Installation et configuration du  Configuration côté client

serveur NFS sous Centos Le Montage temporaire

Introduction # mkdir /home/share

#mount -t nfs Adresse_ip_serveur: /home/Hamid/partage

NFS (Network File System) est un protocole permettant de
/home/share
monter des disques en réseau. Ce protocole basé sur le principe
client/serveur, a été développé par Sun Microsystems en 1984. Il Demonter le partage
peut servir à l'échange de données entre des systèmes Linux,
macOS ou Windows. L'un de ses avantages est qu'il gère les # umount /home/share
permissions sur les fichiers.
Pour affichez les dossiers monter
• Le port utilisé par NFS c'est 2049.
# df –hT
• NFS est compatible avec l'IPv4 et IPv6
Montage automatique via fstab
 Configuration côté serveur Vi /etc/fstab
Installation et la vérifier le package Adresse_ip_serveur: /home/Hamid/partage /home/share
Sur le serveur Nfs _netdev 0 0
Rpm –qa | grep –i nfs-utils

Dnf -y install nfs-utils Adresse_ip_serveur: /home/Hamid/partage /home/share

Sur le client Nfs defaults 0 0
Rpm –qa | grep –i client-utils
Monter toutes les partitions contenues dans /etc/fstab en
Dnf -y install client-utils tapant la commande :

Créer un dossier partage # mount –a

Mkdir /home/Hamid/partage Lister les informations de montage

Configuration du serveur Nfs se fait dans le fichier #showmount -e <IP_serveur_NFS>

Vi /etc/exports Installation et configuration du

home/Hamid/partage [Link]/24 ((ro) ou (rw)) serveur SAMBA sous Centos
home/Hamid/partage *.[Link] (ro,all_squash) Installation Samba:
home/Hamid/partage [Link] (rw,anonuid=Uid,anongid=gid) #yum install -y samba*
home/Hamid/partage [Link] (rw,no_root_ squash) #dnf install -y samba
home/Hamid/partage *.[Link] (ro,root_squash)
Vérifier l’installation
Démarrer le service NFS
#rpm –qa |grep –i samba
# systemctl start [Link]
Définir le mot de passe samba
# exportfs -ra
#smbpasswd -a user1
Activer le service NFS
Fichier de configuration
# systemctl enable [Link]
#vi /etc/samba/[Link]
Redémarrer le service NFS
Configuration de fichier
# systemctl restart [Link]
Section global
Pour affichez le dossier partager
Workgroup= Samba
# showmount -e Adresse IP sereveur NFS
Security= User
Désactiver le Firewall
passdb backend= adbsam
#systemctl stop [Link]
Configuration du partage # smbmount //@IP serveurSamba/nom_de_partage
/home/samba -o username=user1
[Nom de partage]
# mount -t cifs //@IP serveurSamba/nom_de_partage
Comment = dossier_partager_avec_du_groupe /home/samba -o username=user1

path = /home/tri Montage automatique via fstab

Public = no ou yes Vi /etc/fstab

valid users =user1, @goupe Adresse_ip_serveur: /home/Hamid/partage /home/share

writable = yes CIFS Username=user1,password=123, _netdev 0

0
browseable = yes

create mask = 0765

write list = utilisateur1, utilisateur2, @groupe

Hosts allow= 20.0.0. except [Link]

create mask : paramètre indique les droits appliqués sur les
fichier

Public : Autoriser ou non les connexions sans mot de passe

valid users : Définir une liste d'utilisateurs autorisés à accéder à

ce repertoire

browseable =yes : Rendre le répertoire visible par les clients,

c'est à dire les autoriser à le voir.

read only = No : Afin de rendre un partage accessible en lecture

et en écriture pour tous.

read only = Yes : C'est le mode par défaut

write list : limiter le nombre des utilisateur doit modifier

Démarrer le service smb

#systemctl start [Link]

Activer le service smb

#systemctl enable [Link]

Redémarrer le service smb

#systemctl restart [Link]

Test de configuration entre le client

Linux

#smbclient //@IP serveurSamba/nom_de_partage -U utilisateur

#smbclient //[Link]/share -U user1

Windows

//@ip_du_serveur/dossier_partagé

//[Link]/share

Le Montage temporaire
#mkdir /home/samba
Installation et configuration du #vi /etc/dhcp/[Link].

serveur DHCP Configuration DHCP IPV6

subnet6 [Link] /64 {
Vérifier l’installation du serveur DHCP
range6 [Link] [Link];
#rpm –qa |grep –i dhcp
Option [Link]-servers [Link];
Installation des package
Option [Link]-search "[Link]";
#yum -y install dhcp

#dnf -y install dhcp

Réservation une adresse IPv6
Host PC1 {
Fichier de configuration
Hardware Ethernet [Link]; 9
#vi /etc/dhcp/[Link]
fixed-address6 [Link];
Configuration le service DCHP
}
subnet [Link] netmask [Link] {
Démarrer le service DHCP
default-lease-time 600;
#systemctl Start [Link]
max-lease-time 7200;
Activer le service DHCP
Option subnet-mask [Link];
#systemctl enable [Link]
Option broadcast-address [Link];

Option routers [Link];

Redémarrer le service DHCP

Option domain-name-servers [Link], [Link]; #systemctl restart [Link]

Option domain-name "[Link]"; Vérification de la configuration

Option ntp-servers [Link]; #dhcpd

Option netbios-name-servers [Link]; Le fichier Base de données d'attribution

Option nis-domain “[Link]” #Vi /var/lib/dhcpd/[Link]

Option nis-servers [Link] Fichier de l'exemple configuration

Range [Link] [Link]; #vi /usr/share/doc/dhcp*/[Link]

Range [Link] [Link]; #vi/usr/share/doc/dhcp*/dhcpd .[Link]

Réservation une adresse IP

Host PC1 {

Option host-name "[Link]";

Hardware ethernet [Link];

fixed-address [Link];

Refus d’un hôte (bloquer une adresse MAC)

Host PC1 {

Hardware ethernet [Link];

deny booting;

Fichier de configuration DHCPv6

 ldapadd -Y EXTERNAL -H ldapi:/// -f
/etc/openldap/schema/[Link]
Le service open Ldap ldapadd -Y EXTERNAL -H ldapi:/// -f
Installation /etc/openldap/schema/[Link]

ldapadd -Y EXTERNAL -H ldapi:/// -f

#yum -y install openldap-clients openldap-servers openldap-
/etc/openldap/schema/[Link]
devel migrationtools

#dnf -y install openldap-clients openldap-servers openldap-devel Redémarrer le serveur

migrationtools systemctl start [Link]
Vérifiez l’existant du package LDAP Démarrez le service LDAP
#rpm –qa |grep –i openldap-clients openldap-servers openldap- systemctl start [Link]
devel migrationtools
Activer le service LDAP :
Vérifiez le LDAP
systemctl enable [Link]
netstat -antup | grep -i 389
Gestion de la base
Configuration
Ajouter le domaine
Configurer le mot de passe root LDAP
#vi [Link]
[root@server ~]# slappasswd
dn: dc=tri,dc=local dc: tri
New password:
ObjectClass: top
Re-enter new password:
ObjectClass: domain
Configurer le serveur OpenLDAP :
Ajout de l’unité d’organisation
1. Editer le fichier /etc/openldap /[Link] et
#vi stagiaire
modifier la ligne suivante par votre domaine
dn: ou=stagiaire,dc=tri,dc=local
BASE dc=tri,dc=local
ObjectClass: organizationalUnit
2. Editer le fichier
slapd.d/cn\=config/olcDatabase\=\{1\}[Link] Ou: stagiaire
if et renseigner votre domaine Ajout du groupe
"cn=Manager,dc=tri,dc=local"
#vi [Link]
3. Editer le fichier
dn: cn=201,ou=stagiaire,dc=tri,dc=local
slapd.d/cn\=config/olcDatabase\=\{2\}[Link],
modfier le domaine puis ajouter le mot de passe ObjectClass: posixGroup
crypté cn: 201
olcSuffix: dc=tri,dc=local gidNumber :0
olcRootDN: cn=Manager,dc=tri,dc=local
Ajout de l’utilisateur
olcRootPW: {SSHA} ppNk4zYhzD9PUUohDERGxGJFRzaCzbuA
# useradd user1
Configurer la base de données LDAP #/usr/share/migrationtools/migrate_passwd.pl [Link] >
Copiez le fichier de configuration de base de données [Link]
exemple dans / var / lib / ldap et mettez à jour les # Cat [Link]
autorisations de fichier.
dn: uid=user1,ou=stagiaire,dc=tri,dc=local
#cp /usr/share/openldap-servers/DB_CONFIG.example
/var/lib/ldap/DB_CONFIG uid: user1

#chown ldap:ldap /var/lib/ldap/* cn: user1

objectClass: account
Mettre à jour le Schéma
objectClass: posixAccount
objectClass: top AllowUsers user1 user2 user3

objectClass: shadowAccount Autoriser seulement certains membres de groupes

userPassword: AllowGroups goupe1 groupe2
{crypt}$6$AVyD/mkA$lIt3htNs3iPesXvjPW2G5XaeWwjEA4331AX
fZkpHLcQ1hDyr3PEb Refuser la connexion que de certains utilisateurs.

Importation du fichier ldif DenyUsers user1 user2 user3

Ajout de l’unité d’organisation Afficher une bannière

ldapadd -x -W -D "cn=Manager,dc=tri,dc=local" -f [Link] # Banner /etc/banner

Ajout du groupe Modifier le port d’écoute

ldapadd -x -W -D "cn=Manager,dc=tri,dc=local" -f [Link] Port numéro_du_port

Ajout de l’utilisateur Modifier l’interface d’écoute

ldapadd -x -W -D "cn=Manager,dc=tri,dc=local" -f [Link] ListenAddress [Link]

Vérification de l’importation Autoriser /interdire mot de passe vide

#ldapsearch -x -b "dc=tri,dc=local " PermitEmptyPasswords no ou yes

#ldapsearch -x -b "dc=tri,dc=local " –LLL Autoriser interdire authentification par mot depasse

Suppression d'un élément PasswordAuthentication yes

#ldapdelete -v –D "cn=Manager,dc=tri,dc=ma" -W "cn=user1, Limiter le nombre de connexion

ou=stagiaire,dc=tri,dc=local"
MaxSessions 10
Modification d’un attribut MaxStartups [Link]
ldapmodify -x -W -D "cn=Manager,dc=tmsir,dc=local" -f [Link] Limiter le nombre de tentative d'authentification
Configuration client Linux MaxAuthTries 4
Installer le packet openldap client Maintenir la connexion
# yum -y install openldap-clients nss-pam-ldapd ClientAliveInterval 600
Configurer l’authentification LDAP: Autoriser authentification par clé
# authconfig-tui PubkeyAuthentication yes
La communication entre le serveur et le client : Activer les logs
# getent passwd NomUtilisateur LogLevel INFO
Tester l’accèer Se connecter par la commande SSH
#su – NomUtilisateurLdap
Authentification par mot de passe
Le service OPENSSH $ssh login@nom du domaine ou adresse IP du serveur

Installation de la vérification du serveur OpenSSH $ ssh -6 <nom_utilisateur> ou <adresse ipv6>

# dnf –y install openssh-server Authentification par clef

# rpm –qa |grep –i openssh-server $ssh-keygen –t rsa –b 2048

Configurer le service SSH Autoriser votre clef publique

Désactiver les connexions SSH en root $ssh-copy-id –i ~/.ssh/id_rsa.pub user@ipmachine

#vi /etc/ssh/sshd_config $scp ~/.ssh/id_rsa.pub

user@ipmachine:/home/user/.ssh/authorized_keys
PermitRootLogin no
Se connecter par Putty (client Windows)
Autoriser/Interdire des utilisateurs
Application Putty permet d’accéder au serveur Linux via le # Les transferts en ASCII sont souvent source de confusions
protocole SSH depuis une machine Windows. Lancer l’outil et
ascii_upload_enable=NO
indiquer le nom du domaine ou l’adresse IP du serveur SSH ainsi
que le numéro de port 22 ascii_download_enable=NO

Configuration de service vsftp # Banniere de bienvenue

Installation ftpd_banner=Bienvenue sur mon ftp perso

#Limiter les utilisateurs à leur répertoire

#dnf install vsftpd
chroot_local_user=YES
Configuration
chroot_list_enable=NO
Le fichier de configuration
allow_writeable_chroot=YES
# vi /etc/[Link]
# Les heures d’enregistrement des fichiers seront affiches a
#Pas de connexions en mode anonymous l’heure locale use_localtime=YES
anonymous_enable=NO #Le serveur fonctionne en mode standalone
#Spécifie le port sur lequel vsftpd doit être à l'écoute de listen=YES
connexions réseau.
listen_ipv6=NO
listen_port=21
# vérifie que la commande PORT provienne bien du port 20 de la
#Autoriser les utilisateurs locaux puissent se connecter machine cliente connect_from_port_20=YES
local_enable=YES # Par sécurité, on interdit la commande ABOR
#Autoriser les utilisateurs à remonter des fichiers sur le serveur async_abor_enable=NO
write_enable=YES Démarrer et activer le service
#Fixer le masque local a 022 (les fichiers remontés auront des #systemctl enable [Link]
droits en 755)
# systemctl start [Link]
local_umask=022
# systemctl stop [Link]
# Refus des droits d'écriture pour les anonymes (et donc
utilisateurs virtuels) anon_upload_enable=NO

# pas de création de répertoire Test (client)

anon_mkdir_write_enable=NO $ftp Nom Serveur FTP (ou Adresse IP)

# pas de création, suppression, renommage de répertoire ... Télécharger des fichiers

anon_other_write_enable=NO Vérifier l’emplacement local
# Les actions des utilisateurs soient >get nom fichier
loggees xferlog_enable=YES Télécharger plus d’un fichier
# Les logs seront enregistrés dans le fichier /var/log/[Link]
>mget fichier1 fichier2 fichier3
xferlog_file=/var/log/[Link]
Uploader des fichiers
#Temps avant déconnexion sur une session inactive
Vérifier l’emplacement local
idle_session_timeout=600
>put nom fichier
#Temps avant déconnexion sur une session active
Télécharger plus d’un fichier
data_connection_timeout=120
>mput fichier1 fichier2 fichier3
# Nombre maximum de connexion simultanée
Installer la base de données Berkeley (db4)
max_clients=50
#yum install db4-utils db4
# Nombre maximum de connexion venant de la même IP

max_per_ip=4
Créer un fichier de base de données pour les utilisateurs Ajoutez les paramètres de configuration suivants pour activer
virtuels SSL, puis sélectionnez la version de SSL et TLS à utiliser, à la fin du
fichier.
#db_load -T -t hash -f [Link] [Link] #chmod 600
[Link] ssl_enable=YES

ssl_tlsv1_2=YES
Configuration du PAM
ssl_sslv2=NO
#vi /etc/pam.d/vsftpd
ssl_sslv3=NO
auth required pam_userdb.so db=/etc/vsftpd/login
Ensuite, ajoutez les options rsa_cert_file et rsa_private_key_file
account required pam_userdb.so db=/etc/vsftpd/login pour spécifier respectivement l'emplacement du certificat SSL et
du fichier de clé privée.
session required pam_loginuid.so
rsa_cert_file=/etc/ssl/vsftpd/[Link]
Configuration VSFTPD
rsa_private_key_file=/etc/ssl/vsftpd/[Link]
#vi /etc/vsftpd/[Link]
Ensuite, ajoutez ces options pour désactiver toute réutilisation
# avec le fichier user_list des connexions de données SSL et définissez les chiffrements SSL
ÉLEVÉS pour autoriser les connexions SSL cryptées
local_enable=YES
require_ssl_reuse=NO
## Activer les utilisateurs virtuels
ssl_ciphers=HIGH
guest_enable = yes
Vous devez également spécifier la plage de ports (port min et
## Les utilisateurs virtuels utiliseront les mêmes autorisations
max) des ports passifs à utiliser par vsftpd pour les connexions
que les utilisateurs anonymes sécurisées, en utilisant respectivement les paramètres
virtual_use_local_privs = yes pasv_min_port et pasv_max_port. En outre, vous pouvez
éventuellement activer le débogage SSL à des fins de dépannage,
# Décommentez ceci pour activer n'importe quelle forme de à l'aide de l'option debug_ssl
commande d'écriture FTP. write_enable = yes
pasv_min_port=40000
## Nom du fichier PAM
pasv_max_port=50000
pam_service_name = vsftpd
debug_ssl=YES
## Home Directory pour les utilisateurs virtuels
Authorizer le service dons le pare-feu
user_sub_token= $ USER
# firewall-cmd --zone=public --permanent –add-port=990/tcp
local_root = / home/ftp/$ USER
# firewall-cmd --zone=public --permanent –add-port=40000-
# Vous pouvez spécifier une liste explicite d'utilisateurs locaux à 50000/tcp
chroot () à leur domicile
# firewall-cmd --reload
# répertoire. Si chroot_local_user est YES, alors cette liste
devient une liste de # utilisateurs à ne pas chrooter ().

chroot_local_user = yes

## Masquer les ID de l'utilisateur

hide_ids = yes

Genérer le certificat SSL/TLS et la clé privée

Créer le dossier ssl/vsftpd pour stocker le certificat TLS/SSL

# mkdir -p /etc/ssl/vsftpd

Générer le certificat TLS/SSL auto-signé et la clé privée avec la

commande suivante:

# openssl req -x509 -nodes -keyout /etc/ssl/vsftpd/[Link]

-out /etc/ssl/vsftpd/[Link] -days 365 -newkey rsa:2048