Par défaut, sur linux, les services réseaux on un utilisateur attribué. C’est avec cet utilisateur que le service s’exécute. Cet utilisateur ne peut pas être utilisé pour s’authentifier au système à cause de l’attribue “/sbin/nologin” qui lui est affecté.

Voici la définition de l’utilisateur apache dans le fichier “/etc/passwd” :

apache:x:48:48:Apache:/var/www:/sbin/nologin

Pour rappel :

nom d’utilisateur:UID:GID:Nom du Groupe:Chemin du répertoire de base:programme lancé au démarrage

Pour  apache, le programme d’ouverture de session est “/sbin/nologin” ce qui nous empêche de s’authentifier.

exemple :

# su – apache
This account is currently not available.

Nous allons maintenant entrer dans le vif du sujet. Comment faire lorsqu’on a des messages d’erreurs de type “Permission denied” sur notre page WEB? Ou bien dans les logs de Bind ?

Et bien pour moi, le plus simple est de s’authentifier avec l’utilisateur et de vérifier qu’on accède bien à la page que l’on souhaite afficher. Pour cela, il suffi d’utiliser cette commande :

su -l apache -s /bin/bash

A l’aide de cette commande, nous allons tout simplement simuler que l’utilisateur apache a le droit de s’authentifier sur le système et nous allons pouvoir tester ses droits. Le fichier “/etc/passwd” n’est pas modifié.

Attention, l’utilisateur apache n’ayant pas de mot de passe, il faut être root pour executer cette commande.

Ubuntu 11.04 est sortie depuis peu. Malheureusement, j’ai eu la mauvaise surprise d’avoir ce message “It seems that you do not have the hardware required to run Unity” après ouverture de ma session utilisateur.

Pour faire fonctionner Unity sur Virtual Box 4 il faut:

- Installer Ubuntu

- Démarrer une session ( Normalement, vous avez le message d’erreur ci-dessus) et accéder en Gnome classic.

- Lancer un terminal puis tapez les commandes :

sudo apt-get update
sudo apt-get install virtualbox-ose-guest-utils

- Redémarrer et ouvrez de nouveau votre session utilisateur.

Voilà, vous avez maintenant un beau bureau avec Unity. Bon courage pour retrouver vos petits car ça change beaucoup!

Introduction

J’utilise depuis quelques temps GNS3 pour effectuer quelques maquettes et réviser mes cours Cisco. Afin de maquetter un peu la sécurité ( ACL, ASA), j’ai décidé de prendre un peu de temps pour réaliser une maquette comportant des postes de travail virtuels et ainsi tester en réel l’accès aux ports voulus.

Dans ce document, je montrerais seulement la manière de faire communiquer deux machines virtuelles avec un projet GNS3/Dynamips à partir d’interfaces TAP.

Schéma Cible

Voici ma maquette cible: Deux machines virtuelles (PC1 et PC2) appartenant à deux réseaux différents qui pourront communiquer ensemble via le routeur R0. Ce schéma sera souvent utilisé par la suite.

Schéma 1

Pré-requis :

• GNS3 : Simulateur Cisco ( apt-get install gns3 )
• VirtualBOX : Virtualisation de postes de travail –> http://www.virtualbox.org/wiki/Linux_Downloads

Mise en place des interfaces TAP :

Définition d’une interface TAP :

Une interface TAP permet, dans notre cas, d’établir une communication entre le programme GNS3/Dynamips et les machines virtuelles de VirtualBox. Pour pouvoir créer ces interfaces, nous allons devoir installer les packages bridge-utils et uml-utilities.

Pour plus d’informations, vous pouvez aller consulter ce site : http://www.linux-france.org/prj/inetdoc/articles/vm/vm.network.tun-tap.html

Installation des paquets bridge-utils et uml-utilities :

sudo apt-get install bridge-utils uml-utilities

Maintenant, nous allons pouvoir créer nos interfaces TAP. Pour mon projet, j’ai besoin de deux interfaces TAP pour différentier les communication PC1 ↔ Fa0/0 et PC2 ↔ Fa0/1 comme indiqué sur le schéma 1.

Création d’une interface TAP :

Voici les commandes à taper pour créer les interfaces tap0 et tap1.

Création de l’interface tap0 :

sudo tunctl -t tap0

sudo ifconfig tap0 0.0.0.0 promisc up

Création de l’interface tap1 :

sudo tunctl -t tap1

sudo ifconfig tap1 0.0.0.0 promisc up

Cette configuration est éphémère. Elle disparaît au reboot. Je l’utilise seulement lorsque je fais des maquettes donc ça m’arrange.

Voici ce que j’ai lorsque je tape la commande ifconfig :

tap0 Link encap:Ethernet HWaddr 82:9b:7e:df:7d:9b

adr inet6: fe80::809b:7eff:fedf:7d9b/64 Scope:Lien

UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1

Packets reçus:2216 erreurs:0 :0 overruns:0 frame:0

TX packets:225 errors:0 dropped:174 overruns:0 carrier:0

collisions:0 lg file transmission:500

Octets reçus:175316 (175.3 KB) Octets transmis:126614 (126.6 KB)

tap1 Link encap:Ethernet HWaddr 02:b4:43:5f:e2:34

adr inet6: fe80::b4:43ff:fe5f:e234/64 Scope:Lien

UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1

Packets reçus:2237 erreurs:0 :0 overruns:0 frame:0

TX packets:222 errors:0 dropped:6 overruns:0 carrier:0

collisions:0 lg file transmission:500

Octets reçus:175971 (175.9 KB) Octets transmis:127908 (127.9 KB)

Ainsi, les interfaces tap0 et tap1 sont bien reconnu comme interface par ubuntu. Nous allons maintenant pouvoir créer nos machines virtuelles.

Création des machines virtuelles PC1 et PC2 avec VirtualBox :

OS utilisé:

Pour mes maquettes, j’utilise la distribution très légère Microcore Linux. La version que je vous propose de télécharger a été modifiée par les utilisateurs de GNS3 afin d’avoir quelques outils réseaux intéressant comme :

- netcat

- tcpdump

- iperf

Téléchargement :

Voici ou vous pouvez la télécharger : Microcore-linux v2.10 à cette adresse :http://www.gns3.net/download

Conversion img vers vdi:

Le fichier téléchargé est un fichier img. Il n’est pas exploitable directement par VirtualBox. Pour remédier à ce problème, nous allons devoir le convertir en suivant ces étapes :

Installer qemu :

sudo apt-get install qemu-kvm

Convertir IMG vers RAW

qemu-img convert -f qcow2 /home/olivier/Bureau/linux-microcore-2.10.img -O raw /home/olivier/Bureau/linux-microcore-2.10.raw

Convertir RAW en VDI

VBoxManage convertfromraw -format VDI /home/olivier/Bureau/linux-microcore-2.10.raw /home/olivier/Bureau/linux-microcore-2.10.vdi

Voilà, vous avez un beau disque dure compatible avec VirtualBOX.

Création du disque de PC2 :

Pour PC2, il faudra copier le fichier VDI et changer son UUID afin que VirtualBox puisse l’utiliser. Voici la commande permettant de changer l’UUID d’un fichier VDI :

VBoxManage internalcommands setvdiuuid ‘/home/olivier/Bureau/PC2.vdi’

Création sous VirtualBox:

• Nom de la machine : PC1
• Mémoire 128M ( 20 M devrait suffir)
• Disque existant pointant vers le fichier VDI généré précédemment.

Configuration sous VirtualBox :

Une fois la machine Virtuelle Créé, allez dans la configuration et éditez la partie réseau comme ceci :

Pour le PC1, il faudra utiliser un mode d’accès réseau par pont avec l’interface tap0

Pour le PC2, il faudra utiliser un mode d’accès réseau par pont avec l’interface tap1

Une fois que vous avez démarré vos Vms, il vous faut configurer la partie réseau de chaque VM.

Configuration réseau de l’OS

Configuration PC1 :

sudo ifconfig eth0 192.168.0.1

sudo route add default gw 192.168.0.254

sudo hostname PC1

Configuration PC2 :

sudo ifconfig eth0 10.0.0.1

sudo route add default gw 10.0.0.254

sudo hostname PC2

pour arrêter la machine proprement, taper :

sudo halt

Création de la maquette sous GNS3 :

Attention : Pour avoir accès aux interfaces TAP, il est nécessaire de lancer GNS3 en tant que root :

sudo gns3

Ajoutez un routeur et deux nuages comme indiqué sur le schéma 1.

Configurer le premier nuage avec l’interface NIO TAP : tap0

Après l’avoir ajoutée, elle devrait apparaître sous cette forme : nio_tap:tap0

Ceci permet à GNS3 d’utiliser l’interface tap0 pour émettre et recevoir du trafic réseau.

Effectuez la même manipulation pour le second nuage mais cette fois avec tap1 ( C01 → tap1 ).

Configuration du routeur R0 :

Pour cette maquette, j’utilise cette image c3640-a3jk9s-mz.124-3i.bin et j’ai configuré en tant que slot0, le module NM-16ESW afin de transformer mon routeur en switch de niveau3.

Afin de tester la communication, vous pouvez attribuer des ip directement aux interfaces fa0/0 et fa0/1 comme ceci :

en

conf t

ip routing

int fa0/0

no switchport

ip address 192.168.0.254 255.255.255.0

no shut

int fa0/1

no switchport

ip address 10.0.0.254 255.255.255.0

no shut

end

Conclusion :

Avec tout ça si vous essayez de faire des pings entre les pc, ça devrait fonctionner. Je l’ai déjà fais quelques fois et je n’ai jamais de problèmes sauf à l’utilisation de GNS3. Pensez à démarrer Dynamips avant l’ouverture de votre projet. Si vos routeurs consomment trop de cpu, utilisez idle-pc. Pensez à sauvegarder vos conf via tftp. Ça vous sera très utile.

Bon maquettage

Infos supplementaires :

Ecouter un port :

tcp : nc -l -p 80

udp : ns -l -p 53 -u

Sources :

Tutorial Qemu GNS3 : http://docs.google.com/View?id=dfzhd6z4_397g3jjf4db

Conversion IMG vers VDI : http://bber.biz/index.php?m=02&y=09&entry=entry090212-210202

Autre tuto GNS3 – VirtualBox : http://www.firstdigest.com/2010/02/how-to-integrate-gns3-with-virtualbox/

OpenLDAP utilise Syslog pour  journalisation. Pour activer les logs, il faut :

• Editer /etc/openldap/slapd.conf et ajouter :

loglevel        256

Dans /etc/syslog.conf, ajoutez :

local4.*                        /var/log/openldap.log

Ne pas oublier de redémarrer Syslog et OpenLDAP pour prendre en compte les modifications :

/etc/init.d/ldap restart

/etc/init.d/syslog restart

Les logs se trouveront dans /var/log/openldap.log

pour plus d’informations : http://www.zytrax.com/books/ldap/ch6/

Linux

• En tant que “root”, taper "ifconfig -a" 

L’adresse MAC s’affiche sous cette forme : 00:08:C7:1B:8C:02.

Example "ifconfig -a" 

eth0      Link encap:Ethernet HWaddr 00:08:C7:1B:8C:02
          inet addr:192.168.111.20  Bcast:192.168.111.255  Mask:255.255.255.0

Solaris/SunOS

• En tant que “root” tapez "/sbin/ifconfig -a"
• L’adresse MAC s’affiche sous cette forme : 0:3:ba:26:1:b0 – Les premiers  zero sont supprimé. Pour cette example, l’adresse MAC est 00:03:ba:26:01:b0.

Exemple "ifconfig -a"
le0: flags=863 mtu 1500
     inet 192.168.111.30 netmask ffffff00 broadcast 192.168.111.255
     ether 0:3:ba:26:1:b0

FreeBSD/NetBSD

• En tant que “root”, taper "ifconfig -a" 
• L’adresse MAC s’affiche sous cette forme : 00:08:C7:1B:8C:02.

Example "ifconfig -a" 

    ed0: flags=8843 mtu 1500
         inet 192.168.111.40 netmask 0xffffff00 broadcast 192.168.111.255
         ether 00:08:C7:1B:8C:02
…

</UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST>

OpenBSD

• En tant que “root”, taper "netstat -in"

L’adresse MAC s’affiche sous cette forme : 00:08:c7:1b:8c:02.

Example "netstat -in" 

Name  Mtu  Network  Address           Ipkts    Ierrs Opkts   Oerrs Colls
fxp0  1500 <Link>   00:08:c7:1b:8c:02 4112773  0     224501  0     0

...

Caldera/SCO UnixWare/OpenUNIX

• En tant que “root”, taper "ndstat"

L’adresse MAC s’affiche sous cette forme : 00:00:c0:88:0a:2e.

Example "ndstat" 

   Device       MAC address in use    Factory MAC Address
   ------       ------------------    -------------------
   /dev/net0    00:00:c0:88:0a:2e     00:00:c0:88:0a:2e

…

HP-UX (HP UNIX)

• En tant que “root”, taper "/usr/sbin/lanscan"
• L’adresse MAC s’affiche sous cette forme :  0x000E7F0D81D6 .Il faut supprimer l’indicateur Hexadecimal. Pour cet exemple, l’adresse MAC est 00:0E:7F:0D:81:D6.

Example "lanscan" 
Hardware Station        Dev Hardware Net-Interface   NM  Encapsulation      Mjr
Path     Address        lu  State    NameUnit State  ID  Methods            Num
2.0.2    0x000E7F0D81D6 0   UP       lan0     UP     4   ETHER              52

...

IRIX (SGI UNIX)

• IRIX 4.01 or later
• En tant que “root”, taper  "netstat -ia"
• Deuxième méthode
• Taper "/etc/nvram eaddr" devrait afficher également l’adresse MAC

L’adresse MAC s’affiche sous cette forme :  00:00:6b:71:1a:6a.

Example "netstat -ia" 
Name  Mtu    Network   Address            Ipkts   Ierrs   Opkts  Oerrs  Coll
ec0   1500   nowhere   warum              6514913 10234  184317     0  13513
                       192.168.111.90
                       00:00:6b:71:1a:6a
...

NeXTStep

• En tant que “root”, taper "/sbin/ifconfig -a"

L’adresse MAC s’affiche sous cette forme :  0:0:f:a1:75:a0 –Les premiers 0 sont supprimés. Pour cet exemple, l’adresse Mac est  00:00:0f:a1:75:a0.

Example "ifconfig -a" 

le0: flags=863 mtu 1500
     inet 192.168.111.70 netmask ffffff00 broadcast 192.168.111.255
     ether 0:0:f:a1:75:a0

AIX (IBM UNIX)

• En tant que “root”, taper  "netstat -ia"

L’adresse MAC s’affiche sous cette forme :  00:09:6B:51:1f:79.

Example "netstat -ia"

Name  Mtu    Network   Address            Ipkts   Ierrs   Opkts  Oerrs  Coll
ec0   1500   nowhere   flotsam              5514233 11434  101317     0  14113
                       192.168.111.95
                       00:09:6B:51:1f:79
...

Tru64 UNIX (Digital UNIX)

• En tant que “root”, taper  "netstat -ia" 

L’adresse MAC s’affiche sous cette forme :  >00:00:F8:1a:73:da.

Example "netstat -ia" 

Name  Mtu    Network   Address            Ipkts   Ierrs   Opkts  Oerrs  Coll
ec0   1500   nowhere   jetsam              5514233 11434  101317     0  14113
                       192.168.111.95
                       00:00:F8:1a:73:da
...

Nous allons configurer openldap pour s’assurer que l’authentification et les informations ne circulent pas en claires. Pour cela, nous allons devoir générer un certificat serveur à l’aide d’openssl, indiquer au serveurs Ldap d’utiliser ces certificats et enfin lui demander d’écouter sur un nouveau port pour les connexions sécurisées.

Pré-requis :

• OpenLdap installé et configuré
• Openssl doit être installé

Génération du certificat serveur :

Créer l’arborescence qui contiendra les certificats que nous allons générer :

mkdir –p /etc/ssl /etc/ssl/openldap

cd /etc/ssl/openldap

Générer le certificat :

openssl req -x509 -new -config openssl-ldap.cnf -out ldap_cert.pem -keyout ldap_key.pem -days 730 –nodes

Vous devez répondre aux questions. Celles-ci permettent à l’utilisateurs de connaître la provenance du certificat.

Deux fichiers vont être générés : ldap_cert.pem et ldap_key.pem

Mettez leurs les droits 440 propriétaire root groupe ldap

Configuration d’OpenLdap

Editez le fichier /etc/openldap/slapd.conf et ajoutez :

TLSCertificateFile /etc/ssl/openldap/ldap_cert.pem
TLSCertificateKeyFile /etc/ssl/openldap/ldap_key.pem

Ces lignes permettent de spécifier l’emplacement du certificat et de sa clé au serveur OpenLdap.

Editez le fichier /etc/openldap/ldap.conf Pour qu’il ressemble à cela :

URI     ldaps://192.168.0.1:636
TLS_CACERTDIR /etc/ssl/openldap/

Le serveur ldap écoutera sur le port 636 au redémarrage du service ldap.

Vous pouvez tenter une connexion avec JXplorer :

Afin de faire du chroot, il est nécessaire de mettre à jour open-ssh en v5 ou v4.8 minimum.

Voici la procédure permettant de faire la mise à jour :

Installer les outils de développement si ce n’est pas déjà fait :

yum install gcc

yum install openssl-devel

yum install pam-devel

yum install rpm-build

Télécharger openssh 5.2p1

wget ftp://mirror.planetunix.net/pub/OpenBSD/OpenSSH/portable/openssh-5.2p1.tar.gz

Génération des fichiers RPM

Maintenant, nous allons créé le RPM à partir du fichier tar.gz :

tar xvfz openssh-5.2p1.tar.gz

cp ./openssh-5.2p1/contrib/redhat/openssh.spec /usr/src/redhat/SPECS/

cp  ./openssh-5.2p1.tar.gz /usr/src/redhat/SOURCES/

cd /usr/src/redhat/SPECS/

perl -i.bak -pe 's/^(%define no_(gnome|x11)_askpass)\s+0$/$1 1/' openssh.spec

rpmbuild -bb openssh.spec

Liste des fichiers rpm générés :

cd /usr/src/redhat/RPMS/`uname -i` ls -l       
total 988 

-rw-r--r-- 1 root root 272540 nov  2 15:55 openssh-5.2p1-1.i386.rpm          
-rw-r--r-- 1 root root 431980 nov  2 15:55 openssh-clients-5.2p1-1.i386.rpm         
-rw-r--r-- 1 root root  16712 nov  2 15:55 openssh-debuginfo-5.2p1-1.i386.rpm         
-rw-r--r-- 1 root root 269432 nov  2 15:55 openssh-server-5.2p1-1.i386.rpm

Mettre à jour open-ssh :

rpm -Uvh openssh*rpm

Preparing... ################################

1: openssh ####

2: openssh-clients ####

3: openssh-server ####

Redémarrer SSH

service sshd restart

Vérification :

# rpm -qa | grep openssh
openssh-5.2p1-1
openssh-server-5.2p1-1
openssh-debuginfo-5.2p1-1
openssh-clients-5.2p1-1

Activation du routage :

Sur un système LINUX, le routage est désactivé par défaut même si la machine comporte plusieurs cartes réseaux. Il faut activer ce routage pour utiliser un passerelle en LINUX. Pour cela, il suffit de modifier le fichier /etc/sysctl.conf. Modifier la ligne net.ipv4.ip_forward comme ceci :

net.ipv4.ip_forward = 1

Une fois le fichier corrigé, activer le changement avec la commande :

sysctl -p

Vérifiez que le routage est actif en consultant la valeur donnée à la fonction routage.

[root@localhost ~]# cat /proc/sys/net/ipv4/ip_forward
1

Ici, on obtient la valeur 1, donc le routage est actif. Si vous obtenez 0, vous n’avez pas encore activé le routage.

Règles iptables :

iptables -t nat -A PREROUTING -d ip_du_serveur_iptables -p tcp –dport Numero_port_entrée -j DNAT –to-dest ip_distant:port_distant
iptables -t nat -A POSTROUTING -d ip_distant -p tcp –dport 25 -j SNAT –to ip_du_serveur_iptables

Exemple :

Si on souhaite mapper le port 30 sur le port 25 du serveur 81.0.0.1, voici les règles iptables à appliquer :

iptables -t nat -A PREROUTING -d 192.168.0.1-p tcp –dport 30 -j DNAT –to-dest 81.0.0.1:25
iptables -t nat -A POSTROUTING -d 81.0.0.1 -p tcp –dport 110 -j SNAT –to 192.168.0.1

Pour sauvegarder les règles, tapez la commande :

iptables-save > /etc/sysconfig/iptables

Problème rencontré :

Je n’ai pas réussi à rediriger un port avec le nom de domaine du serveur distant. Apparemment, c’est impossible… Si quelqu’un a une idée?

Tcpdump est un outil gratuit installé par défaut sur les distributions linux. Il permet de capturer le trafic réseau en émission et en réception du host sur lequel il est installé.

Commande de base :

tcpdump

Afficher plus d’information :

tcpdump –v

Afficher le contenu des paquets :

tcpdump –v –A

Ne pas résoudre les adresses IP

tcpdump –n

Filtrer :

Filtre par protocole :

tcpdump tcp

tcpdump proto tcp

tcpdump proto gre

Filtre par host :

tcpdump host www.google.fr # capturer tout le trafic provenant ou à destination de www.google.fr

tcpdump dst www.google.fr # trafic à destination de www.google.fr

tcpdump src www.google.fr # trafic en provenance de www.google.fr

Utiliser plusieurs options :

tcpdump ‘dst www.google.fr and port 80’ # trafic à destination de www.google.fr et utilisant le port 80

tcpdump ‘tcp and not (host 192.168.0.1 and port 22)’ # trafic tcp qui n’est pas une connexion ssh de l’host 192.168.0.1

Accès à grub en ligne de commande :

Au menu de grub, appuyez sur la lettre “c” pour command line.

Vous arrivez sur un prompt grub>

le clavier est en querty :

( : Maj 9

) : Maj 0

, : m

Rechercher la partition où se trouve le /boot :

Il vous faut tout d’abord lister les partitions disponibles. Pour cela, utilisez la commande “root”

exemple :

grub> root (hd<TAB>

<TAB> correspond à la touche tabulation. Cette touche nous aide à lister les partitions existantes et les répertoires.

Placer vous sur une partition par exemple hd0,0 (disque 0 partition 0)

grub> root (hd0,0)

Vérifiez que le /boot se situe sur cette partition :

grub> kernel /<TAB>

Ici, nous pouvons voir que cette partition possède le noyau vmlinuz. Donc c’est sur cette partition qu’il y a le /boot et c’est sur celle-ci qu’il faut booter. Si vous ne voyez pas le fichier vmlinuz, il faut changer de partition. La capture d’écran de la commande “root (hd0<TAB>” nous montre qu’il y’a 2 partitions sur le disque 0 : 0 et 4. Dans ce cas, nous pouvons regarder si le /boot se site sur la partition 4.

Démarrer manuellement :

grub> root (hd0,0)

grub> kernel /vmlinuz

grub> initrd /initrd.img

grub> boot

Modifier grub :

Il faut remplacer l’ancienne partition par celle qui contient le /boot dans le fichier /etc/grub/grub.conf ou /boot/grub/menu.lst