29 13:27 steam-streaming.xml -rw-r--r--. 1 root root 287 Jun 29 13:27 svdrp.xml -rw-r--r--. 1 root root 231 Jun 29 13:27 svn.xml -rw-r--r--. 1 root root 297 Jun 29 13:27 syncthing-gui.xml -rw-r--r--. 1 root root 311 Jun 29 13:27 syncthing.xml -rw-r--r--. 1 root root 496 Jun 29 13:27 synergy.xml -rw-r--r--. 1 root root 444 Jun 29 13:27 syslog-tls.xml -rw-r--r--. 1 root root 329 Jun 29 13:27 syslog.xml -rw-r--r--. 1 root root 393 Jun 29 13:27 telnet.xml -rw-r--r--. 1 root root 252 Jun 29 13:27 tentacle.xml -rw-r--r--. 1 root root 288 Jun 29 13:27 tftp-client.xml -rw-r--r--. 1 root root 424 Jun 29 13:27 tftp.xml -rw-r--r--. 1 root root 221 Jun 29 13:27 tile38.xml -rw-r--r--. 1 root root 336 Jun 29 13:27 tinc.xml -rw-r--r--. 1 root root 771 Jun 29 13:27 tor-socks.xml -rw-r--r--. 1 root root 244 Jun 29 13:27 transmission-client.xml -rw-r--r--. 1 root root 264 Jun 29 13:27 upnp-client.xml -rw-r--r--. 1 root root 593 Jun 29 13:27 vdsm.xml -rw-r--r--. 1 root root 475 Jun 29 13:27 vnc-server.xml -rw-r--r--. 1 root root 310 Jun 29 13:27 wbem-https.xml -rw-r--r--. 1 root root 352 Jun 29 13:27 wbem-http.xml -rw-r--r--. 1 root root 323 Jun 29 13:27 wsmans.xml -rw-r--r--. 1 root root 316 Jun 29 13:27 wsman.xml -rw-r--r--. 1 root root 329 Jun 29 13:27 xdmcp.xml -rw-r--r--. 1 root root 509 Jun 29 13:27 xmpp-bosh.xml -rw-r--r--. 1 root root 488 Jun 29 13:27 xmpp-client.xml -rw-r--r--. 1 root root 264 Jun 29 13:27 xmpp-local.xml -rw-r--r--. 1 root root 545 Jun 29 13:27 xmpp-server.xml -rw-r--r--. 1 root root 314 Jun 29 13:27 zabbix-agent.xml -rw-r--r--. 1 root root 315 Jun 29 13:27 zabbix-server.xml [root@centos8 ~]# ls -l /usr/lib/firewalld/zones/ total 44 -rw-r--r--. 1 root root 299 Jun 29 13:27 block.xml -rw-r--r--. 1 root root 293 Jun 29 13:27 dmz.xml -rw-r--r--. 1 root root 291 Jun 29 13:27 drop.xml -rw-r--r--. 1 root root 304 Jun 29 13:27 external.xml -rw-r--r--. 1 root root 397 Jun 29 13:27 home.xml -rw-r--r--. 1 root root 412 Jun 29 13:27 internal.xml -rw-r--r--. 1 root root 809 Nov 26 2019 libvirt.xml -rw-r--r--. 1 root root 729 Feb 1 2021 nm-shared.xml -rw-r--r--. 1 root root 343 Jun 29 13:27 public.xml -rw-r--r--. 1 root root 162 Jun 29 13:27 trusted.xml -rw-r--r--. 1 root root 339 Jun 29 13:27 work.xml
Ces fichiers sont au format xml, par exemple :
[root@centos8 ~]# cat /usr/lib/firewalld/zones/home.xml <?xml version="1.0" encoding="utf-8"?> <zone> <short>Home</short> <description>For use in home areas. You mostly trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description> <service name="ssh"/> <service name="mdns"/> <service name="samba-client"/> <service name="dhcpv6-client"/> <service name="cockpit"/> </zone>
La configuration de firewalld ainsi que les définitions et règles personnalisées se trouvent dans /etc/firewalld :
[root@centos8 ~]# ls -l /etc/firewalld/ total 8 -rw-r--r--. 1 root root 2747 Jun 29 13:27 firewalld.conf drwxr-x---. 2 root root 6 Jun 29 13:27 helpers drwxr-x---. 2 root root 6 Jun 29 13:27 icmptypes drwxr-x---. 2 root root 6 Jun 29 13:27 ipsets -rw-r--r--. 1 root root 283 Jun 29 13:27 lockdown-whitelist.xml drwxr-x---. 2 root root 6 Jun 29 13:27 services drwxr-x---. 2 root root 46 Jun 29 13:27 zones
Le fichier de configuration de firewalld est /etc/firewalld/firewalld.conf :
[root@centos8 ~]# cat /etc/firewalld/firewalld.conf # firewalld config file # default zone # The default zone used if an empty zone string is used. # Default: public DefaultZone=public # Clean up on exit # If set to no or false the firewall configuration will not get cleaned up # on exit or stop of firewalld # Default: yes CleanupOnExit=yes # Lockdown # If set to enabled, firewall changes with the D-Bus interface will be limited # to applications that are listed in the lockdown whitelist. # The lockdown whitelist file is lockdown-whitelist.xml # Default: no Lockdown=no # IPv6_rpfilter # Performs a reverse path filter test on a packet for IPv6. If a reply to the # packet would be sent via the same interface that the packet arrived on, the # packet will match and be accepted, otherwise dropped. # The rp_filter for IPv4 is controlled using sysctl. # Default: yes IPv6_rpfilter=yes # IndividualCalls # Do not use combined -restore calls, but individual calls. This increases the # time that is needed to apply changes and to start the daemon, but is good for # debugging. # Default: no IndividualCalls=no # LogDenied # Add logging rules right before reject and drop rules in the INPUT, FORWARD # and OUTPUT chains for the default rules and also final reject and drop rules # in zones. Possible values are: all, unicast, broadcast, multicast and off. # Default: off LogDenied=off # FirewallBackend # Selects the firewall backend implementation. # Choices are: # - nftables (default) # - iptables (iptables, ip6tables, ebtables and ipset) FirewallBackend=nftables # FlushAllOnReload # Flush all runtime rules on a reload. In previous releases some runtime # configuration was retained during a reload, namely; interface to zone # assignment, and direct rules. This was confusing to users. To get the old # behavior set this to "no". # Default: yes FlushAllOnReload=yes # RFC3964_IPv4 # As per RFC 3964, filter IPv6 traffic with 6to4 destination addresses that # correspond to IPv4 addresses that should not be routed over the public # internet. # Defaults to "yes". RFC3964_IPv4=yes # AllowZoneDrifting # Older versions of firewalld had undocumented behavior known as "zone # drifting". This allowed packets to ingress multiple zones - this is a # violation of zone based firewalls. However, some users rely on this behavior # to have a "catch-all" zone, e.g. the default zone. You can enable this if you # desire such behavior. It's disabled by default for security reasons. # Note: If "yes" packets will only drift from source based zones to interface # based zones (including the default zone). Packets never drift from interface # based zones to other interfaces based zones (including the default zone). # Possible values; "yes", "no". Defaults to "yes". AllowZoneDrifting=yes
4.3 - L'Utilisation de Base de Firewalld
firewalld s'appuie sur netfilter. Pour cette raison, l'utilisation de firewall-cmd est incompatible avec l'utilisation des commandes iptables et system-config-firewall.
Important - firewall-cmd est le front-end de firewalld en ligne de commande. Il existe aussi la commande firewall-config qui lance un outi de configuration graphique.
Pour obtenir la liste de toutes les zones prédéfinies, utilisez la commande suivante :
[root@centos8 ~]# firewall-cmd --get-zones block dmz drop external home internal libvirt nm-shared public trusted work
Pour obtenir la liste de toutes les services prédéfinis, utilisez la commande suivante :
[root@centos8 ~]# firewall-cmd --get-services RH-Satellite-6 amanda-client amanda-k5-client amqp amqps apcupsd audit bacula bacula-client bb bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc bittorrent-lsd ceph ceph-mon cfengine cockpit collectd condor-collector ctdb dhcp dhcpv6 dhcpv6-client distcc dns dns-over-tls docker-registry docker-swarm dropbox-lansync elasticsearch etcd-client etcd-server finger freeipa-4 freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp galera ganglia-client ganglia-master git grafana gre high-availability http https imap imaps ipp ipp-client ipsec irc ircs iscsi-target isns jenkins kadmin kdeconnect kerberos kibana klogin kpasswd kprop kshell kube-apiserver ldap ldaps libvirt libvirt-tls lightning-network llmnr managesieve matrix mdns memcache minidlna mongodb mosh mountd mqtt mqtt-tls ms-wbt mssql murmur mysql nfs nfs3 nmea-0183 nrpe ntp nut openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole plex pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy prometheus proxy-dhcp ptp pulseaudio puppetmaster quassel radius rdp redis redis-sentinel rpc-bind rquotad rsh rsyncd rtsp salt-master samba samba-client samba-dc sane sip sips slp smtp smtp-submission smtps snmp snmptrap spideroak-lansync spotify-sync squid ssdp ssh steam-streaming svdrp svn syncthing syncthing-gui synergy syslog syslog-tls telnet tentacle tftp tftp-client tile38 tinc tor-socks transmission-client upnp-client vdsm vnc-server wbem-http wbem-https wsman wsmans xdmcp xmpp-bosh xmpp-client xmpp-local xmpp-server zabbix-agent zabbix-server
Pour obtenir la liste de toutes les types ICMP prédéfinis, utilisez la commande suivante :
[root@centos8 ~]# firewall-cmd --get-icmptypes address-unreachable bad-header beyond-scope communication-prohibited destination-unreachable echo-reply echo-request failed-policy fragmentation-needed host-precedence-violation host-prohibited host-redirect host-unknown host-unreachable ip-header-bad neighbour-advertisement neighbour-solicitation network-prohibited network-redirect network-unknown network-unreachable no-route packet-too-big parameter-problem port-unreachable precedence-cutoff protocol-unreachable redirect reject-route required-option-missing router-advertisement router-solicitation source-quench source-route-failed time-exceeded timestamp-reply timestamp-request tos-host-redirect tos-host-unreachable tos-network-redirect tos-network-unreachable ttl-zero-during-reassembly ttl-zero-during-transit unknown-header-type unknown-option
Pour obtenir la liste des zones de la configuration courante, utilisez la commande suivante :
[root@centos8 ~]# firewall-cmd --get-active-zones public interfaces: ens18
Pour obtenir la liste des zones de la configuration courante pour une interface spécifique, utilisez la commande suivante :
[root@centos8 ~]# firewall-cmd --get-zone-of-interface=ens18 public
Pour obtenir la liste des services autorisés pour la zone public, utilisez la commande suivante :
[root@centos8 ~]# firewall-cmd --zone=public --list-services cockpit dhcpv6-client ssh
Pour obtenir toute la configuration pour la zone public, utilisez la commande suivante :
[root@centos8 ~]# firewall-cmd --zone=public --list-all public (active) target: default icmp-block-inversion: no interfaces: ens18 sources: services: cockpit dhcpv6-client ssh ports: 5901/tcp protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:
Pour obtenir la liste complète de toutes les zones et leurs configurations, utilisez la commande suivante :
[root@centos8 ~]# firewall-cmd --list-all-zones
block
target: %%REJECT%%
icmp-block-inversion: no
interfaces:
sources:
services:
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
dmz
target: default
icmp-block-inversion: no
interfaces:
sources:
services: ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
drop
target: DROP
icmp-block-inversion: no
interfaces:
sources:
services:
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
external
target: default
icmp-block-inversion: no
interfaces:
sources:
services: ssh
ports:
protocols:
masquerade: yes
forward-ports:
source-ports:
icmp-blocks:
rich rules:
home
target: default
icmp-block-inversion: no
interfaces:
sources:
services: cockpit dhcpv6-client mdns samba-client ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
internal
target: default
icmp-block-inversion: no
interfaces:
sources:
services: cockpit dhcpv6-client mdns samba-client ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
libvirt
target: ACCEPT
icmp-block-inversion: no
interfaces:
sources:
services: dhcp dhcpv6 dns ssh tftp
ports:
protocols: icmp ipv6-icmp
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
rule priority="32767" reject
nm-shared
target: ACCEPT
icmp-block-inversion: no
interfaces:
sources:
services: dhcp dns ssh
ports:
protocols: icmp ipv6-icmp
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
rule priority="32767" reject
public (active)
target: default
icmp-block-inversion: no
interfaces: ens18
sources:
services: cockpit dhcpv6-client ssh
ports: 5901/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
trusted
target: ACCEPT
icmp-block-inversion: no
interfaces:
sources:
services:
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
work
target: default
icmp-block-inversion: no
interfaces:
sources:
services: cockpit dhcpv6-client ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
Pour changer la zone par défaut de public à work, utilisez la commande suivante :
[root@centos8 ~]# firewall-cmd --set-default-zone=work success [root@centos8 ~]# firewall-cmd --get-active-zones work interfaces: ens18
Pour ajouter l'interface ip_fixe à la zone work, utilisez la commande suivante :
[root@centos8 ~]# firewall-cmd --zone=work --add-interface=ip_fixe success [root@centos8 ~]# firewall-cmd --get-active-zones work interfaces: ens18 ip_fixe
Pour supprimer l'interface ip_fixe à la zone work, utilisez la commande suivante :
[root@centos8 ~]# firewall-cmd --zone=work --remove-interface=ip_fixe success [root@centos8 ~]# firewall-cmd --get-active-zones work interfaces: ens18
Pour ajouter le service http à la zone work, utilisez la commande suivante :
[root@centos8 ~]# firewall-cmd --zone=work --add-service=http success [root@centos8 ~]# firewall-cmd --zone=work --list-services cockpit dhcpv6-client http ssh
Pour supprimer le service http de la zone work, utilisez la commande suivante :
[root@centos8 ~]# firewall-cmd --zone=work --remove-service=http success [root@centos8 ~]# firewall-cmd --zone=work --list-services cockpit dhcpv6-client ssh
Pour ajouter un nouveau bloc ICMP, utilisez la commande suivante :
[root@centos8 ~]# firewall-cmd --zone=work --add-icmp-block=echo-reply success [root@centos8 ~]# firewall-cmd --zone=work --list-icmp-blocks echo-reply
Pour supprimer un bloc ICMP, utilisez la commande suivante :
[root@centos8 ~]# firewall-cmd --zone=work --remove-icmp-block=echo-reply success [root@centos8 ~]# firewall-cmd --zone=work --list-icmp-blocks [root@centos8 ~]#
Pour ajouter le port 591/tcp à la zone work, utilisez la commande suivante :
[root@centos8 ~]# firewall-cmd --zone=work --add-port=591/tcp success [root@centos8 ~]# firewall-cmd --zone=work --list-ports 591/tcp
Pour supprimer le port 591/tcp à la zone work, utilisez la commande suivante :
root@centos8 ~]# firewall-cmd --zone=work --remove-port=591/tcp success [root@centos8 ~]# firewall-cmd --zone=work --list-ports [root@centos8 ~]#
Pour créer un nouveau service, il convient de :
- copier un fichier existant se trouvant dans le répertoire /usr/lib/firewalld/services vers /etc/firewalld/services,
- modifier le fichier,
- recharger la configuration de firewalld,
- vérifier que firewalld voit le nouveau service.
Par exemple :
[root@centos8 ~]# cp /usr/lib/firewalld/services/http.xml /etc/firewalld/services/filemaker.xml [root@centos8 ~]# vi /etc/firewalld/services/filemaker.xml [root@centos8 ~]# cat /etc/firewalld/services/filemaker.xml <?xml version="1.0" encoding="utf-8"?> <service> <short>FileMakerPro</short> <description>Fichier de service firewalld pour FileMaker Pro</description> <port protocol="tcp" port="591"/> </service> [root@centos8 ~]# firewall-cmd --reload success [root@centos8 ~]# firewall-cmd --get-services | grep filemaker RH-Satellite-6 amanda-client amanda-k5-client amqp amqps apcupsd audit bacula bacula-client bb bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc bittorrent-lsd ceph ceph-mon cfengine cockpit collectd condor-collector ctdb dhcp dhcpv6 dhcpv6-client distcc dns dns-over-tls docker-registry docker-swarm dropbox-lansync elasticsearch etcd-client etcd-server filemaker finger freeipa-4 freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp galera ganglia-client ganglia-master git grafana gre high-availability http https imap imaps ipp ipp-client ipsec irc ircs iscsi-target isns jenkins kadmin kdeconnect kerberos kibana klogin kpasswd kprop kshell kube-apiserver ldap ldaps libvirt libvirt-tls lightning-network llmnr managesieve matrix mdns memcache minidlna mongodb mosh mountd mqtt mqtt-tls ms-wbt mssql murmur mysql nfs nfs3 nmea-0183 nrpe ntp nut openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole plex pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy prometheus proxy-dhcp ptp pulseaudio puppetmaster quassel radius rdp redis redis-sentinel rpc-bind rquotad rsh rsyncd rtsp salt-master samba samba-client samba-dc sane sip sips slp smtp smtp-submission smtps snmp snmptrap spideroak-lansync spotify-sync squid ssdp ssh steam-streaming svdrp svn syncthing syncthing-gui synergy syslog syslog-tls telnet tentacle tftp tftp-client tile38 tinc tor-socks transmission-client upnp-client vdsm vnc-server wbem-http wbem-https wsman wsmans xdmcp xmpp-bosh xmpp-client xmpp-local xmpp-server zabbix-agent zabbix-server
4.4 - La Configuration Avancée de firewalld
La configuration de base de firewalld ne permet que la configuration des zones, services, blocs ICMP et les ports non-standard. Cependant firewalld peut également être configuré avec des Rich Rules ou Règles Riches. Rich Rules ou Règles Riches évaluent des critères pour ensuite entreprendre une action.
Les Critères sont :
- source address=“<adresse_IP>“
- destination address=”<adresse_IP>“,
- rule port port=”<numéro_du_port>“,
- service name=<nom_d'un_sevice_prédéfini>.
Les Actions sont :
- accept,
- reject,
- une Action reject peut être associée avec un message d'erreur spécifique par la clause type=”<type_d'erreur>,
- drop.
Saisissez la commande suivante pour ouvrir le port 80 :
[root@centos8 ~]# firewall-cmd --add-rich-rule='rule port port="80" protocol="tcp" accept'
success
[root@centos8 ~]# firewall-cmd --list-all
work (active)
target: default
icmp-block-inversion: no
interfaces: ens18
sources:
services: cockpit dhcpv6-client ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
rule port port="80" protocol="tcp" accept
Important - Notez que la Rich Rule doit être entourée de caractères '.
Saisissez la commande suivante pour visualiser la règle nftables :
[root@centos8 ~]# nft list ruleset | grep 80
ip6 daddr fe80::/64 udp dport 546 ct state { new, untracked } accept
tcp dport 80 ct state { new, untracked } accept
Cette nouvelle règle est écrite en mémoire mais non pas sur disque :
[root@centos8 ~]# ls -l /etc/firewalld/zones/ total 12 -rw-r--r--. 1 root root 380 Jun 16 12:02 public.xml -rw-r--r--. 1 root root 343 Jun 16 06:39 public.xml.old
Pour l'écrire sur disque dans un fichier zone se trouvant dans /etc/firewalld, il faut ajouter l'option –permanent :
[root@centos7 ~]# firewall-cmd --add-rich-rule='rule port port="80" protocol="tcp" accept' --permanent
success
[root@centos8 ~]# ls -l /etc/firewalld/zones/
total 12
-rw-r--r--. 1 root root 380 Jun 16 12:02 public.xml
-rw-r--r--. 1 root root 343 Jun 16 06:39 public.xml.old
-rw-r--r--. 1 root root 409 Aug 30 06:43 work.xml
[root@centos8 ~]# cat /etc/firewalld/zones/work.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>Work</short>
<description>For use in work areas. You mostly trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
<service name="ssh"/>
<service name="dhcpv6-client"/>
<service name="cockpit"/>
<rule>
<port port="80" protocol="tcp"/>
<accept/>
</rule>
</zone>
Attention ! La règle ajoutée avec l'option –permanent n'est pas prise en compte imédiatement mais uniquement au prochain redémmarge. Pour qu'une règle soit appliquée immédiatement et être écrite sur disque, il faut saisir la commande deux fois dont une avec l'option –permanent et l'autre sans l'option –permanent.
Notez que la Rich Rule est créée dans la Zone par Défaut. Il est possible de créer une Rich Rule dans une autre zone en utilisant l'option –zone=<zone> de la commande firewall-cmd :
[root@centos8 ~]# firewall-cmd --zone=public --add-rich-rule='rule port port="80" protocol="tcp" accept'
success
[root@centos8 ~]# firewall-cmd --list-all --zone=public
public
target: default
icmp-block-inversion: no
interfaces:
sources:
services: cockpit dhcpv6-client ssh
ports: 5901/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
rule port port="80" protocol="tcp" accept
Pour supprimer une Rich Rule, il faut copier la ligne entière la concernant qui se trouve dans la sortie de la commande firewall-cmd –list-all-zones :
[root@centos8 ~]# firewall-cmd --zone=public --remove-rich-rule='rule port port="80" protocol="tcp" accept' success [root@centos8 ~]# firewall-cmd --list-all --zone=public public target: default icmp-block-inversion: no interfaces: sources: services: cockpit dhcpv6-client ssh ports: 5901/tcp protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:
4.5 - Le mode Panic de firewalld
Le mode Panic de firewalld permet de bloquer tout le trafic avec une seule commande. Pour connaître l'état du mode Panic, utilisez la commande suivante :
[root@centos7 ~]# firewall-cmd --query-panic no
Pour activer le mode Panic, il convient de saisir la commande suivante :
# firewall-cmd --panic-on
Attention - Veuillez ne PAS saisir la commande ci-dessus.
Pour désactiver le mode Panic, il convient de saisir la commande suivante :
# firewall-cmd --panic-off
Attention - Veuillez ne PAS saisir la commande ci-dessus.
LAB #5 - L'Utilisation de SELinux
5.1 - Introducton
L'approche SELinux (Security Enhanced Linux) à la sécurité est une approche de type TE. Elle essaie aussi d'intégrer les notions des approches de type RBAC, MAC et MLS sous la forme de MCS : ur
| Type de Sécurité | Nom | Description |
|---|---|---|
| TE | Type enforcement | Chaque objet a une étiquette appelé type pour un fichier et domaine pour un processus. La politique de sécurité définit l'interaction entre les types et les domaines. |
| RBAC | Role Based Access Control | Un utilisateur a un ou plusieurs rôles. Les droits sont attribués aux rôles. |
| MAC | Mandatory Access Control | L'accès aux objets est en fonction de la classification de l'objet (Très secret, Secret, Confidentiel, Public). L'administrateur définit la politique de sécurité et les utilisateurs s'y conforment. |
| MLS | Multi-Level Security | Les politiques de sécurité imposent que qu'un sujet doit dominer un objet pour pouvoir le lire tandis que l'objet doit dominer le sujet pour que ce dernier puisse y écrire. |
Même quand le modèle SELinux de sécurité est actif, la sécurité type DAC est toujours active. Cependant dans le cas où la sécurité du type DAC autorise une action, SELinux va évaluer cette action par rapport à ses propres règles avant de l'autoriser.
SELinux évalue toujours des actions tentées par des sujets sur des objets.
Dans le contexte de SELinux :
- un sujet est toujours un processus,
- un objet peut être un fichier, un répertoire, un autre processus ou une ressource système,
- une action est une permission.
Chaque classe d'objet possède un jeu de permissions possibles ou actions qui peuvent être uniques à la classe ou bien héritées d'autres classes.
Security Context
SELinux associe un Security Context (SC) à chaque objet et sujet du système.
Un SC prend la forme identité:rôle:type:niveau :
| Nom | Descriptions |
|---|---|
| Identité | Le nom du propriétaire de l'objet. Une identité est associée à des rôles. Par défaut l'utilisateur à une identité de user_u. |
| Rôle | Essentiellement appliqué aux processus, le rôle est appelé une domaine. Dans le cas d'un rôle de fichier, celui-ci est toujours object_r. Un rôle se termine généralement par _r. |
| Type | Définit la classification de sécurité de l'objet. Un type se termine généralement par _t. |
| Niveau | Un niveau est un attribut de MLS et MCS. Une plage MLS est une paire de niveaux exprimée en utilisant la syntaxe niveaubas-niveauhaut. Chaque niveau est une paire exprimée en tant que sensibilitéhaut-sensibilitébas:catégoriehaut:catégoriebas par exemple s0-s0:c0.c1023. Il est important de noter que s0-s0 s'exprime aussi s0 et c0, c1, c2, c3 est exprimé c0.c3. |
Sous RHEL/CentOS 7, le fichier /etc/selinux/targeted/setrans.conf contient la correspondance entre les niveaux et leurs valeurs compréhensibles par l'utilisateur :
[root@centos7 /]# cat /etc/selinux/targeted/setrans.conf # # Multi-Category Security translation table for SELinux # # Uncomment the following to disable translation libary # disable=1 # # Objects can be categorized with 0-1023 categories defined by the admin. # Objects can be in more than one category at a time. # Categories are stored in the system as c0-c1023. Users can use this # table to translate the categories into a more meaningful output. # Examples: # s0:c0=CompanyConfidential # s0:c1=PatientRecord # s0:c2=Unclassified # s0:c3=TopSecret # s0:c1,c3=CompanyConfidentialRedHat s0=SystemLow s0-s0:c0.c1023=SystemLow-SystemHigh s0:c0.c1023=SystemHigh
Dans le contexte d'un SC pour un sujet, le champ identité indique les privilèges de l'utilisateur SELinux utilisés par le sujet.
Dans le contexte d'un SC pour un objet, le champ identité indique à quel utilisateur SELinux appartient l'objet.
SELinux maintient sa propre liste d'utilisateurs, différente de la liste DAC de Linux. Il existe cependant une correspondance entre les deux listes de façon à ce que les utilisateurs MAC puissent être soumissent aux restrictions de SELinux :
[root@centos8 ~]# /usr/sbin/semanage login -l Login Name SELinux User MLS/MCS Range Service __default__ unconfined_u s0-s0:c0.c1023 * root unconfined_u s0-s0:c0.c1023 *
Domains et Types
Le Domain est l'endroit d'exécution d'un processus. Chaque processus a un Domain. Le Domain détermine les accès du processus.
Le Domain contient des objets et des sujets qui interagissent ensemble. Ce modèle, où chaque sujet se voit attribué à un Domain et où uniquement certaines opérations sont permises, est appelé Type Enforcement.
Dans SELinux on utilise le mot :
- Domain pour un processus,
- Type pour un fichier.
Roles
Un Rôle est comme un utilisateur dans le système de sécurité DAC de Linux. Chaque utilisateur autorisé peut assumer l'identité du Rôle afin d'exécuter les commandes liées au Rôle.
Politiques de Sécurité
Une politique de sécurité définit les SC de chaque application. Elle définit des droits d'accès des domaines aux types. Il y a deux types de politique possible :
| Politique | Description |
|---|---|
| targeted | Les politiques de sécurité ne s'appliquent qu'à certaines applications |
| mls | Multi Level Security protection |
Les politiques de sécurité se trouvent dans le répertoire /etc/selinux :
[root@centos8 ~]# ls -lR /etc/selinux/ | more /etc/selinux/: total 8 -rw-r--r--. 1 root root 548 Sep 5 07:26 config -rw-r--r--. 1 root root 2647 Feb 3 2021 semanage.conf drwxr-xr-x. 5 root root 133 Jun 16 11:34 targeted /etc/selinux/targeted: total 16 -rw-r--r--. 1 root root 2367 Mar 18 12:30 booleans.subs_dist drwxr-xr-x. 4 root root 4096 Jun 16 06:27 contexts drwxr-xr-x. 2 root root 6 Mar 18 12:30 logins drwxr-xr-x. 2 root root 23 Jun 16 11:34 policy -rw-r--r--. 1 root root 607 Mar 18 12:30 setrans.conf -rw-r--r--. 1 root root 73 Jun 16 11:34 seusers /etc/selinux/targeted/contexts: total 68 -rw-r--r--. 1 root root 262 Jun 16 06:27 customizable_types -rw-r--r--. 1 root root 195 Mar 18 12:29 dbus_contexts -rw-r--r--. 1 root root 1111 Mar 18 12:29 default_contexts -rw-r--r--. 1 root root 114 Mar 18 12:29 default_type -rw-r--r--. 1 root root 29 Mar 18 12:29 failsafe_context drwxr-xr-x. 2 root root 213 Jun 16 11:34 files -rw-r--r--. 1 root root 30 Mar 18 12:29 initrc_context -rw-r--r--. 1 root root 372 Mar 18 12:29 lxc_contexts -rw-r--r--. 1 root root 27 Mar 18 12:29 openssh_contexts -rw-r--r--. 1 root root 33 Mar 18 12:29 removable_context -rw-r--r--. 1 root root 74 Mar 18 12:30 securetty_types -rw-r--r--. 1 root root 1170 Mar 18 12:29 sepgsql_contexts -rw-r--r--. 1 root root 53 Mar 18 12:29 snapperd_contexts -rw-r--r--. 1 root root 57 Mar 18 12:29 systemd_contexts -rw-r--r--. 1 root root 33 Mar 18 12:29 userhelper_context drwxr-xr-x. 2 root root 114 Jun 16 06:26 users -rw-r--r--. 1 root root 62 Mar 18 12:29 virtual_domain_context -rw-r--r--. 1 root root 71 Mar 18 12:29 virtual_image_context -rw-r--r--. 1 root root 2920 Mar 18 12:29 x_contexts /etc/selinux/targeted/contexts/files: total 1000 -rw-r--r--. 1 root root 404956 Jun 16 11:33 file_contexts -rw-r--r--. 1 root root 570698 Jun 16 11:33 file_contexts.bin -rw-r--r--. 1 root root 13880 Jun 16 11:33 file_contexts.homedirs -rw-r--r--. 1 root root 19104 Jun 16 11:33 file_contexts.homedirs.bin -rw-r--r--. 1 root root 0 Mar 18 12:30 file_contexts.local --More--
Afin d'utiliser SELinux en ligne de commande sous RHEL/CentOS 8, il est nécessaire d'installer le paquet setools-console :
[root@centos8 ~]# dnf -y install setools-console
Pour consulter les statistiques de la politique, il convient d'utiliser la commande seinfo :
[root@centos8 ~]# seinfo Statistics for policy file: /sys/fs/selinux/policy Policy Version: 31 (MLS enabled) Target Policy: selinux Handle unknown classes: allow Classes: 132 Permissions: 463 Sensitivities: 1 Categories: 1024 Types: 4961 Attributes: 255 Users: 8 Roles: 14 Booleans: 340 Cond. Expr.: 389 Allow: 113109 Neverallow: 0 Auditallow: 166 Dontaudit: 10373 Type_trans: 252830 Type_change: 87 Type_member: 35 Range_trans: 6015 Role allow: 37 Role_trans: 423 Constraints: 72 Validatetrans: 0 MLS Constrain: 72 MLS Val. Tran: 0 Permissives: 0 Polcap: 5 Defaults: 7 Typebounds: 0 Allowxperm: 0 Neverallowxperm: 0 Auditallowxperm: 0 Dontauditxperm: 0 Ibendportcon: 0 Ibpkeycon: 0 Initial SIDs: 27 Fs_use: 33 Genfscon: 106 Portcon: 640 Netifcon: 0 Nodecon: 0
Important : Notez ici le grand nombre de la catégorie Dontaudit.
Langage de Politiques
Un politique est composé de centaines de directives. Les principales directives sont :
allow
allow autorise l'accès d'un processus d'un domaine à des fichiers appartenant à un type donné. Le format de la directive est :
allow user_t domaine_t : file (read execute getattr) ;
Dans cette directive :
- user_t est le type de fichier,
- domaine_t est le domaine des processus qui sont autorisés par allow,
- file (droit1 droit2 etc) est la liste des permissions accordées.
Les permissions possibles sont :
- read
- write
- append
- execute
- getattr
- setattr
- lock
- link
- unlink
- rename
- ioctl
type
La directive type définit un type SELinux. Le type se termine généralement par _t.
auditallow, dontaudit
La directive auditallow demande l'écriture d'un message de type avc dans les journaux. Elle n'est associée à aucune restriction.
L'inverse peut être obtenue avec dontaudit, à savoir, cette directive demande à ce qu'il n'y ait pas de journalisation après une interdiction.
type_transition
Normalement quand un fichier est créé, il hérite du SC du répertoire parent. De même quand un processus SELinux active un nouveau processus, ce dernier s'exécute dans le même domaine que son parent. La directive type_transition permet de modifier ce comportement.
Décisions de SELinux
Il existe deux types de décisions auxquelles SELinux doit faire face :
- Décisions d'Accès
- Décisions de Transition
Décisions d'Accès
Dans ce type de décision SELinux doit décider d'accorder ou non la permission à :
- un sujet de faire quelque chose à un objet existant,
- un sujet de créer de nouvelles choses dans le Domain.
Décisions de Transition
Dans ce type de décision SELinux doit décider d'accorder ou non la permission :
- d'invoquer un processus dans un Domain différent du Domain courant du sujet,
- de créer des objets dans différents Types que le répertoire parent de l'objet.
Commandes SELinux
| Commande | Description |
|---|---|
| chcon | Changer le SC d'un fichier |
| audit2allow | Générer la source de la règle de sécurité à l'origine d'une erreur |
| restorecon | Restaurer le SC par défaut à un ou plusieurs fichiers |
| setfiles -n | Vérifier si les SC sont corrects |
| semodule | Gèrer les modules de politiques |
| semodule -i | Installer un module de politiques |
| checkmodule | Compiler un module |
| semodule_package | Créer un module installable par semodule |
| semanage | Administrer une politique |
| audit2allow -M | Créer un module à partir d'un message d'audit |
| sesearch | Recherche des règles SELinux |
| seinfo | Effectuer des recherches dans la politique |
| getsebool | Affiche l'état d'un booléen |
| getsebool -a | Affiche l'état de l'ensemble des booléens |
| sestatus -b | Affiche l'état de l'ensemble des booléens |
| setsebool | Modifie l'état d'un booléen |
| togglesebool | Bascule la valeur d'un booléen |
Les Etats de SELinux
SELinux connait trois états :
| Etat | Description |
|---|---|
| disabled | SELinux est inactif. |
| permissive | SELinux est actif mais tout est permis. Des interdictions ne font que de générer des messages d'erreurs dans les logs. |
| enforcing | SELinux est actif. |
L'examen du contenu du fichier /selinux/enforce révèle une de deux valeurs qui correspondent à l'état de SELinux :
| Valeur | Description |
|---|---|
| 0 | SELinux est en mode permissive |
| 1 | SELinux est en mode enforcing |
La configuration de l'activation de SELinux ainsi que son état est effectuée grâce au fichier /etc/selinux/config :
[root@centos8 ~]# cat /etc/selinux/config # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=permissive # SELINUXTYPE= can take one of these three values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection. SELINUXTYPE=targeted
Afin de connaître l'état de SELinux, il convient d'utiliser la commande getenforce :
[root@centos8 ~]# getenforce Permissive
Pour modifier l'état de SELinux, il convient d'utiliser la commande setenforce :
[root@centos8 ~]# setenforce enforcing [root@centos8 ~]# getenforce Enforcing
La commande sestatus vous informe sur la configuration de SELinux et notamment sur la version de la politique utilisée :
[root@centos8 ~]# sestatus SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: enforcing Mode from config file: permissive Policy MLS status: enabled Policy deny_unknown status: allowed Memory protection checking: actual (secure) Max kernel policy version: 33
Les différentes versions de politiques évolue en même temps que le noyau Linux.
La commande sestatus peut aussi prendre l'option -v :
[root@centos8 ~]# sestatus -v SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: enforcing Mode from config file: permissive Policy MLS status: enabled Policy deny_unknown status: allowed Memory protection checking: actual (secure) Max kernel policy version: 33 Process contexts: Current context: unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 Init context: system_u:system_r:init_t:s0 /usr/sbin/sshd system_u:system_r:sshd_t:s0-s0:c0.c1023 File contexts: Controlling terminal: unconfined_u:object_r:user_devpts_t:s0 /etc/passwd system_u:object_r:passwd_file_t:s0 /etc/shadow system_u:object_r:shadow_t:s0 /bin/bash system_u:object_r:shell_exec_t:s0 /bin/login system_u:object_r:login_exec_t:s0 /bin/sh system_u:object_r:bin_t:s0 -> system_u:object_r:shell_exec_t:s0 /sbin/agetty system_u:object_r:getty_exec_t:s0 /sbin/init system_u:object_r:bin_t:s0 -> system_u:object_r:init_exec_t:s0 /usr/sbin/sshd system_u:object_r:sshd_exec_t:s0
Booléens
Les booléens permettent à des ensembles de règles d'être utilisées d'une manière alternative.
Pour visualiser l'état l'ensemble des booléens, il convient d'utiliser la commande getsebool -a :
[root@centos8 ~]# getsebool -a | more abrt_anon_write --> off abrt_handle_event --> off abrt_upload_watch_anon_write --> on antivirus_can_scan_system --> off antivirus_use_jit --> off auditadm_exec_content --> on authlogin_nsswitch_use_ldap --> off authlogin_radius --> off authlogin_yubikey --> off awstats_purge_apache_log_files --> off boinc_execmem --> on cdrecord_read_content --> off cluster_can_network_connect --> off cluster_manage_all_files --> off cluster_use_execmem --> off cobbler_anon_write --> off cobbler_can_network_connect --> off cobbler_use_cifs --> off cobbler_use_nfs --> off collectd_tcp_network_connect --> off colord_use_nfs --> off condor_tcp_network_connect --> off conman_can_network --> off conman_use_nfs --> off container_connect_any --> off container_manage_cgroup --> off container_use_cephfs --> off cron_can_relabel --> off cron_system_cronjob_use_shares --> off cron_userdomain_transition --> on cups_execmem --> off cvs_read_shadow --> off daemons_dump_core --> off daemons_enable_cluster_mode --> off daemons_use_tcp_wrapper --> off daemons_use_tty --> off dbadm_exec_content --> on dbadm_manage_user_files --> off dbadm_read_user_files --> off deny_bluetooth --> off deny_execmem --> off deny_ptrace --> off dhcpc_exec_iptables --> off dhcpd_use_ldap --> off --More--
ou la commande sestatus -b :
[root@centos8 ~]# sestatus -b | more SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: enforcing Mode from config file: permissive Policy MLS status: enabled Policy deny_unknown status: allowed Memory protection checking: actual (secure) Max kernel policy version: 33 Policy booleans: abrt_anon_write off abrt_handle_event off abrt_upload_watch_anon_write on antivirus_can_scan_system off antivirus_use_jit off auditadm_exec_content on authlogin_nsswitch_use_ldap off authlogin_radius off authlogin_yubikey off awstats_purge_apache_log_files off boinc_execmem on cdrecord_read_content off cluster_can_network_connect off cluster_manage_all_files off cluster_use_execmem off cobbler_anon_write off cobbler_can_network_connect off cobbler_use_cifs off cobbler_use_nfs off collectd_tcp_network_connect off colord_use_nfs off condor_tcp_network_connect off conman_can_network off conman_use_nfs off container_connect_any off container_manage_cgroup off container_use_cephfs off cron_can_relabel off cron_system_cronjob_use_shares off cron_userdomain_transition on cups_execmem off cvs_read_shadow off --More--
Pour fixer l'état d'un booléen, il convient d'utiliser la commande setsebool :
[root@centos8 ~]# setsebool antivirus_can_scan_system 1 [root@centos8 ~]# getsebool antivirus_can_scan_system antivirus_can_scan_system --> on [root@centos8 ~]# setsebool antivirus_can_scan_system 0 [root@centos8 ~]# getsebool antivirus_can_scan_system antivirus_can_scan_system --> off
Afin reconstruire la politique actuelle sans les règles dontaudit, utilisez la commande semodule :
[root@centos7 ~]# semodule -DB
Vérifiez qu'il ne reste aucune règle de type dontaudit :
[root@centos8 ~]# seinfo Statistics for policy file: /sys/fs/selinux/policy Policy Version: 31 (MLS enabled) Target Policy: selinux Handle unknown classes: allow Classes: 132 Permissions: 463 Sensitivities: 1 Categories: 1024 Types: 4961 Attributes: 255 Users: 8 Roles: 14 Booleans: 340 Cond. Expr.: 389 Allow: 113109 Neverallow: 0 Auditallow: 166 Dontaudit: 0 Type_trans: 252830 Type_change: 87 Type_member: 35 Range_trans: 6015 Role allow: 37 Role_trans: 423 Constraints: 72 Validatetrans: 0 MLS Constrain: 72 MLS Val. Tran: 0 Permissives: 0 Polcap: 5 Defaults: 7 Typebounds: 0 Allowxperm: 0 Neverallowxperm: 0 Auditallowxperm: 0 Dontauditxperm: 0 Ibendportcon: 0 Ibpkeycon: 0 Initial SIDs: 27 Fs_use: 33 Genfscon: 106 Portcon: 640 Netifcon: 0 Nodecon: 0
5.2 - Copier et Déplacer des Fichiers
Créez deux fichiers file1 et file2 en tant que l'utilisateur trainee puis visualisez les SC des fichiers :
[root@centos7 /]# exit logout [trainee@centos7 ~]$ touch file1 file2 [trainee@centos8 ~]$ ls -lZ file* -rw-rw-r--. 1 trainee trainee unconfined_u:object_r:user_home_t:s0 0 Sep 5 08:42 file1 -rw-rw-r--. 1 trainee trainee unconfined_u:object_r:user_home_t:s0 0 Sep 5 08:42 file2
Notez que le type des deux fichiers est user_home_t.
Copiez maintenant le fichier file1 vers /tmp en utilisant la commande cp et visualiser son SC :
[trainee@centos8 ~]$ cp file1 /tmp [trainee@centos8 ~]$ ls -lZ /tmp/file1 -rw-rw-r--. 1 trainee trainee unconfined_u:object_r:user_tmp_t:s0 0 Sep 5 08:43 /tmp/file1
Notez que le fichier ainsi copié a hérité du type du répertoire parent, à savoir tmp_t.
Déplacez maintenant le fichier file2 dans le répertoire /tmp et contrôlez son SC :
[trainee@centos8 ~]$ mv file2 /tmp [trainee@centos8 ~]$ ls -lZ /tmp/file2 -rw-rw-r--. 1 trainee trainee unconfined_u:object_r:user_home_t:s0 0 Sep 5 08:42 /tmp/file2
Notez que la commande mv maintient le type d'origine.
5.3 - Vérifier les SC des Processus
Il convient d'utiliser l'option Z avec la commande ps :
[trainee@centos8 ~]$ ps auxZ | more LABEL USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND system_u:system_r:init_t:s0 root 1 0.0 0.2 254000 11064 ? Ss Sep03 0:04 /usr/lib/systemd/systemd --switched-root --system --deserialize 17 system_u:system_r:kernel_t:s0 root 2 0.0 0.0 0 0 ? S Sep03 0:00 [kthreadd] system_u:system_r:kernel_t:s0 root 3 0.0 0.0 0 0 ? I< Sep03 0:00 [rcu_gp] system_u:system_r:kernel_t:s0 root 4 0.0 0.0 0 0 ? I< Sep03 0:00 [rcu_par_gp] system_u:system_r:kernel_t:s0 root 6 0.0 0.0 0 0 ? I< Sep03 0:00 [kworker/0:0H-events_highpri] system_u:system_r:kernel_t:s0 root 9 0.0 0.0 0 0 ? I< Sep03 0:00 [mm_percpu_wq] system_u:system_r:kernel_t:s0 root 10 0.0 0.0 0 0 ? S Sep03 0:00 [ksoftirqd/0] system_u:system_r:kernel_t:s0 root 11 0.0 0.0 0 0 ? R Sep03 0:08 [rcu_sched] system_u:system_r:kernel_t:s0 root 12 0.0 0.0 0 0 ? S Sep03 0:00 [migration/0] system_u:system_r:kernel_t:s0 root 13 0.0 0.0 0 0 ? S Sep03 0:00 [watchdog/0] system_u:system_r:kernel_t:s0 root 14 0.0 0.0 0 0 ? S Sep03 0:00 [cpuhp/0] system_u:system_r:kernel_t:s0 root 15 0.0 0.0 0 0 ? S Sep03 0:00 [cpuhp/1] system_u:system_r:kernel_t:s0 root 16 0.0 0.0 0 0 ? S Sep03 0:00 [watchdog/1] system_u:system_r:kernel_t:s0 root 17 0.0 0.0 0 0 ? S Sep03 0:00 [migration/1] system_u:system_r:kernel_t:s0 root 18 0.0 0.0 0 0 ? S Sep03 0:01 [ksoftirqd/1] system_u:system_r:kernel_t:s0 root 20 0.0 0.0 0 0 ? I< Sep03 0:00 [kworker/1:0H-events_highpri] system_u:system_r:kernel_t:s0 root 21 0.0 0.0 0 0 ? S Sep03 0:00 [cpuhp/2] system_u:system_r:kernel_t:s0 root 22 0.0 0.0 0 0 ? S Sep03 0:00 [watchdog/2] system_u:system_r:kernel_t:s0 root 23 0.0 0.0 0 0 ? S Sep03 0:00 [migration/2] system_u:system_r:kernel_t:s0 root 24 0.0 0.0 0 0 ? S Sep03 0:00 [ksoftirqd/2] system_u:system_r:kernel_t:s0 root 26 0.0 0.0 0 0 ? I< Sep03 0:00 [kworker/2:0H-events_highpri] system_u:system_r:kernel_t:s0 root 27 0.0 0.0 0 0 ? S Sep03 0:00 [cpuhp/3] system_u:system_r:kernel_t:s0 root 28 0.0 0.0 0 0 ? S Sep03 0:00 [watchdog/3] system_u:system_r:kernel_t:s0 root 29 0.0 0.0 0 0 ? S Sep03 0:00 [migration/3] system_u:system_r:kernel_t:s0 root 30 0.0 0.0 0 0 ? S Sep03 0:00 [ksoftirqd/3] system_u:system_r:kernel_t:s0 root 32 0.0 0.0 0 0 ? I< Sep03 0:00 [kworker/3:0H-events_highpri] system_u:system_r:kernel_t:s0 root 33 0.0 0.0 0 0 ? S Sep03 0:00 [cpuhp/4] system_u:system_r:kernel_t:s0 root 34 0.0 0.0 0 0 ? S Sep03 0:00 [watchdog/4] system_u:system_r:kernel_t:s0 root 35 0.0 0.0 0 0 ? S Sep03 0:00 [migration/4] system_u:system_r:kernel_t:s0 root 36 0.0 0.0 0 0 ? S Sep03 0:00 [ksoftirqd/4] system_u:system_r:kernel_t:s0 root 38 0.0 0.0 0 0 ? I< Sep03 0:00 [kworker/4:0H-events_highpri] system_u:system_r:kernel_t:s0 root 39 0.0 0.0 0 0 ? S Sep03 0:00 [cpuhp/5] system_u:system_r:kernel_t:s0 root 40 0.0 0.0 0 0 ? S Sep03 0:00 [watchdog/5] system_u:system_r:kernel_t:s0 root 41 0.0 0.0 0 0 ? S Sep03 0:00 [migration/5] system_u:system_r:kernel_t:s0 root 42 0.0 0.0 0 0 ? S Sep03 0:00 [ksoftirqd/5] system_u:system_r:kernel_t:s0 root 44 0.0 0.0 0 0 ? I< Sep03 0:00 [kworker/5:0H-events_highpri] system_u:system_r:kernel_t:s0 root 45 0.0 0.0 0 0 ? S Sep03 0:00 [cpuhp/6] system_u:system_r:kernel_t:s0 root 46 0.0 0.0 0 0 ? S Sep03 0:00 [watchdog/6] system_u:system_r:kernel_t:s0 root 47 0.0 0.0 0 0 ? S Sep03 0:00 [migration/6] system_u:system_r:kernel_t:s0 root 48 0.0 0.0 0 0 ? S Sep03 0:00 [ksoftirqd/6] system_u:system_r:kernel_t:s0 root 50 0.0 0.0 0 0 ? I< Sep03 0:00 [kworker/6:0H-events_highpri] system_u:system_r:kernel_t:s0 root 51 0.0 0.0 0 0 ? S Sep03 0:00 [cpuhp/7] system_u:system_r:kernel_t:s0 root 52 0.0 0.0 0 0 ? S Sep03 0:00 [watchdog/7] --More--
5.4 - Visualiser la SC d'un Utilisateur
Utilisez l'option -Z avec la commande id :
[trainee@centos8 ~]$ id -Z unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
Notez que vous ne pouvez pas consulter le SC d'un autre utilisateur :
[trainee@centos8 ~]$ id root uid=0(root) gid=0(root) groups=0(root) [trainee@centos8 ~]$ id -Z root id: cannot print security context when user specified
5.5 - Vérifier la SC d'un fichier
Il convient d'utiliser la commande ls avec l'option -Z :
[trainee@centos8 ~]$ cd /etc [trainee@centos8 etc]$ ls -Z l* -dl -rw-r--r--. 1 root root unconfined_u:object_r:ld_so_cache_t:s0 50535 Sep 1 10:15 ld.so.cache -rw-r--r--. 1 root root system_u:object_r:etc_t:s0 28 Mar 11 14:41 ld.so.conf drwxr-xr-x. 2 root root system_u:object_r:etc_t:s0 4096 Jul 20 11:04 ld.so.conf.d -rw-r-----. 1 root root system_u:object_r:etc_t:s0 191 Nov 4 2019 libaudit.conf drwxr-xr-x. 3 root root system_u:object_r:etc_t:s0 20 Jun 16 06:26 libblockdev -rw-r--r--. 1 root root system_u:object_r:etc_t:s0 371 May 21 16:43 libguestfs-tools.conf drwxr-xr-x. 2 root root system_u:object_r:etc_t:s0 246 Jun 16 06:25 libibverbs.d drwxr-xr-x. 2 root root system_u:object_r:etc_t:s0 35 Jun 16 06:24 libnl drwxr-xr-x. 2 root root system_u:object_r:etc_t:s0 6 May 13 2019 libpaper.d drwxr-xr-x. 6 root root system_u:object_r:etc_t:s0 171 Jun 16 06:26 libreport drwxr-xr-x. 2 root root system_u:object_r:etc_t:s0 62 Jun 16 06:24 libssh -rw-r--r--. 1 root root system_u:object_r:etc_t:s0 2391 Jul 23 2015 libuser.conf drwx------. 6 root root system_u:object_r:virt_etc_t:s0 4096 Sep 2 11:49 libvirt -rw-r--r--. 1 root root system_u:object_r:locale_t:s0 19 Jun 16 06:53 locale.conf lrwxrwxrwx. 1 root root system_u:object_r:locale_t:s0 38 Jun 16 06:53 localtime -> ../usr/share/zoneinfo/America/New_York -rw-r--r--. 1 root root system_u:object_r:etc_t:s0 2512 Dec 1 2020 login.defs -rw-r--r--. 1 root root system_u:object_r:etc_t:s0 438 Feb 19 2018 logrotate.conf drwxr-xr-x. 2 root root system_u:object_r:etc_t:s0 287 Jul 19 10:39 logrotate.d drwxr-xr-x. 3 root root system_u:object_r:etc_t:s0 43 Jun 16 06:26 lsm drwxr-xr-x. 6 root root system_u:object_r:lvm_etc_t:s0 100 Jun 16 06:26 lvm
5.6 - La commande chcon
L'interprétation des messages journalisés de SELinux est souvent la clef d'un dépannage efficace et rapide.
Si le démon auditd est démarré, les messages de SELinux sont consignés dans le fichier /var/log/audit/audit.log. Dans le cas contraire, les mêmes messages sont consignés dans le fichier /var/log/messages. Dans les deux cas, chaque message de SELinux contient le mot clef AVC :
La commande chcon permet de modifier temporairement une SC.
[trainee@centos8 etc]$ cd ~
[trainee@centos8 ~]$ chcon --help
Usage: chcon [OPTION]... CONTEXT FILE...
or: chcon [OPTION]... [-u USER] [-r ROLE] [-l RANGE] [-t TYPE] FILE...
or: chcon [OPTION]... --reference=RFILE FILE...
Change the SELinux security context of each FILE to CONTEXT.
With --reference, change the security context of each FILE to that of RFILE.
Mandatory arguments to long options are mandatory for short options too.
--dereference affect the referent of each symbolic link (this is
the default), rather than the symbolic link itself
-h, --no-dereference affect symbolic links instead of any referenced file
-u, --user=USER set user USER in the target security context
-r, --role=ROLE set role ROLE in the target security context
-t, --type=TYPE set type TYPE in the target security context
-l, --range=RANGE set range RANGE in the target security context
--no-preserve-root do not treat '/' specially (the default)
--preserve-root fail to operate recursively on '/'
--reference=RFILE use RFILE's security context rather than specifying
a CONTEXT value
-R, --recursive operate on files and directories recursively
-v, --verbose output a diagnostic for every file processed
The following options modify how a hierarchy is traversed when the -R
option is also specified. If more than one is specified, only the final
one takes effect.
-H if a command line argument is a symbolic link
to a directory, traverse it
-L traverse every symbolic link to a directory
encountered
-P do not traverse any symbolic links (default)
--help display this help and exit
--version output version information and exit
GNU coreutils online help: <https://www.gnu.org/software/coreutils/>
Full documentation at: <https://www.gnu.org/software/coreutils/chcon>
or available locally via: info '(coreutils) chcon invocation'
Prenons le cas de la création d'un répertoire à la racine du système de fichiers afin d'y stocker les pages web du serveur apache :
[trainee@centos8 ~]$ su - Password: fenestros [root@centos8 ~]# mkdir /www [root@centos8 ~]# touch /www/index.html
Installez maintenant le serveur Apache :
[root@centos8 ~]# dnf -y install httpd
Modifiez ensuite la directive DocumentRoot dans le fichier /etc/httpd/conf/httpd.conf :
[...] #DocumentRoot "/var/www/html" DocumentRoot "/www" [...]
Ajoutez les section <Directory ”/www“>:
...
#
# Relax access to content within /var/www.
#
<Directory "/var/www">
AllowOverride None
# Allow open access:
Require all granted
</Directory>
<Directory "/www">
Options Indexes FollowSymLinks
AllowOverride None
Require all granted
</Directory>
# Further relax access to the default document root:
<Directory "/var/www/html">
...
</Directory>
# Further relax access to the default document root:
<Directory "/var/www/html">
...
Sauvegardez et quittez le fichier. Créez le fichier /www/index.html :
[root@centos8 ~]# vi /www/index.html [root@centos8 ~]# cat /www/index.html <html> <title> This is a test </title> <body> www test page </body> </html>
Modifiez ensuite le propriétaire et le groupe du répertoire /www et son contenu :
[root@centos8 ~]# chown -R apache:apache /www
Dernièrement, créez un fichier index.html vide dans le répertoire /var/www/html/ :
[root@centos8 ~]# touch /var/www/html/index.html
Redémarrez maintenant le service httpd :
[root@centos8 ~]# systemctl restart httpd.service
[root@centos8 ~]# systemctl status httpd.service
● httpd.service - The Apache HTTP Server
Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled; vendor preset: disabled)
Active: active (running) since Sun 2021-09-05 08:57:26 EDT; 9s ago
Docs: man:httpd.service(8)
Main PID: 49273 (httpd)
Status: "Running, listening on: port 80"
Tasks: 213 (limit: 23535)
Memory: 33.9M
CGroup: /system.slice/httpd.service
├─49273 /usr/sbin/httpd -DFOREGROUND
├─49276 /usr/sbin/httpd -DFOREGROUND
├─49277 /usr/sbin/httpd -DFOREGROUND
├─49278 /usr/sbin/httpd -DFOREGROUND
└─49279 /usr/sbin/httpd -DFOREGROUND
Sep 05 08:57:25 centos8.ittraining.loc systemd[1]: Starting The Apache HTTP Server...
Sep 05 08:57:26 centos8.ittraining.loc systemd[1]: Started The Apache HTTP Server.
Sep 05 08:57:26 centos8.ittraining.loc httpd[49273]: Server configured, listening on: port 80
Passez SELinux en mode Permissive :
[root@centos8 ~]# getenforce Enforcing [root@centos8 ~]# setenforce permissive [root@centos8 ~]# getenforce Permissive
Installez le navigateur web en mode texte lynx :
[root@centos8 ~]# dnf install -y lynx
Consultez le site localhost en utilisant lynx :
[root@centos8 ~]# lynx localhost
La commande sealert possède à la fois une interface graphique et un mode en ligne de commande :
[root@centos8 ~]# sealert -a /var/log/audit/audit.log > /root/mylogfile.txt
Consultez le fichier /root/mylogfile.txt :
[root@centos8 ~]# more /root/mylogfile.txt
found 16 alerts in /var/log/audit/audit.log
--------------------------------------------------------------------------------
SELinux is preventing /usr/bin/pkla-check-authorization from using the noatsecure access on a process.
***** Plugin catchall (100. confidence) suggests **************************
If you believe that pkla-check-authorization should be allowed noatsecure access on processes labeled policykit_auth_t by default.
Then you should report this as a bug.
You can generate a local policy module to allow this access.
Do
allow this access for now by executing:
# ausearch -c 'pkla-check-auth' --raw | audit2allow -M my-pklacheckauth
# semodule -X 300 -i my-pklacheckauth.pp
Additional Information:
Source Context system_u:system_r:policykit_t:s0
Target Context system_u:system_r:policykit_auth_t:s0
Target Objects /lib64/ld-linux-x86-64.so.2 [ process ]
Source pkla-check-auth
Source Path /usr/bin/pkla-check-authorization
Port <Unknown>
Host <Unknown>
Source RPM Packages polkit-pkla-compat-0.1-12.el8.x86_64
Target RPM Packages glibc-2.28-151.el8.x86_64
SELinux Policy RPM selinux-policy-targeted-3.14.3-67.el8.noarch
Local Policy RPM selinux-policy-targeted-3.14.3-67.el8.noarch
Selinux Enabled True
Policy Type targeted
Enforcing Mode Permissive
Host Name centos8.ittraining.loc
Platform Linux centos8.ittraining.loc
4.18.0-305.7.1.el8.i2tch.x86_64 #1 SMP Tue Jul 20
05:05:15 EDT 2021 x86_64 x86_64
Alert Count 16
First Seen 2021-09-05 08:40:01 EDT
Last Seen 2021-09-05 08:45:07 EDT
Local ID 53085ad7-2855-4b4c-a781-5b47ef2f34c7
Raw Audit Messages
type=AVC msg=audit(1630845907.307:1221): avc: denied { noatsecure } for pid=48234 comm="polkitd" scontext=system_u:system_r:policykit_t:s0 tcontext=system_u:system_r:
policykit_auth_t:s0 tclass=process permissive=0
type=AVC msg=audit(1630845907.307:1221): avc: denied { rlimitinh } for pid=48234 comm="pkla-check-auth" scontext=system_u:system_r:policykit_t:s0 tcontext=system_u:sy
stem_r:policykit_auth_t:s0 tclass=process permissive=0
type=AVC msg=audit(1630845907.307:1221): avc: denied { siginh } for pid=48234 comm="pkla-check-auth" scontext=system_u:system_r:policykit_t:s0 tcontext=system_u:syste
m_r:policykit_auth_t:s0 tclass=process permissive=0
type=SYSCALL msg=audit(1630845907.307:1221): arch=x86_64 syscall=execve success=yes exit=0 a0=7f7a8c01c630 a1=56367a011180 a2=563679a9e990 a3=0 items=1 ppid=1011 pid=482
34 auid=4294967295 uid=998 gid=996 euid=998 suid=998 fsuid=998 egid=996 sgid=996 fsgid=996 tty=(none) ses=4294967295 comm=pkla-check-auth exe=/usr/bin/pkla-check-authori
zation subj=system_u:system_r:policykit_auth_t:s0 key=(null)ARCH=x86_64 SYSCALL=execve AUID=unset UID=polkitd GID=polkitd EUID=polkitd SUID=polkitd FSUID=polkitd EGID=po
lkitd SGID=polkitd FSGID=polkitd
type=CWD msg=audit(1630845907.307:1221): cwd=/
type=PATH msg=audit(1630845907.307:1221): item=0 name=/lib64/ld-linux-x86-64.so.2 inode=16895059 dev=fd:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:ld
_so_t:s0 nametype=NORMAL cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0OUID=root OGID=root
Hash: pkla-check-auth,policykit_t,policykit_auth_t,process,noatsecure
--------------------------------------------------------------------------------
SELinux is preventing /usr/libexec/dbus-1/dbus-daemon-launch-helper from using the net_admin capability.
***** Plugin catchall (100. confidence) suggests **************************
If you believe that dbus-daemon-launch-helper should have the net_admin capability by default.
Then you should report this as a bug.
You can generate a local policy module to allow this access.
Do
allow this access for now by executing:
# ausearch -c 'dbus-daemon-lau' --raw | audit2allow -M my-dbusdaemonlau
# semodule -X 300 -i my-dbusdaemonlau.pp
Additional Information:
Source Context system_u:system_r:system_dbusd_t:s0-s0:c0.c1023
Target Context system_u:system_r:system_dbusd_t:s0-s0:c0.c1023
Target Objects Unknown [ capability ]
Source dbus-daemon-lau
Source Path /usr/libexec/dbus-1/dbus-daemon-launch-helper
Port <Unknown>
--More--(5%)
Cherchez dans le fichier la chaine index.html :
[root@centos8 ~]# more /root/mylogfile.txt | grep index.html
SELinux is preventing /usr/sbin/httpd from getattr access on the file /www/index.html.
If you want to allow httpd to have getattr access on the index.html file
Then you need to change the label on /www/index.html
# semanage fcontext -a -t FILE_TYPE '/www/index.html'
restorecon -v '/www/index.html'
If you believe that httpd should be allowed getattr access on the index.html file by default.
Target Objects /www/index.html [ file ]
type=AVC msg=audit(1630847051.967:1358): avc: denied { getattr } for pid=49279 comm="httpd" path="/www/index.html" dev="dm-0" ino=1509932 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:default_t:s0 tclass=file permissive=1
SELinux is preventing /usr/sbin/httpd from read access on the file index.html.
If you want to allow httpd to have read access on the index.html file
Then you need to change the label on index.html
# semanage fcontext -a -t FILE_TYPE 'index.html'
restorecon -v 'index.html'
If you believe that httpd should be allowed read access on the index.html file by default.
Target Objects index.html [ file ]
type=AVC msg=audit(1630847051.967:1359): avc: denied { read } for pid=49279 comm="httpd" name="index.html" dev="dm-0" ino=1509932 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:default_t:s0 tclass=file permissive=1
type=AVC msg=audit(1630847051.967:1359): avc: denied { open } for pid=49279 comm="httpd" path="/www/index.html" dev="dm-0" ino=1509932 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:default_t:s0 tclass=file permissive=1
SELinux is preventing /usr/sbin/httpd from map access on the file /www/index.html.
If you want to allow httpd to have map access on the index.html file
Then you need to change the label on /www/index.html
# semanage fcontext -a -t FILE_TYPE '/www/index.html'
restorecon -v '/www/index.html'
If you believe that httpd should be allowed map access on the index.html file by default.
Target Objects /www/index.html [ file ]
type=AVC msg=audit(1630847051.967:1360): avc: denied { map } for pid=49279 comm="httpd" path="/www/index.html" dev="dm-0" ino=1509932 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:default_t:s0 tclass=file permissive=1
Ce message a été généré parce que le repertoire /www ainsi que le fichier index.html ne possèdent pas le type nécessaire pour que le service apache puisse les utiliser :
[root@centos8 ~]# ls -lZ /www/index.html -rw-r--r--. 1 apache apache unconfined_u:object_r:default_t:s0 76 Sep 5 08:56 /www/index.html [root@centos8 ~]# ls -lZ /var/www/html/index.html -rw-r--r--. 1 root root unconfined_u:object_r:httpd_sys_content_t:s0 0 Sep 5 08:57 /var/www/html/index.html
L'exemple ci-dessus nous montre clairement que le type pour /www/index.html est default_t or apache a besoin du type httpd_sys_content_t pour pouvoir accéder au fichier.
Modifiez donc la SC de /www et /www/index.html en utilisant la commande chcon :
[root@centos8 ~]# chcon -Rv --type=httpd_sys_content_t /www changing security context of '/www/index.html' changing security context of '/www' [root@centos8 ~]# ls -lZ /www/index.html -rw-r--r--. 1 apache apache unconfined_u:object_r:httpd_sys_content_t:s0 76 Sep 5 08:56 /www/index.html
Afin de maintenir ces SC lors d'une restauration des SC par défaut, il convient d'utiliser la commande semanage afin d'appliquer la modification d'une manière définitive :
[root@centos8 ~]# semanage fcontext -a -t httpd_sys_content_t "/www(/.*)?"
5.7 - La commande restorecon
Pour illustrer l'utilisation de cette commande, créez les fichiers copy.html et move.html dans le répertoire /tmp :
[root@centos8 ~]# cd /tmp ; touch copy.html move.html [root@centos8 tmp]# ls -lZ | grep html -rw-r--r--. 1 root root unconfined_u:object_r:user_tmp_t:s0 0 Sep 5 09:14 copy.html -rw-r--r--. 1 root root unconfined_u:object_r:user_tmp_t:s0 0 Sep 5 09:14 move.html
Copiez le fichier copy.html vers /var/www/html et déplacez le fichier move.html vers la même cible :
[root@centos8 tmp]# cp copy.html /var/www/html/ [root@centos8 tmp]# mv move.html /var/www/html/ [root@centos8 tmp]# ls -lZ /var/www/html total 0 -rw-r--r--. 1 root root unconfined_u:object_r:httpd_sys_content_t:s0 0 Sep 5 09:14 copy.html -rw-r--r--. 1 root root unconfined_u:object_r:httpd_sys_content_t:s0 0 Sep 5 08:57 index.html -rw-r--r--. 1 root root unconfined_u:object_r:user_tmp_t:s0 0 Sep 5 09:14 move.html
Important : Notez ici que copy.html a pris le type du répertoire de destination tandis que move.html retient le type obtenu lors de la création.
Restaurez maintenant la SC par défaut de move.html compte tenu de son emplacement en utilisant la commande restorecon :
[root@centos8 tmp]# restorecon -v /var/www/html/move.html Relabeled /var/www/html/move.html from unconfined_u:object_r:user_tmp_t:s0 to unconfined_u:object_r:httpd_sys_content_t:s0 [root@centos8 tmp]# ls -lZ /var/www/html total 0 -rw-r--r--. 1 root root unconfined_u:object_r:httpd_sys_content_t:s0 0 Sep 5 09:14 copy.html -rw-r--r--. 1 root root unconfined_u:object_r:httpd_sys_content_t:s0 0 Sep 5 08:57 index.html -rw-r--r--. 1 root root unconfined_u:object_r:httpd_sys_content_t:s0 0 Sep 5 09:14 move.html
5.8 - Le fichier /.autorelabel
En cas de besoin il est intéressant de pouvoir restaurer les SC par défaut sur l'ensemble des objets du système. Cette procédure est très simple à mettre en oeuvre. Il convient de créer le fichier .autorelabel à la racine et de redémarrer le système :
[root@centos8 tmp]# touch /.autorelabel [root@centos8 tmp]# shutdown -r now
5.9 - La commande semanage
La commande semanage peut prendre plusieurs options :
[root@centos8 ~]# semanage --help
usage: semanage [-h]
{import,export,login,user,port,ibpkey,ibendport,interface,module,node,fcontext,boolean,permissive,dontaudit}
...
semanage is used to configure certain elements of SELinux policy with-out
requiring modification to or recompilation from policy source.
positional arguments:
{import,export,login,user,port,ibpkey,ibendport,interface,module,node,fcontext,boolean,permissive,dontaudit}
import Import local customizations
export Output local customizations
login Manage login mappings between linux users and SELinux
confined users
user Manage SELinux confined users (Roles and levels for an
SELinux user)
port Manage network port type definitions
ibpkey Manage infiniband ibpkey type definitions
ibendport Manage infiniband end port type definitions
interface Manage network interface type definitions
module Manage SELinux policy modules
node Manage network node type definitions
fcontext Manage file context mapping definitions
boolean Manage booleans to selectively enable functionality
permissive Manage process type enforcement mode
dontaudit Disable/Enable dontaudit rules in policy
optional arguments:
-h, --help show this help message and exit
Pour illustrer l'utilisation de cette commande, considérez le besoin de mettre le service apache à l'écoute du port 8090 au lieu du port standard.
SELinux gère aussi l'accès aux ports par les différents serveurs. La liste complète des ports autorisés par serveur puet être visualiser à l'aide de la commande semanage :
[root@centos8 ~]# semanage port -l | grep http http_cache_port_t tcp 8080, 8118, 8123, 10001-10010 http_cache_port_t udp 3130 http_port_t tcp 80, 81, 443, 488, 8008, 8009, 8443, 9000 pegasus_http_port_t tcp 5988 pegasus_https_port_t tcp 5989
Notez que le serveur apache est autorisé à utiliser les ports suivants :
http_port_t tcp 80, 81, 443, 488, 8008, 8009, 8443, 9000
Dans le cas où on souhaite qu'apache utilise le port 8090 par exemple, il est nécessaire de créer la règle adéquate avec la commande semanage :
[root@centos8 ~]# semanage port -a -t http_port_t -p tcp 8090
Vous noterez que le port 8090 a été ajouté à la liste des ports reconnus comme valides par SELinux :
[root@centos8 ~]# semanage port -l | grep http http_cache_port_t tcp 8080, 8118, 8123, 10001-10010 http_cache_port_t udp 3130 http_port_t tcp 8090, 80, 81, 443, 488, 8008, 8009, 8443, 9000 pegasus_http_port_t tcp 5988 pegasus_https_port_t tcp 5989
5.10 - La commande audit2allow
La création d'un module de politique personnalisé se fait en utilisant la commande audit2allow. L'administrateur de sécurité à recours à la création de modules quand, et uniquement quand :
- la résolution du problème n'est pas possible en utilisant une des commandes précédemment citées,
- il n'existe pas de booléen capable de régler le problème.
[root@centos8 ~]# audit2allow --help
Usage: audit2allow [options]
Options:
--version show program's version number and exit
-h, --help show this help message and exit
-b, --boot audit messages since last boot conflicts with -i
-a, --all read input from audit log - conflicts with -i
-p POLICY, --policy=POLICY
Policy file to use for analysis
-d, --dmesg read input from dmesg - conflicts with --all and
--input
-i INPUT, --input=INPUT
read input from <input> - conflicts with -a
-l, --lastreload read input only after the last reload
-r, --requires generate require statements for rules
-m MODULE, --module=MODULE
set the module name - implies --requires
-M MODULE_PACKAGE, --module-package=MODULE_PACKAGE
generate a module package - conflicts with -o and -m
-o OUTPUT, --output=OUTPUT
append output to <filename>, conflicts with -M
-D, --dontaudit generate policy with dontaudit rules
-R, --reference generate refpolicy style output
-N, --noreference do not generate refpolicy style output
-v, --verbose explain generated output
-e, --explain fully explain generated output
-t TYPE, --type=TYPE only process messages with a type that matches this
regex
--perm-map=PERM_MAP file name of perm map
--interface-info=INTERFACE_INFO
file name of interface information
-x, --xperms generate extended permission rules
--debug leave generated modules for -M
-w, --why Translates SELinux audit messages into a description
of why the access was denied
Pour illustrer l'utilisation de cette commande, créez un nouveau répertoire pour les documents d'apache ainsi que la page d'accueil :
[root@centos8 ~]# mkdir /www1 [root@centos8 ~]# touch /www1/index.html
Éditez le fichier /etc/httpd/conf/httpd.conf :
[...] # DocumentRoot "/var/www/html" DocumentRoot "/www1" [...]
Ajoutez les section <Directory ”/www“>:
...
#
# Relax access to content within /var/www.
#
<Directory "/var/www">
AllowOverride None
# Allow open access:
Require all granted
</Directory>
<Directory "/www1">
Options Indexes FollowSymLinks
AllowOverride None
Require all granted
</Directory>
# Further relax access to the default document root:
<Directory "/var/www/html">
...
Créez le fichier /www1/index.html :
[root@centos7 ~]# vi /www1/index.html [root@centos7 ~]# cat /www1/index.html <html> <title> This is a test </title> <body> www test page </body> </html>
Modifiez ensuite le propriétaire et le groupe du répertoire /www1 et son contenu :
[root@centos8 ~]# chown -R apache:apache /www1
Redémarrez le service httpd :
[root@centos8 ~]# systemctl restart httpd.service
[root@centos8 ~]# systemctl status httpd.service
● httpd.service - The Apache HTTP Server
Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled; vendor preset: disabled)
Active: active (running) since Sun 2021-09-05 09:35:28 EDT; 7s ago
Docs: man:httpd.service(8)
Main PID: 51662 (httpd)
Status: "Started, listening on: port 80"
Tasks: 213 (limit: 23535)
Memory: 36.7M
CGroup: /system.slice/httpd.service
├─51662 /usr/sbin/httpd -DFOREGROUND
├─51664 /usr/sbin/httpd -DFOREGROUND
├─51665 /usr/sbin/httpd -DFOREGROUND
├─51666 /usr/sbin/httpd -DFOREGROUND
└─51667 /usr/sbin/httpd -DFOREGROUND
Sep 05 09:35:28 centos8.ittraining.loc systemd[1]: Starting The Apache HTTP Server...
Sep 05 09:35:28 centos8.ittraining.loc systemd[1]: Started The Apache HTTP Server.
Sep 05 09:35:28 centos8.ittraining.loc httpd[51662]: Server configured, listening on: port 80
Consultez le site localhost en utilisant lynx :
[root@centos8 ~]# lynx localhost
Le fichier /var/log/audit/audit.log contient maintenant des notifications de type AVC :
[root@centos8 ~]# cat /var/log/audit/audit.log | grep AVC | grep http
type=AVC msg=audit(1630846645.968:1287): avc: denied { net_admin } for pid=49273 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
type=AVC msg=audit(1630846646.078:1288): avc: denied { net_admin } for pid=49273 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
type=AVC msg=audit(1630846646.094:1293): avc: denied { net_admin } for pid=49273 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
type=AVC msg=audit(1630846646.160:1294): avc: denied { net_admin } for pid=49273 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
type=AVC msg=audit(1630846646.160:1295): avc: denied { net_admin } for pid=49273 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
type=AVC msg=audit(1630846646.161:1296): avc: denied { net_admin } for pid=49273 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
type=AVC msg=audit(1630846646.163:1297): avc: denied { net_admin } for pid=49276 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
type=AVC msg=audit(1630846646.163:1298): avc: denied { net_admin } for pid=49276 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
type=AVC msg=audit(1630846646.163:1299): avc: denied { net_admin } for pid=49277 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
type=AVC msg=audit(1630846646.163:1300): avc: denied { net_admin } for pid=49277 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
type=AVC msg=audit(1630846646.164:1301): avc: denied { net_admin } for pid=49278 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
type=AVC msg=audit(1630846646.164:1302): avc: denied { net_admin } for pid=49278 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
type=AVC msg=audit(1630846646.165:1303): avc: denied { net_admin } for pid=49279 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
type=AVC msg=audit(1630846646.165:1304): avc: denied { net_admin } for pid=49279 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
type=AVC msg=audit(1630846655.174:1308): avc: denied { net_admin } for pid=49273 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
type=AVC msg=audit(1630846665.186:1309): avc: denied { net_admin } for pid=49273 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
type=AVC msg=audit(1630846675.198:1310): avc: denied { net_admin } for pid=49273 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
type=AVC msg=audit(1630846685.209:1314): avc: denied { net_admin } for pid=49273 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
type=AVC msg=audit(1630846695.221:1315): avc: denied { net_admin } for pid=49273 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
type=AVC msg=audit(1630846705.233:1316): avc: denied { net_admin } for pid=49273 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
type=AVC msg=audit(1630846715.244:1320): avc: denied { net_admin } for pid=49273 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
type=AVC msg=audit(1630846725.256:1321): avc: denied { net_admin } for pid=49273 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
type=AVC msg=audit(1630846735.268:1322): avc: denied { net_admin } for pid=49273 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
type=AVC msg=audit(1630846745.279:1326): avc: denied { net_admin } for pid=49273 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
type=AVC msg=audit(1630846755.290:1327): avc: denied { net_admin } for pid=49273 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
type=AVC msg=audit(1630846765.302:1328): avc: denied { net_admin } for pid=49273 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
type=AVC msg=audit(1630846775.313:1329): avc: denied { net_admin } for pid=49273 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
type=AVC msg=audit(1630846785.325:1333): avc: denied { net_admin } for pid=49273 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
type=AVC msg=audit(1630846795.337:1334): avc: denied { net_admin } for pid=49273 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
type=AVC msg=audit(1630846805.348:1337): avc: denied { net_admin } for pid=49273 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=1
type=AVC msg=audit(1630846925.487:1344): avc: denied { net_admin } for pid=49273 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=1
type=AVC msg=audit(1630846985.607:1351): avc: denied { net_admin } for pid=49273 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=1
type=AVC msg=audit(1630847051.967:1358): avc: denied { getattr } for pid=49279 comm="httpd" path="/www/index.html" dev="dm-0" ino=1509932 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:default_t:s0 tclass=file permissive=1
type=AVC msg=audit(1630847051.967:1359): avc: denied { read } for pid=49279 comm="httpd" name="index.html" dev="dm-0" ino=1509932 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:default_t:s0 tclass=file permissive=1
type=AVC msg=audit(1630847051.967:1359): avc: denied { open } for pid=49279 comm="httpd" path="/www/index.html" dev="dm-0" ino=1509932 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:default_t:s0 tclass=file permissive=1
type=AVC msg=audit(1630847051.967:1360): avc: denied { map } for pid=49279 comm="httpd" path="/www/index.html" dev="dm-0" ino=1509932 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:default_t:s0 tclass=file permissive=1
type=AVC msg=audit(1630847065.699:1364): avc: denied { net_admin } for pid=49273 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=1
type=AVC msg=audit(1630847265.927:1369): avc: denied { net_admin } for pid=49273 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=1
type=AVC msg=audit(1630847536.237:1373): avc: denied { net_admin } for pid=49273 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=1
type=AVC msg=audit(1630847736.467:1380): avc: denied { net_admin } for pid=49273 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=1
type=AVC msg=audit(1630848237.039:1384): avc: denied { net_admin } for pid=49273 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=1
type=AVC msg=audit(1630848287.098:1388): avc: denied { net_admin } for pid=49273 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=1
type=AVC msg=audit(1630848767.654:1392): avc: denied { net_admin } for pid=49273 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=1
type=AVC msg=audit(1630848928.625:1398): avc: denied { net_admin } for pid=51664 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=1
type=AVC msg=audit(1630848972.446:1402): avc: denied { getattr } for pid=51667 comm="httpd" path="/www1/index.html" dev="dm-0" ino=52646361 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:default_t:s0 tclass=file permissive=1
type=AVC msg=audit(1630848972.446:1403): avc: denied { read } for pid=51667 comm="httpd" name="index.html" dev="dm-0" ino=52646361 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:default_t:s0 tclass=file permissive=1
type=AVC msg=audit(1630848972.446:1403): avc: denied { open } for pid=51667 comm="httpd" path="/www1/index.html" dev="dm-0" ino=52646361 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:default_t:s0 tclass=file permissive=1
type=AVC msg=audit(1630848972.446:1404): avc: denied { map } for pid=51667 comm="httpd" path="/www1/index.html" dev="dm-0" ino=52646361 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:default_t:s0 tclass=file permissive=1
type=AVC msg=audit(1630849007.711:1408): avc: denied { net_admin } for pid=51662 comm="httpd" capability=12 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=1
A l'aide de la commande grep, il convient maintenant d'envoyer les messages d'erreurs en provenance du fichier /var/log/audit/audit.log sur l'entrée standard de la commande audit2allow afin de permettre celle-ci de créer des règles permettant l'autorisation de ce qui a été précédemment interdit par SELinux :
[root@centos8 ~]# grep httpd_t /var/log/audit/audit.log | audit2allow -m httpdlocal > httpdlocal.te
L'examen du fichier httpdlocal.te révèle la création de ces règles :
[root@centos8 ~]# cat httpdlocal.te
module httpdlocal 1.0;
require {
type httpd_t;
type default_t;
class capability net_admin;
class file { getattr map open read };
}
#============= httpd_t ==============
#!!!! This avc can be allowed using the boolean 'domain_can_mmap_files'
allow httpd_t default_t:file map;
allow httpd_t default_t:file { getattr open read };
allow httpd_t self:capability net_admin;
L'audit du fichier terminé, il faut maintenant utiliser audit2allow pour créer un module de politique :
[root@centos8 ~]# grep httpd_t /var/log/audit/audit.log | audit2allow -M httpdlocal ******************** IMPORTANT *********************** To make this policy package active, execute: semodule -i httpdlocal.pp
Chargez maintenant le module dans la politique SELinux :
[root@centos8 ~]# semodule -i httpdlocal.pp
Vérifiez que le module est chargé :
[root@centos8 ~]# semodule -l | grep httpd httpdlocal
Redémarrez le service httpd :
[root@centos8 ~]# systemctl restart httpd.service
[root@centos8 ~]# systemctl status httpd.service
● httpd.service - The Apache HTTP Server
Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled; vendor preset: disabled)
Active: active (running) since Sun 2021-09-05 09:42:18 EDT; 9s ago
Docs: man:httpd.service(8)
Main PID: 52079 (httpd)
Status: "Running, listening on: port 80"
Tasks: 213 (limit: 23535)
Memory: 39.2M
CGroup: /system.slice/httpd.service
├─52079 /usr/sbin/httpd -DFOREGROUND
├─52081 /usr/sbin/httpd -DFOREGROUND
├─52082 /usr/sbin/httpd -DFOREGROUND
├─52083 /usr/sbin/httpd -DFOREGROUND
└─52084 /usr/sbin/httpd -DFOREGROUND
Sep 05 09:42:18 centos8.ittraining.loc systemd[1]: Starting The Apache HTTP Server...
Sep 05 09:42:18 centos8.ittraining.loc systemd[1]: Started The Apache HTTP Server.
Sep 05 09:42:18 centos8.ittraining.loc httpd[52079]: Server configured, listening on: port 80
Videz le fichier /var/log/audit/audit.log :
[root@centos8 ~]# rm -rf /var/log/audit/audit.log [root@centos8 ~]# touch /var/log/audit/audit.log [root@centos8 ~]# chmod 600 /var/log/audit/audit.log [root@centos8 ~]# ls -l /var/log/audit/audit.log -rw-------. 1 root root 0 Sep 5 09:43 /var/log/audit/audit.log
Consultez le site localhost :
[root@centos8 ~]# lynx localhost
Constatez que la consultation ne génère plus de messages de type AVC :
[root@centos8 ~]# cat /var/log/audit/audit.log [root@centos8 ~]#
<html>
Copyright © 2021 Hugh Norris.<br><br>
</html>
