\\
[[cours_nethserver_101|{{ Images_Cahier-101-05-000.png?650 }}]]
\\
====== Description générale ======
===== Introduction =====
Le **Cahier-05** du cours **NethServer-101** présente:
- l'installation et la configuration d'un //modem VDSL//,
- le branchement de votre poste de travail à l'Internet et la vérification de la communication,
- l'installation et la configuration complète d'un //Serveur NethServer 7.6.1810//,
- le service d'un DNS dynamique vs régistraire de domaine FQDN,
- l'obtention d'un //certificat Let's Encrypt//,
- le pare-feu //Fail2ban// et le courrier électronique de même que la migration de courriels depuis un //Serveur SME//,
- la configuration d'un adaptateur téléphonique analogique //HT-502// et sa connexion à l'Internet à travers le Serveur NethServer afin de pourvoir continuer à utiliser votre téléphone filaire standard comme si c'était un téléphone IP et
- la sauvegarde de la configuration et des données du Serveur NethServer.
Vous n'aurez plus besoin d'un pare-feu; le Serveur NethServer remplit ce rôle et encore plus pour votre réseau LOCAL. Ce serveur servira de bureau de poste pour vos courriels, les filtrera pour vous indiquer ceux qu'il considère comme pourriels, bloquera toutes tentatives d'intrusion en provenance de l'Internet, etc.
===== À propos du Serveur NethServer =====
//Référence:// [[https://www.nethserver.org/|À propos du Serveur NethServer]].\\
NethServer est un système d'exploitation pour les passionnés de Linux: simple, puissant, sécurisé et orienté vers la gestion de la communication et des réseaux. NethServer est utilisé par des milliers d'individus, entreprises et organisations dans le monde entier. Le Serveur NethServer fournit une alternative, LIBRE et simple à déployer, aux logiciels propriétaires coûteux et à l'écart de la compétition.
- NethServer repose sur la distribution //CentOS-7// qui utilise le code source ouvert et publiquement disponible de la distribution //Red Hat Enterprise Linux (RHEL)//
- Extrêmement modulaire et riche en fonctionnalités: serveur de messagerie et filtre, serveur Web, logiciel de groupe, pare-feu, filtre Web, IPS/IDS, VPN, etc.
- 100% LIBRE: alimenté par des contributeurs et par la communauté.
- Une interface Web puissante, simple, rapide et disposant de modules pré-configurés pouvant être installés en un seul clic:
♦ Pare-feu //(Shorewall, DPI, web filter, multi wan)//.\\
♦ Samba4 AD ou OpenLDAP (un seul identificateur pour tous les serveurs).\\
♦ Serveur de fichiers (samba, nfs).\\
♦ Web (httpd, MySQL, MariaDB ou PostgreSQL).\\
♦ VPN.\\
♦ Sauvegarde.\\
♦ VOIP PBX.\\
♦ Nextcloud.\\
♦ Serveur de courrier et Webmail.\\
♦ etc...
===== Quincaillerie minimum recommandée =====
Les informations ci-dessous sont celles que nous suggérons être le minimum recommandé.
- **CPU:** -> 64 bit (x86_64).
- **Mémoire:** -> 1 GB.
- **Disque:** -> 8 GB.
Les exigences matérielles du Serveur NethServer sont modestes par rapport à d'autres distributions disponibles aujourd'hui. Toutefois, en raison de son rôle, il est important de sélectionner un ordinateur hôte approprié.
{{Images_Cahier-101-03-005.png?25}} Nous recommandons d’utiliser au moins deux disques pour une configuration //RAID-1//. Le logiciel RAID assurera l’intégrité des données en cas d'une panne de disque.
===== Manuels de référence =====
On peut consulter les documents suivants pour de plus amples renseignements.
♦ Manuel de l’utilisateur NethServer //(anglais seulement)//: [[https://www.nethserver.org/documentation/|https://www.nethserver.org/documentation/]].
♦ Developer’s Guide //(anglais seulement)//: [[http://docs.nethserver.org/projects/nethserver-devel/en/v7/|http://docs.nethserver.org/projects/nethserver-devel/en/v7/]].
===== But de ce cahier =====
{{ Images_Cahier-101-05-001.png?600 }}
\\
==== Téléphonie (section optionnel) ====
Si vous désirez économiser sur votre facture téléphonique, vous trouverez dans ce cahier la marche à suivre pour remplacer votre connexion analogique par une ligne VoIP tout en gardant votre ancien téléphone standard.
{{ Images_Cahier-101-05-002.png?550 }}
\\
===== Cours NethServer-101 =====
Le //Cours NethServer-101//, se voulant une base solide pour la création d'un site de **Commerce en ligne**, comprend plusieurs cahiers:
- [[nethserver_101_cahier_01_linux|Cahier-01]]: -> Les bases de Linux.
- [[nethserver_101_cahier_02_installations_configurations_logiciels_prerequis|Cahier-02]]: -> Installation et configuration des logiciels prérequis sur le poste de travail.
- [[nethserver_101_cahier_03_creation_un_serveur_virtuel|Cahier-03]]: -> Création d'un Serveur NethServer virtuel.
- [[nethserver_101_cahier_04_local_certificat_let_encrypt|Cahier-04]]: -> Serveur NethServer LOCAL & Let's Encrypt.
- [[nethserver_101_cahier_05_vdsl_fqdn_internet_et_nethserver|Cahier-05]]: -> FAI, modem VDSL, domaine FQDN(( **FQDN**: Dans le //DNS//, un Fully Qualified Domain Name //(FQDN, ou nom de domaine complètement qualifié)// est un nom de domaine qui révèle la position absolue d'un nœud dans l'arborescence //DNS// en indiquant tous les domaines de niveau supérieur jusqu'à la racine. On parle également de domaine absolu, par opposition aux domaines relatifs. Par convention, le //FQDN// est ponctué par un point final.\\
//Référence:// [[https://fr.wikipedia.org/wiki/Fully_qualified_domain_name|https://fr.wikipedia.org/wiki/Fully_qualified_domain_name]]. \\ \\ )) et Serveur NethServer physique.
- [[nethserver_101_cahier_06_nethserver_wordPress|Cahier-06]]: -> Installation de WordPress.
- [[nethserver_101_cahier_07_nethserver_wordPress_wordfence|Cahier-07]]: -> Installation de l'extension de sécurité Wordfence.
- [[nethserver_101_cahier_08_woocommerce_paypal_stripe|Cahier-08]]: -> WooCommerce, comptes chez Stripe et PayPal pour les paiements en ligne.
- [[nethserver_101_cahier_09_duplicator_migration|Cahier-09]]: -> Sauvegarde/restauration ou migration d'un site avec l'extension Duplicator.
- [[nethserver_101_cahier_10_mandataire_inverse|Cahier-10]]: -> Serveur mandataire inversé.
- [[nethserver_101_cahier_11_nethserver_backuppc|Cahier-11]]: -> Sauvegarde/restauration avec BackupPC.
==== Cours NethServer-201 ====
Le //Cours NethServer-201// décrit l'installation et la configuration d'applications sur un serveur NethServer.
- [[nethserver_201_cahier_01_nethserver_et_dolibarr|Cahier-201-01]]: -> Dolibarr.
- [[nethserver_201_cahier_02_odoo_12|Cahier-201-02]]: -> Odoo-12.
- [[nethserver_201_cahier_03_mediawiki|Cahier-201-03]]: -> MediaWiki.
- [[nethserver_201_cahier_04_dokuwiki|Cahier-201-04]]: -> DokuWiki.
- [[nethserver_201_cahier_05_moodle|Cahier-201-05]]: -> Moodle.
- [[nethserver_201_cahier_06_proxmox|Cahier-201-06]]: -> Proxmox.
- [[nethserver_201_cahier_07_flectra|Cahier-201-07]]: -> Flectra.
==== Logiciels ====
Tous les logiciels nécessaires sont du domaine public ou LIBRE sous licence //GPL//; ils ne coûtent pas un sou. Le seul achat nécessaire est l'obtention d'un nom de domaine au prix initial de $15 CAD et son renouvellement annuel d'environ $30 CAD.
==== But final ====
Après avoir suivi le //Cours NethServer-101//, vous posséderez un site de //Commerce en ligne// fiable et hautement sécuritaire. De plus, vous pourrez utiliser un clone de votre site, sur un //Serveur NethServer// virtuel roulant sur votre poste de travail, pour tester de nouvelles extensions et applications sans compromettre la sécurité ou l'intégrité de votre site en ligne.
{{ NS-101_001_Diagramme.png?500 }}
===== Particularités de ce document =====
==== Notes au lecteur ====
* Les captures d'écrans ne sont que des références.\\
** Les informations écrites ont préséance sur celles retrouvées dans les captures d'écrans. Veillez vous référer aux différents tableaux lorsque ceux-ci sont présents.\\
*** Une capture d'écran avec une accentuation en magenta indique qu'il faut remplacer cette distinction par vos propres paramètres ou implique un choix laissé à votre appréciation.
==== Conventions ====
{{Images_icone-201-001_doigt.png?22}} Manipulation, truc ou ruse pour se tirer d'embarras.\\
{{Images_icone-201-002_Lumiere.png?25}} Une recommandation ou astuce.\\
{{Images_icone-201-003_Note.png?25}} Une note.\\
{{Images_icone-201-004_Triangle.png?25}} Une étape, note ou procédure à surveiller.\\
{{Images_icone-201-005_Non-termine.png?25}} Paragraphe non complété ou non vérifié.\\
{{Images_icone-201-006_Securite.png?25}} Danger pour la sécurité du système.
Toutes les commandes à la console ou à travers //PuTTY// sont précédées d'une invite qui est toujours présente.
[root@dorgee ~]# ping 10.10.10.75 -c1
PING 10.10.10.75 (10.10.10.75) 56(84) bytes of data.
64 bytes from 10.10.10.75: icmp_seq=1 ttl=64 time=1.63 ms
--- 10.10.10.75 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 1.639/1.639/1.639/0.000 ms
[root@dorgee ~]#
Commande à exécuter si ce n'est déjà fait.
Commande indiquée à titre d'information seulement.
\\
====== Accès Internet ======
===== Fournisseur d'accès Internet (FAI) =====
{{Images_Cahier-101-03-006.png?25}} Remarque très importante: Plusieurs FAI bloquent les ports 80 et 25 pour soi-disant bloquer les pourriels //(sic)//. Les pires sont Vidéotron et Bell. Si ces ports sont bloqués, il vous faudra faire une redirection de ports sinon, vous ne pourrez pas accéder à votre site Web depuis l'Internet. Le mieux est de changer de FAI; de plus, il sera surement moins dispendieux.
==== TekSavvy.com ====
Nous considérons [[https://teksavvy.com/fr/residential/internet/dsl|TekSavvy.com]] comme le meilleur FAI au Québec et au Canada:
- Il ne bloque aucun port.
- Il est un des plus grands défenseurs des droits des utilisateurs de l'Internet.
- Il est le premier à monter aux barricades lorsque le CRTC essaie de nous en passer une petite vite.
- Ses prix sont parmi les plus compétitifs sans aucun contrat ni frais cachés.
- Il offre des connexions DSL par câble téléphonique //(cuivre & optique)// et modem-câble //(coaxial)//.
Les nouveaux prix //(janvier 2019)// incluent un modem gratuit.
Pour voir la disponibilité dans votre région, entrez votre **Code postal** et cliquez Vérifier maintenant.
|{{ Images_Cahier-101-05-004.png?400 }}|
===== Modem VDSL =====
==== Introduction ====
Cette section présente la marche à suivre pour configurer un modem VDSL et leconnecter à un réseau ayant un Serveur NethServer.
//**VDSL**//
Very high bitrate Digital Subscriber Line.
//Référence:// [[https://fr.wikipedia.org/wiki/Very_High_Bitrate_Digital_Subscriber_Line|https://fr.wikipedia.org/wiki/Very_High_Bitrate_Digital_Subscriber_Line]].\\
La technologie VDSL //(Very high bit-rate DSL)// est une technologie de type xDSL, //(les signaux VDSL sont transportés sur une paire de cuivre, simultanément et sans interférence avec la voix téléphonique)//. Elle permet d'atteindre des débits de 13 à 55,2 Mb/s dans un sens et de 1,5 à 8 Mb/s dans l'autre, ou si l'on veut en faire une connexion symétrique, un débit de 34 Mb/s. Le VDSL est un protocole de couche 1 //(Physique)// selon le //Modèle_OSI// //(Open Systems Interconnection)//.
Le VDSL est une technologie qui peut être utilisée au sein d'un réseau domestique ou dans un immeuble.
//**Sagemcom 2864**//
|{{ Images_Cahier-101-05-005.png?400 }}|
|{{ Images_Cahier-101-05-006.png?400 }}|
|{{ Images_Cahier-101-05-007.png?400 }}|
♦ Sagemcom 2864: User Manual //(anglais)//: https://www.vmedia.ca/support/documents/sagemcom_2864_user_manual.pdf.\\
♦ Pour la configuration en pont //(français):// https://support.vmedia.ca/kb/a576/comment-faire-pour-configurer-le-sagemcom-2864-en-mode-bridge-pont.aspx.
==== Coût ADSL vs VDSL ====
//**Détail des coûts**//
Vu la popularité grandissante de notre site [[http://www.micronator.org/|micronator.org]] ainsi que des autres sites hébergés sur notre serveur, nous avons décidé de remplacer notre connexion ADSL par une connexion VDSL.
{{ Images_Cahier-101-05-008.png?200}}
Nous conservons notre adresse IP statique actuelle et passons d'une vitesse en amont de 800Kbps à 10Mbps. Nous avons choisi le forfait //DSL à Haute Vitesse 15// - QC à $30.95/mois de Teksavvy avec une limite de bande passante de 200Go/mois //(janvier 2017)//.
//**Économie mensuelle**//
{{ Images_Cahier-101-05-009.png?700 }}
Le coût initial pour l'installation et la configuration de la ligne sèche par un technicien de Bell est de $50.00.
Il nous en coûte donc $14.83 de moins mensuellement pour une ligne téléphonique Internet et passer d'une vitesse en amont de 800Kbps à 10Mbps.
==== But du modem VDSL ====
{{ Images_Cahier-101-05-010.png?700 }}
\\
===== Paramétrage du modem VDSL =====
==== Introduction ====
Nous avons choisi le modem //Sagemcom 2864// pour remplacer notre modem original ADSL. Teksavvy recommande le modem //SmartRG SR515AC// qui est techniquement beaucoup plus avancé. Teksavvy supporte aussi le Sagemcom //F@ST 2864// ainsi que le //Cellpipe 7130//.
==== Configuration ====
Il nous faut configurer le modem VDSL en pont //(Bridge)// car c'est le Serveur NethServer qui s'authentifiera par PPoE.
{{Images_Cahier-101-03-003.png?22}} Si nous ne configurons pas le VDSL en pont et que nous laissons le modem VDSL gérer l'authentification PPoE, il faudra alors faire une redirection de plusieurs ports du modem vers le Serveur NethServer et reconfigurer le Serveur NethServer pour que sa carte externe reçoive son adresse par le DHCP du modem. Cette méthode est trop fastidieuse et c'est pourquoi nous avons décidé d'une configuration en pont.
//**Réinitialisation du modem**//
Sans câble téléphonique branché au VDSL, on branche l'alimentation.
Pour débuter la configuration du VDSL, il faut le réinitialiser en appuyant sur le bouton rouge RESET pour au moins 7 secondes. Cette manipulation remettra tous ses paramètres à ceux d'usine.
{{Images_Cahier-101-03-005.png?25}} Le modem est maintenant à sa configuration d'usine et se présente à l'adresse 192.168.2.1.
|{{ Images_Cahier-101-05-011.png?400 }}|
//**Station de travail**//
{{ Images_Cahier-101-05-012.png?350}}
On configure une station de travail avec une adresse IP statique //192.168.2.81//, masque //255.255.255.0// et une passerelle //192.168.2.1//.
On branche la station dans l'un des ports LAN du modem.
À l'aide d'un navigateur, on se rend à l'adresse //192.168.2.1//.
\\
==== Langue ====
À bas l'anglolâtrie, on sélectionne **Français -> Langue -> Français -> SAUVER**.
|{{ Images_Cahier-101-05-013.png?5000 }}|
==== Paramétrer le compte ====
On change le mot de passe actuel qui, après une réinitialisation, est //**admin**//.
{{Images_Cahier-101-03-006.png?25}} On choisit un nouveau mot de passe robuste.
//**Mot de passe actuel:**// **admin ->** //**Nouveau mot de passe:**// on entre le mot de passe actuel **->** //**Nouveau mot de passe (une nouvelle fois):**// -> on confirme le nouveau mot de passe **-> SAUVER**.
|{{ Images_Cahier-101-05-014.png?500 }}|
==== Internet ====
{{Images_Cahier-101-03-003.png?22}} Il faut maintenant se reloguer avec le nouveau mot de passe.
**Internet ->** onglet **Internet**.
On supprime l'//**ID utilisateur:**// et le //**Mot de passe:**//, puis on clique **SAUVER**.
{{Images_Cahier-101-03-006.png?25}} Après avoir sauvegarder les paramètres //(ID utilisateur:/Mot de passe: effacés)// ceux-ci vont sembler être les mêmes que précédemment, c'est normal.
|{{ Images_Cahier-101-05-015.png?500 }}|
==== Réseau sans fil ====
On désactive le réseau sans fil principal et invité:
**Réseau sans fil ->** onglet **Réseau**.
//**Réseau sans fil principal:**// on clique **Désactiver**.
//**Réseau sans fil invité:**// on clique **Désactiver -> SAUVER**.
|{{ Images_Cahier-101-05-016.png?500 }}|
\\
==== Réseau local ====
{{Images_Cahier-101-03-006.png?25}} Il ne peut y avoir qu'un seul serveur DHCP par réseau IP.
On désactive le DHCP du réseau local:
**Réseau local ->** onglet **DHCP ->** //**État DHCP:**// on clique **Désactiver -> SAUVER**.
|{{ Images_Cahier-101-05-017.png?500 }}|
\\
==== Paramètres avancés ====
**Paramètres avancées ->** onglet **Mode WAN**.
//**Mode WAN:**// on choisit **VDSL -> SAUVER**.
Notre modem VDSL est maintenant en mode PONT //(Bridge)//.
|{{ Images_Cahier-101-05-018.png?500 }}|
\\
{{ Images_Cahier-101-05-019.png?400}}
==== Reconnexion à Internet ====
☑ On connecte le câble téléphonique au modem.
☑ L'adresse IP de la station est toujours à 192.168.2.81 et branchée à l'un des ports LAN du modem.
\\
{{ Images_Cahier-101-05-020.png?400}}
==== Réamorçage du modem ====
☑ {{Images_Cahier-101-03-006.png?25}} On éteint le modem en enlevant la prise AC.\\
☑ On débranche la station du modem.
\\
{{ Images_Cahier-101-05-023.png?400}}
☑ {{Images_Cahier-101-03-003.png?22}} On attend au moins 1 minute, on rebranche la prise AC au modem et on reconnecte la station à l'un des ports LAN du modem.
\\
{{Images_Cahier-101-03-006.png?25}} Peut prendre plusieurs minutes avant que les DEL //(LED)// soient jaune, bleu et bleu. Soyez patients.
Lorsque les DEL ont les bonnes couleurs, on peut faire un test de vitesse pour vérifier le modem.
\\
POWER = jaune
\\
\\
\\
WAN Link = bleu\\
Internet = bleu
{{Images_Cahier-101-05-021.png?85 }}
\\
==== Test de vitesse ====
Sur le poste de travail, on lance Firefox et on se rend à l'adresse [[http://beta.speedtest.net/fr|http://beta.speedtest.net/fr]].
{{Images_Cahier-101-03-005.png?25}} Vos vitesses peuvent varier en fonction des capacités de votre station de travail.
|{{ Images_Cahier-101-05-024-A.png?400 }}|
|{{ Images_Cahier-101-05-024.png?400 }}|
**Victoire, le VDSL fonctionne parfaitement.**
\\
====== Installation du Serveur NethServer ======
===== Préparation =====
==== Diagramme ====
☑ On relie un port LAN du modem à la carte externe du Serveur NethServer.
☑ On ajuste l'adresse IP de la station de travail à //192.168.1.81// pour qu'elle soit sur le réseau LOCAL //(192.168.1.0/24)// du Serveur NethServer et on la branche au port LOCAL du serveur.
{{ Images_Cahier-101-05-025.png?700 }}
\\
☑ On peut aussi connecter un concentrateur ou un aiguilleur au réseau LOCAL.
\\
{{ Images_Cahier-101-05-026.png?800 }}
\\
==== ISO ====
Site de téléchargement: [[https://www.nethserver.org/getting-started-with-nethserver/|https://www.nethserver.org/getting-started-with-nethserver/]].
On brûle le fichier ''nethserver-7.6.1810-x86_64.iso'' sur un DVD.
===== Paramètre du Serveur NethServer physique =====
La procédure d'installation est la même que celle employée pour la machine virtuelle du [[nethserver_101_cahier_03_creation_un_serveur_virtuel#Cahier-03]]: -> //Création d'un Serveur NethServer virtuel//, sauf qu'on prend les paramètres ci-dessous.
|DATE & TIME|On choisit notre fuseau horaire qu'on pourra modifier plus tard dans l'interface Web du Serveur NethServer.||||
|KEYBOARD|English (US)||||
|NETWORK & HOSTNAME|Carte réseau LOCAL|Ethernet (enpXsX)|ON||
| ::: | ::: | onglet General| Automatically connect to this network when it is available||
| ::: | ::: |onglet IPv4 Settings|Method|Manual|
| ::: | ::: | ::: |Address|192.168.1.1|
| ::: | ::: | ::: |Netmask|255.255.255.0|
| ::: | ::: | ::: |Gateway|8.8.8.8|
| ::: | ::: | ::: |DNS servers|8.8.8.8|
| ::: |Carte réseau Externe|Ethernet (enpXsX)|OFF / Disabled||
| ::: |HOST NAME|dorgee.micronator-101.org|||
|ROOT PASSWORD|On choisit un __mot de passe robuste__.||||
\\
===== Installation sur un serveur physique =====
{{Images_Cahier-101-03-006.png?25}} Vu que nous ne pouvons prendre de captures d'écran depuis notre serveur physique //Dell T110//, les captures d'écran proviennent d'une installation sur un serveur virtuel. Par contre, les paramètres utilisés sont ceux du serveur physique Dell T110. Les captures prises du serveur physique Dell T110 reprennent au paragraphe [[nethserver_101_cahier_05_vdsl_fqdn_internet_et_nethserver#Premier login à la console du serveur NethServer]].
On insère le DVD NethServer dans le lecteur du serveur et on démarre la machine.
{{Images_Cahier-101-03-005.png?25}} Tous les disques de cette machine seront effacés.
- À l'invite, faire **[RETOUR]**.
- L'installation débute.
|{{ Images_Cahier-101-05-027.png?400 }}|
|{{ Images_Cahier-101-05-028.png?400 }}|
\\
==== Date et heure ====
Une fois le Serveur NethServer installé, nous aurons plus de choix pour le fuseau horaire. Voir le paragraphe [[nethserver_101_cahier_05_vdsl_fqdn_internet_et_nethserver#Date and time]].
- **DATE & TIME**.
\\
- On choisit notre **fuseau horaire**.\\
- **Done**.
|{{ Images_Cahier-101-05-029.png?400 }}|
|{{ Images_Cahier-101-05-030.png?400 }}|
\\
==== Clavier ====
- **KEYBOARD.**.
\\
- On sélectionne English (US).\\
- Done.
|{{ Images_Cahier-101-05-031.png?400 }}|
|{{ Images_Cahier-101-05-032.png?400 }}|
\\
==== Réseau ====
- **NETWORK & HOSTNAME.**
\\
- **Première carte réseau -> Configure...**
|{{ Images_Cahier-101-05-033.png?400 }}|
|{{ Images_Cahier-101-05-034.png?400 }}|
\\
\\
\\
\\
\\
\\
\\
Pour notre serveur physique Dell T110, les cartes réseau sont:
|{{ Images_Cahier-101-05-035.png?400 }}|
\\
\\
\\
\\
\\
Onglet ** General ->** cocher **Automatically connect to this network when it is available**.
|{{ Images_Cahier-101-05-036.png?400 }}|
- Onglet **IPv4 Settings**.\\
- //Method:// -> **Manual**.\\
- //Addresses// -> **Add**.\\
- //Address// -> **192.168.1.1**.\\
- //Netmask// -> **24**.\\
- //Gateway// -> **8.8.8.8**.\\
- //DNS servers:// -> **8.8.8.8**.\\
- **Save**.
|{{ Images_Cahier-101-05-037.png?400 }}|
\\
Au retour, les paramètres sont affichés.
|{{ Images_Cahier-101-05-038.png?400 }}|
**Deuxième carte réseau -> OFF**.
|{{ Images_Cahier-101-05-039.png?400 }}|
**Deuxième carte réseau -> Configure...**
|{{ Images_Cahier-101-05-040.png?400 }}|
Onglet **IPv4 Settings -> //Method:// Disabled -> Save**.
|{{ Images_Cahier-101-05-041.png?400 }}|
\\
==== FQDN de notre serveur NethServer ====
{{Images_Cahier-101-03-003.png?22}} Il est très important de ne pas faire de faute orthographique dans le nom du serveur et surtout dans le nom du domaine, car il est très difficile de changer ceux-ci, spécialement pour la messagerie électronique et son enregistrement MX.
- On entre le nom FQDN de notre serveur **-> //Host name:// dorgee.micronator-101.org -> Apply**.\\
- Le //**Current host name**// apparaît correctement.\\
- **Done**.
|{{ Images_Cahier-101-05-042.png?400 }}|
\\
\\
\\
\\
\\
**Begin Installation**.
|{{ Images_Cahier-101-05-043.png?400 }}|
\\
\\
\\
\\
\\
**ROOT PASSWORD**.
|{{ Images_Cahier-101-05-044.png?400 }}|
\\
On entre un __mot de passe robuste__ **->** on confirme **-> Done**.
|{{ Images_Cahier-101-05-045.png?400 }}|
\\
L'installation se poursuit.
|{{ Images_Cahier-101-05-046.png?400 }}|
À la fin de l'installation, le Serveur NethServer réamorce.
|{{ Images_Cahier-101-05-047.png?400 }}|
\\
==== Premier login à la console du serveur NethServer ====
{{Images_Cahier-101-03-006.png?25}} À partir d'ici, toutes les captures d'écran et exemples proviennent directement du Serveur NethServer installé sur notre serveur physique Dell T110.
- L'URL pour accéder à l'interface Web est affichée. [[https://192.168.1.1:980/|https://192.168.1.1:980]].
\\
\\
- À l'invite, on voit le nom de notre serveur; celui qu'on lui a donné au paragraphe [[nethserver_101_cahier_05_vdsl_fqdn_internet_et_nethserver#FQDN de notre serveur NethServer]].
\\
\\
- On se logue à la console du serveur.\\ //**usager: ->**// root\\ //**mot de passe: ->**// celui donné au paragraphe **ROOT PASSWORD ->** [[nethserver_101_cahier_05_vdsl_fqdn_internet_et_nethserver#FQDN de notre serveur NethServer]].
|{{ Images_Cahier-101-05-048.png?400 }}|
====== Configuration initiale ======
===== Table de mappe de clavier =====
{{Images_Cahier-101-03-005.png?25}} Avant de débuter, on peut changer la mappe du clavier(( **Table de mappe de clavier**: n.f. Disposition des touches d'un clavier.\\ //Référence://[[http://www.granddictionnaire.com/ficheOqlf.aspx?Id_Fiche=18050861#eng|http://www.granddictionnaire.com/ficheOqlf.aspx?Id_Fiche=18050861#eng]].
\\ \\ )) pour celle de notre région.
__À la console du serveur__, on affiche la mappe actuelle du clavier.
[root@dorgee ~]# localectl
System Locale: LANG=en_US.UTF-8
VC Keymap: us
X11 Layout: us
X11 Model: pc105+inet
X11 Options: terminate:ctrl_alt_bksp
[root@dorgee ~]#
On affiche les claviers disponibles.
[root@dorgee ~]# localectl list-keymaps | grep ca
ca
ca-eng
ca-fr-dvorak
ca-fr-legacy
ca-multi
ca-multix
dvorak-ca-fr
es-cat
ph-capewell-dvorak
ph-capewell-qwerf2k6
[root@dorgee ~]#
On active le clavier ca-multi.
[root@dorgee ~]# localectl set-keymap ca-multi
[root@dorgee ~]#
On vérifie.
[root@dorgee ~]# localectl
System Locale: LANG=fr_FR.UTF-8
VC Keymap: ca-multi
X11 Layout: us
[root@dorgee ~]#
\\
===== Connexion à l'interface Web =====
NethServer peut être configuré à l'aide de l'interface Web du gestionnaire du serveur.
À partir d'un ordinateur ou d'une tablette, vous avez besoin d'un navigateur Web tel que Mozilla Firefox, Google Chrome ou Safari pour accéder à l'interface Web à l'adresse //(URL)// https://abcd:980 où //**abcd**// est l'adresse IP configurée lors de l'installation du serveur et //**980**// est le port utilisé pour l'interface Web.
Pour l'instant, on se connecte à l'interface Web par l'IP du réseau LOCAL: https://192.168.1.1:980.
On ajoute une exception de sécurité.
|{{ Images_Cahier-101-05-049.png?400 }}|
On confirme.
|{{ Images_Cahier-101-05-050.png?400 }}|
\\
- Nom d'utilisateur par défaut: **root**.
- Nous avons déjà choisi un mot de passe au paragraphe [[nethserver_101_cahier_05_vdsl_fqdn_internet_et_nethserver#FQDN de notre serveur NethServer]].
- {{Images_Cahier-101-03-003.png?22}} Si nous n'avons pas choisi de mot de passe lors de l'installation, par défaut il est défini à: **Nethesis,1234**. Attention, ne pas oublier la "virgule".
Modifiez le mot de passe de root dès que possible, en choisissant un __mot de passe robuste__, composé d’une séquence aléatoire de lettres, de chiffres et de symboles.
|{{Images_Cahier-101-05-051.png?150 }}|
===== Welcome =====
{{ Images_Cahier-101-05-052.png?800}}
**NEXT**.
\\
===== Restore configuration =====
On pourrait récupérer la configuration depuis une sauvegarde précédente.
{{ Images_Cahier-101-05-053.png?800}}
**NEXT**.
\\
===== Set host name =====
Le FQDN de notre serveur a été entré au paragraphe [[nethserver_101_cahier_05_vdsl_fqdn_internet_et_nethserver#FQDN de notre serveur NethServer]]. On peut le modifier ici.
{{ Images_Cahier-101-05-054.png?800}}
**NEXT**.
\\
===== Date and time =====
On choisit le fuseau horaire. Ici, nous avons beaucoup plus de choix que lors de l'installation du serveur.
{{ Images_Cahier-101-05-055.png?800}}
**NEXT**.
\\
===== SSH =====
{{Images_Cahier-101-03-004.png?25}} On change le port SSH de 22 à **2222** pour dérouter, un peu plus, les intrusions malveillantes.
{{ Images_Cahier-101-05-056.png?800}}
**NEXT**.
\\
===== Smarthost =====
Envoyer les courriels en utilisant un smarthost(( **Smarthost**: Un smarthost est un serveur de messagerie via lequel des tiers peuvent envoyer des courriers électroniques et les transférer sur les serveurs de messagerie des destinataires.\\ //Référence://[[https://en.wikipedia.org/wiki/Smart_host|https://en.wikipedia.org/wiki/Smart_host]].\\ \\ )).
Le serveur tentera d'envoyer les courriels directement à la destination //(recommandé dans la plupart des cas)//. En choisissant plutôt d'envoyer par un smarthost, le serveur essaiera de les transmettre via le serveur SMTP du FAI //(recommandé en cas de connexion peu fiable, IP dynamique, etc.)//.
{{ Images_Cahier-101-05-057.png?800}}
**NEXT**.
\\
===== Usage statistics =====
Ces statistiques sont utilisées seulement pour connaître le nombre total de NethServer installés.
{{ Images_Cahier-101-05-058.png?800}}
**NEXT**.
\\
===== Review changes =====
{{ Images_Cahier-101-05-059.png?800}}
**APPLY**.
\\
\\
====== Configuration détaillée ======
===== Réseau =====
==== Rôles et zones ====
Chaque interface réseau a un rôle qui correspond à une zone du pare-feu. Le pare-feu comporte les zones intégrées suivantes, classées de la plus prépondérante à la moins privilégiée:
//**VERT:**// réseau LOCAL, cette zone est considérée comme presque fiable. Les hôtes de ce réseau peuvent accéder à n’importe quelle autre zone. Les hôtes connectés via VPN peuvent être considérés en zone //**verte**//.
//**BLEU:**// réseau invité. Les hôtes de ce réseau peuvent accéder aux zones //**orange**// et //**rouge**//, mais pas à la zone //**verte**//.
//**ORANGE:**// réseau DMZ. Les hôtes de ce réseau peuvent accéder à la zone rouge, mais pas aux zones //**verte**// et //**bleue**//.
//**ROUGE:**// réseau externe/Internet. Les hôtes de ce réseau peuvent uniquement accéder à cette zone.
Il existe également une zone du pare-feu spéciale qui représente le pare-feu lui-même. Le pare-feu peut accéder à n’importe quelle zone.
Chaque interface réseau, avec un rôle configuré, est une zone du pare-feu. Les rôles sont "mappés" aux zones Shorewall comme suit:
//**vert**// → loc\\
//**rouge**// → net\\
//**bleu**// → blue\\
//**orange**// → orang //(dans Shorewall, un nom de zone ne peut dépasser 5 caractères)//\\
//**pare-feu**// → FW
{{Images_Cahier-101-03-005.png?25}} Les noms personnalisés des zones sont directement "mappés" sur Shorewall en respectant la limite de 5 caractères.
{{Images_Cahier-101-03-006.png?25}} Les interfaces //**rouges**// peuvent être configurées avec une adresse IP statique ou à l'aide de DHCP. Toutes les autres interfaces ne peuvent être configurées qu'avec des adresses IP statiques.
\\
\\
===== Connexion Internet =====
==== Configuration des coordonnées fournies par le FAI ====
Pour se connecter à l'Internet, il faut entrer les coordonnées, fournies par notre FAI, dans la configuration du Serveur NethServer.
**Configuration -> Network -> NEW LOGICAL INTERFACE**.
|{{ Images_Cahier-101-05-060.png?800 }}|
\\
\\
**Internet (red) -> PPPoE on ppp0**.
|{{ Images_Cahier-101-05-061.png?400 }}|
**p1p1 ->** nom d'usager et mot de passe fournis par notre FAI.
|{{ Images_Cahier-101-05-062.png?400 }}|
\\
**SUBMIT**.
|{{ Images_Cahier-101-05-063.png?400 }}|
\\
L'interface **p1p1** a obtenu un nouveau rôle: //**PPPoE (red)**// et la nouvelle interface logique **ppp0** celui de: //**Internet (red) - red1**//.
{{ Images_Cahier-101-05-064.png?800 }}
- Sous Device, on voit que le réseau de la carte em1 //(eth0)// est //**vert**//, c.-à-d. que c'est un réseau de confiance et implique que quiconque sur le réseau 192.168.1.0/24 peut avoir accès au gestionnaire Web du serveur.
- Le réseau de la carte ppp0 //(eth1)// est //**rouge**//, c.-à-d. que ce n'est pas un réseau de confiance.\\ {{Images_Cahier-101-03-004.png?25}} Voir le paragraphe [[nethserver_101_cahier_05_vdsl_fqdn_internet_et_nethserver#Services réseau]] pour interdire aux internautes de ce réseau //(ppp0)// d'accéder à l'interface Web.
==== Vérification de la communication ====
Lancer **PuTTY ->** entrer les informations requises **-> Save -> Open**.
|{{ Images_Cahier-101-05-065.png?400 }}|
\\
Lors de la première connexion, on accepte la clé de chiffrement.
|{{ Images_Cahier-101-05-066.png?400 }}|
On se logue avec __**root**__ et le mot de passe qu’on lui a attribué lors de l’installation.
login as: root
root@192.168.1.1's password:mot-de-passe-de-root
Last login: Fri Jan 18 20:39:53 2019
************ Welcome to NethServer ************
This is a NethServer installation.
Before editing configuration files, be aware
of the automatic events and templates system.
http://docs.nethserver.org
***********************************************
[root@dorgee ~]#
On affiche la configuration des cartes réseau.
[root@dorgee ~]# ifconfig
em1: flags=4163 mtu 1500
inet 192.168.1.1 netmask 255.255.255.0 broadcast 192.168.1.255
inet6 fe80::226:b9ff:fe7a:8edc prefixlen 64 scopeid 0x20
ether 00:26:b9:7a:8e:dc txqueuelen 1000 (Ethernet)
RX packets 5970 bytes 524619 (512.3 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 9763 bytes 10987148 (10.4 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
device interrupt 16
lo: flags=73 mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10
loop txqueuelen 1000 (Local Loopback)
RX packets 122 bytes 8643 (8.4 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 122 bytes 8643 (8.4 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
p1p1: flags=4163 mtu 1500
inet6 fe80::ee08:6bff:fe04:bf7e prefixlen 64 scopeid 0x20
ether ec:08:6b:04:bf:7e txqueuelen 1000 (Ethernet)
RX packets 6366 bytes 8550695 (8.1 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 3642 bytes 254970 (248.9 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
ppp0: flags=4305 mtu 1492
inet 206.248.138.152 netmask 255.255.255.255 destination 206.248.155.244
ppp txqueuelen 3 (Point-to-Point Protocol)
RX packets 6345 bytes 8409736 (8.0 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 3615 bytes 174118 (170.0 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
[root@dorgee ~]#
Le Serveur NethServer a bien reçu son adresse IP statique //**206.248.138.152**// depuis notre FAI.
On lance deux ping vers //google.com// pour vérifier que le DNS fonctionne cirrectement.
[root@dorgee ~]# ping -c 2 google.com
PING google.com (172.217.1.174) 56(84) bytes of data.
64 bytes from yyz10s04-in-f14.1e100.net (172.217.1.174): icmp_seq=1 ttl=58 time=11.2 ms
64 bytes from yyz10s04-in-f14.1e100.net (172.217.1.174): icmp_seq=2 ttl=58 time=11.3 ms
--- google.com ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 11.247/11.293/11.340/0.116 ms
[root@dorgee ~]#
===== Test de vitesse =====
On vérifie que tout fonctionne correctement en lançant un test de vitesse.
{{ Images_Cahier-101-05-067.png?725}}
**Status -> Diagnostics -> onglet Speedtest.**
\\
**SPEEDTEST**.
{{Images_Cahier-101-03-005.png?25}} Vos vitesses peuvent varier en fonction des capacités de votre serveur.
On peut refaire le test à plusieurs reprises pour avoir une moyenne.
\\
\\
===== Gestionnaire des logiciels =====
//Référence:// [[http://docs.nethserver.org/en/v7/|http://docs.nethserver.org/en/v7/]].\\
NethServer est hautement modulaire; à la fin de l'installation, un ensemble minimal de fonctionnalités, telles que la configuration réseau et la visionneuse de journaux, sont installées. La page **Administration -> Gestionnaire des logiciels** permet à l'administrateur de sélectionner et d'installer des modules supplémentaires ainsi que de répertorier et de mettre à jour les logiciels déjà installés.
Un module est généralement constitué de plusieurs paquets. Il étend les fonctionnalités du système. Par exemple, un module peut transformer NethServer en serveur de messagerie ou en mandataire Web.
Un progiciel est une unité atomique de logiciel. Il est publié par un référentiel(( **Référentiel**: En informatique, un dépôt ou référentiel //(de l'anglais repository)// est un stockage centralisé et organisé de données. Ce peut être une ou plusieurs bases de données où les fichiers sont localisés en vue de leur distribution sur le réseau ou bien un endroit directement accessible aux utilisateurs.La plupart des distributions GNU/Linux utilisent des dépôts accessibles sur Internet, officiels et non officiels, permettant aux utilisateurs de télécharger et de mettre à jour des logiciels compatibles. Ces logiciels sont distribués sous forme de paquets.\\ //Référence://[[https://fr.wikipedia.org/wiki/Dépôt_(informatique)|https://fr.wikipedia.org/wiki/D%C3%A9p%C3%B4t_(informatique)]].\\ \\ )) public de logiciels. Les paquets NethServer sont des fichiers au format //RPM//; ainsi, dans ce contexte, les termes //paquet// et //RPM// peuvent être utilisés comme synonymes.
==== Référentiels ====
Les principaux référentiels sont:
- //**nethserver-base:**// il contient les paquets et les dépendances des modules de base. Il est mis à jour lorsqu'une nouvelle version importante est publiée. Activé par défaut.
- //**nethserver-updates:**// il contient les paquets mis à jour. Si nécessaire, ces mises à jour peuvent être appliquées sans intervention manuelle. Activé par défaut.
- //**nethforge:**// modules fournis par la communauté pour NethServer. Activé par défaut.
- //**nethserver-testing:**// contient les paquets sous processus QA //(Assurance Qualité)//. __Désactivé par défaut__.
- //**base:**// paquets de base de CentOS. Activé par défaut.
- //**updates:**// paquets de mises à jour à partir de CentOS. Activé par défaut.
- //**centos-sclo-rh**// et //**centos-sclo-sclo:**// référentiels des SCL. Les deux activés par défaut.
- //**extras:**// RPM supplémentaires. Activé par défaut.
- //**epel:**// Extra Packages for Enterprise Linux. Activé par défaut.
Une installation standard doit avoir les référentiels suivants activés:
|base\\ updates\\ nethserver-base| |nethserver-updates\\ nethforge\\ centos-sclo-rh| |centos-sclo-sclo\\ extras\\ epel|
On affiche tous les référentiels disponibles pour la version //NethServer-7.6.1810/x86_64//.
[root@dorgee ~]# yum repolist
Loaded plugins: changelog, fastestmirror, nethserver_events
Determining fastest mirrors
* base: centos.mirror.ca.planethoster.net
* epel: fedora-epel.mirror.lstn.net
* extras: centos.bhs.mirrors.ovh.net
* nethforge: buck.goip.de
* nethserver-base: buck.goip.de
* nethserver-updates: buck.goip.de
* updates: centos.ca-west.mirror.fullhost.io
repo id repo name status
!base/7/x86_64 CentOS-7 - Base 10,019
!centos-sclo-rh/x86_64 CentOS-7 - SCLo rh 8,113
!centos-sclo-sclo/x86_64 CentOS-7 - SCLo sclo 736
!epel/x86_64 Extra Packages for Enterprise Linux 7 - x86_64 12,917
!extras/7/x86_64 CentOS-7 - Extras 364
!nethforge/7/x86_64 NethForge 7 180
!nethserver-base/7/x86_64 NethServer-7 - Base 322
!nethserver-updates/7/x86_64 NethServer-7 - Updates 81
!updates/7/x86_64 CentOS-7 - Updates 1,067
repolist: 33,799
[root@dorgee ~]#
\\
==== Langue à la console du serveur ====
On affiche les langues offertes à la console du serveur.
[root@dorgee ~]# localectl list-locales | grep fr_
...
fr_FR
fr_FR.iso88591
fr_FR.iso885915@euro
fr_FR.utf8
fr_FR@euro
fr_LU
fr_LU.iso88591
fr_LU.iso885915@euro
fr_LU.utf8
fr_LU@euro
[root@dorgee ~]#
On ajuste la langue désirée pour l'affichage à la console du serveur.
[root@dorgee ~]# localectl set-locale LANG=fr_FR.utf8
[root@dorgee ~]#
{{Images_Cahier-101-03-005.png?25}} Les modifications entreront en vigueur après le prochain redémarrage
On pourra vérifier, __après le prochain redémarrage__, en lançant la commande ci-dessous.
[root@dorgee ~]# ls -als toto
ls: impossible d'accéder à toto: Aucun fichier ou dossier de ce type
[root@dorgee ~]#
\\
==== Langue de l'interface Web ====
On change la langue de l'interface.
**Administration -> Software center** //(peut prendre un certain temps)// -> on coche **French language**.
|{{ Images_Cahier-101-05-068.png?400 }}|
\\
**ADD**.
|{{ Images_Cahier-101-05-069.png?400 }}|
\\
**APPLY CHANGES**.
|{{ Images_Cahier-101-05-070.png?400 }}|
\\
\\
Le RPM //nethserver-lang-fr// s'installe.
|{{ Images_Cahier-101-05-071.png?400 }}|
\\
**Reload page**.
|{{ Images_Cahier-101-05-072.png?400 }}|
On se déconnecte/reconnecte pour activer la traduction française.
|{{ Images_Cahier-101-05-073.png?400 }}|
\\
- On entre le justificatif de root.
- On choisit **Français (France)**.
- **LOGIN**.
|{{Images_Cahier-101-05-074.png?250 }}|
\\
==== Mises à jour des logiciels ====
Un système NethServer 7.6 reçoit des mises à jour de différents sources:
- le projet **NethServer** lui-même,
- le projet **CentOS** et
- le référentiel **EPEL**
Chaque projet publie des mises à jour logicielles en fonction de ses règles spécifiques et de son cycle de développement, mais tous préfèrent la stabilité logicielle aux fonctionnalités dernier cri.
Reportez-vous au forum de la communauté - [[https://community.nethserver.org/|https://community.nethserver.org/]] et aux notes de la version 7 - [[http://docs.nethserver.org/en/v7/release_notes.html#release-notes-section|http://docs.nethserver.org/en/v7/release_notes.html#release-notes-section]] pour plus d'informations sur les mises à jour de NethServer.
À partir des miroirs CentOS, les mises à jour publiées par le projet CentOS sont immédiatement disponibles pour NethServer. Pour plus d'informations sur les mises à jour CentOS, voir:
- [[https://wiki.centos.org/FAQ/General|https://wiki.centos.org/FAQ/General]]
- [[https://access.redhat.com/support/policy/updates/errata/|https://access.redhat.com/support/policy/updates/errata/]]
- [[https://access.redhat.com/security/updates/backporting|https://access.redhat.com/security/updates/backporting]]
- [[https://access.redhat.com/security/|https://access.redhat.com/security/]]
{{Images_Cahier-101-03-004.png?25}} Même si les projets ci-dessus visent la stabilité des logiciels, il faut vérifier si les mises à jour s’intègrent harmonieusement entre-elles.
Chaque fois que le système doit être mis à jour, créez une sauvegarde des données et consultez le journal des mises à jour afin de connaître ce qui va advenir avec les différentes mises à jour. Si possible, testez les mises à jour __sur un système hors production__. Pour tout pressentiment, consultez le forum de la communauté NethServer - [[http://community.nethserver.org/|http://community.nethserver.org/]].
==== Configuration ====
**Administration -> Gestionnaire des logiciels -> Configurer**.
{{ Images_Cahier-101-05-075.png?800 }}
☑ **Télécharger les mises à jour**
☐ **Installer les mises à jours automatiquement**\\
Il n'est jamais recommandé d'installer automatiquement des mises à jour.
☑ **Envoyer un mail à l'administrateur système**\\
//**Ajouter des destinataires personnalisés**//\\
On entre un destinataire pour recevoir les messages de disponibilité de mises à jour.
**SAUVEGARDER**.
|{{ Images_Cahier-101-05-076.png }}|
=== Courriel de notification ===
Lorsque des mises à jour sont disponibles, un courriel est envoyé à l'adresse entrée dans le cadre //Ajouter des destinataires personnalisés// lors de la configuration des mises à jour ci-dessus.
Exemple de courriel envoyé.
The following updates will be downloaded on dorgee.micronator-101.org:
================================================================================
Package Architecture
Version Dépôt Taille
================================================================================
Mise à jour :
nethserver-mail-common noarch 2.4.4-1.ns7 nethserver-updates 62 k
nethserver-mail-filter noarch 2.4.4-1.ns7 nethserver-updates 70 k
nethserver-mail-quarantine noarch 2.4.4-1.ns7 nethserver-updates 33 k
nethserver-mail-server noarch 2.4.4-1.ns7 nethserver-updates 117 k
nethserver-mail-smarthost noarch 2.4.4-1.ns7 nethserver-updates 45 k
Résumé de la transaction
================================================================================
Mettre à jour 5 Paquets
Updates downloaded successfully.
=== Mises à jour ===
Le "Gestionnaire des logiciels" nous avertit que des mises à jour sont disponibles -> **Mises à jour**.
{{ Images_Cahier-101-05-078.png?800 }}
\\
\\
**TÉLÉCHARGER ET INSTALLER**.
|{{ Images_Cahier-101-05-079.png?400 }}|
\\
La mise à jour débute.
|{{ Images_Cahier-101-05-080.png?400 }}|
À la fin de la mise à jour, **Recharger la page**.
|{{ Images_Cahier-101-05-081.png?400 }}|
\\
===== DNS =====
C'est ici qu'on transforme le Serveur NethServer en serveur DNS.
Le DNS est responsable de la résolution des noms de domaine //(par exemple www.nethesis.it)// en fournissant leur adresse IP correspondante //(par exemple 10.11.12.13)// et inversement. Le serveur délègue la résolution des noms aux serveurs DNS configurés, mais vous pouvez spécifier des adresses pour des noms spécifiques. Par exemple, vous pouvez configurer le serveur pour répondre aux demandes de //facebook.com// avec l'adresse IP 0.0.0.0, ce qui aura pour effet de rendre le site Facebook inaccessible.
==== Hôtes ====
**Configuration -> DNS ->** onglet **Hôtes -> CRÉER NOUVEAU** pour attribuer un nom d'hôte à une adresse IP. Le serveur renverra l'adresse IP configurée pour les demandes de ce nom.
{{ Images_Cahier-101-05-082.png?800 }}
\\
//**Nom d'hôte**//\\
Le nom de domaine, par exemple //www.nethesis.it//. Il est possible de créer des noms pour le domaine local, ce qui est utile pour donner un nom mnémonique aux périphériques configurés avec une adresse IP statique ou pour tout domaine ayant la priorité sur le serveur DNS du fournisseur //(voir l'exemple de facebook.com ci-dessus)//.
● On indique **micronator-101.org**.
☑ //**wildcard dns record**//\\
Crée un enregistrement dans la zone DNS qui correspondra aux demandes de tous les noms de sous-domaines //(ex: www.toto.com s'identifiera à toto.com)//.
● On coche ce paramètre.
|{{ Images_Cahier-101-05-083.png?400 }}|
//**Adresse IP**//\\
L'adresse IP du nom de cet hôte.
● On indique l'adresse de la carte //em1// -> **192.168.1.1**.
//**Description**//\\
Un commentaire facultatif pour le nom de cet hôte //(exemple: "Bloquer facebook" ou "serveur vidéo")//.
● On donne une description à ce nouveau serveur.
**SOUMETTRE**.
Le nouveau nom d'hôte est présent.
{{ Images_Cahier-101-05-084.png?800 }}
\\
==== Vérification ====
On se rend à l'URL:
**http://www.micronator-101.org/**
Notre Serveur NethServer répond et affiche la page Web par défaut.
|{{ Images_Cahier-101-05-085.png?400 }}|
\\
Lorsqu'on se rendra à l'URL:
**https://www.micronator-101.org:980/**
Notre Serveur NethServer répondra et affichera l'écran de connexion.
|{{ Images_Cahier-101-05-086.png?400 }}|
==== Alias du serveur ====
Les alias sont des noms alternatifs pour ce serveur. Par exemple, si le nom du serveur est //exemple.com//, un alias peut être //toto.exemple.com//. Le serveur utilisera sa propre adresse IP pour le nom d'alias.
//**CRÉER NOUVEAU**//\\
Vous permet de créer un nouvel alias pour ce serveur.
//**Nom d'hôte**//\\
Le nom d'hôte que vous souhaitez ajouter ou modifier. Il ne peut contenir que des lettres, des chiffres et des traits d'union. Il doit commencer par une lettre ou un chiffre.
● On entre: **toto.micronator-dev.org**.
|{{Images_Cahier-101-05-087.png?300 }}|
//**Description**//\\
Une description facultative utile pour identifier l'alias.
● On entre: Test d'alias.
**SOUMETTRE**.
Le nouvel alias est créé.
{{ Images_Cahier-101-05-088.png?800 }}
\\
On se rend à: **https://www.toto.micronator-101.org**.
La page Web par défaut de notre site s'affiche.
|{{ Images_Cahier-101-05-089.png?400 }}|
\\
===== Contacts de l'organisation =====
**Configuration -> Contacts de l'organisation**.
Ici, on peut modifier le contact de l'organisation.
**SOUMETTRE**.
{{ Images_Cahier-101-05-090.png?800 }}
\\
===== Certificat du serveur =====
**Configuration -> Certificat du serveur**.
On déroule le menu et on choisit **-> Éditer le certificat auto-signé**.
{{ Images_Cahier-101-05-091.png?800 }}
\\
On ajuste les différents paramètres.
Lorsque terminé, on clique **ÉDITER LE CERTIFICAT AUTO-SIGNÉ**.
|{{ Images_Cahier-101-05-092.png?600 }}|
\\
On voit que le paramètre ST //(State - état - province)// est bien à //**Qc**//.
{{ Images_Cahier-101-05-093.png?600 }}
\\
On rafraîchit la page du navigateur.
Le certificat a été modifié, il nous faut alors ajouter une exception pour le nouveau certificat.
Il ne sera pas nécessaire de se connecter à nouveau, car le témoin stocké dans le navigateur est toujours valide.
{{Images_Cahier-101-03-004.png?25}} Si on rencontre des problème de reconnexion, vidanger l'historique du navigateur et ré-essayer à nouveau.
|{{ Images_Cahier-101-05-094.png?500 }}|
==== Vérification ====
On clique le cadenas puis l'icône **>**.
|{{ Images_Cahier-101-05-095.png?400 }}|
**Plus d'informations.**
|{{ Images_Cahier-101-05-096.png?400 }}|
Onglet **Sécurité -> Afficher le certificat**.
|{{ Images_Cahier-101-05-097.png?400 }}|
\\
Onglet **Détails -> Émetteur**.
On voit les paramètres du nouveau certificat.
**Fermer** toutes les fenêtres du certificat.
|{{ Images_Cahier-101-05-098.png?500 }}|
===== Fournisseur de comptes =====
//Référence:// [[http://docs.nethserver.org/en/v7/|http://docs.nethserver.org/en/v7/]].\\
NethServer peut prendre en charge l'authentification et les autorisations auprès d'un fournisseur de comptes local ou distant.
Les types de fournisseurs de comptes pris en charge sont:
- //**OpenLDAP**// local fonctionnant sous le Serveur NethServer lui-même.
- //**Serveur LDAP**// distant avec schéma RFC2307.
- Contrôleur de domaine Active Directory sous Samba 4 local.
- Active Directory distant //(Microsoft et Samba)//.
L'utilisateur root peut configurer tout type de fournisseurs de comptes à partir de la page **Fournisseur des comptes**.
{{Images_Cahier-101-03-006.png?25}} Il faut considérer la règle suivante concernant les fournisseurs de comptes: une fois que NethServer a été lié à un fournisseur de comptes, __le nom FQDN du domaine ne peut plus être modifié__ à moins de désinstaller le fournisseur de comptes.
==== Fournisseurs distants ====
Une fois que NethServer a été lié à un fournisseur __distant__ de comptes, la page **Utilisateurs et groupes** affiche les comptes du domaine en mode de __lecture seulement__.
==== Fournisseurs locaux ====
Après avoir installé un fournisseur __local__ //(OpenLDAP ou Samba 4)//, l'administrateur peut créer, modifier et supprimer les utilisateurs et les groupes.
{{Images_Cahier-101-03-006.png?25}} Attention: Veuillez choisir judicieusement votre fournisseur de comptes, car le choix est irréversible. De plus, le système interdira toute modification du FQDN du domaine après la configuration du fournisseur de comptes.
{{Images_Cahier-101-03-003.png?22}} Pour modifier le FQDN, il faut désinstaller le fournisseur de comptes, modifier le FQDN, puis réinstaller le fournisseur de comptes.\\
- Les usagers et les groupes devraient revenir sans problème.\\
- Pour la désinstallation du fournisseur de comptes local, voir la section [[nethserver_101_cahier_05_vdsl_fqdn_internet_et_nethserver#Désinstallation du fournisseur local de comptes]].
==== Choisir le bon fournisseur de comptes ====
En plus de choisir de lier un fournisseur distant ou d'installer un fournisseur local, l'administrateur doit décider quel type de serveur d'arrière-plan convient à ses besoins.
Le module Serveur de fichiers de NethServer, qui active les //Dossiers partagés//(( **Dossiers partagés**: Un dossier partagé est un endroit où un groupe de personnes peut accéder à des fichiers en utilisant **Samba**//(SMB/CIFS)//.\\ \\ )), peut authentifier les clients SMB/CIFS uniquement si NethServer est lié à un domaine Active Directory.
{{Images_Cahier-101-03-005.png?25}} Les fournisseurs LDAP n'autorisent l'accès aux dossiers partagés qu'en //mode invité//. Par contre, le fournisseur //OpenLDAP local// est plus facile à installer et configurer.
Si la prise en charge du protocole de partage de fichiers SMB n’est pas requise, le meilleur choix est un fournisseur OpenLDAP local.
==== Installation du fournisseur local OpenLDAP ====
Pour installer et configurer un fournisseur de comptes OpenLDAP local, on accède à la page **Configuration -> Fournisseur des comptes -> LDAP -> Install locally**.
{{Images_Cahier-101-03-006.png?25}} Le système a besoin d’une connexion Internet fonctionnelle afin de télécharger des paquets supplémentaires.
A la fin de l'installation, le paquet est automatiquement configuré et l'administrateur peut gérer les utilisateurs et les groupes à partir de la page **Gestion -> Utilisateurs et groupes**.
{{Images_Cahier-101-03-004.png?25}} Nous allons définir LDAP comme fournisseur de comptes.
- **Configuration -> Fournisseur des comptes -> LDAP**.
\\
- **Install locally**.
|{{ Images_Cahier-101-05-099.png?400 }}|
|{{ Images_Cahier-101-05-100.png?400 }}|
\\
\\
\\
**INSTALLER**.
|{{ Images_Cahier-101-05-101.png?400 }}|
\\
\\
Le paquet OpenLDAP s'installe.
|{{ Images_Cahier-101-05-102.png?400 }}|
//OpenLDAP a été installé//.\\
On rafraîchit la page pour afficher les nouveaux menus.
|{{ Images_Cahier-101-05-103.png?400 }}|
\\
==== Désinstallation du fournisseur local de comptes ====
Les fournisseurs locaux de comptes LDAP et AD peuvent être désinstallés à partir de la page **Configuration -> Fournisseur des comptes -> Uninstall**.
{{Images_Cahier-101-03-006.png?25}} Lorsque la base de données du fournisseur local de comptes est désinstallée, tous les comptes des utilisateurs, des groupes et des ordinateurs sont supprimés.
{{Images_Cahier-101-03-005.png?25}} Une liste d'utilisateurs et de groupes au format //**TSV**// //(Tab Separated Values)// est transférée dans les fichiers ''/var/lib/nethserver/backup/users.tsv'' et ''/var/lib/nethserver/backup/groups.tsv''.
//Voir aussi:// [[http://docs.nethserver.org/en/v7/accounts.html#import-users-section|http://docs.nethserver.org/en/v7/accounts.html#import-users-section]].
{{Images_Cahier-101-03-003.png?22}} Les fichiers existants, appartenant aux utilisateurs et aux groupes, __doivent être supprimés manuellement__.
Voici la liste des répertoires système contenant les données des utilisateurs et des groupes:
* @lightgray:/var/lib/nethserver/home
* @lightgray:/var/lib/nethserver/vmail
* @lightgray:/var/lib/nethserver/ibay
\\
\\
===== Règles de mot de passe =====
{{Images_Cahier-101-03-004.png?25}} Après l'installation d'un fournisseur de comptes, on rafraîchit la page pour faire apparaître le menu **Règles de mot de passe**.
{{ Images_Cahier-101-05-104.png?600}}
**Sécurité -> Règles de mot de passe**.
☑ //**Politique de difficulté de mot de passe pour les utilisateurs**//\\
Si coché, définit le format à //Fort// pour le mot de passe des utilisateurs //(non coché implique "aucune règle" sauf 7 caractères)//.
☐ //**Expiration du mot de passe des utilisateurs**//\\
Active l'expiration du mot de passe pour les utilisateurs //(si cette case n'est pas cochée, les mots de passe n'expirent jamais)//.
//**La durée maximum du mot de passe (180 days) -> [ 30-365 days ]**//\\
Nombre maximal de jours pendant lesquels vous pouvez conserver le même mot de passe //(par défaut: 180 jours)//.
//**La durée minimum du mot de passe (0 days) -> [ 0 - 365 days ]**//\\
Nombre minimal de jours pendant lesquels vous êtes obligé de conserver le même mot de passe //(par défaut: 0 jour)//.
==== Fort ====
{{Images_Cahier-101-03-006.png?25}} La règle par défaut.
Cette stratégie impose que le mot de passe respecte les règles suivantes:
- Longueur minimale de 7 caractères.
- Contenir au moins 1 chiffre.
- Contenir au moins 1 caractère majuscule.
- Contenir au moins un caractère minuscule.
- Contenir au moins 1 caractère spécial.
- Au moins 5 caractères différents.
- Ne doit pas être présent dans les dictionnaires de mots courants.
- Doit être différent du nom d'utilisateur.
- Impossible de répéter des motifs formés de 3 caractères ou plus //(par exemple, le mot de passe As__1.$__AS__1.$__ n'est pas valide)//.
{{Images_Cahier-101-03-006.png?25}} AVERTISSEMENT La modification de la règle par défaut est fortement déconseillée. L'utilisation de mots de passe faibles conduit souvent à des serveurs compromis par des attaquants externes.
=== Aucun ===
Il n'y a pas de contrôle spécifique sur le mot de passe saisi, mais la longueur minimale est de __7 caractères__.
\\
\\
{{ Images_Cahier-101-05-105.png?600}}
===== Utilisateur et groupes =====
**Gestion -> Utilisateurs et groupes**.
\\
{{Images_Cahier-101-03-006.png?25}} Un fournisseur de comptes est requis pour accéder à de nombreux services fournis par le serveur //(courrier électronique, dossiers partagés, etc.)//.
Vous pouvez vous connecter à un fournisseur distant de comptes LDAP ou Active Directory ou en installer un local.
- La création et la modification des utilisateurs est disponible uniquement si vous installez un fournisseur de comptes local.
- Si les utilisateurs sont lus à partir d’un fournisseur distant, les listes d’utilisateurs et de groupes ne peuvent être que consultées.
- Chaque utilisateur est caractérisé par un justificatif d'identité //(utilisateur et mot de passe)//.
- Un compte utilisateur nouvellement créé reste verrouillé jusqu'à ce que soit défini son mot de passe.
- Un utilisateur bloqué ne peut pas utiliser les services nécessitant une authentification.
==== Créer / Modifier ====
Vous permet de créer ou de modifier des données utilisateur. Le nom d'utilisateur ne peut pas être modifié après sa création.
==== Utilisateur ====
Informations de base sur l'utilisateur. Les champs ci-dessous sont obligatoires.
//**Nom d'utilisateur**//\\
Le nom d'utilisateur sera utilisé pour accéder aux services. Il ne peut contenir que des lettres minuscules, des chiffres, des tirets, des points, des traits de soulignement //(_)// et doit commencer par une lettre minuscule. Par exemple, "louise", "gtoto" et "tatie_jojo" sont des noms d'utilisateurs valides; "4Amis", "Tonton Franco" et "aldo/erreur" ne le sont pas.
//**Nom**//\\
C'est le vrai nom de l'utilisateur. Par exemple, "Général Toto".
\\
==== Groupes ====
À l'aide de la barre de recherche, vous pouvez sélectionner les groupes.
\\
\\
==== Nouvel utilisateur ====
Nous allons créer un nouvel utilisateur: __michelandre__.\\
{{Images_Cahier-101-03-006.png?25}} Vous ne pouvez pas utiliser de caractères accentués dans //**Nom d'utilisateur**//.
**Gestion -> Utilisateurs et groupes ->** onglet **Utilisateurs -> CRÉER NOUVEAU**.
|{{ Images_Cahier-101-05-106.png?400 }}|
\\
On entre les informations demandées.
|{{ Images_Cahier-101-05-107.png?400 }}|
{{ Images_Cahier-101-05-108.png?600}}
L'utilisateur //michelandre// a été créé. Le compte a été activé, car on lui a donné un mot de passe.
\\
===== Compte admin =====
Si un fournisseur de comptes LDAP ou AD local est installé, un utilisateur //admin//, membre du groupe //domain admins//, est créé automatiquement. Ce compte permet d'accéder à toutes les pages de configuration du gestionnaire du Serveur NethServer. Il est initialement désactivé et n'a aucun accès à la console.
{{Images_Cahier-101-03-004.png?25}} Astuce: Pour activer le compte administrateur, il suffit de définir son mot de passe.
Des privilèges spéciaux sont accordés au compte //admin// sur certains services spécifiques tels que joindre un poste de travail à un domaine Active Directory.
Si NethServer est lié à un fournisseur distant de comptes, l'utilisateur //admin// et le groupe //domain admins// peuvent y être créés manuellement s'ils n'existent pas déjà.
Si un utilisateur ou un groupe ayant un compte similaire est déjà présent dans la base de données du fournisseur distant de comptes, mais que son nom d'utilisateur est différent d'//admin//, NethServer peut être configuré pour se servir de ce compte similaire en lançant les deux commandes suivantes:
config setprop admins user customadmin group customadmins
{{Images_Cahier-101-03-006.png?25}} La commande ci-dessous peut prendre un certain temps.
/etc/e-smith/events/actions/system-adjust custom
{{ Images_Cahier-101-05-109.png?600}}
==== Activation du compte admin ====
**Gestion -> Utilisateurs et groupes ->** onglet **Utilisateurs ->** vis-à-vis //**admin**// **→ Éditer**.
{{Images_Cahier-101-03-005.png?25}} La clé indique que le compte n'est pas activé.
- Il n'est pas recommandé d'autoriser //**Remote shell (SSH)**// pour l'utilisateur //admin//.\\
- **Changer le mot de passe.**
|{{ Images_Cahier-101-05-110.png?400 }}|
- On entre un mot de passe __robuste__.\\
- On confirme.\\
- **SOUMETTRE**.
|{{ Images_Cahier-101-05-111.png?400 }}|
{{Images_Cahier-101-03-003.png?22}} Ci contre, si nous modifions un paramètre, il faut cliquer **SOUMETTRE** __avant de changer le mot de passe__, sinon la modification du paramètre sera perdue.
{{ Images_Cahier-101-05-112.png?600}}
{{Images_Cahier-101-03-006.png?25}} Le compte //admin// est activé, la clef est disparue.
\\
\\
==== Ajout de l'utilisateur michelandre au groupe domain admins ====
**Gestion -> Utilisateurs et groupes ->** onglet **Groupes ->** à la fin de la ligne du groupe //**domain admins**// **→ Éditer**.
|{{ Images_Cahier-101-05-113.png?400 }}|
Sous //**Membres**//, on entre **michelandre**, puis on le sélectionne pour l'**Ajouter** au groupe //**domain admins**// **-> SOUMETTRE**.
|{{ Images_Cahier-101-05-114.png?400 }}|
//**Vérification**//
- **Onglet Utilisateurs ->** vis à vis //michelandre// **→ Éditer**.
- L'utilisateur //michelandre// fait bien partie du groupe //**domain admins**//.
|{{ Images_Cahier-101-05-115.png?400 }}|
|{{ Images_Cahier-101-05-116.png?400 }}|
\\
{{ Images_Cahier-101-05-117.png?600}}
===== SSH =====
À la page **Sécurité -> SSH**, on peut modifier le port utilisé par le démon //sshd//, autoriser ou non la connexion de root et l'authentification par mot de passe.
\\
{{ Images_Cahier-101-05-118.png?600}}
===== Services réseau =====
Comme on le voit ci-contre, les services //httpd//, //httpd-admin// et //sshd// sont accessibles depuis le réseau //**rouge**// //(Internet)//.
- Le service //httpd// est accessible depuis l'Internet afin que les internautes puissent accéder à nos futurs sites Web.
- Par contre, le service //httpd-admin// ne devrait être accessible que depuis les réseaux de confiance.
- Le service //sshd// peut être accessible occasionnellement depuis l'Internet, mais ce n'est pas recommandé de manière permanente.
**Sécurité -> Services Réseau**. On modifie le service //httpd-admin// //(Interface Web NethServer)// en cliquant **Éditer** à la fin de sa ligne.
\\
\\
{{ Images_Cahier-101-05-119.png?600}}
On décoche //**Internet (rouge)**// et on clique **SOUMETTRE**.
\\
{{ Images_Cahier-101-05-120.png?600}}
On édite aussi le service //sshd// //(SSH)//. On décoche //**Internet (rouge)**// et on clique **SOUMETTRE**.
\\
{{ Images_Cahier-101-05-121.png?600}}
On vérifie.
\\
{{Images_Cahier-101-03-006.png?25}} On utilise le navigateur //TOR// pour vérifier les accès ci-contre.
- On peut accéder à notre site Web à l'URL: https://206.248.138.152.
- __On ne peut pas accéder__ à l'interface Web NethServer à l'URL: https://206.248.138.152:980.
|{{ Images_Cahier-101-05-122.png?400 }}|
|{{ Images_Cahier-101-05-123.png?400 }}|
\\
===== TLS Policy =====
//Référence:// http://docs.nethserver.org/en/v7/tlspolicy.html#tlspolicy-section.
==== Stratégie TLS ====
La page de stratégie TLS contrôle la manière dont chaque service configure le protocole TLS //(Transport Layer Security)// en sélectionnant un identificateur de stratégie.
Sauf indication contraire, les paramètres TLS des stratégies sont toujours cumulatifs: les stratégies les plus récentes étendent les anciennes.
Chaque module décide de la manière d'appliquer un identifiant de stratégie spécifique offrant un compromis entre sécurité et compatibilité client. Les nouvelles stratégies privilégient la sécurité tandis que les plus anciennes offrent une meilleure compatibilité avec les anciens clients.
{{ Images_Cahier-101-05-124.png?600}}
==== Policy 2018-10-01 ====
**Sécurité -> TLS policy**.
Nous ne modifions rien et laissons la sélection suggérée, c.-à-d. //**Policy 2018-10-01**//.
Cette stratégie restreint les paramètres TLS de la configuration par défaut d'Ejabberd. Elle s'applique uniquement à la version 18 et plus d'Ejabberd.
\\
=== Ejabberd (XMPP) ===
- SSLv3 et TLSv1.0 désactivés.
- Priorité du serveur Cipher.
- Certificat ECC.
- Suites Cipher:
Voir [[https://bettercrypto.org/#cipher_suites|https://bettercrypto.org/#cipher_suites]]
Voir [[https://en.wikipedia.org/wiki/NSA_Suite_B_Cryptography|https://en.wikipedia.org/wiki/NSA_Suite_B_Cryptography]].
|@lightgray:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA|
\\
{{ Images_Cahier-101-05-125.png?600}}
===== Messagerie électronique =====
**Configuration -> Messagerie électronique**.
Nous avons déjà décidé de ne pas utiliser Smarthost au paragraphe [[nethserver_101_cahier_05_vdsl_fqdn_internet_et_nethserver#Smarthost]].
\\
===== DHCP =====
==== Serveur DHCP ====
Le protocole DHCP //(Dynamic Host Configuration Protocol)// permet d’attribuer des adresses IP aux clients du réseau LOCAL.
**Configuration -> DHCP ->** l'onglet **Serveur DHCP** permet de configurer le serveur DHCP.
On peut activer le service DHCP pour le réseau LOCAL du Serveur NethServer.
{{Images_Cahier-101-03-006.png?25}} Il ne peut y avoir qu'un seul serveur DHCP actif par segment de réseau IP.
On peut activer le serveur DHCP de NethServer pour le réseau //192.168.1.0/24//.
|{{ Images_Cahier-101-05-126.png?500 }}|
☑ //**em1 - green**//\\
{{Images_Cahier-101-03-003.png?20}} //Non coché:// le serveur DHCP sera désactivé et les clients du réseau LOCAL ne recevront pas d'adresse IP de manière automatique par ce serveur.\\
● Décocher cette option s'il existe déjà un serveur DHCP sur votre réseau LOCAL.\\
//Coché:// le serveur émettra des adresses IP aux ordinateurs du réseau LOCAL //(recommandé)//.
//**Début de la plage d'adresses IP**//\\
Première adresse IP de la plage attribuée aux clients du réseau LOCAL.
//**Fin de la plage d'adresses IP**//\\
La dernière adresse IP de la plage; les adresses entre début et fin seront attribuées aux clients.
▼ **Options avancées**
//**IP Passerelle**//\\
Facultatif - l'adresse IP de la passerelle à envoyer aux clients DHCP. Si laissée vide, le serveur lui-même sera la passerelle pour tous les clients.
//**Temps de location**//\\
Facultatif - durée du bail IP. Si laissée vide, la valeur par défaut de **86 400** secondes //(24 heures)// sera utilisée.
//**Domaine**//\\
Facultatif - nom de domaine à envoyer aux clients DHCP. Si définie, ce domaine sera ajouté à la résolution de noms des clients.
//**Serveurs DNS**//\\
Facultatif - liste de serveurs DNS, séparés par des virgules, à envoyer aux clients DHCP. Si laissée vide, le serveur lui-même sera le serveur DNS pour tous les clients.
//**Serveurs WINS**//\\
Facultatif - liste de serveurs WINS //(Windows Internet Naming Service)//, séparés par des virgules, à envoyer aux clients DHCP. Si laissée vide, le serveur lui-même sera le serveur WINS pour tous les clients.
//**Serveurs NTP**//\\
Facultatif - liste de serveurs NTP //(Network Time Protocol)//, séparés par des virgules, à envoyer aux clients DHCP. Si laissée vide, le serveur lui-même sera le serveur NTP pour tous les clients.
//**Serveurs TFTP**//\\
Facultatif - liste de serveurs TFTP //(Trivial File Transfer Protocol)//, séparés par des virgules, à envoyer aux clients DHCP. Si laissée vide, le serveur lui-même sera le serveur TFTP pour tous les clients.
==== Réservation d'adresse IP ====
**Créer une réservation d'IP**\\
Ajoute une nouvelle allocation statique //(réservation)// au serveur DHCP. Le périphérique avec l'adresse MAC spécifiée recevra toujours l'adresse IP spécifiée.
//**Nom d'hôte**//\\ Le nom d'hôte que vous souhaitez attribuer au client du réseau local avec l'adresse IP spécifiée.
//**Adresse Mac**//\\ L'adresse MAC de la carte réseau du client //(par exemple 11: 22: 33: 44: 55: 66: 77: 88)//.
//**Adresse IP**//\\ L'adresse IP que vous souhaitez attribuer au client.
//**Description**//\\ Une description facultative pour identifier le client.
|{{ Images_Cahier-101-05-127.png?400 }}|
\\
===== Date et heure =====
**Configuration -> Date et heure**.
Nous avons déjà configuré la date et l'heure au paragraphe [[nethserver_101_cahier_05_vdsl_fqdn_internet_et_nethserver#Date and time]].
\\
\\
===== Routes statiques =====
**Configuration -> Routes Statiques**.
Cette page permet de créer des routes statiques spéciales qui utiliseront la passerelle spécifiée. Ces itinéraires sont généralement utilisés pour connecter un réseau privé.
{{Images_Cahier-101-03-006.png?25}} Pensez à ajouter ce réseau aux //**Réseaux de confiance**// si vous souhaitez autoriser des hôtes distants à accéder à des services locaux.
|{{ Images_Cahier-101-05-128.png?600 }}|
\\
===== Réseau =====
Configuration -> Réseau.
Nous avons déjà configuré les réseaux au paragraphe [[nethserver_101_cahier_05_vdsl_fqdn_internet_et_nethserver#Connexion Internet]].
\\
\\
====== DNS dynamique ======
===== Introduction =====
//Référence:// [[https://wiki.nethserver.org/doku.php?id=module:ddclient|https://wiki.nethserver.org/doku.php?id=module:ddclient]].\\
Le DNS dynamique //(DDNS ou DynDNS)// est une méthode permettant de mettre automatiquement à jour un serveur de noms, souvent en temps réel, avec une nouvelle configuration DNS de noms d’hôte, adresses ou autres informations.
Les utilisateurs d'Internet reçoivent une allocation d’adresses IP de la part de leur FAI. Les adresses attribuées peuvent être fixes //(ou statiques)// et changer de temps à autre; ces adresses sont dites dynamiques. Les adresses dynamiques ne sont généralement attribuées qu'aux clients résidentiels et aux petites entreprises, car la plupart des entreprises exigent des adresses statiques.
Les adresses IP dynamiques posent un problème si le client souhaite fournir un service tel qu'un site Web. Étant donné que l'adresse IP peut changer fréquemment, les noms de domaine correspondants doivent être rapidement reconfigurés dans le DNS afin de maintenir l'accessibilité à une URL connue.
De nombreux fournisseurs proposent un service DNS dynamique, gratuit ou payant, pour mettre à jour ces changements d'adresses IP. Pour un Serveur NethServer, la reconfiguration automatique peut être accomplie par le module //ddclient//.
===== Compte chez un fournisseur de DNS dynamique =====
Il faut avoir un compte chez un fournisseur de DNS dynamique et y avoir créé un nom de domaine.
==== Introduction ====
Lors de l'installation du premier serveur pour notre domaine //micronator.org// nous avons utilisé le service DNS dynamique de //Dyndns.org//, car nous y avions un compte gratuit. Maintenant, la gratuité est disparue.
{{Images_Cahier-101-03-005.png?25}} Pour ce cahier, nous utiliserons //**noip.com**// comme fournisseur de DNS dynamique.
==== Fournisseur DNS dynamique ====
|//**Noip.com**//|ZoneEdit.com|Easydns.com|dslreports.com|
|Hammernode //(hn.org)//|eurodyndns.org|Dtdns.com|loopia.se|
|dnspark.com|Dynhost //(ovh.com)//|Changeip.com|Namecheap|
==== Création d'un compte chez noip.com ====
Avant toute chose, il faut créer un compte chez le fournisseur //noip.com//. On se rend à l'adresse [[https://www.noip.com/sign-up|https://www.noip.com/sign-up]] pour y créer un compte.
- Dérouler le menu et choisir **.ddns.net**.\\
- On entre les informations demandées et on clique **Free Sign Up**.
|{{ Images_Cahier-101-05-129.png?400 }}|
\\
\\
Nous allons recevoir par courriel, un lien pour la confirmation.
|{{ Images_Cahier-101-05-130.png?400 }}|
\\
Dans le courriel reçu, on clique **Activate Account**.
|{{ Images_Cahier-101-05-131.png?400 }}|
\\
On peut vérifier notre nouveau nom d'hôte en cliquant **Verify Hostname Settings**.
|{{ Images_Cahier-101-05-132.png?400 }}|
- Voilà, nous avons un nom d'hôte.\\
- Notre nom de domaine chez Noip est maintenant: //**micronator-101.ddns.net**//.
|{{ Images_Cahier-101-05-133.png?400 }}|
\\
==== Serveur de courrier ====
Il faut indiquer notre serveur de courrier à notre fournisseur DNS dynamique.
\\
**Manage Hosts -> Modify**.
|{{ Images_Cahier-101-05-134.png?400 }}|
Dans la section //**MX Record**//, on entre **mail.nom-du-domaine -> Update Host**.
|{{ Images_Cahier-101-05-135.png?400 }}|
\\
**Manage Hosts ->** vis-à-vis //**micronator-101.ddns.net**// **→ Modify**.
|{{ Images_Cahier-101-05-136.png?600 }}|
\\
On voit la date et l'heure de la dernière mise à jour de notre adresse IP dynamique.
De la même manière, on vérifie nos autres domaines.
==== Enregistrement SPF ====
Comme on le voit ci-contre, si on veut ajouter une entrée DNS pour //SPF//, il nous faut une mise à niveau de notre compte noip.com qui nous coûtera quelques dollars...
{{Images_Cahier-101-03-004.png?25}} Pour la différence de prix, il est préférable d'avoir un nom de domaine FQDN et une adresse IP fixe chez un régistraire reconnu.
|{{ Images_Cahier-101-05-137.png?600 }}|
{{Images_Cahier-101-03-003.png?22}} Pour un exemple d'entrée SPF, voir le paragraphe [[nethserver_101_cahier_05_vdsl_fqdn_internet_et_nethserver#Enregistrement TXT (Text)]].
//Référence:// [[https://fr.wikipedia.org/wiki/Sender_Policy_Framework|https://fr.wikipedia.org/wiki/Sender_Policy_Framework]].\\
Sender Policy Framework //(SPF)// est une norme de vérification du nom de domaine de l'expéditeur d'un courrier électronique, normalisée dans la RFC 7208 //(section 3.1)//. L'adoption de cette norme est de nature à réduire les pourriels.
==== Description ====
Le protocole Simple Mail Transfer Protocol //(SMTP)// utilisé pour le transfert du courrier électronique à travers l'Internet ne prévoit pas de mécanisme de vérification de l'expéditeur, c'est-à-dire qu'il est facile d'envoyer un courrier avec une adresse d'expéditeur factice, voire usurpée. SPF vise à réduire les possibilités d'usurpation en publiant, dans le DNS, un enregistrement //(de type TXT)// indiquant quelles adresses IP sont autorisées ou interdites à envoyer du courrier pour le domaine considéré.
L'identité testée par SPF est celle indiquée par la commande //**MAIL FROM**// dans la session SMTP. C'est donc une information qui appartient à l'enveloppe du courrier et non pas à ses en-têtes. //(Dans certaines conditions, SPF peut aussi utiliser le nom de la machine expéditrice, tel que spécifié dans la commande HELO.)//
===== Hôtes =====
Nous allons créé un nouvel hôte //(micronator-101.ddns.net)// pour notre FQDN du service dynamique NoIP.
{{Images_Cahier-101-03-006.png?25}} On n'utilise jamais //www// avec un nom d'hôte utilisant un service de DNS dynamique.
{{ Images_Cahier-101-05-138.png?600}}
**Configuration -> DNS ->** onglet **Hôtes -> CRÉER NOUVEAU**.
\\
//**Nom d'hôte**//\\
On indique **micronator-101.ddns.net**.
☑ **wildcard dns record**\\
On coche ce paramètre.
//**Adresse IP**//\\
On indique l'adresse sur le réseau LOCAL.
//**Description**//\\
On donne une description de ce nouvel hôte **-> Hôte chez NoIP**.
**SOUMETTRE**.
|{{ Images_Cahier-101-05-139.png?400 }}|
{{ Images_Cahier-101-05-140.png?700}}
Le nouvel hôte a été créé.
\\
===== Installation du module DNS dynamique =====
==== Prérequis: installation du référentiel stephdl ====
//Référence:// [[https://wiki.nethserver.org/doku.php?id=stephdl_repository|https://wiki.nethserver.org/doku.php?id=stephdl_repository]].
Si nous ne sommes pas connecté, on ouvre une session //PuTTY// vers le Serveur NethServer et on se logue en tant que root.
[root@dorgee ~]# yum install -y http://mirror.de-labrusse.fr/NethServer/7/x86_64/nethserver-stephdl-1.0.7-1.ns7.sdl.noarch.rpm
...
Transaction Summary
============================================================================================
Install 1 Package
Total size: 40 k
Installed size: 40 k
...
Installed:
nethserver-stephdl.noarch 0:1.0.7-1.ns7.sdl
Complete!
[root@dorgee ~]#
\\
==== Installation du module nethserver-ddclient ====
[root@dorgee ~]# yum install -y nethserver-ddclient --enablerepo=stephdl
...
Transaction Summary
============================================================================================
Install 1 Package (+6 Dependent packages)
Total download size: 308 k
Installed size: 742 k
...
Installed:
nethserver-ddclient.noarch 0:1.0.7-1.ns7.sdl
Dépendances installées :
ddclient.noarch 0:3.8.3-2.el7 perl-Digest-SHA1.x86_64 0:2.13-9.el7
perl-JSON-Any.noarch 0:1.32-1.el7 perl-JSON-XS.x86_64 1:3.01-2.el7
perl-Types-Serialiser.noarch 0:1.0-1.el7 perl-common-sense.noarch 0:3.6-4.el7
Complete!
[root@dorgee ~]#
\\
{{ Images_Cahier-101-05-141.png?700}}
{{Images_Cahier-101-03-006.png?25}} On rafraîchit notre page Web pour afficher le nouveau menu.
\\
===== Création d'un hôte de DNS dynamique =====
{{ Images_Cahier-101-05-142.png?600}}
**Configuration -> Service DNS dynamique ->** onglet ** Service DNS Dynamique -> CRÉER NOUVEAU** pour ajouter un nouveau nom d'hôte utilisant un DNS dynamique.
\\
==== Justificatifs d'identité ====
On entre les informations demandées.
//**Nom d'hôte DNS dynamique**//\\
Le nom d'hôte d'un client d'un service DNS dynamique doit être un nom complet pour votre nom d'hôte, ex: //arthur-rimbaud.dyndns.org//. Il ne peut contenir que des lettres, des chiffres et des traits d'union et il doit commencer par une lettre ou un chiffre.
//**Description**//\\
Un description facultative du nom d'hôte.
//**Login**//\\
Identifiant de connexion à votre fournisseur de DNS dynamique.
|{{ Images_Cahier-101-05-143.png?400 }}|
//**Mot de passe**//\\
Le mot de passe utilisé pour vous connecter à votre fournisseur de DNS dynamique.
//**Enregistrement MX de votre serveur de courrier**//\\
Vous pouvez fournir le nom utilisé par votre enregistrement //MX// définissant le nom de votre serveur de courriers, non disponible par tous les fournisseurs de DNS dynamique.
==== Fournisseurs d'adresses dynamiques ====
Si votre //FAD// utilise des paramètres spécifiques où s'il n'apparaît pas dans la liste des //Paramètres des fournisseurs officiels (voir le prochain paragraphe)//, vous pouvez utiliser //Personnaliser les paramètres du fournisseur// pour entrer ses paramètres en cliquant:\\
⦿ **Personnaliser les paramètres du fournisseur**
//**Nom du serveur (FQDN)**//\\
Adresse du serveur //(FQDN)//: ce champ est le nom de domaine complet fourni par votre fournisseur de DNS dynamique.
//**Protocole Ddclient**//\\
Ce champ est le protocole //ddclient// que vous devez utiliser avec votre fournisseur.
|{{ Images_Cahier-101-05-144.png?400 }}|
==== Paramètres des fournisseurs officiels ====
{{Images_Cahier-101-03-005.png?25}} Vous pouvez choisir entre les fournisseurs ci-contre, si le vôtre n'est pas disponible, veuillez demander à Stéphane de Labrusse: //stephd at de-labrusse dot fr// de l'ajouter.
⦿ **Paramètres des fournisseurs officiels**
⦿ **Adresses dynamiques No-IP //(noip.com)//**
**SOUMETTRE**.
|{{ Images_Cahier-101-05-145.png?400 }}|
{{ Images_Cahier-101-05-146.png?600}}
Le nom de notre hôte est créé.
\\
==== Paramètre du service Ddclient ====
On utilise les paramètres par défaut.
|{{ Images_Cahier-101-05-147.png?400 }}|
===== Vérification =====
==== Processus ====
Vérification du processus.
[root@dorgee ~]# ps aux | grep ddclient
ddclient 3286 0.0 0.2 145472 7852 ? S 19:05 0:00 ddclient - sleeping for 170 seconds
root 9268 0.0 0.0 112728 972 pts/0 S+ 19:08 0:00 grep --color=auto ddclient
[root@dorgee ~]#
Le processus //ddclient// est actif.
\\
==== Site Web ====
On se rend à notre site Web en spécifiant notre nom de domaine dynamique.\\
{{Images_Cahier-101-03-004.png?25}} Il est préférable d'__utiliser le navigateur TOR__ pour vérifier si tout fonctionne correctement.\\
**http://micronator-101.ddns.net**
{{Images_Cahier-101-03-006.png?25}} Avec un service dynamique, il ne faut pas utiliser de www. tel que ci-dessous:\\
**http://www.nom-du-domaine**
|{{ Images_Cahier-101-05-148.png?400 }}|
==== Vérification chez noip.com ====
Avec Firefox, on se logue chez noip.com.
On clique **Dynamic DNS**.
|{{ Images_Cahier-101-05-149.png?400 }}|
On voit notre adresse IP et l'heure de sa dernière mise à jour.
{{ Images_Cahier-101-05-150.png?800 }}
{{Images_Cahier-101-03-006.png?25}} On se déconnecte de chez [[https://www.noip.com/|noip.com]].
\\
À la console du serveur, on affiche l'heure
[root@dorgee ~]# date
Mon Jan 14 19:09:07 EST 2019
[root@dorgee ~]#
{{Images_Cahier-101-03-005.png?25}} Montréal est dans le fuseau horaire //(EST)// UTC-5; l'heure Atlantic Standard Time //(AST)// est UTC-4.
On vérifie la date et l'heure de la mise à jour dans le journal ''/var/log/messages''.
Jan 19 19:04:21 dorgee esmith::event[15911]: Event: nethserver-ddclient-update SUCCESS
Jan 19 19:05:22 dorgee ddclient[15940]: WARNING: updating micronator-101.ddns.net: nochg: No update required; unnecessary attempts to change to the current address are considered abusive
==== Serveur sur un réseau local (intranet) ====
Pour accéder à une page Web depuis l'Internet, si notre Serveur NethServer est sur un réseau LOCAL, c.-à-d. derrière une passerelle, il nous faudrait utiliser //**Renvoi de ports**// sur le serveur passerelle.
Le serveur passerelle //(notre serveur principal)// permet de re-directionner tous les ports y compris le port 80.
Malheureusement, si on redirectionne le port 80 vers un serveur LOCAL, on ne pourra plus accéder au site sur la passerelle elle-même. Il est donc difficile, mais non impossible, pour un site de fonctionner correctement en étant sur un réseau LOCAL et être accessible depuis l'Internet tout en utilisant une adresse IP privée.
{{Images_Cahier-101-03-004.png?25}} La solution consiste à configurer le serveur principal, celui qui est directement branché à l'Internet, en tant que //Mandataire inversé// pour rediriger les requêtes Web vers le serveur sur le réseau LOCAL. Voir le [[nethserver_101_cahier_10_mandataire_inverse|Cahier-10]]: //Serveur mandataire inversé//.
**Le service DNS dynamique fonctionne correctement.**
\\
====== Régistraire de domaines ======
===== Introduction =====
Nous avons choisi //GoDaddy.com// comme régistraire de notre nouveau domaine. Cette société est efficace et offre un bon support. De plus, lorsqu'on ajuste les enregistrements DNS, ils se diffusent très rapidement dans tous les serveurs DNS de la planète; contrairement à certains autres régistraires qui font attendre entre //24// et //48// heures avant de diffuser les nouveaux enregistrements.
===== Enregistrement d'un nom de domaine =====
==== Recherche d'une aubaine ====
Pour voir les dernières aubaines offertes, on lance une recherche //**godaddy 99 cent**// dans Google.
{{Images_Cahier-101-03-004.png?25}} Cherchez bien et vous allez trouver!
{{Images_Cahier-101-03-006.png?25}} Soyez prudent, __assurez-vous que l'offre vient bien de GoDaddy__!
Ici, nous voyons que GoDaddy offre un domaine //.com// pour //99 cents//. Cette offre est très avantageuse pour un serveur de test.
On clique le lien.
|{{ Images_Cahier-101-05-151.png?600 }}|
{{Images_Cahier-101-03-005.png?25}} L'exemple de ce chapitre est pour le domaine //micronator-101.com//, mais les manipulation sont exactement les même pour //micronator-101.org// ou tout autre domaine FQDN.
==== Recherche d'un nom de domaine ====
{{Images_Cahier-101-03-003.png?22}} La page s'affiche en anglais, mais si on change pour français, l'offre disparaît. Nous restons en anglais pour l'instant et, plus loin, on choisira l'affichage français.
On cherche si le domaine //**micronator-101.com**// est disponible.
|{{ Images_Cahier-101-05-152.png?600 }}|
\\
==== Sélection du domaine recherché ====
{{Images_Cahier-101-03-006.png?25}} On s'assure que les prix sont en __dollars canadiens //(CAD)//__.
Le domaine //**micronator-101.com**// est disponible pour **$0.99CAD**. On clique **Select**.
|{{ Images_Cahier-101-05-153.png?600 }}|
==== Coordonnées privées vs publiques ====
Normalement, nos coordonnées seront publiques et quiconque faisant une recherche dans un //whois//, verra notre nom, etc...
Pour remédier à la situation, GoDaddy offre de rendre nos coordonnées privées. Lorsque quelqu'un fera un recherche, ce seront les coordonnées de GoDaddy qui seront affichées.
GoDaddy charge$9.99CAD par année pour cet escamotage.
On choisit cette option et on clique **Scroll down to continue to cart**.
Puis, on clique **Continue to Cart**.\\
{{ Images_Cahier-101-05-155.png?200 }}
|{{ Images_Cahier-101-05-154.png?600 }}|
\\
==== Modification du nombre d'années de l'abonnement ====
{{Images_Cahier-101-03-004.png?25}} Maintenant, on peut afficher en français en déroulant le menu des langues disponibles.
- {{Images_Cahier-101-03-006.png?25}} On change l'abonnement de __**2** ans à **1** an__.
- On vérifie que __nos coordonnées seront privées__.
- On vérifie __le total__ de la facture.
Si tout semble correct, on clique **Procéder au paiement**.
|{{ Images_Cahier-101-05-156.png?600 }}|
\\
==== Nouveaux clients / Clients existants ====
- On vérifie le total de la facture.
- Sous //**Nouveaux clients**//, on clique **Continuer**.
|{{ Images_Cahier-101-05-157.png?600 }}|
\\
==== Facturation & Paiement ====
=== Informations de facturation ===
- On entre toutes les informations demandées.
- Si on a lu et qu'__on accepte les conditions__, on coche:
☑ **J'accepte les conditions suivantes**.
**Continuer**.
|{{ Images_Cahier-101-05-158.png?600 }}|
\\
==== Informations du compte et Informations de paiement ====
On entre les informations demandées puis on clique **Continuer**.
|{{ Images_Cahier-101-05-159.png?400 }}|
|{{ Images_Cahier-101-05-160.png?400 }}|
\\
==== Information de facturation ====
- On vérifie toutes les informations affichées.
- Si on a lu et qu'__on accepte les conditions__, on vérifie qu'on a bien coché //**J'accepte les conditions suivantes**//.
- On clique **Passez votre commande**.
{{Images_Cahier-101-03-005.png?25}} Un résumé de la transaction sera affiché à l'écran suivant.
|{{ Images_Cahier-101-05-161.png?600 }}|
\\
==== Courriels ====
=== Premier courriel ===
À l'adresse de courriel fournie à GoDaddy, on reçoit un premier courriel détaillant notre facture.
|{{ Images_Cahier-101-05-162.png?600 }}|
\\
=== Deuxième courriel ===
- On reçoit un deuxième courriel nous demandant de confirmer notre adresse courriel.
- On clique **Verify your email address**.
- {{Images_Cahier-101-03-006.png?25}} Si on ne confirme pas notre adresse courriel, GoDaddy va mettre temporairement notre site en attente jusqu'à ce que la vérification soit effectuée.
|{{ Images_Cahier-101-05-163.png?600 }}|
\\
=== Troisième courriel ===
- Après la confirmation de notre adresse, on reçoit un troisième courriel nous remerciant.
- GoDaddy nous offre des domaines avec d'autres suffixes.
- Si on veut faire la gestion de notre domaine, on peut cliquer **MANAGE MY DOMAIN**.
|{{ Images_Cahier-101-05-164.png?600 }}|
\\
===== Login chez GoDaddy =====
On se logue chez GoDaddy.
|{{ Images_Cahier-101-05-165.png?600 }}|
\\
==== Renouvellement automatique du domaine ====
- {{Images_Cahier-101-03-003.png?22}} Par défaut, GoDaddy __renouvelle automatiquement un nouveau domaine__ enregistré chez-lui.
- On déroule le menu **DOMAINES.
\\
\\
- Paramètres du domaine**.
|{{ Images_Cahier-101-05-166.png?600 }}|
\\
- On met à **Off** le //**Renouvellement automatique**//.
- Puis on revient à notre domaine en cliquant **Mes Domaines**.
|{{ Images_Cahier-101-05-167.png?600 }}|
\\
===== Les enregistrements DNS =====
//Référence:// [[https://fr.wikipedia.org/wiki/Domain_Name_System#Principaux_enregistrements_DNS|https://fr.wikipedia.org/wiki/Domain_Name_System#Principaux_enregistrements_DNS]].\\
Le type d'enregistrement de ressource **RR** //(pour Resource Record)// est codé sur 16 bits, [[https://fr.wikipedia.org/wiki/IANA|IANA]] conserve le registre des codes assignés. Les principaux enregistrements définis sont les suivants:
- **A record** ou address record qui fait correspondre un nom d'hôte à une adresse IPv4 de 32 bits distribués sur quatre octets ex: 123.123.123.123;
- **AAAA record** ou IPv6 address record qui fait correspondre un nom d'hôte à une adresse IPv6 de 128 bits distribués sur seize octets;
- **CNAME record** ou canonical name record qui permet de faire d'un domaine un alias vers un autre. Cet alias hérite de tous les sous-domaines de l'original;
- **[[https://fr.wikipedia.org/wiki/Enregistrement_Mail_eXchanger|MX record]]** ou mail exchange record qui définit les serveurs de courriel pour ce domaine;
- **PTR record** ou **pointer record** qui associe une adresse IP à un enregistrement de nom de domaine, aussi dit "reverse" puisqu'il fait exactement le contraire de A record;
- **NS record** ou name server record qui définit les serveurs DNS de ce domaine;
- **SOA record** ou **Start Of Authority record** qui donne les informations générales de la zone: serveur principal, courriel de contact, différentes durées dont celle d'expiration, numéro de série de la zone;
- **[[https://fr.wikipedia.org/wiki/Enregistrement_SRV|SRV record]]** qui généralise la notion de //MX record//, mais qui propose aussi des fonctionnalités avancées comme le taux de répartition de charge pour un service donné, standardisé dans la RFC 2782;
- **NAPTR record** ou **Name Authority Pointer record** qui donne accès à des règles de réécriture de l'information, permettant des correspondances assez lâches entre un nom de domaine et une ressource. Il est spécifié dans la RFC 3403;
- **TXT record** permet à un administrateur d'insérer un texte quelconque dans un enregistrement DNS //(par exemple, cet enregistrement est utilisé pour implémenter la spécification Sender Policy Framework)//;
- d'autres types d'enregistrements sont utilisés occasionnellement, ils servent simplement à donner des informations //(par exemple, un enregistrement de type LOC indique l'emplacement physique d'un hôte, c'est-à-dire sa latitude et sa longitude)//. Cet enregistrement aurait un intérêt majeur mais n'est malheureusement que très rarement utilisé dans le monde Internet.
==== Gestion des DNS ====
Chez GoDaddy, on clique **MICRONATOR-101.COM**.
{{ Images_Cahier-101-05-168.png?800 }}
\\
=== Enregistrement A ===
//Utilisation:// Un enregistrement d'hôte relie un nom de domaine ou de sous-domaine à une adresse IP.
- Onglet **Fichier de zone DNS**.
- Sous l'encart **A (Host)**, on clique **Ajouter l'enregistrement**.
|{{ Images_Cahier-101-05-169.png?400 }}|
\\
- //**Type d'enregistrement:**// \\
On choisit **A (Host)**.
- //**Hôte:**//\\
On entre le caractère **@**.
- //**Pointe sur:**//\\
On entre **notre adresse IP fixe**.
{{Images_Cahier-101-03-004.png?25}} Si on utilise une adresse IP dynamique telle que //micronator-101.ddns.net// provenant de NoIP, on entre alors __micronator-101.ddns.net__ dans le champ //**Pointe sur:**//.
- //**TTL:**//\\
Demeure à **1** heure.
- Cliquer **Terminer**.
|{{ Images_Cahier-101-05-170.png?400 }}|
\\
- Au retour, tout vérifier.
-**Enregistrer les modifications**.
|{{ Images_Cahier-101-05-171.png?400 }}|
\\
Voilà! Notre //Enregistrement A// est défini.
|{{ Images_Cahier-101-05-172.png?400 }}|
\\
Pour supprimer un enregistrement, on clique l'icône de la **Poubelle**; pour le modifier on clique l'icône avec le **Crayon**. {{Images_Cahier-101-05-173.png?75}}
\\
=== Enregistrement AAAA (hôte IPv6) ===
Utilisation: Un //enregistrement AAAA// contient l'adresse IPv6 d'un nom de domaine ou d'un sous-domaine. Leurs différents éléments sont séparés par le caractère deux-points ":".
Présentement, on n'utilise pas le protocole IPv6.
|{{ Images_Cahier-101-05-174.png?400 }}|
\\
=== Enregistrement CName (Alias) ===
//Utilisation:// Les //enregistrements CNAME// //(ou "enregistrements d'alias")// relient un sous-domaine à un enregistrement "A //(Host)//" pour permettre la traduction du sous-domaine en adresse IP. Voir [[nethserver_101_cahier_05_vdsl_fqdn_internet_et_nethserver#CNAME]].\\
On clique **Ajouter l'enregistrement**.
|{{ Images_Cahier-101-05-175.png?400 }}|
- On entre les //CNAME// ci-dessous un à la fois et à chacun **-> Ajouter un(une) autre**.
- **email**, **ftp**, **http**, **https**, **imap**, **mail**, **mobilemail**, **pda**, **pop**, **proxy**, **smtp**, **webmail**, **wpad** et **www**.
- {{Images_Cahier-101-03-006.png?25}} Après le dernier //CNAME//, on clique **Terminer -> Enregistrer les modifications**.
|{{ Images_Cahier-101-05-176.png?400 }}|
{{ Images_Cahier-101-05-177.png?200}} {{Images_Cahier-101-05-177-A.png?175}}
|{{ Images_Cahier-101-05-178.png?400 }}|
\\
=== Enregistrement MX (Mail Exchanger) ===
//Utilisation:// Les //enregistrements MX// assurent le routage des courriels adressés à un nom de domaine. Comme un enregistrement CNAME, un enregistrement MX relie un nom de domaine ou sous-domaine à un autre nom de domaine ou à un autre sous-domaine pour lequel il existe un enregistrement "A (Host)".
{{Images_Cahier-101-03-005.png?25}} Cet enregistrement pointe vers notre serveur de messagerie; toujours "**mail.**" suivi du nom du domaine pour un Serveur NethServer.
|{{ Images_Cahier-101-05-179.png?600 }}|
\\
==== Enregistrement TXT (Text) ====
Utilisation: Les //enregistrements TXT// contiennent une chaîne de texte qui communique les informations nécessaires à certains protocoles //(par exemple, SPF)//. Pour plus de détails sur SPF, voir le paragraphe [[nethserver_101_cahier_05_vdsl_fqdn_internet_et_nethserver#Enregistrement SPF]].
\\
Dans le cadre //**TXT (Text)**//, cliquer **Ajouter l'enregistrement**.
|{{ Images_Cahier-101-05-180.png?600 }}|
On entre les informations nécessaires, exactement tel que ci-dessous **-> Terminer**.
|{{ Images_Cahier-101-05-181.png?600 }}|
\\
Au retour, on vérifie tout.
|{{ Images_Cahier-101-05-182.png?600 }}|
\\
On clique **Enregistrer les modifications**.
|{{ Images_Cahier-101-05-183.png?600 }}|
\\
Encore une fois, on vérifie tout.
|{{ Images_Cahier-101-05-184.png?600 }}|
\\
=== Enregistrement SRV (Service) ===
//Utilisation:// Les //enregistrements SRV// ou "enregistrements de service" sont chargés de localiser des services relatifs aux domaines, par exemple //FTP//, //HTTP// ou //SIP//.
Non utilisé.
|{{ Images_Cahier-101-05-185.png?600 }}|
\\
=== Enregistrement NS (Nameserver) ===
//Utilisation:// Les __enregistrements NS__ spécifient les serveurs de noms prioritaires du domaine considéré. Dans chaque zone DNS, il doit exister au moins __deux__ //enregistrements NS//.
{{Images_Cahier-101-03-006.png?25}} Ces enregistrements sont automatiquement fournis et entrés par GoDaddy. Ne pas les modifier.
|{{ Images_Cahier-101-05-186.png?600 }}|
==== Déconnexion ====
|{{ Images_Cahier-101-05-188.png?400 }}|
Après avoir tout vérifier, en haut de l'écran, on clique notre **nom d'usager** pour dérouler le menu **-> Déconnexion**.
On est alors retourné sur la page d'acceuil de GoDaddy.
|{{ Images_Cahier-101-05-187.png?600 }}|
\\
===== Ajout de l'hôte micronator-101.com =====
**DNS ->** onglet **Hôtes -> CRÉER NOUVEAU** pour ajouter notre nouvel hôte.
|{{ Images_Cahier-101-05-189.png?600 }}|
- On entre les informations demandées.\\
- **SOUMETTRE**.
|{{ Images_Cahier-101-05-190.png?600 }}|
\\
Notre nouvel hôte a été créé.
|{{ Images_Cahier-101-05-191.png?800 }}|
\\
===== Vérification =====
{{Images_Cahier-101-03-004.png?25}} Il est préférable d'utiliser le __navigateur TOR__ pour vérifier si tout fonctionne correctement.
On se rend à notre site Web en spécifiant notre nouveau domaine:
**http://www.micronator-101.com**
Victoire, notre nouveau domaine fonctionne correctement.
|{{ Images_Cahier-101-05-192.png?400 }}|
\\
====== Certificat Let's Encrypt ======
===== Glossaire =====
Ce préambule rassemble quelques termes reliés à la cryptographie.
**Cryptographie asymétrique**
//Référence//: [[https://fr.wikipedia.org/wiki/Cryptographie_asymétrique|https://fr.wikipedia.org/wiki/Cryptographie_asym%C3%A9trique]].\\
La cryptographie asymétrique, ou cryptographie à clé publique, est une méthode de chiffrement qui s'oppose à la cryptographie symétrique. Elle repose sur l'utilisation d'une clé publique //(qui est diffusée)// et d'une clé privée //(gardée secrète)//, la première permettant de coder le message et la seconde de le décoder. Ainsi, l'expéditeur peut utiliser la clé publique du destinataire pour coder un message que seul le destinataire //(en possession de sa clé privée)// peut décoder, garantissant la confidentialité du contenu.
**Chiffrement**
L'un des rôles de la clé publique est de permettre le chiffrement; c'est donc cette clé qu'utilisera Bob pour envoyer des messages chiffrés à Alice. L'autre clé — l'information secrète — sert à déchiffrer. Ainsi, Alice, et elle seule, peut prendre connaissance des messages de Bob. La connaissance d'une clé ne permet pas de déduire l'autre.
**Certificat**
//Référence:// [[https://fr.wikipedia.org/wiki/Certificat_électronique|https://fr.wikipedia.org/wiki/Certificat_%C3%A9lectronique]].\\
Un certificat électronique //(aussi appelé certificat numérique ou certificat de clé publique)// peut être vu comme une carte d'identité numérique. Il est utilisé principalement pour identifier et authentifier une personne physique ou morale, mais aussi pour chiffrer des échanges. Il est signé par un tiers de confiance qui atteste du lien entre l'identité physique et l'entité numérique //(Virtuel)//. Le standard le plus utilisé pour la création des certificats numériques est le **X.509**.
//Référence:// [[https://fr.wikipedia.org/wiki/X.509|https://fr.wikipedia.org/wiki/X.509]].\\
Dans le système X.509, une autorité de certification attribue un certificat liant une clé publique à un nom distinctif //(Distinguished Name)// dont le format est défini par la recommandation X.500, ou encore à un nom alternatif //(Alternative Name)// tel qu'une adresse électronique ou un enregistrement DNS.
Ce certificat place la signature d'une autorité de certification dans le dernier champ. Concrètement, cette signature est réalisée par un condensat de tous les champs précédents du certificat et un chiffrement de ce condensat par la clé privée de l'autorité de certification. N'importe qui possédant la clé publique de cette autorité de certification peut déchiffrer le condensat et le comparer au calcul de son propre condensat du certificat. Si les deux condensats sont identiques, cela garantit que le certificat est intègre et qu'il n'a pas été modifié.
//**Chaîne de certification**//
Le certificat de l'autorité de certification qui contient sa clé publique peut à son tour être signé par un autre certificat de plus haut niveau, formant ainsi une chaîne. Tout en haut de la chaîne on trouve les certificats les plus importants: les certificats racines.
//**Certificats racines**//
Les certificats racines sont des clés publiques non signées, ou auto-signées, dans lesquelles repose la confiance. Les logiciels, comme les navigateurs Web ou les clients de messagerie détiennent des certificats racines de nombreuses autorités de certification commerciales ou gouvernementales. Quand un navigateur ouvre une connexion sécurisée //(TLS/SSL)// vers un site possédant un certificat émis par une autorité connue, il considère le site comme sûr dans la mesure où le chemin de certification est validé. Le passage en mode sécurisé est alors transparent.
**SAN et Wildcard**
//Référence:// [[https://www.thawte.fr/ssl/san-uc-ssl-certificates/#|https://www.thawte.fr/ssl/san-uc-ssl-certificates/#]].\\
//Référence:// https://www.thawte.fr/ssl/wildcard-ssl-certificates/.\\
Que signifient les termes SAN //(Subject Alternative Names)// et UC //(Unified Communications)//?
Les certificats qui utilisent les SAN //(Subject Alternative Names)// sont des outils puissants qui permettent de sécuriser plusieurs noms de domaines de façon efficace et économique. Les certificats SSL Thawte permettent de sécuriser jusqu'à 25 noms de domaines complets avec un seul certificat utilisant les SAN. Les noms de certificats qui utilisent les SAN sont également appelés certificats UC //(Unified Communications ou communications unifiées)// et sont utilisés avec Microsoft Exchange Server 2007, Microsoft Exchange Server 2010 et Microsoft Communications Server. L'objectif d'un certificat avec SAN est le même que n'importe quel autre certificat; il permet à un serveur de définir son identité et d'établir une communication sécurisée. Les certificats avec SAN procurent également un champ SAN //(Subject Alternative Name)// qui permet de protéger les noms de domaines additionnels avec un seul certificat.
//**Pourquoi ai-je besoin d'un SAN?**//
Au lieu d'acheter des certificats individuels pour chaque nom de domaine, vous pouvez ajouter des noms de domaines dans les champs SAN pour partager le même certificat. Non seulement l'entreprise économise le coût d'achat de certificats individuels, mais elle gagne également du temps en évitant d'avoir à gérer plusieurs certificats.
Par exemple, un seul certificat avec prise en charge des SAN serait capable de sécuriser les noms de domaines suivants:
- www.macompagnie.com
- mail.macompagnie.com
- macompagnie.com
- www.toto.net
- mail.toto.net
- toto.net
//**Certificat SAN vs certificat Wildcard**//
Les certificats Wildcard sont similaires aux certificats SAN avec quelques restrictions. Avec un certificat Wildcard, vous pouvez sécuriser plusieurs sous-domaines avec un seul domaine racine. Par exemple, si vous avez un certificat Wildcard pour www.macompagnie.com, il sécurise également //intranet.macompagnie.com// et //email.macompagnie.com// avec le même certificat.
Cependant, vous ne pourrez pas sécuriser plusieurs domaines uniques comme //www.macompagnie.net// et //www.toto.org//.
//**Certificats SSL Wildcard**//
Sécurisation de plusieurs sous-domaines sur un seul serveur.
Les certificats SSL Wildcard Thawte sécurisent plusieurs sous-domaines avec un certificat SSL unique, réduisant ainsi le temps et le coût de gestion. L'utilisation de la notation Wildcard //(un astérisque et un point avant votre nom de domaine)// vous permet d'étendre la sécurité à différents sous-domaines, basés sur le nom de votre domaine de niveau supérieur.
==== CNAME ====
//Référence:// [[https://en.wikipedia.org/wiki/CNAME_record|https://en.wikipedia.org/wiki/CNAME_record]].\\
Un enregistrement CNAME ou enregistrement de //Nom Canonique// est un type d'enregistrement ressource dans le Domain Name System //(DNS)// qui spécifie que le nom de domaine est un alias d'un autre nom de domaine canonique.
//**Utilisation d'enregistrement CNAME**//
En utilisant les CNAME, vous rendez les données de votre DNS plus facile à gérer. Les enregistrements CNAME redirigent vers un //Enregistrement A//. Par conséquent, si vous changez l'adresse IP d'un //Enregistrement A//, tous vos enregistrements CNAME pointés vers cet enregistrement, suivent automatiquement le nouvel IP de l'//Enregistrement A//. La solution alternative est d'avoir des //Enregistrements A// multiples, mais alors vous aurez des endroits multiples pour changer l'adresse IP qui augmente les chances d'erreur.
L'utilisation la plus populaire d'un enregistrement CNAME, est de fournir un accès à un serveur Web en utilisant soit le standard //www.domaine.com// ou soit //domaine.com// //(sans le www)//. Cette règle est généralisée en ajoutant un enregistrement CNAME pour le nom www pointant au nom court //(lors de la création d'un Enregistrement A pour le nom court - sans www)//.
//**Exemple**//
Vous avez un site Web avec le nom de domaine //monsite.quebec//. Ce nom de domaine est connecté à un //Enregistrement A// qui traduit le nom de domaine à l'adresse IP appropriée, par exemple 11.22.33.44.
Vous avez aussi plusieurs sous-domaines, comme //coquille.monsite.quebec//, //email.monsite.quebec//, etc... et vous souhaitez que ces sous-domaines pointent à votre nom de domaine principal //monsite.quebec//. Au lieu de créer des //Enregistrements A// pour chaque sous-domaine et les lier à l'adresse IP de votre domaine principal, vous créez un alias //(enregistrement CNAME)// pour chacun d'eux pour obtenir la figure ci-contre. Dans le cas où votre adresse IP change, vous devez seulement éditer un //Enregistrement A// et tous les sous-domaines suivent automatiquement du fait des CNAME pointant vers le domaine principal.
|{{ Images_Cahier-101-05-193.png?400 }}|
{{Images_Cahier-101-03-004.png?25}} Si Micronator possède un serveur qui fait partie du domaine principal et dont le nom est //coquille//, nous pouvons alors insérer un CNAME //coquille// pour ce serveur.
===== Description =====
Un certificat émis par l'autorité de certification Let's Encrypt vous permettra de chiffrer les connexions de votre serveur avec une clé TLS/SSL reconnue mondialement. Les usagers pourront utiliser //https// et vu que le certificat aura été émis par une autorité de certification reconnue, le cadenas sera toujours vert.
//Référence:// [[https://fr.wikipedia.org/wiki/Let's_Encrypt|https://fr.wikipedia.org/wiki/Let's_Encrypt]].\\
Let's Encrypt est une autorité de certification //(CA)// lancée le 3 décembre 2015 //(Bêta Version Publique)//. Cette autorité fournit des certificats gratuits X.509 pour le protocole cryptographique TLS/SSL au moyen d'un mécanisme automatisé destiné à se passer du processus complexe actuel impliquant: la création manuelle, la validation, la signature, l'installation et le renouvellement des certificats pour la sécurisation des sites Internet.
===== Principe de fonctionnement de Letsencrypt =====
//Référence:// [[https://linuxfr.org/news/reparlons-de-let-s-encrypt|https://linuxfr.org/news/reparlons-de-let-s-encrypt]].\\
La facilité d'utilisation promise par Let's Encrypt repose principalement sur un script client et sur l'automatisation qu'il propose.
Le client s'occupe //(ou peut s'occuper)// de deux tâches distinctes:
1) obtenir un certificat pour le//(s)// domaine//(s)// souhaité//(s)//, et\\
2) installer le certificat obtenu.
Pour obtenir un certificat, le client:
- génère une paire de clés et une demande de signature de certificat //(Certificate Signing Request: CSR)//;
- envoie la demande à un serveur ACME;
- répond aux défis d'authentification //(challenges)// posés par la CA, permettant au requérant de prouver qu'il contrôle le//(s)// domaine//(s)// en question;
- reçoit le certificat signé.
Le client installe le certificat, la clé privée correspondante et les certificats intermédiaires là où le serveur Web pourra les trouver. Enfin il configure et relance ledit serveur s'il sait le faire //(si le serveur en question est Apache HTTP ou Nginx, pour l'instant)//.
Le client garde aussi une trace des certificats obtenus. Lancé à intervalle régulier, il répétera automatiquement la procédure s'il détecte qu'un certificat est sur le point d'expirer.
En définitive, le but est que l'administrateur puisse mettre en place un certificat TLS en une seule commande, avant d'oublier jusqu'à l'existence même du client.
==== Courriels du certificat ====
Aucun courriel n'est envoyé pour confirmer le certificat, mais vous devez fournir une adresse courriel et un/des CNAME valides lors de l'exécution du script client.
==== Transparence des certificats ====
Une partie de la mission de transparence de la société Let's Encrypt comprend la divulgation publique des certificats qu'elle délivre via Certificate Transparency. L'adresse courriel n'est pas divulguée publiquement.
==== Limites ====
//
**90 jours**//
Les certificats Let's Encrypt sont valides pour 90 jours. Let's Encrypt recommande de les renouveler tous les 60 jours pour avoir une certaine marge de manoeuvre.
//**5/7**//
En date du 2019-03-14:
- Limite de **5** certificats par domaine, dans une fenêtre de **7** jours.
- Limite de **500** enregistrements par IP, toutes les **3** heures.
//Référence:// [[https://letsencrypt.org/docs/rate-limits/|https://letsencrypt.org/docs/rate-limits/]].
* Certificats par domaine signifie **5** émissions de certificat et non pas combien de domaines au sein d'un certificat multi-domaines SAN.
** Un certificat multi-domaines SAN ayant //domaine1.com//, //www.domaine1.com//, //domaine2.com//, //www.domaine2.com//, //toto.info//, //titi.org// est compté comme **1** certificat, mais on ne peut renouveler ce certificat multi-domaines plus de **5** fois par période de **7** jours?
*** Il n'y a pas de limites pour le nombre de domaines contenus dans un certificat multi-domaines SAN ou plus précisément jusqu'au maximum standard de **100**. Let's Encrypt a choisi cette limite de 100 sur une base de prudence, car il semble que lorsqu'on en obtient plus de 100, certains navigateurs Web ont un comportement erratique. Let's Encrypt peut probablement augmenter cette limite si quelqu'un en fait la demande.
===== Répertoire .well-known =====
//Référence:// [[https://dev-notes.eu/2017/01/apache-directives-in-config-vs-htaccess/|https://dev-notes.eu/2017/01/apache-directives-in-config-vs-htaccess/]]\\
//Référence:// [[http://httpd.apache.org/docs/current/howto/htaccess.html#page-header|http://httpd.apache.org/docs/current/howto/htaccess.html#page-header]].
Lors d'une demande de certificat à Let's Encrypt, ce dernier doit pouvoir accéder au répertoire ''.well-known'' et à son sous-répertoire ''acme-challenge'' situés dans le répertoire Web principal et y déposer ses fichiers de défis. S'il ne peut accéder à ces répertoires, les défis seront considérés comme non relevés et le certificat ne sera pas émis.
Nous allons créer un fichier ''/etc/httpd/conf.d/z_well-known.conf'' pour indiquer à //Apache// de rendre accessibles les deux répertoires en question.
{{Images_Cahier-101-03-006.png?25}} Prendre tout le contenu de l'encadré pour la commande.
cat > /etc/httpd/conf.d/z_well-known.conf <<'EOT'
Alias "/.well-known/acme-challenge/" "/var/www/html/.well-known/acme-challenge/"
Require all granted
Options -Indexes +FollowSymLinks
AllowOverride All
EOT
On vérifie.
[root@dorgee ~]# ls -als /etc/httpd/conf.d/z_well-known.conf
4 -rw-r--r-- 1 root root 231 Apr 20 13:36 /etc/httpd/conf.d/z_well-known.conf
[root@dorgee ~]#
On affiche le contenu du fichier.
[root@dorgee ~]# cat /etc/httpd/conf.d/z_well-known.conf
Alias "/.well-known/acme-challenge/" "/var/www/html/.well-known/acme-challenge/"
Require all granted
Options -Indexes +FollowSymLinks
AllowOverride All
[root@dorgee ~]#
{{Images_Cahier-101-03-006.png?25}} Il n'y a pas de ligne vide au dessus de __Alias...__ Nous avons inséré une ligne vide pour faciliter la copie de la commande.
{{Images_Cahier-101-03-005.png?25}} Lors de son lancement, //Apache// incorpore tous les fichiers qui se trouvent dans le répertoire ''/etc/httpd/conf.d/'' et qui ont l'extension ''.conf''. Cette incorporation des fichiers se fait par ordre alphabétique et c'est pour cette raison qu'on a nommé notre nouveau fichier de configuration ''z_well-known.conf''.
==== Redémarrage du démon httpd ====
On redémarre le démon Apache afin qu'il relise ses fichiers de configuration.
[root@dorgee ~]# systemctl restart httpd
[root@dorgee ~]#
==== Insertion du fichier dans la sauvegarde des données ====
On vérifie si le nom du fichier ''/etc/httpd/conf.d/z_well-known.conf'' est déjà présent dans le fichier d'inclusion de la sauvegarde des données: ''/etc/backup-data.d/custom.include'', sinon on l'insère.
{{Images_Cahier-101-03-006.png?25}} Prendre tout le contenu de l'encadré pour la commande.
NouvelleInclusion="/etc/httpd/conf.d/z_well-known.conf"
if grep -Fxq "$NouvelleInclusion" /etc/backup-data.d/custom.include
then
# L'entrée a été trouvée dans custom.include
echo -e "\nLe fichier custom.include contient déjà l'entrée:\n$NouvelleInclusion \n"
else
# L'entrée n'a pas été trouvée dans custom.include
echo -e "$NouvelleInclusion" >> /etc/backup-data.d/custom.include
echo -e "\nL'entrée: $NouvelleInclusion a été ajoutée\n"
fi
On vérifie.
[root@dorgee ~]# cat /etc/backup-data.d/custom.include | grep z_well-known.conf
/etc/httpd/conf.d/z_well-known.conf
[root@dorgee ~]#
\\
===== Demande d'un certificat officiel =====
//Référence:// [[https://wiki.nethserver.org/doku.php?id=developer:letsencrypt|https://wiki.nethserver.org/doku.php?id=developer:letsencrypt]].
On veut obtenir un certificat TLS/SSL de Let's Encrypt pour le domaine //micronator-101.org// et ses hôtes tels que ci-dessous.
\\
\\
\\
**Configuration -> Certificat du serveur ->** on déroule le menu **-> Requête de certificat Let's Encrypt**.
|{{ Images_Cahier-101-05-194.png?400 }}|
- On entre l'**adresse courriel** qui recevra les alertes.\\
- On entre les **CNAME** désirés pour le certificat.\\
- Le certificat sera émis au nom du premier CNAME du tableau, c.-à-d. //micronator-101.org//.\\
- Cliquer **REQUÊTE DE CERTIFICAT LET'S ENCRYPT**.
|{{ Images_Cahier-101-05-195.png?400 }}|
\\
{{Images_Cahier-101-03-006.png?25}} Si certains de vos défis sont renvoyés sans erreur, mais que certains échouent, il est possible que vous n'ayez pas d'enregistrements //DNS A//, //MX// ou //CNAME// pour tous les noms d'hôtes que vous avez ajoutés à votre certificat. Lorsque Let's Encrypt lance les défis pour une liste de noms d'hôtes et qu'un de ceux-ci ne répond pas, le défi échoue et le certificat n'est pas généré.
La cause principale des défis non relevés est qu'il n'existe pas d'enregistrements DNS pour tous les noms d'hôtes ajoutés à la demande du certificat. La plupart des administrateurs de systèmes ne créent pas tous les enregistrements DNS nécessaires et le certificat n'est pas généré.
|{{ Images_Cahier-101-05-196.png?400 }}|
\\
==== Certificat par défaut ====
{{Images_Cahier-101-03-005.png?25}} On désigne le nouveau certificat émis par Let's Encrypt en tant que celui qui sera utilisé par défaut, car c'est le certificat standard auto-signé qui l'est encore comme le démontre le crochet de la colonne //**Défau**//t de la capture d'écran ci-dessous.
- On déroule le menu à l'extrême droite de la ligne du certificat Let's Encrypt.\\
- **Set as default**.
|{{ Images_Cahier-101-05-197.png?600 }}|
\\
**CONFIRM**.
|{{ Images_Cahier-101-05-198.png?400 }}|
\\
{{Images_Cahier-101-03-006.png?25}} C'est le certificat Let's Encrypt qui sera maintenant utilisé par défaut.
{{ Images_Cahier-101-05-199.png?800 }}
\\
===== Examen du certificat =====
On rafraîchit la page et on ajoute une exception pour le nouveau certificat.
- Le cadenas est vert.\\
- On se logue.
|{{ Images_Cahier-101-05-200.png?400 }}|
- On clique le cadenas.\\
- On clique l'icône >.
|{{ Images_Cahier-101-05-201.png?400 }}|
\\
**Plus d'informations**.
|{{ Images_Cahier-101-05-202.png?400 }}|
\\
\\
\\
- Onglet **Sécurité**.\\
- **Afficher le certificat**.
|{{ Images_Cahier-101-05-203.png?400 }}|
- Onglet **Détails**.\\
- //**Émis pour**// //micronator-101.org//\\
- //**Émis par**// //Let's Encrypt Authority X3//\\
- On voit la date de début et de fin.
|{{ Images_Cahier-101-05-204.png?400 }}|
\\
- Onglet **Détails**.\\
- **Validité -> Pas après**.\\
- Le certificat est valide pour **90** jours.
|{{ Images_Cahier-101-05-205.png?400 }}|
\\
- **Nom alternatif du sujet du certificat**.
- Tous nos CNAME choisis lors de la demande du certificat sont affichés.
- **Fermer** toutes les fenêtres du certificat.
|{{ Images_Cahier-101-05-206.png?400 }}|
\\
On examine la configuration de la BD de PKI.
[root@dorgee ~]# config show pki
pki=configuration
CertificateDuration=3650
ChainFile=/etc/letsencrypt/live/micronator-101.org/chain.pem
CommonName=Micronator
CountryCode=CA
CrtFile=/etc/letsencrypt/live/micronator-101.org/cert.pem
EmailAddress=michelandre@micronator.org
KeyFile=/etc/letsencrypt/live/micronator-101.org/privkey.pem
LetsEncrypt=disabled
LetsEncryptDomains=micronator-101.org,mail.micronator-101.org,www.micronator-101.org,http.micronator-101.org,https.micronator-101.org,ftp.micronator-101.org,proxy.micronator-101.org,wpad.micronator-101.org
LetsEncryptMail=michelandre@micronator.org
LetsEncryptRenewDays=30
Locality=Montreal
Organization=RF-232
OrganizationalUnitName=Service informatique
State=Qc
SubjectAltName=*.micronator-101.org
[root@dorgee ~]#
{{Images_Cahier-101-03-005.png?25}} La propriété //**CertificateDuration=3650**// s'applique au certificat auto-signé par le Serveur NethServer et non pas à celui émis par Let's Encrypt.
===== Vérification par Qualsys SSLLabs =====
Une fois que vous avez obtenu votre certificat, testez-le en vous rendant chez Qualsys SSLLabs, [[https://www.ssllabs.com/ssltest/|https://www.ssllabs.com/ssltest/]], et soumettez le nom FQDN de votre domaine pour vous assurer qu'il fonctionne correctement.
\\
**//Hostname:// micronator-101.org -> Submit**.
|{{ Images_Cahier-101-05-207.png?400 }}|
- //Overall Rating → A.//\\
- //Certificate → 100%//.
|{{ Images_Cahier-101-05-208.png?400 }}|
===== Vérification des fichiers et répertoires =====
On vérifie le répertoire ''/etc/letsencrypt/''.
[root@dorgee ~]# ls -als /etc/letsencrypt/
total 12
0 drwxr-xr-x. 9 root root 108 22 janv. 11:25 .
12 drwxr-xr-x. 114 root root 8192 25 janv. 14:56 ..
0 drwx------ 3 root root 42 22 janv. 11:25 accounts
0 drwx------ 3 root root 32 22 janv. 11:25 archive
0 drwxr-xr-x 2 root root 34 22 janv. 14:18 csr
0 drwx------ 2 root root 34 22 janv. 14:18 keys
0 drwx------ 3 root root 46 22 janv. 14:18 live
0 drwxr-xr-x 2 root root 37 22 janv. 14:18 renewal
0 drwxr-xr-x 5 root root 43 22 janv. 11:25 renewal-hooks
[root@dorgee ~]#
Le répertoire des requêtes de signature du certificat //(Certificate Signing Request)//. Une seule à date.
[root@dorgee ~]# ls -als /etc/letsencrypt/csr
total 4
0 drwxr-xr-x 2 root root 34 22 janv. 14:18 .
0 drwxr-xr-x. 9 root root 108 22 janv. 11:25 ..
4 -rw-r--r-- 1 root root 1175 22 janv. 11:25 0000_csr-certbot.pem
[root@dorgee ~]#
Le répertoire des pointeurs du certificat.
[root@dorgee ~]# ls -als /etc/letsencrypt/live/micronator-101.org
total 4
0 drwxr-xr-x 2 root root 93 22 janv. 14:18 .
0 drwx------ 3 root root 46 22 janv. 14:18 ..
0 lrwxrwxrwx 1 root root 42 22 janv. 11:25 cert.pem -> ../../archive/micronator-101.org/cert1.pem
0 lrwxrwxrwx 1 root root 43 22 janv. 11:25 chain.pem -> ../../archive/micronator-101.org/chain1.pem
0 lrwxrwxrwx 1 root root 47 22 janv. 11:25 fullchain.pem -> ../../archive/micronator-101.org/fullchain1.pem
0 lrwxrwxrwx 1 root root 45 22 janv. 11:25 privkey.pem -> ../../archive/micronator-101.org/privkey1.pem
4 -rw-r--r-- 1 root root 692 22 janv. 11:25 README
[root@dorgee ~]#
Le répertoire des certificats. Un seul à date.
[root@dorgee ~]# ls -als /etc/letsencrypt/archive/micronator-101.org
total 16
0 drwxr-xr-x 2 root root 83 22 janv. 14:18 .
0 drwx------ 3 root root 32 22 janv. 11:25 ..
4 -rw-r--r-- 1 root root 2159 22 janv. 11:25 cert1.pem
4 -rw-r--r-- 1 root root 1647 22 janv. 11:25 chain1.pem
4 -rw-r--r-- 1 root root 3806 22 janv. 11:25 fullchain1.pem
4 -rw------- 1 root root 1708 22 janv. 11:25 privkey1.pem
[root@dorgee ~]#
{{Images_Cahier-101-03-005.png?25}} Le script a créé un répertoire de stockage pour notre domaine //micronator-101.org// //(le premier de la ligne de notre demande, voir [[nethserver_101_cahier_05_vdsl_fqdn_internet_et_nethserver#Examen du certificat]])//.
\\
===== Journal Let's Encrypt =====
Fichier: ''/var/log/letsencrypt/letsencrypt.log''.
{{ Images_Cahier-101-05-209.png?800 }}
\\
===== Ligne de commande =====
==== Usage ====
[root@dorgee ~]# /usr/libexec/nethserver/letsencrypt-certs -h
Usage: /usr/libexec/nethserver/letsencrypt-certs [-h] [-f] [-d] [-v] [-t] [-e]
Options:
-h : show this help
-f : force certificate renew
-d : comma-separated list of domains,
if not set read from config db pki[LetsEncryptDomains]
-v : verbose
-t : testing, enable staging CA
-e : use given mail for registration
[root@dorgee ~]#
==== Renouvellement ====
[root@dorgee ~]# /usr/libexec/nethserver/letsencrypt-certs -v
/usr/bin/certbot certonly --webroot --webroot-path /var/www/html/ --text --non-interactive --agree-tos --email michelandre@micronator.org -d micronator-101.org -d mail.micronator-101.org -d www.micronator-101.org -d http.micronator-101.org -d https.micronator-101.org -d ftp.micronator-101.org -d proxy.micronator-101.org -d wpad.micronator-101.org -v
...
Cert not yet due for renewal
Keeping the existing certificate
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Certificate not yet due for renewal; no action taken.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
[root@dorgee ~]#
À cause de la ligne //**Cert not yet due for renewal**//, on force le renouvellement.
[root@dorgee ~]# /usr/libexec/nethserver/letsencrypt-certs -v -f
/usr/bin/certbot certonly --webroot --webroot-path /var/www/html/ --text --non-interactive --agree-tos --email michelandre@micronator.org -d micronator-101.org -d mail.micronator-101.org -d www.micronator-101.org -d http.micronator-101.org -d https.micronator-101.org -d ftp.micronator-101.org -d proxy.micronator-101.org -d wpad.micronator-101.org --force-renewal -v
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/micronator-101.org/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/micronator-101.org/privkey.pem
Your cert will expire on 2019-04-25. To obtain a new or tweaked
version of this certificate in the future, simply run certbot
again. To non-interactively renew *all* of your certificates, run
"certbot renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
Executing certificate-update event...
[root@dorgee ~]#
==== Pointeurs ====
Un nouveau certificat a été créé.
|{{ Images_Cahier-101-05-210.png?400 }}|
Les noms des pointeurs sont demeurés les mêmes.
|{{ Images_Cahier-101-05-211.png?400 }}|
\\
Le répertoire des pointeurs du certificat.
[root@dorgee ~]# ls -als /etc/letsencrypt/live/micronator-101.org
total 4
0 drwxr-xr-x 2 root root 93 25 janv. 17:53 .
0 drwx------ 3 root root 46 22 janv. 14:18 ..
0 lrwxrwxrwx 1 root root 42 25 janv. 17:53 cert.pem -> ../../archive/micronator-101.org/cert2.pem
0 lrwxrwxrwx 1 root root 43 25 janv. 17:53 chain.pem -> ../../archive/micronator-101.org/chain2.pem
0 lrwxrwxrwx 1 root root 47 25 janv. 17:53 fullchain.pem -> ../../archive/micronator-101.org/fullchain2.pem
0 lrwxrwxrwx 1 root root 45 25 janv. 17:53 privkey.pem -> ../../archive/micronator-101.org/privkey2.pem
4 -rw-r--r-- 1 root root 692 22 janv. 11:25 README
[root@dorgee ~]#
Les noms des pointeurs sont demeurés les mêmes, mais ils pointent maintenant vers le nouveau certificat, le numéro **2**.
===== Certificat de TEST =====
On force le renouvellement pour un certificat de TEST.
[root@dorgee ~]# /usr/libexec/nethserver/letsencrypt-certs -v -f -t
...
/usr/bin/certbot certonly --webroot --webroot-path /var/www/html/ --text --non-interactive --agree-tos --email michelandre@micronator.org -d micronator-101.org -d mail.micronator-101.org -d www.micronator-101.org -d http.micronator-101.org -d https.micronator-101.org -d ftp.micronator-101.org -d proxy.micronator-101.org -d wpad.micronator-101.org --force-renewal --test-cert -v
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/micronator-101.org/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/micronator-101.org/privkey.pem
Your cert will expire on 2019-04-25. To obtain a new or tweaked
version of this certificate in the future, simply run certbot
again. To non-interactively renew *all* of your certificates, run
"certbot renew"
- Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
Restoring /etc/letsencrypt/ ...
[root@dorgee ~]#
{{Images_Cahier-101-03-006.png?25}} Il faut surveiller que le certificat et la chaîne aient bien été créés sinon, une erreur s'est glissée quelque part.
Rien ne change, car le TEST fait une sauvegarde de répertoire /etc/letsencrypt/, exécute sa requête, manipule le répertoire original puis, lorsque la requête de TEST est terminée, il restaure la sauvegarde du répertoire contenant le certificat officiel demandé précédemment.
**Le module Let's Encrypt ainsi que tous ses fichiers de configuration fonctionnent correctement.**
\\
====== Pare-feu ======
===== Description =====
//Référence:// [[http://docs.nethserver.org/projects/nethserver-devel/en/v7/nethserver-firewall-base.html?highlight=firewall|http://docs.nethserver.org/projects/nethserver-devel/en/v7/nethserver-firewall-base.html?highlight=firewall]].
==== Pare-feu et passerelle ====
NethServer peut servir de pare-feu et de passerelle à l’intérieur du réseau LOCAL sur lequel il est installé. Tout le trafic entre les ordinateurs du réseau LOCAL et Internet transite par le serveur qui décide de l’acheminement des paquets et des règles à appliquer.
Caractéristiques principales:
- Configuration réseau avancée //(pont, liens, alias, etc.)//.
- Prise en charge de plusieurs réseaux //(jusqu'à 15)//.
- Gestion des règles de pare-feu.
- Mise en forme du trafic(( **Mise en forme de trafic** - Technique qui permet d'analyser le trafic des données dans un réseau et de l'adapter au débit disponible, de manière à éviter toute forme de congestion.\\ //Référence//: [[http://www.granddictionnaire.com/ficheOqlf.aspx?Id_Fiche=8359282|http://www.granddictionnaire.com/ficheOqlf.aspx?Id_Fiche=8359282]].
\\ \\ )) //(QoS)//.
- Redirection de ports.
- Règles de routage pour dévier le trafic sur un WAN spécifique.
- Système de prévention des intrusions //(IPS//(( **IPS** - Un système de prévention d'intrusion //(ou IPS, Intrusion Prevention System)// est un outil des spécialistes en sécurité des systèmes d'information, similaire aux IDS, permettant de prendre des mesures afin de diminuer les impacts d'une attaque. C'est un IDS actif, s'il détecte un balayage automatisé, l'IPS peut bloquer les ports automatiquement. Les IPS peuvent donc parer les attaques connues et inconnues. Comme les IDS, ils ne sont pas fiables à 100 % et risquent même en cas de faux positif de bloquer du trafic légitime.\\ //Référence//: [[https://fr.wikipedia.org/wiki/Deep_packet_inspection|https://fr.wikipedia.org/wiki/Deep_packet_inspection]].
\\ \\ ))//)//.
- Inspection approfondie des paquets //(DPI//(( **DPI** - En informatique et en télécommunication, la //Deep Packet Inspection (DPI),// en français inspection approfondie des paquets, est l'activité pour un équipement d'infrastructure réseau consistant à analyser le contenu //(au-delà de l'en-tête)// d'un paquet réseau //(paquet IP le plus souvent)// de façon à en tirer des statistiques, à filtrer ceux-ci, à les prioriser ou à détecter des intrusions, du spam ou tout autre contenu prédéfini. La DPI peut servir notamment à la censure sur Internet ou dans le cadre de dispositifs de protection de la propriété intellectuelle.\\ Elle s'oppose au Stateful Packet Inspection, qui ne concerne que l'analyse de l'en-tête des paquets. La DPI peut provoquer un ralentissement sensible du trafic là où elle est déployée.\\ //Référence//: [[https://fr.wikipedia.org/wiki/Système_de_prévention_d'intrusion|https://fr.wikipedia.org/wiki/Syst%C3%A8me_de_pr%C3%A9vention_d%27intrusion]].
\\ \\ ))//)//.
- Le mode **Pare-feu et passerelle** n'est activé que si:\\
♦ le paquet //**nethserver-firewall-base**// est installé //(module Sauvegarde)// et\\
♦ au moins une interface réseau est configurée avec un rôle rouge.
==== Stratégies ====
Lorsqu'un paquet réseau traverse une zone de pare-feu, le système évalue une liste de règles pour décider si le trafic doit être bloqué ou autorisé. Les Stratégies sont les règles par défaut à appliquer lorsque le trafic réseau ne correspond à aucun critère existant.
Le pare-feu configure 4 zones par défaut avec des stratégies intégrées. Chaque interface est identifiée par une couleur indiquant son rôle dans le système; voir [[nethserver_101_cahier_05_vdsl_fqdn_internet_et_nethserver#Réseau]].
Ci-dessous, la circulation est autorisée de gauche à droite et bloquée de droite à gauche:\\
VERT → BLEU → ORANGE → ROUGE
Le pare-feu implémente deux stratégies par défaut, les choix possibles sont:\\
1) - //Autorisé:// tout le trafic du réseau local //(vert)// vers l'Internet //(rouge)// est activé par défaut.\\
2) - //Bloqué:// tout le trafic du réseau local //(vert)// vers l'Internet //(rouge)// est désactivé par défaut.
Avec la stratégie //Bloqué//, vous devez explicitement créer des règles pour tous les services devant être autorisés. Par exemple, une règle qui autorise le trafic Web //(ports 80 et 443)// de vert à rouge.
Pour remplacer une stratégie, vous devez créer une règle de pare-feu entre les zones. Vous pouvez créer des règles entre les zones pour modifier les stratégies par défaut à partir de la page **Passerelle -> Règles du pare-feu**.
{{Images_Cahier-101-03-006.png?25}} Le trafic __du réseau LOCAL__ vers le serveur sur le port SSH //(valeur par défaut 22 - que nous avons modifié à 2222)// et celui vers le port de l'interface Web du serveur //(valeur par défaut 980)// est toujours autorisé.
|{{ Images_Cahier-101-05-212.png?400 }}|
==== Règles ====
Les règles s'appliquent à tout le trafic traversant le pare-feu. Lorsqu'un paquet réseau passe d'une zone à une autre, le système recherche parmi les règles configurées; si le paquet correspond à une règle, celle-ci est appliquée.
{{Images_Cahier-101-03-006.png?25}} L’ordre de la règle est très important. Le système applique toujours __la première règle__ qui correspond.
Une règle comprend cinq parties principales:
- Action
- Source
- Destination
- Service
- Condition de temps
Les actions disponibles sont:
//ACCEPT// - accepte le trafic réseau.\\
//REJECT// - bloque le trafic et avertit l'hôte émetteur.\\
//DROP// - bloque le trafic, les paquets sont abandonnés et aucune notification n'est envoyée à l'hôte émetteur.\\
//ROUTE// - achemine le trafic vers le réseau spécifié.\\
//PRIORITY// - étiquette le trafic avec une priorité haute/basse.
{{Images_Cahier-101-03-006.png?25}} Le pare-feu ne générera pas de règles pour les zones bleues et oranges si au moins une interface rouge est configurée.
**REJET vs DROP**
En règle générale, vous devez utiliser REJECT lorsque vous souhaitez informer l'hôte source que le port auquel il tente d'accéder est fermé. Habituellement, les règles du côté du réseau LOCAL peuvent utiliser REJECT.
Pour les connexions provenant d’Internet, il est recommandé d’utiliser DROP afin de minimiser la divulgation des informations à tout attaquant.
**Journal**
Lorsqu'une règle correspond au trafic en cours, il est possible d'enregistrer l'événement dans un fichier journal en cochant l'option de l'interface Web. Le journal du pare-feu est enregistré dans le fichier ''/var/log/firewall.log''.
==== Lissage du trafic ====
La mise en forme du trafic permet d'appliquer des règles de priorité au trafic réseau à travers le pare-feu. De cette manière, il est possible d’optimiser la transmission, de vérifier la latence et d’ajuster la bande passante disponible.
Pour activer le lissage du trafic, il est nécessaire de connaître la quantité exacte de bande passante disponible en téléversement et en téléchargement.
{{Images_Cahier-101-03-006.png?25}} Si la bande passante de téléversement et de téléchargement ne sont pas définies pour une interface rouge, les règles de lissage du trafic ne seront pas activées pour cette interface.
==== Multi WAN ====
Le terme WAN //(Réseau étendu)// fait référence à un réseau public extérieur au serveur, généralement connecté à l'Internet.
- Le fournisseur est la société qui gère le lien WAN.
- Chaque fournisseur représente une connexion WAN et est associé à une carte réseau. Chaque fournisseur définit un poids; plus le poids //(weight)// est élevé, plus la priorité de la carte réseau associée au fournisseur est élevée.
- Le système prend en charge jusqu'à 15 connexions WAN.
- Si le serveur a au moins deux cartes rouges configurées, il est nécessaire de configurer correctement les champs //Link weight//, //Bande-passante entrante// //(kbps)// et //Bande-passante sortante// //(kbps)// à partir de la page **Configuration -> Réseau**.
**Link weight**
Le "poids" de la connexion.
Le trafic sera acheminé proportionnellement au poids; un poids plus élevé signifie plus de trafic. Un fournisseur d'un poids de 100 recevra le double du trafic de celui d’un poids de 50. Il faut attribuer les poids selon la bande passante.
Lorsque vous utilisez le mode //Sauvegarde active//, le poids détermine l’utilisation de la ligne. Si le premier fournisseur a un poids de 100 et le second un poids de 50, le trafic est toujours envoyé au premier fournisseur. Le second ne sera utilisé que si le premier fournisseur tombe en panne.
==== Objet du pare-feu ====
Les objets du pare-feu facilitent la création de règles de pare-feu.
{{Images_Cahier-101-03-005.png?25}} Un objet peut être utilisé dans plusieurs règles.
|{{ Images_Cahier-101-05-213.png?400 }}|
**Hôtes**
Un hôte représente une machine avec une adresse IP. Il peut être LOCAL ou distant. Lorsque des règles sont écrites dans un fichier, l'objet hôte sera traduit par sa propre adresse IP.
//Hôte// - Identifiant pour l'hôte.\\
//Adresse IP// - Adresse IP de l'hôte.\\
//Description// - Description facultative.
Voir le paragraphe [[#Règle spéciale pour un poste de travail]] pour la création d'un hôte pour l'IP ''192.168.1.81''/poste de travail.
==== Port Forwarding ====
Utilisez cette page pour modifier les règles de pare-feu, c’est-à-dire pour ouvrir un port spécifique //(ou une plage de ports//) sur le serveur et transférer le trafic d’un port à un autre. Les règles de transfert de port autorisent l'accès aux hôtes du réseau LOCAL depuis l'Internet.
|{{ Images_Cahier-101-05-214.png?400 }}|
===== Pare-feu de base =====
==== Installation ====
**Administration -> Gestionnaire des logiciels ->** cocher **Pare-feu basique**.
|{{ Images_Cahier-101-05-215.png?600 }}|
**AJOUTER**.
|{{ Images_Cahier-101-05-216.png?400 }}|
\\
**APPLIQUER LES CHANGEMENTS**.
|{{ Images_Cahier-101-05-217.png?400 }}|
\\
**Recharger la page** pour afficher les nouveaux menus.
|{{ Images_Cahier-101-05-218.png?400 }}|
Tout s'est bien passé. Il n'y a ni message d'erreur ni avertissement.
{{ Images_Cahier-101-05-219.png?800 }}
\\
==== Règles du pare-feu ====
**Passerelle -> Règles du pare-feu**.
|{{ Images_Cahier-101-05-220.png?400 }}|
On déroule le menu **-> Configurer**.
|{{ Images_Cahier-101-05-221.png?400 }}|
\\
**Trafic vers Internet (interface rouge)**
Les choix possibles sont:
⦿ //**Autorisé**//\\
Tout le trafic du réseau LOCAL //(vert)// vers l'Internet //(rouge)// est activé par défaut.
⚪ //**Bloqué**//\\
Tout le trafic du réseau LOCAL //(vert)// vers l'Internet //(rouge)// est désactivé.\\ Avec la stratégie //Bloqué//, vous devez explicitement créer des règles pour tous les services devant être autorisés. Par exemple: une règle qui autorise le trafic Web //(ports 80 et 443)// de //vert// à //rouge//.
|{{ Images_Cahier-101-05-222.png?400 }}|
**Ping depuis Internet**
⦿ //**Activé**//\\
Si activé, les interfaces publiques //(rouge)// répondront aux requêtes ping //(ACCEPT)//.
⚪ //**Désactivé**//\\
Si cette option est désactivée, les interfaces publiques rejetteront les requêtes ping //(DROP)//.
{{Images_Cahier-101-03-005.png?25}} Pour simplifier le dépannage, il est recommandé de laisser le //ping// activé.
☐ //**Validation MAC (association fixe IP/MAC)**//\\
Si activé, tout le trafic provenant des hôtes des interfaces vertes et bleues est vérifié par rapport à une liste d'adresses IP avec les adresses MAC associées. L'association IP/MAC peut être configurée à l'aide de la page **Configuration -> DHCP**.
===== Règle spéciale pour un poste de travail =====
==== Réseau LOCAL ====
Un de nos postes de travail possède une adresse privée et n'est pas sur le réseau LOCAL //(vert)// du Serveur NethServer.
{{ Images_Cahier-101-05-223.png?800 }}
Vu que le Serveur NethServer verra que la demande de connexion provient de l'adresse ''192.168.1.102'' //(l'aiguilleur)// et non pas du poste de travail ''10.10.100.111'', il autorisera la connexion, car l'aiguilleur ''192.168.1.102'' est sur le réseau LOCAL et il est aussi le relais du poste de travail ''10.10.100.111''.
==== Internet ====
Ci-dessous, nous avons un client dont le Serveur NethServer possède l'adresse IP //90.56.214.76// et il veut que nous nous occupions de la maintenance de ce serveur.
{{ Images_Cahier-101-05-224.png?800 }}
{{Images_Cahier-101-03-005.png?22}} Notre poste de travail //192.168.1.81// n'est pas sur le réseau LOCAL de ce client et on ne peut accéder directment à son serveur. Il doit alors autoriser l'accès à son interface Web depuis l'internet et créer une règle spéciale pour que notre poste de travail puisse y accéder.
==== Activation de httpd-admin depuis l'Internet ====
Sur l'interface Web du client, celui-ci doit autoriser l'accès depuis l'Internet.
**Sécurité -> Service réseau ->** vis à vis //**httpd-admin (Interface Web NethServer)**// **→ Éditer**.
|{{ Images_Cahier-101-05-225.png?600 }}|
- Le client coche **Internet (rouge)**.\\
- **SOUMETTRE**.
|{{ Images_Cahier-101-05-226.png?400 }}|
\\
Le client vérifie.
{{ Images_Cahier-101-05-226-A.png?800 }}
\\
==== Création de l'hôte ====
{{Images_Cahier-101-03-003.png?22}} La requête de connexion de notre poste de travail //192.168.1.81// proviendra de l'Internet à travers notre serveur passerelle //206.248.138.152//.
{{Images_Cahier-101-03-006.png?25}} La règle du pare-feu doit donc utiliser l'adresse IP de notre Serveur NethServer //206.248.138.152// et non pas l'adresse IP de notre poste de travail //192.168.1.81//.
Sur l'Interface Web du client: **Passerelle -> Objet du pare-feu ->** onglet **Hôtes -> CRÉER NOUVEAU**. Le client entre les informations demandées.
|{{ Images_Cahier-101-05-227.png?800 }}|
|{{ Images_Cahier-101-05-228.png?400 }}|
Le nouvel hôte a été créé.
{{ Images_Cahier-101-05-229.png?800 }}
\\
==== Création de la règle du pare-feu ====
Sur l'Interface Web du client: **Passerelle -> Règles du pare-feu**.
- Le client déroule le menu.\\
- **Créer une règle en première position**.
|{{ Images_Cahier-101-05-230.png?400 }}|
\\
Il clique **TOUT** de Source.
|{{ Images_Cahier-101-05-231.png?400 }}|
\\
**Hôte poste-de-travail**.
|{{ Images_Cahier-101-05-232.png?400 }}|
\\
Le client clique **TOUT** de //**Destination**//.
|{{ Images_Cahier-101-05-233.png?400 }}|
\\
**Firewall**.
|{{ Images_Cahier-101-05-234.png?400 }}|
\\
Il clique **TOUT** de //**Service**//.
|{{ Images_Cahier-101-05-235.png?400 }}|
\\
\\
**httpd-admin - network services**.
|{{ Images_Cahier-101-05-236.png?400 }}|
Le client clique à l'intérieur de //**Time condition**//.
|{{ Images_Cahier-101-05-237.png?400 }}|
\\
**Toujours**.
|{{ Images_Cahier-101-05-238.png?400 }}|
Pour être plus sécuritaire, le client pourrait créer une //Condition de temps// en lançant une recherche //**Heure de connexion distante**// pour faire apparaître //Create time condition "Heure de connexion distante"// qu'il clique et il insère les informations demandées.
|{{ Images_Cahier-101-05-239.png?400 }}|
\\
**SOUMETTRE**.
|{{ Images_Cahier-101-05-240.png?400 }}|
**APPLIQUER LES CHANGEMENTS**.
|{{ Images_Cahier-101-05-241.png?800 }}|
* Attention \\ {{Images_Cahier-101-03-008.png?25}} Si le propriétaire d'un autre poste de travail sur notre réseau connaît le mot de passe de root du Serveur NethServer distant, ce poste de travail a, lui aussi, accès à l'interface Web. Le client doit s'assurer d'avoir des mots de passes très robustes.
* Astuce \\ {{Images_Cahier-101-03-004.png?25}} Pour ne pas divulguer le mot de passe de root et limiter les accès, le client peut créer un utilisateur avec le nom de distant et le mettre dans le groupe //domain admins//. Ainsi, il n'y aura qu'un seul utilisateur distant qui pourra se loguer à l'interface Web. Encore une fois, un mot de passe très robuste est requis.
\\
==== Vérification ====
Depuis notre poste de travail //192.168.1.81//, on se connecte au Serveur NethServer de notre client à l'URL:
**https://www.fred39.fr:980**.
Dans le navigateur, on ajoute une exception pour le certificat du client.
L'URL se transforme en:
**https://www.fred39.fr:980/fr-FR/Dashboard**
et on entre les information que le client nous a fournies.
|{{ Images_Cahier-101-05-242.png?400 }}|
\\
Nous somme dans l'interface Web du Serveur NethServer du client tel que démontré par l'affichage à l'extrême droite: //root@fred39.fr//.
|{{ Images_Cahier-101-05-243.png?600 }}|
\\
**Le pare-feu basique est fonctionnel.**
\\
====== Fail2ban ======
===== Description =====
//Référence:// [[https://www.fail2ban.org/wiki/index.php/Main_Page|https://www.fail2ban.org/wiki/index.php/Main_Page]].\\
//Référence:// [[https://www.fail2ban.org/wiki/index.php/FAQ_french|https://www.fail2ban.org/wiki/index.php/FAQ_french]].\\
//Référence:// [[http://docs.nethserver.org/en/v7/fail2ban.html|http://docs.nethserver.org/en/v7/fail2ban.html]].
**Fail2ban** lit des fichiers de journaux tels que ''/var/log/pwdfail'' ou ''/var/log/apache/error_log'' et bannit les adresses IP qui ont généré un trop grand nombre d'échecs lors de l'authentification. Il met à jour les règles de pare-feu pour rejeter ces adresses IP. Des règles peuvent êtres définies par l'administrateur. Fail2ban peut lire plusieurs fichiers de journaux tels que celui de //sshd// ou du serveur //Apache//.
Fail2Ban est capable de réduire le nombre de tentatives d’authentification incorrectes, mais il ne peut éliminer les risques que représente une configuration d'authentification défaillante.
Pour améliorer la sécurité, utilisez le pare-feu pour restreindre l'accès aux divers services uniquement depuis les réseaux de confiance.
===== Installation =====
**Administration -> Gestionnaire des logiciels ->** onglet **Disponible ->** cocher **Fail2ban** et **whois -> AJOUTER**.
{{ Images_Cahier-101-05-244.png?800 }}
\\
**APPLIQUER LES CHANGEMENTS**.
|{{ Images_Cahier-101-05-245.png?400 }}|
**Recharger la page** pour afficher les nouveaux menus.
|{{ Images_Cahier-101-05-246.png?400 }}|
===== Configuration =====
**Sécurité -> Fail2ban ->** onglet **Configuration**.
La plupart des paramètres peuvent être modifiés sous l'onglet **Configuration**, seuls les paramètres réellement avancés doivent être configurés à la ligne de commande.
☑ **Activer Fail2ban** \\
Configure le service pour démarrer et rouler.
//**IP Whitelisting (one per line)**// \\
Entrer les adresses IP qui seront ignorées par Fail2ban //(une adresse par ligne)//.\\
{{Images_Cahier-101-03-006.png?25}} Par défaut, tous les réseaux LOCAUX sont sur la liste blanche.
=== Send email notifications ===
☑ //**Send email notifications**//\\
Envoyer des notifications par courrier électronique.
//**Administrators emails (one per line)**//\\
Entrer les adresses courriel des administrateurs qui recevront les notifications //(une adresse par ligne)//.
☐ //**Notify jail start/stop events**//\\
{{Images_Cahier-101-03-003.png?22}} Ne pas activer ce paramètre, car vous serez inondé de courriels de départs et d'arrêts de Fail2ban.
==== Les prisons ====
- Une prison est la combinaison d'un filtre et d'une ou plusieurs actions.\\
- Toutes les prisons peuvent être activées/désactivées individuellement sous le paramètre //**Jails**//.\\
- Lorsque vous installez un nouveau module, la prison correspondante //(si elle existe)// est automatiquement activée après l'installation du paquet.
|{{ Images_Cahier-101-05-247.png?400 }}|
==== Avancé ====
- //**Nombre de tentatives**// //(maxretry)//\\ Le nombre maximal de tentatives avant d'être banni. Défaut de **3**.
- //**Durée (bantime)**//\\ Période de temps pour atteindre le nombre de tentatives avant le bannissement. Défaut de **900** secondes.
- //**Ban time (bantime)**//\\ Durée de bannissement d'une adresse IP. Défaut de **1800** secondes.
☑ **Recidive jail is perpetual**\\
Lorsqu'une adresse IP est condamnée plusieurs fois à la prison, elle y demeure pour une période beaucoup plus longue. Si ce paramètre est activé, cette période est perpétuelle.\\
{{Images_Cahier-101-03-006.png?25}} À noter que si un banni utilise une adresse IP dynamique et qu'après un certain temps, cette adresse est relâchée par le FAI puis, remise à un autre internaute par le FAI, ce nouvel internaute est aussi banni, car il utilise une adresse déjà en récidive.
☐ //**Allow bans on the LAN**//\\
Par défaut, tous les réseaux LOCAUX sont sur la liste blanche. Activez ce paramètre pour traiter les adresses IP des réseaux LOCAUX comme les autres adresses.
//**Logging Level**//\\
Niveau de journalisation des événements. Les choix possibles sont: CRITICAL, ERROR, WARNING, NOTICE, INFO et DEBUG. Le défaut est __INFO__.
**SOUMETTRE**.
Comme on le voit ci-contre, le service redémarre //(restart)// pour prendre en compte les nouveaux paramètres.
|{{ Images_Cahier-101-05-248.png?400 }}|
===== Bannissement manuel =====
Notre installation chez ''11.22.33.44'' est terminée et nous avons muté notre associé chez un autre client. On a changé l'adresse IP //(vue de l'Internet)// de l'hôte //Poste de travail distant// //(poste-de-travail)// pour celle de notre nouveau client. La //Règle du pare-feu admin distant// demeure la même, car elle est utilisée par le poste de travail de notre nouveau client.
{{Images_Cahier-101-03-005.png?25}} Vu qu'un bannissement à la prison //Recidive// est perpétuelle //(voir ci-dessus Recidive jail is perpetual )//...
[root@dorgee ~]# config show fail2ban | grep -i recidive
Recidive_MaxRetry=
Recidive_Perpetual=enabled
Recidive_status=true
[root@dorgee ~]#
... on pourrait bannir manuellement l'adresse ''11.22.33.44''.
[root@dorgee ~]# fail2ban-client set recidive banip 11.22.33.44
11.22.33.44
[root@dorgee ~]#
==== Vérification à la ligne de commande ====
[root@dorgee ~]# fail2ban-client status recidive
Status for the jail: recidive
|- Filter
| |- Currently failed: 0
| |- Total failed: 6
| `- File list: /var/log/fail2ban.log
`- Actions
|- Currently banned: 1
|- Total banned: 1
`- Banned IP list: 11.22.33.44
[root@dorgee ~]#
L'utilisateur //michelandre// a reçu un courriel lui signalant que le bannissement d'une adresse IP avait eu lieu.
Il reçoit ce courriel, car il est sur la liste du paragraphe [[nethserver_101_cahier_05_vdsl_fqdn_internet_et_nethserver#Send email notifications]].
{{Images_Cahier-101-03-003.png?22}} Si les informations du **WHOIS** n'apparaissent pas, redémarrer tous les services pour vous assurez que ceux-ci se réinitialisent correctement.
/etc/e-smith/events/actions/system-adjust
|{{ Images_Cahier-101-05-249.png?400 }}|
==== Vérification avec l'interface Web ====
**Statut -> Fali2ban ->** onglet **Ban statistics**.
|{{ Images_Cahier-101-05-250.png?400 }}|
Onglet **Unban IP**.
|{{ Images_Cahier-101-05-251.png?400 }}|
==== Suppression d'un bannissement ====
Les adresses IP sont bannies lorsqu'elles sont trouvées plusieurs fois dans le journal durant la période spécifiée. Elles sont stockées dans une base de données pour être à nouveau bannies à chaque redémarrage du serveur ou du service.
- **Statut -> Fail2ban ->** onglet **Unban IP**.\\
- On entre l'adresse sous //**Unban the specified IP**//.\\
- **SUBMIT/REFRESH**.
|{{ Images_Cahier-101-05-252.png?400 }}|
\\
\\
L'adresse IP n'est plus bannie.
|{{ Images_Cahier-101-05-253.png?400 }}|
===== Ligne de commande =====
==== Usage ====
Pour afficher toutes les options de la commande **fail2ban-client**.
[root@dorgee ~]# fail2ban-client -h
Usage: /usr/bin/fail2ban-client [OPTIONS]
Fail2Ban v0.9.7 reads log file that contains password failure report
and bans the corresponding IP addresses using firewall rules.
Options:
-c configuration directory
-s socket path
-p pidfile path
-d dump configuration. For debugging
-i interactive mode
-v increase verbosity
-q decrease verbosity
-x force execution of the server (remove socket file)
-b start server in background (default)
-f start server in foreground (note that the client forks once itself)
-h, --help display this help message
-V, --version print the version
...
get actionmethods gets a list of methods for the
action for
get action gets the value of for
the action for
Report bugs to https://github.com/fail2ban/fail2ban/issues
[root@dorgee ~]#
==== Suppression d'un bannissement ====
Si nous n'avions pas supprimer le bannissement de l'adresse IP ''11.22.33.44'' depuis l'interface Web, nous aurions pu le supprimer à la ligne de commande.
[root@dorgee ~]# fail2ban-client set recidive unbanip 11.22.33.44
11.22.33.44
You have new mail in /var/spool/mail/root
[root@dorgee ~]#
On vérifie.
[root@dorgee ~]# fail2ban-client status recidive
Status for the jail: recidive
|- Filter
| |- Currently failed: 0
| |- Total failed: 6
| `- File list: /var/log/fail2ban.log
`- Actions
|- Currently banned: 0
|- Total banned: 1
`- Banned IP list:
[root@dorgee ~]#
La liste des adresses IP bannies est vide.
\\
==== Désactivation de httpd-admin depuis l'Internet ====
{{Images_Cahier-101-03-008.png?25}} Le bannissement et la règle ont été vérifiés, on pourra désactiver l'accès à l'interface Web depuis l'Internet lorsque ce ne sera plus nécessaire pour notre associé chez notre nouveau client.
**Sécurité -> Service réseau ->** vis à vis //**httpd-admin (Interface Web NethServer)**// **→ Éditer**.
|{{ Images_Cahier-101-05-254.png?600 }}|
- On décoche //**Internet (rouge)**//.\\
- **SOUMETTRE**.
|{{ Images_Cahier-101-05-255.png?400 }}|
**Fail2ban fonctionne correctement.**
\\
====== Messagerie électronique ======
===== Description =====
//Référence:// [[https://github.com/NethServer/nethserver-mail|https://github.com/NethServer/nethserver-mail]].
Le module **Email** est divisé en trois parties principales:
1) - Serveur **SMTP** pour l'envoi et la réception.\\
2) - Serveur **IMAP** et **POP3** pour lire le courrier électronique et le langage Sieve pour l’organiser.\\
3) - Filtre anti-spam, antivirus et bloqueur de pièces jointes.
Les avantages sont:
- Autonomie complète dans la gestion du courrier électronique.
- Évite les problèmes dûs au fournisseur de services Internet.
- Possibilité de traquer l'itinéraire des messages afin de détecter les erreurs.
- Analyse antivirus et anti-spam optimisée.
Voir également les rubriques connexes suivantes:
- Comment fonctionne le courrier électronique: [[https://fr.wikipedia.org/wiki/Courrier_électronique|https://fr.wikipedia.org/wiki/Courrier_%C3%A9lectronique]].
- DNS - Enregistrement MX: [[https://fr.wikipedia.org/wiki/Enregistrement_Mail_eXchanger|https://fr.wikipedia.org/wiki/Enregistrement_Mail_eXchanger]].
- Protocole SMTP: [[https://fr.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol|https://fr.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol]].
- Signature DKIM: [[https://fr.wikipedia.org/wiki/DomainKeys_Identified_Mail|https://fr.wikipedia.org/wiki/DomainKeys_Identified_Mail]].
- MTA(Mail Transfer Agent): [[https://fr.wikipedia.org/wiki/Mail_Transfer_Agent|https://fr.wikipedia.org/wiki/Mail_Transfer_Agent]].
{{Images_Cahier-101-03-005.png?25}} Depuis NethServer 7.5.1804, les nouvelles installations de messagerie, de connecteur et de mandataire POP3 sont basées sur le moteur de filtrage **Rspamd**. Les installations précédentes de NethServer sont automatiquement mises à niveau vers Rspamd.
===== Ports d'écoute SMTP de Postfix =====
//Référence:// https://github.com/NethServer/nethserver-mail#postfix-smtp-listening-ports.
Le serveur SMTP de Postfix est à l’écoute sur les ports TCP suivants:
- //**25 ->**// port standard SMTP; utilisé par d'autres MTA.
- //**587 ->**// port standard d'envoi SMTP; STARTTLS requis par défaut pour protéger les mots de passe de connexion; utilisé par les MUA.
- //**465 ->**// port standard d'envoi SMTPS; TLS toujours requis au niveau du connecteur //(socket)//; utilisé par les MUA qui ne supportent pas STARTTLS.
- //**10587 ->**// port supplémentaire d'envoi SMTP pour localhost uniquement; aucun TLS requis; utilisé par les applications de messagerie locales.
===== Entrée DNS =====
On s'assure que notre domaine ait une entrée DNS sur le serveur.
**Configuration -> DNS ->** onglet **Hôtes**.
{{ Images_Cahier-101-05-256.png?800 }}
\\
===== Alias =====
Par précaution si ce n'est déjà fait, on crée un alias pour //__mail.__micronator-101.org//.
|{{ Images_Cahier-101-05-257.png?300 }}|
|{{ Images_Cahier-101-05-258.png?300 }}|
|{{ Images_Cahier-101-05-259.png?300 }}|
\\
===== Installation de la messagerie =====
//Référence:// [[http://docs.nethserver.org/en/latest/mail.html|http://docs.nethserver.org/en/latest/mail.html]].
{{Images_Cahier-101-03-006.png?25}} Le logiciel //nethserver-mail-disclaimer// est considéré comme obsolète, car le projet **alterMIME**, fournissant l'implémentation réelle, n'est plus développé et peut cesser de fonctionner à tout moment. __Ce paramètre a été exclus dans les nouvelles mise à jour__.
**Administration -> Gestionnaire des logiciels ->** onglet **Disponible ->** cocher //**Email**// et //**nethserver-mail-quarantine**// //(ne pas cocher nethserver-mail-disclaimer)//, cocher //**Proxy SMTP**// et //**Roundcube web mail**// **-> AJOUTER**.
{{ Images_Cahier-101-05-260.png?800 }}
\\
**APPLIQUER LES CHANGEMENTS**.
|{{ Images_Cahier-101-05-261.png?400 }}|
**Recharger la page** pour afficher les nouveaux menus.
|{{ Images_Cahier-101-05-262.png?400 }}|
\\
==== Activation de la mise en quarantaine ====
**Administration -> Gestionnaire de logiciels ->** onglet **Installé ->** vis-à-vis **Email → Éditer**.
{{ Images_Cahier-101-05-263.png?800 }}
\\
On coche **nethserver-mail-quarantine** **-> APPLIQUER LES CHANGEMENTS**.
|{{ Images_Cahier-101-05-264.png?400 }}|
\\
**Recharger la page**.
|{{ Images_Cahier-101-05-265.png?400 }}|
\\
===== Configuration =====
===== Domaines =====
{{Images_Cahier-101-03-003.png?22}} Si le menu **Configuration -> Messagerie électronique** n'apparaît pas, rafraîchir la page.
**Configuration -> Messagerie électronique ->** onglet **Domaines**.
{{ Images_Cahier-101-03-286.png?800 }}
NethServer peut gérer un nombre illimité de domaines de messagerie, configurables à partir de la page **Configuration -> Messagerie électronique -> Domaines**.
Pour chaque domaine, il existe deux alternatives:\\
1) - Livrer les messages aux boîtes aux lettres locales, selon le format **Maildir**: [[https://fr.wikipedia.org/wiki/Maildir|https://fr.wikipedia.org/wiki/Maildir]].\\
2) - Relayer les messages vers un autre serveur de messagerie.
{{Images_Cahier-101-03-006.png?25}} Si un domaine est supprimé, ses courriels ne seront pas supprimés; tous les messages déjà reçus sont conservés.
**Configuration -> Messagerie électronique ->** onglet **Messages**.
NethServer permet de stocker une copie cachée de tous les messages dirigés vers un domaine particulier; ils seront envoyés au destinataire final ainsi qu’à une adresse électronique personnalisée.
☐ //**Toujours envoyer une copie (Bcc)**//\\
Si la case est cochée, la copie cachée est activée.\\
|{{ Images_Cahier-101-03-287.png?400 }}|
{{Images_Cahier-101-03-006.png?25}} Dans certains pays, l'activation de l'option //Toujours envoyer une copie (Bcc)// peut être contraire aux lois sur la confidentialité.
Onglet **Domaines -> Éditer**.
|{{ Images_Cahier-101-03-288.png?400 }}|
\\
//**Domaine**// \\
Notre domaine principal est //micronator-dev.org//.
//**Description**// \\
Champ facultatif utile à l'administrateur système pour noter à quel domaine s'appliquent les paramètres spécifiés.
//**Messages to domain micronator-dev.org**// \\
Développer cette option pour configurer le serveur afin qu'il distribue le courrier entrant, adressé au domaine spécifié, dans des dossiers locaux.
⦿ //**Distribution locale**// \\
☐ //**Copie cachée (BCC)**// \\
☑ //**Accepter des destinataire inconnus**// \\
Si le destinataire final ne peut pas être établi //(c'est-à-dire que l'adresse du destinataire n'existe pas)//, le message est normalement rejeté. Parfois //(lorsqu’un domaine de messagerie est migré)//, il peut être utile de l’accepter et de remettre le message, en mode silencieux, à une boîte aux lettres fourre-tout. Ce comportement peut être obtenu en activant cette option.
|{{ Images_Cahier-101-03-289.png?400 }}|
⚪ //**Relais vers un autre serveur**// \\
Si on sélectionne cette option, le courrier entrant sera transféré vers le serveur spécifié.
==== DKIM ====
☑ //**Signer les messages sortant avec DomainKeys Identified Mail (DKIM)**// \\
//DomainKeys Identified Mail (DKIM)// fournit un moyen de valider le MTA d'envoi en ajoutant une signature cryptographique aux en-têtes MIME des messages sortants. \\
**Cocher** pour activer la signature DKIM pour ce domaine de messagerie.\\
{{Images_Cahier-101-03-006.png?25}} Les en-têtes de signature DKIM sont ajoutés uniquement aux messages envoyés via les ports **TCP 587**(( **Port 587** is reserved for email message submission as specified in this document. Messages received on this port are defined to be submissions. The protocol used is ESMTP [SMTP-MTA, ESMTP], with additional restrictions or allowances as specified here.Although most email clients and servers can be configured to use port 587 instead of 25, there are cases where this is not possible or convenient. A site MAY choose to use port 25 for message submission, by designating some hosts to be MSAs and others to be MTAs. \\ //Référence:// [[https://www.ietf.org/rfc/rfc4409.txt|https://www.ietf.org/rfc/rfc4409.txt]].\\ \\ ))//(envoi)// et **465** //(smtps)//.
//Référence:// https://wiki.nethserver.org/doku.php?id=email_protection_resources#domainkeys_identified_mail_dkim.
=== Enregistrement DNS ===
Pour fonctionner efficacement, le DNS public doit être configuré correctement. Reportez-vous aux instructions de votre fournisseur DNS pour exécuter les étapes suivantes:
- Ajoutez un //enregistrement TXT// à votre fournisseur de service DNS public avec la clé //**default._domainKey**//.
- Copier et coller le texte de la clé dans l'enregistrement DNS.
{{ Images_Cahier-101-05-270.png?800 }}
\\
On se rend chez notre régistraire:
**https://www.godaddy.com**
**Mes domaines -> micronator-101.org ->** en bas de la page **Manage DNS -> ADD**.
|{{ Images_Cahier-101-05-271.png?600 }}|
\\
- //**Type:**// **TXT**.
- //**Host:**// **default._domainKey**.
- //**TXT Value:**// coller le texte **v=DKIM1...DAQAB**, de l'encadré en bleu ci-dessus.
- **Save**.
|{{ Images_Cahier-101-05-272.png?600 }}|
\\
Le nouvel enregistrement est ajouté à la liste.
|{{ Images_Cahier-101-05-273.png?600 }}|
\\
On clique **Enregistrer les modifications**.
|{{ Images_Cahier-101-05-274.png?600 }}|
\\
De retour à l'interface Web de notre Serveur NethServer:
**SOUMETTRE** pour enregistrer les modifications.
|{{ Images_Cahier-101-05-275.png?400 }}|
\\
===Vérification ===
On se rend à: **https://dkimcore.org/tools/keycheck.html**.
On entre les informations demandées **-> Check**.
|{{ Images_Cahier-101-05-276.png?600 }}|
\\
L'enregistrement DKIM est valide.
|{{ Images_Cahier-101-05-277.png?600 }}|
\\
===== Ajout d'un nouveau domaine de messagerie =====
Pour le domaine //micronator-101.ddns.net//, voir [[nethserver_101_cahier_05_vdsl_fqdn_internet_et_nethserver#Création d'un compte chez noip.com]].
**Configuration -> Messagerie électronique ->** onglet **Domaines -> CRÉER NOUVEAU**.
{{ Images_Cahier-101-05-278.png?800 }}
\\
Entre les informations demandées pour le nouveau domaine de messagerie: **micronator-101.ddns.net**.
On n'utilise pas de signature DKIM, car on ne peut ajouter d'enregistrements DNS chez NoIP.
|{{ Images_Cahier-101-05-279.png?400 }}|
\\
Le nouveau domaine a été ajouté.
|{{ Images_Cahier-101-05-280.png?700 }}|
\\
==== Entrée DNS pour micronator-101.ddns.net ====
Si on veut que le domaine **micronator-101.ddns.net** //(domaine chez NoIP)// puisse recevoir/envoyer des courriels, il faut que ce domaine ait une entrée dans le DNS du Serveur NethServer.
**Configuration -> DNS ->** onglet **Hôtes -> CRÉER NOUVEAU**.
On entre les informations demandées.
**SOUMETTRE**.
|{{ Images_Cahier-101-05-280-1.png?400 }}|
L'entrée DNS a été ajoutée.
{{ Images_Cahier-101-05-280-2.png?800 }}
\\
**Alias de messagerie**
Pour que l'utilisateur //michelandre// puisse recevoir des courriels à l'adresse //michelandre@micronator-101.ddns.net//, il faut lui créer un alias de messagerie.
\\
\\
\\
**Gestion -> Adresse mail ->** onglet **Alias de messagerie -> CRÉER NOUVEAU**.
|{{ Images_Cahier-101-05-280-6.png?400 }}|
- On entre les informations demandées. \\
- Pour //**Destination**//, on entre **michelandre** et il apparaît dans le champ en dessous; on sélectionne l'adresse courriel de cet utilisateur. \\
- **SOUMETTRE**.
|{{ Images_Cahier-101-05-280-7.png?400 }}|
On vérifie.
{{ Images_Cahier-101-05-280-8.png?800 }}
- Pour que l'utilisateur //michelandre// puisse entrer dans sa boîte aux lettres, il devra utiliser: \\
https://www.mail.micronator-101.ddns.net/webmail //(le nouveau domaine)// ou \\
https://www.micronator-101.org/webmail //(le domaine principal)//.
===== Filtre =====
//Référence:// http://docs.nethserver.org/en/latest/mail.html#filter.
Tous les courriels en transit sont soumis à une liste de vérifications pouvant être activées de manière sélective. \\
Si ce n'est déjà fait: **Configuration -> Messagerie électronique -> Filtre**.
☑ //**Bloquer les pièces jointes**// \\
Le serveur peut bloquer les classes de pièces jointes suivantes.
* ☑ //**Exécutables**// //(ex: exe, msi)//
* ☐ //**Archives**// //(ex: zip, tar.gz, docx)//
* ☐ //**Liste personnalisée**//
☑ //**Antivirus**// \\
Le module antivirus trouve les messages électroniques contenant des virus. Les messages infectés sont ignorés. La base de données de signatures de virus est mise à jour périodiquement.
|{{ Images_Cahier-101-05-281.png?400 }}|
☑ //**Anti-spam**// \\
Le module anti-spam [[https://rspamd.com/|https://rspamd.com/]] analyse les courriels en détectant et en classant les messages à l'aide de critères heuristiques, de règles prédéterminées et d'évaluations statistiques du contenu des messages.\\
{{Images_Cahier-101-03-005.png?25}} On ajuste les niveaux en cliquant et glissant les curseurs. \\
Le filtre peut également vérifier si le serveur émetteur est répertorié dans une ou plusieurs listes noires //(DNSBL)//.
Un note est associée à chaque règle. La note totale collectée à la fin de l'analyse permet au serveur de décider ce qu'il doit faire avec le message, en fonction de trois seuils pouvant être ajustés sous **Configuration -> Courriel (Email) -> Filtre -> Anti-spam**.
- Si la note est supérieure au seuil de la liste grise, le message est temporairement rejeté. La technique greylisting(( **Greylisting**: Le greylisting //(mot anglophone signifiant "inscription sur liste grise")// est une technique de lutte anti-spam très simple qui consiste à rejeter temporairement un message électronique, par émission d’un code de refus temporaire au serveur informatique émetteur //(MTA)//. Dans la majorité des cas, les serveurs émetteurs réexpédient le courriel après quelques minutes. La plupart des serveurs émettant des spams ne prennent pas cette peine. Au surplus, s'ils le font, ça laisse le temps aux logiciels piégeurs de spam de les inscrire sur des listes noires de spammeurs.\\ //Référence:// [[https://fr.wikipedia.org/wiki/Greylisting|https://fr.wikipedia.org/wiki/Greylisting]].
\\ \\ )) suppose qu'un polluposteur est pressé et est susceptible d'abandonner, tandis qu'un MTA compatible SMTP tentera à nouveau de remettre le message différé.
- Si la note est supérieure au seuil des courriers indésirables, le message est marqué comme tel en ajoutant l'en-tête spécial X-Spam: Yes pour des traitements spécifiques. Le message est alors envoyé comme tout autre message. En guise d'alternative, l'option //**Ajouter un préfixe au Sujet des messages considérés comme spam**// rend l'indicateur de courrier indésirable visible sur l'objet du message en préfixant ce dernier du texte spécifié.
- Si la note est supérieure au Seuil de refus du message pour cause de spam, le message est rejeté.
Les filtres statistiques, appelés //Filtrage bayésien du spam//(( **Filtrage bayésien du spam**: le filtrage bayésien du spam //(en référence au théorème de Bayes)// est une technique statistique de détection de pourriels s'appuyant sur la classification naïve bayésienne.Les filtres bayésiens fonctionnent en établissant une corrélation entre la présence de certains éléments //(en général des mots, parfois d'autres choses)// dans un message et le fait qu'ils apparaissent en général dans des messages indésirables //(spam)// ou dans des messages légitimes //(ham)// pour calculer la probabilité que ce message soit un spam.Le filtrage bayésien du spam est une technique puissante pour traiter le courrier électronique indésirable. Elle s'adapte aux habitudes de courrier des uns et des autres et produit un taux de faux positifs suffisamment bas pour être acceptable. \\ //Référence:// [[https://fr.wikipedia.org/wiki/Filtrage_bayésien_du_spam|https://fr.wikipedia.org/wiki/Filtrage_bay%C3%A9sien_du_spam]].\\ \\ )), sont des règles spéciales qui évoluent et s’adaptent rapidement aux messages d’analyse marqués comme spam ou ham(( **HAM**: par opposition aux messages indésirables, les logiciels de filtrage de courrier électronique tels que SpamAssassin définissent comme "ham", littéralement "jambon", tout message électronique légitime. \\ //Référence:// [[https://fr.wikipedia.org/wiki/Spam#Origine_du_terme_«_spam_»|https://fr.wikipedia.org/wiki/Spam#Origine_du_terme_%C2%AB_spam_%C2%BB]].\\ \\ )).
Les filtres statistiques peuvent ensuite apprendre avec n’importe quel client IMAP en déplaçant simplement un message dans le dossier "Junk".
Avant de commencer, vous devez activer le dossier de courrier indésirable à partir de la page **Configuration -> Messagerie électronique -> Boîtes mails** en cochant l'option //**Déplacer dans le dossier "Junk"**//.
- En mettant un message dans le dossier de courrier indésirable, les filtres apprennent qu'il s'agit d'un spam et attribueront un score plus élevé à des messages similaires.
- Au contraire, en enlevant un message du dossier "Junk", les filtres apprennent que c’est un ham; la prochaine fois, un score inférieur sera attribué.
|{{ Images_Cahier-101-05-282.png?400 }}|
Par défaut, tous les utilisateurs peuvent faire apprendre aux filtres en utilisant cette technique. Si un groupe appelé //spamtrainers// existe, seuls les utilisateurs de ce groupe seront autorisés à faire apprendre aux filtres.
L'apprentissage des filtres bayésiens s’applique à tous les utilisateurs du système et non pas uniquement à ceux qui ont marqué un courrier électronique en tant que spam ou ham.
Il est important de comprendre le fonctionnement des tests bayésiens:
- Ils ne marquent pas les messages comme spam s'ils contiennent un sujet ou une adresse d'expéditeur spécifique. Ils ne font que collecter les caractéristiques particulières du message.
- Un message ne peut être noté qu'une seule fois. Le même message noté plusieurs fois n’affecte rien, car les tests dynamiques ont déjà été appris pour ce message.
- Les tests bayésiens ne sont actifs que s’ils reçoivent suffisamment d’informations; ce qui implique un minimum de 200 spams et de 200 hams.\\
{{Images_Cahier-101-03-006.png?25}} Une bonne habitude est de vérifier fréquemment le dossier des courriels indésirables afin de ne pas perdre les courriels reconnus à tort comme spam.
Si le système ne reconnaît pas correctement les spams, même après avoir été éduqué, les listes blanches et les listes noires peuvent alors vous aider. Ce sont des listes d'adresses courriels ou de domaines, toujours autorisées ou toujours bloquées, pour envoyer ou recevoir des messages.
De retour à la page **Configuration -> Messagerie électronique -> Filtre**.
☑ //**Ajouter un préfixe au Sujet des messages considérés comme spam**// \\ On peut ajouter un préfixe au //Sujet des messages considérés comme pourriel//.
|{{ Images_Cahier-101-05-283.png?400 }}|
\\
==== Règles par adresses mails====
Cette section permet de créer trois types de règles:
1) - //Nouveau blocage depuis:// tout message de l'expéditeur spécifié est bloqué.
2) - //Nouvelle autorisation depuis:// tout message de l'expéditeur spécifié est accepté.
3) - //Nouvelle autorisation pour:// tout message au destinataire spécifié est accepté.
| {{ Images_Cahier-101-05-284.png?200 }} |
| {{ Images_Cahier-101-05-285.png?200 }}|
{{Images_Cahier-101-03-004.png?25}} Il est possible de créer une règle //Nouveau blocage// ou //Nouvelle autorisation// même pour un domaine complet de messagerie et non pas seulement pour une adresse courriel unique: il vous suffit de spécifier le domaine souhaité //(par exemple: nethserver.org)//.
- ▼ Dérouler le menu //**Nouveau blocage depuis**.// \\
- Cliquer **Nouvelle autorisation depuis** \\
- Entrer **nethserver.org.**\\
- Cliquer l'icône à droite.
**SOUMETTRE**.
|{{ Images_Cahier-101-05-286.png?300 }}|
|{{ Images_Cahier-101-05-287.png?300 }}|
|{{ Images_Cahier-101-05-288.png?300 }}|
{{Images_Cahier-101-03-006.png?25}} Les vérifications antivirus sont appliquées malgré les paramètres de la liste blanche.
==== Interface web Rspamd ====
Le module anti-spam du Serveur NethServer est implémenté par //Rspamd// [[https://rspamd.com/|https://rspamd.com/]] qui fournit une interface Web d’administration à laquelle on peut accéder:\\
- à l'URL: https://:980/rspamd,\\
- ou à l'URL: https://www.micronator-101.org:980/rspamd/,\\
- ou **Statut -> Application -> Rspamd -> OUVERT ->** on entre le justificatif de l'utilisateur **admin -> OK**.
|{{ Images_Cahier-101-05-289.png?400 }}|
|{{ Images_Cahier-101-05-290.png?400 }}|
\\
La page de //RSPAMD// s'affiche.
Le menu offre plusieurs choix d'affichage et de configurations.
|{{ Images_Cahier-101-05-291.png?700 }}|
===== Adresses mail =====
Chaque utilisateur possède une boîte aux lettres personnelle et tout nom d'utilisateur sous la forme //@// est également une adresse électronique valide pour y envoyer des messages.
**Gestion -> Adresse mail ->** onglet **Boîtes aux lettres utilisateurs** affiche la liste des boîtes aux lettres.
{{ Images_Cahier-101-05-292.png?800 }}
\\
==== Boîtes au lettres utilisateurs ====
Pour un utilisateur spécifique //(ex: michelandre@micronator-dev.org)//, le bouton **Éditer** permet de désactiver l'accès au service mail //(IMAP, POP3, SMTP/AUTH)//. Les messages envoyés à la boîte aux lettres de cet utilisateur peuvent être transférés à une adresse électronique externe.
{{Images_Cahier-101-03-006.png?25}} Si le système est lié à un fournisseur distant de comptes et qu'un compte d'utilisateur est supprimé à distance, la boîte aux lettres associée __doit être effacée manuellement__. Le préfixe du chemin du répertoire est ''/var/lib/nethserver/vmail''/.
☑ //**Accéder au service mail**//\\ Permet d'activer/désactiver l'accès au service de messagerie. Ce paramètre est activé par défaut.
☐ //**Réseau local seulement**//\\ Parfois, une entreprise interdit les communications externes à l’organisation. L'option //**Réseau local seulement**// bloque la possibilité à une adresse de recevoir du courrier électronique de l'extérieur. Néanmoins, l'option //**Réseau local seulement**// peut être utilisée pour échanger des messages avec d'autres comptes du système.
☐ //**Transférer des messages**//\\ Lorsque coché, ce paramètre affiche un cadre pour entrer l'adresse courriel de destination du transfert.\\ On peut garder une copie du message sur le serveur.
☐ //**Quota de la boîte mails personnalisé**// \\ Permet d'ajuster le quota de la boîte aux lettres de cet utilisateur en cliquant et en glissant le curseur. //(Défaut de 2 Go)//.
☐ //**Durée de rétention personnalisée des spams**// \\ Le curseur permet d'ajuster le temps de rétention des pourriels de cet utilisateur.
**SOUMETTRE** si on a modifié un paramètre.
|{{ Images_Cahier-101-05-293.png?400 }}|
|{{ Images_Cahier-101-05-294.png?400 }}|
|{{ Images_Cahier-101-05-295.png?400 }}|
|{{ Images_Cahier-101-05-296.png?400 }}|
==== Boîtes au lettres partagées ====
Les boîtes aux lettres peuvent être partagées entre des groupes d'utilisateurs. Cet onglet permet de créer une nouvelle boîte aux lettres partagée et d'en définir un ou plusieurs groupes propriétaires. Les boîtes aux lettres partagées peuvent également être créées par tout client IMAP prenant en charge l'extension de protocole IMAP ACL //(RFC 4314)//.
|{{ Images_Cahier-101-05-297.png?400 }}|
==== Alias de messagerie ====
Le système permet la création d’un nombre illimité d’adresses électroniques supplémentaires, à partir de cet onglet.
|{{ Images_Cahier-101-05-298.png?400 }}|
Chaque alias de messagerie est associé à une ou plusieurs //**Destinations**//. Une destination peut être un des types suivants:
- boîte aux lettres d'utilisateur,
- boîte aux lettres partagée ou
- adresse courriel externe.
Un alias de messagerie peut être lié à n'importe quel domaine de messagerie ou être spécifique à un domaine particulier.
Exemple:
- Premier domaine: __mondomaine.net__.
- Deuxième domaine: __exemple.com__.
|{{ Images_Cahier-101-05-299.png?400 }}|
Pour une adresse électronique valide pour les deux domaines //(séparées par une virgule)//: //info@mondomaine.net//, //info@exemple.com//.
Pour une adresse courriel de l'usager __toto__, valide uniquement pour un domaine: //toto@exemple.com//.
===== Boîtes mails =====
**Configuration -> Messagerie électronique -> Boîtes mails** contrôle les protocoles disponibles pour accéder à une boîte aux lettres d'utilisateur.
==== Protocoles d'accès aux boîtes mails ====
☑ //**IMAP**// (( **IMAP**: Au sens strict, Interactive Message Access Protocol, devenu avec IMAP-4 Internet Message Access Protocol //(IMAP)//, est un protocole qui permet d'accéder à ses courriers électroniques directement sur les serveurs de messagerie. Son fonctionnement est donc à l'opposé de POP qui, lui, récupère les messages localement //(vers le poste de travail)// via un logiciel spécialisé. L'évolution des différentes versions d'IMAP //(IMAP 4)// en fait aujourd'hui un protocole permettant également de récupérer les messages localement.\\ //Référence:// [[https://fr.wikipedia.org/wiki/Internet_Message_Access_Protocol|https://fr.wikipedia.org/wiki/Internet_Message_Access_Protocol]].
\\ \\ )) (recommandé)
☑ //**POP3**// (( **POP**: En informatique, le POP //(Post Office Protocol, littéralement "protocole de bureau de poste")//, est un protocole qui permet de récupérer les courriers électroniques situés sur un serveur de messagerie électronique. En dehors d'un paramétrage spécifique, POP se connecte au serveur de messagerie, s'authentifie, récupère le courrier, "peut" effacer le courrier sur le serveur, et se déconnecte.\\ Ce protocole a été réalisé en plusieurs versions; respectivement POP1, POP2 et actuellement POP3.\\ Cette opération transite sur un réseau TCP/IP et utilise le protocole de transfert TCP via le port 110. Ce protocole est défini par la RFC 1939.\\ //Référence:// [[https://fr.wikipedia.org/wiki/Post_Office_Protocol|https://fr.wikipedia.org/wiki/Post_Office_Protocol]].
\\ \\ )) (obsolète)
☐ //**Autoriser les connexions __non chiffrées__**// \\ Pour des raisons de sécurité, tous les protocoles nécessitent par défaut, le chiffrage //STARTTLS//. //**Autoriser les connexions non chiffrées**// désactive cette exigence importante et permet de transmettre sur le réseau les mots de passe et le contenu du courrier en texte clair.
|{{ Images_Cahier-101-05-300.png?400 }}|
{{Images_Cahier-101-03-008.png?25}} N'autorisez pas les connexions non chiffrées dans les environnements de production!
==== Espace disque ====
À partir de la même page //(Configuration -> Messagerie électronique -> Boîtes mails)//, l'espace disque __de toutes les boîtes aux lettres__ peut être limité à un quota par défaut.
⦿ //**Appliquer les quotas**// si cliqué/activé, la page //Quota emails// récapitule l'utilisation du quota pour chaque utilisateur. Ce résumé est mis à jour lorsqu'un utilisateur se connecte ou qu'un message est livré.
Le quota peut être personnalisé __pour un utilisateur spécifique__ dans **Gestion -> Adresse mail -> Boîtes aux lettres utilisateurs ->** vis-à-vis un utilisateur **→ Éditer -> Quota de la boîte mails personnalisé.**
|{{ Images_Cahier-101-05-301.png?400 }}|
|{{ Images_Cahier-101-05-302.png?400 }}|
==== Traitement des spams ====
De retour à la page **Configuration -> Messagerie électronique -> Boîtes mails**, les messages marqués comme pourriel peuvent être automatiquement déplacés en activant l'option //**Déplacer dans le dossier "Junk"**//.
{{Images_Cahier-101-03-006.png?25}} Si cette option est activée, tous les //spams// __pour tous les utilisateurs__ sont automatiquement supprimés à la fin de la période de conservation spécifiée.
{{Images_Cahier-101-03-005.png?25}} La //période de rétention// du courrier indésirable peut être personnalisée __pour un utilisateur spécifique__ dans **Gestion -> Adresse mail -> Boîtes aux lettres utilisateurs -> Éditer** vis-à-vis un utilisateur:
☑ //**Durée de rétention personnalisée des spams**//.\\ Déplacer le curseur pour ajuster.
De retour à **Configuration -> Messagerie électronique -> Boîtes mails**, l'utilisateur root peut personnifier //(emprunter l'identité d')// un autre utilisateur et ainsi obtenir tous les droits et autorisations sur les dossiers et contenus du courrier de la boîte aux lettres de cet utilisateur.
☐ //**Root peut se connecter en tant qu'un autre utilisateur**// est le paramètre qui contrôle cette personnification qui est également appelée //utilisateur principal// dans //Dovecot//(( **Dovecot** est un serveur IMAP et POP3 pour les systèmes d'exploitation Unix et dérivés, conçu avec comme premier but la sécurité. Dovecot est distribué en double licence MITx et xGPL version 2.\\ //Référence:// [[https://fr.wikipedia.org/wiki/Dovecot|https://fr.wikipedia.org/wiki/Dovecot]].
\\ \\ )). \\
Lorsque ce paramètre est activé, le justificatif d'identification suivant est accepté par le serveur IMAP: \\
♦ nom d'utilisateur avec le suffixe __*root__ ajouté \\
♦ mot de passe de root
|{{ Images_Cahier-101-05-303.png?400 }}|
|{{ Images_Cahier-101-05-304.png?400 }}|
|{{ Images_Cahier-101-05-305.png?400 }}|
//Exemple:// pour accéder à la boîte aux lettres de //michelandre//, root doit utiliser le justificatif d'identification suivant: \\
♦ nom d'utilisateur: //michelandre//__*root__ \\
♦ mot de passe: mot-de-passe-de-root
===== Messages =====
**Configuration -> Messagerie électronique ->** onglet **Messages**, le curseur //**Taille maximum des messages dans la file d'attente**// définit la taille maximale totale des messages dans la file d'attente du système de courriers. Si cette limite est dépassée, aucun message ne peut entrer dans le système et il est rejeté.
Une fois qu'un message entre dans NethServer, il est conservé dans une file d'attente, en attendant la livraison finale ou le relais vers un autre système.
|{{ Images_Cahier-101-05-306.png?400 }}|
Lorsque NethServer relaie un message vers un serveur distant, des erreurs peuvent survenir:
- la connexion réseau a échoué, ou
- l'autre serveur est en panne ou surchargé.
Ces erreurs et certaines autres sont temporaires. Dans ces cas, NethServer tente de se reconnecter à l'hôte distant à intervalles réguliers jusqu'à ce qu'une limite de temps soit atteinte. Le curseur //**Durée de vie des messages dans la file d'attente**// modifie cette limite. Par défaut, elle est définie à **4** jours.
Lorsque les messages sont dans la file d'attente, l'administrateur peut demander une tentative immédiate de relayer les messages en appuyant sur **Statut -> Queue d'e-mail -> Tenter d'envoyer ->** à l'écran surgissant, **Tenter d'envoyer**.
|{{ Images_Cahier-101-05-307.png?400 }}|
|{{ Images_Cahier-101-05-308.png?400 }}|
L'administrateur peut supprimer sélectivement les messages en file d'attente ou vider complètement la file d'attente avec le bouton **Supprimer tout**.
|{{ Images_Cahier-101-05-309.png?400 }}|
{{Images_Cahier-101-03-005.png?25}} De retour à **Configuration -> Messagerie électronique -> Messages** et pour conserver __une copie cachée de tous les messages__ traversant le serveur de messagerie, cochez la case:
☐ //**Toujours envoyer une copie (Bcc)**// \\
Cette fonctionnalité est différente de la même case à cocher sous **Configuration -> Courrier (E-mail) -> Domaine -> Copie cachée (Bcc)**, car elle ne différencie pas les domaines de messagerie et traite également les messages sortants.
|{{ Images_Cahier-101-05-310.png?400 }}|
{{Images_Cahier-101-03-006.png?25}} Dans certains pays, l'activation de l'option //Toujours envoyer une copie (Bcc)// peut être contraire aux lois sur la confidentialité.
===== Smarthost =====
La page **Configuration -> Courrier (E-mail) -> Smarthost** configure tous les messages sortant de manière à ce qu'ils soient dirigés vers un serveur SMTP spécial, techniquement appelé smarthost. Un smarthost accepte de relayer des messages sous certaines restrictions. Il pourrait vérifier:
- l'adresse IP du client et
- les informations d'identification du client SMTP AUTH.
|{{ Images_Cahier-101-05-311.png?400 }}|
L'envoi via un smarthost n'est généralement pas recommandé. Ce paramètre ne peut être utilisé que si le serveur est temporairement sur une liste noire(( **DNS Black Listing (DNSBL)** est une méthode permettant de consulter une liste noire d'émetteurs de courrier électronique en utilisant le protocole DNS. Le nom DNS Black Listing vient de l'expression anglaise black list qui signifie liste noire.\\ //Référence:// [[https://fr.wikipedia.org/wiki/DNS_Black_Listing|https://fr.wikipedia.org/wiki/DNS_Black_Listing]].
\\ \\ )) ou si l'accès SMTP normal est limité par le fournisseur d'accès Internet (FAI).
☐ //**Envoyer les messages en utilisant un smarthost**//\\
Par défaut, le Serveur NethServer tentera d'envoyer les courriels directement à la destination //(recommandé dans la plupart des cas)//.\\
En choisissant plutôt d'envoyer par un smarthost, il essaiera de les transmettre via le serveur SMTP du FAI //(recommandé en cas de connexion peu fiable, IP dynamique, etc.)//. \\
//**Nom d'hôte**// - Le nom du serveur de messagerie du fournisseur d'accès Internet. \\
//**Port**// - Le port du serveur de messagerie du FAI.\\
//**Nom d'utilisateur**// - Si le serveur du FAI requiert une authentification, spécifiez le nom d'utilisateur.\\
//**Mot de passe**// - Le mot de passe requis par le FAI.
☐ //**Autoriser les connexions non cryptées**//\\
{{Images_Cahier-101-03-008.png?25}} Normalement, si vous utilisez une connexion authentifiée //(avec nom d'utilisateur et mot de passe)//, une connexion chiffrée est requise pour protéger le mot de passe. La sélection de cette option permettra à une connexion non sécurisée de se connecter au FAI //(non recommandé, à utiliser uniquement si le FAI a des problèmes)//.
===== Accès SMTP =====
{{Images_Cahier-101-03-008.png?25}} //**Autoriser l'envoi à partir de ces adresses IP**// \\
Autoriser l'envoi de messages électroniques à partir de l'adresse IP spécifiée, sans authentification SMTP ni autres restrictions de sécurité. Cette option convient à un dispositif(( **dispositif:** n. m. unité qui assure la réalisation d'une opération particulière, indispensable au bon fonctionnement d'un système informatique, d'une machine ou d'un appareil.\\ //Référence:// [[http://www.granddictionnaire.com/ficheOqlf.aspx?Id_Fiche=8357059|http://www.granddictionnaire.com/ficheOqlf.aspx?Id_Fiche=8357059]].\\ \\ )) réseau patrimonial(( **patrimonial**: se dit de composants, logiciels ou matériels, issus d'une génération ou d'une version dépassée et qui continuent d'être utilisés, après des ajustements, en même temps que la technologie contemporaine d'une entreprise.//Note:// Les entreprises ont continué à supporter et à entretenir des environnements patrimoniaux qui auraient dû être changés depuis longtemps. \\ //Référence:// [[http://www.granddictionnaire.com/ficheOqlf.aspx?Id_Fiche=8390423|http://www.granddictionnaire.com/ficheOqlf.aspx?Id_Fiche=8390423]].\\ \\ )) qui ne prend pas en charge le protocole SMTP/AUTH.
{{Images_Cahier-101-03-006.png?25}} Ne changez pas la politique par défaut sur les nouveaux environnements!
|{{ Images_Cahier-101-05-312.png?400 }}|
//Par exemple//: certains périphériques //(imprimantes, numériseur/digitaliseur,…)// ne prennent pas en charge l'authentification SMTP, le chiffrage ou les paramètres de port. Ces périphériques peuvent être activés pour envoyer des courriels en entrant leur adresse IP dans la zone de texte //**Autoriser l'envoi à partir de ces adresses IP**//.
{{Images_Cahier-101-03-008.png?25}} ▼ Options avancées
☐ //**Autoriser l'envoi à partir des réseaux de confiance**// \\
Autorise l'envoi de messages électroniques à partir de n'importe quel hôte des réseaux de confiance, sans authentification SMTP ni autres restrictions de sécurité.
☐ //**Activer l'authentification sur le port 25**// \\
Les clients de messagerie devraient envoyer leurs messages uniquement à l'aide du port **587** d'envoi standard. Pour les environnements patrimoniaux, cette option active aussi l'authentification du client ainsi que le relais de messagerie sur le port **25**.
===== Validation de l'adresse de l'expéditeur =====
//Référence:// [[https://github.com/NethServer/nethserver-mail#sender-address-validation|https://github.com/NethServer/nethserver-mail#sender-address-validation]].\\
Si la propriété //**postfix/SenderValidation**// est définie sur //**enabled**//, le serveur SMTP limite l'utilisation de la commande //Mail from//. L'adresse de l'expéditeur doit être associée au nom de connexion SMTP. La correspondance login/expéditeur est spécifiée dans les tables //Postfix// suivantes, toutes deux implémentées avec un gabarit e-smith: "/etc/postfix/login_maps" et "/etc/postfix/login_maps.pcre".
//(Optionnel)// - Pour activer la propriété //SenderValidation//:
[root@dorgee ~]# config setprop postfix SenderValidation enabled
[root@dorgee ~]#
On signale le changement.
[root@dorgee ~]# signal-event nethserver-mail-server-update
[root@dorgee ~]#
On vérifie.
[root@dorgee ~]# config show postfix
postfix=service
AccessBypassList=
AccessPolicies=
AlwaysBccAddress=
AlwaysBccStatus=disabled
ConnectionsLimit=0
ConnectionsLimitPerIp=0
HeloHost=
MessageQueueLifetime=4
MessageSizeMax=20000000
MessageSizeMin=1048576
SenderValidation=enabled
SmartHostName=
SmartHostPassword=
SmartHostPort=25
SmartHostStatus=disabled
SmartHostTlsStatus=enabled
SmartHostUsername=
SystemUserRecipientStatus=disabled
TCPPorts=25,465,587
access=green,red
status=enabled
[root@dorgee ~]#
\\
===== Logs - Journaux =====
**Administration -> Logs**
Chaque opération du serveur de messagerie est enregistrée dans les fichiers journaux suivants:
''/var/log/imap'' - contient les opérations de connexion et de déconnexion des utilisateurs.
''/var/log/maillog'' - enregistre toutes les transactions de courrier.
|{{ Images_Cahier-101-05-313.png?400 }}|
Une transaction enregistrée dans le fichier //maillog// implique généralement différents paramètres du serveur de messagerie. Chaque ligne contient respectivement:
- l'horodatage,
- le nom d'hôte,
- le nom du composant et l'id du processus de l'instance du composant
- et un message texte détaillant l'opération.
\\
\\
====== Webmail ======
===== Installation =====
Nous avons installé Webmail //(Roundcube web mail)// lors de l'installation des modules de la messagerie électronique au paragraphe [[nethserver_101_cahier_05_vdsl_fqdn_internet_et_nethserver#Installation de la messagerie]].
===== Description =====
Le client par défaut de la messagerie électronique est //**Roundcube**//. Les principales caractéristiques de Roundcube sont:
- Simple et rapide.
- Carnet d'adresses intégré avec le protocole LDAP interne.
- Prise en charge des messages HTML.
- Prise en charge des dossiers partagés.
- Extensions.
===== Accès =====
Webmail est disponible aux URL suivantes:\\
- http://FQDN/webmail\\
- http://FQDN/roundcubemail
Pour un serveur avec l'adresse IP //192.168.1.1// et le nom de domaine //micronator-101.org//, les adresses valides sont les suivantes:\\
- http://192.168.1.1/webmail\\
- http://192.168.1.1/roundcubemail\\
- http://www.micronator-101.org/webmail\\
- http://www.micronator-101.org/roundcubemail\\
- https://mail.micronator-101.org/webmail\\
- https://mail.micronator-101.org/roundcubemail
{{Images_Cahier-101-03-006.png?25}} La connexion est sécuritaire, le protocole //http// sera transformé en protocole //http__s__//.
{{Images_Cahier-101-03-003.png?22}} Pour accéder à Webmail sur un Hôte virtuel //(dans le sens de NethServer et non pas de VirtualBox)// il faut toujours employer: https://mail.FQDN/webmail ou https://www.mail.FQDN/webmail
===== Courriel de test =====
{{Images_Cahier-101-03-006.png?25}} //Remarque:// si NethServer est lié à un fournisseur distant de comptes Active Directory, un compte utilisateur dédié dans AD est requis par le module pour être pleinement opérationnel! Voir //Join an existing Active Directory domain// à l'URL [[http://docs.nethserver.org/en/v7/accounts.html#join-existing-ad-section|http://docs.nethserver.org/en/v7/accounts.html#join-existing-ad-section]].
On accède à la messagerie électronique de notre Serveur NethServer:
**[[http://www.micronator-101.org/webmail|http://www.micronator-101.org/webmail]]**
Le protocole devient automatiquement //https//.
L'utilisateur //admin// se logue.
|{{ Images_Cahier-101-05-314.png?400 }}|
\\
La page de la boîte de réception d'//admin// s'affiche.
**Rédiger** pour écrire un nouveau message.
|{{ Images_Cahier-101-05-315.png?700 }}|
\\
On rédige un message pour l'utilisateur michelandre -> **Envoyer**.
|{{ Images_Cahier-101-05-316.png?700 }}|
\\
Dans le répertoire **Envoyés**, le message est présent.
|{{ Images_Cahier-101-05-317.png?700 }}|
\\
- **Déconnexion**.
- L'utilisateur //michelandre// se connecte à Webmail.
|{{ Images_Cahier-101-05-318.png?400 }}|
|{{ Images_Cahier-101-05-319.png?400 }}|
\\
Le courriel d'//admin// a bien été reçu par //michelandre//.
On double-clique l'//objet du courriel// pour l'afficher.
|{{ Images_Cahier-101-05-320.png?700 }}|
\\
Le message reçu de l'utilisateur //admin// s'affiche.
|{{ Images_Cahier-101-05-321.png?700 }}|
\\
On clique l'icône **Plus d'actions...** pour afficher les menus masqués **-> Afficher la source**.
|{{ Images_Cahier-101-05-322.png?700 }}|
\\
La source du message s'affiche et on peut voir que la signature DKIM fait bien partie du message.
Return-Path:
Delivered-To: michelandre@micronator-101.org
Received: from dorgee.micronator-101.org
by dorgee.micronator-101.org with LMTP id +AWSASDLTFymGQAAYOHJyQ
for ; Sat, 26 Jan 2019 16:03:28 -0500
Received: from www.micronator-101.org (localhost [127.0.0.1])
by dorgee.micronator-101.org (Postfix) with ESMTP id D4CCF40C4CB3
for ; Sat, 26 Jan 2019 16:03:27 -0500 (EST)
DKIM-Filter: OpenDKIM Filter v2.11.0 dorgee.micronator-101.org D4CCF40C4CB3
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=micronator-101.org;
s=default; t=1548536607;
bh=sExTSFtDXS2NhmPa2QfkcvkqFW7fafSUx3JYA0b1hys=;
h=Date:From:To:Subject:From;
b=T99iieqd0qwbf287HUvjfAUGD51r0LZ25tAbzKGuLAVlszNP+Eyicym74ut88k9Lc
Q930rXU/JYGxJNkSBn7DnH7nxpKGtl/cOP5qfiwK9Ha/GX5Wjer72886scv6joWMWF
2ZrUB2NxeyLUmYfdATyoR1EcQb2R06vgRPMAHMLPuA3mZILvADwpq/F87sbAAv8xy7
uMN+0L52KTiqqScWSxocEVpBrJ9bbLs2wmpbln+IhM6ads2XhG2ZG2Q6rLu9FbVmqU
FxmXUEqg5y/5Bs1Kr65I8jizVBpxxm1/quf2xEqpJpJpnrOs5uJmQU6o2pvNw2P8G0
w7yGCAsATAIKQ==
MIME-Version: 1.0
Content-Type: text/plain; charset=US-ASCII;
format=flowed
Content-Transfer-Encoding: 7bit
Date: Sat, 26 Jan 2019 16:03:27 -0500
From: admin@micronator-101.org
To: Michel-Andre
Subject: Test de courriel
Message-ID: <7be97aa4c1187a12e5e741ddd58e3d2f@micronator-101.org>
X-Sender: admin@micronator-101.org
User-Agent: Roundcube Webmail/1.1.12
Bonjour le monde!
admin
\\
===== Extensions =====
//Roundcube// prend en charge de nombreuses extensions qui sont déjà intégrées à l'installation.
Les extensions activées par défaut sont:
- //**Manage sieve:**// gère les filtres pour le courrier entrant.
- //**Mark as junk:**// marque les messages sélectionnés comme courriers indésirables et les déplace dans le dossier des courriers indésirables.
==== Extensions recommandées ====
- //**New mail notifier**// -> Notification de nouveau courrier.
- //**Emoticons**// -> Émoticônes.
- //**VCard support**// -> Support VCard.
Des extensions peuvent être ajoutées ou supprimées en modifiant la liste, séparée par des virgules, dans la propriété ''PluginsList''.
//Exemple pour activer:// //Notification de nouveau courrier//, //Marquer comme indésirables// et //Gérer les extensions sieve depuis la ligne de commande//, exécutez:
config setprop roundcubemail PluginsList managesieve,markasjunk,newmail_notifier
On signale les changements.
signal-eventnethserver-roundcubememail-update
On peut trouver une liste des extensions disponibles dans le répertoire: ''/usr/share/roundcubemail/plugins''.
Pour obtenir la liste, exécuter simplement:
[root@dorgee ~]# ls /usr/share/roundcubemail/plugins
acl help password
additional_message_headers hide_blockquote redundant_attachments
archive http_authentication show_additional_headers
attachment_reminder identity_select squirrelmail_usercopy
autologon jqueryui subscriptions_option
database_attachments legacy_browser userinfo
debug_logger managesieve vcard_attachments
emoticons markasjunk virtuser_file
enigma newmail_notifier virtuser_query
example_addressbook new_user_dialog zipdownload
filesystem_attachments new_user_identity
[root@dorgee ~]#
Pour voir les extensions installées:
[root@dorgee ~]# config show roundcubemail
roundcubemail=configuration
PluginsList=managesieve,markasjunk
Server=localhost
access=public
[root@dorgee ~]#
\\
===== Accès à Webmail =====
Avec la configuration par défaut, Webmail est accessible via //HTTPS// à partir de n'importe quel réseau.
Si vous souhaitez restreindre l'accès uniquement aux réseaux //verts// et //de confiance//, exécutez:
config setprop roundcubememail access private
signal-event nethserver-roundcubememail-update
Si vous voulez ouvrir l'accès depuis n'importe quel réseau:
config setprop roundcubememail access public
signal-event nethserver-roundcubememail-update
\\
===== Nom du serveur dans l'écran de connexion à Webmail =====
À l'écran de connexion à Webmail, dans le champ //**Serveur**//, le nom du domaine principal du serveur apparaît.
On peut supprimer complètement l'affichage de cette ligne.
{{Images_Cahier-101-03-004.png?25}} Utile surtout si nous avons plusieurs domaines hébergés sur le Serveur NethServer, car peu importe le domaine auquel nous nous connectons, c'est toujours le nom du domaine principal qui est affiché.
|{{ Images_Cahier-101-05-323.png?400 }}|
Pour supprimer l'affichage de cette ligne, il nous faut modifier le fichier de configuration de PHP: ''/etc/roundcubemail/config.inc.php'' et y ajouter la ligne suivante: ''config['default_host'] = '127.0.0.1';''.
Par contre, si nous modifions directement ce fichier, le prochain ré-amorçage écrasera la modification lorsque le serveur assemblera les gabarits de configuration du système.
{{Images_Cahier-101-03-003.png?22}} Il nous faut donc créer un //gabarit personnalisé// et y insérer la nouvelle ligne de configuration. Ainsi, lors de l'assemblage des gabarits, le serveur incorporera le gabarit personnalisé aux gabarits standards de configuration de PHP.
Création du répertoire pour le gabarit personnalisé.
[root@dorgee ~]# mkdir -p /etc/e-smith/templates-custom/etc/roundcubemail/config.inc.php
[root@dorgee ~]#
On crée le fichier ''91CacherNomDuServeur'' et on y insère la ligne de configuration.
Le numéro du fichier doit être plus petit que 95.
{{Images_Cahier-101-03-006.png?25}} Prendre tout le contenu de l'encadré pour la commande.
cat > /etc/e-smith/templates-custom/etc/roundcubemail/config.inc.php/91CacherNomDuServeur <<'EOT'
$config['default_host'] = '127.0.0.1';
EOT
On vérifie.
[root@dorgee ~]# cat /etc/e-smith/templates-custom/etc/roundcubemail/config.inc.php/91CacherNomDuServeur
$config['default_host'] = '127.0.0.1';
[root@dorgee ~]#
{{Images_Cahier-101-03-006.png?25}} Il n'y a pas de ligne vide avant __$config['default_host'] = '127.0.0.1';__ Nous en avons inséré une pour faciliter la copie de la commande.
\\
On signale le changement.
[root@dorgee ~]# expand-template /etc/roundcubemail/config.inc.php
[root@dorgee ~]#
On redémarre le démon httpd.
[root@dorgee ~]# systemctl restart httpd
[root@dorgee ~]#
On se rend à l'URL de connexion à Webmail: https://www.micronator-101.org/webmail/.
Le domaine du serveur ne s'affiche plus.
|{{ Images_Cahier-101-05-324.png?400 }}|
==== Sauvegarde ====
On vérifie si le nom du répertoire ''/etc/e-smith/templates-custom/etc/roundcubemail/'' est déjà présent dans le fichier d'inclusion de la sauvegarde des données: ''/etc/backup-data.d/custom.include'', sinon on l'insère.
{{Images_Cahier-101-03-006.png?25}} Prendre tout le contenu de l'encadré pour la commande.
NouvelleInclusion="/etc/e-smith/templates-custom/etc/roundcubemail/"
if grep -Fxq "$NouvelleInclusion" /etc/backup-data.d/custom.include
then
# L'entrée a été trouvée dans custom.include
echo -e "\nLe fichier custom.include contient déjà l'entrée:\n$NouvelleInclusion \n"
else
# L'entrée n'a pas été trouvée dans custom.include
echo -e "$NouvelleInclusion" >> /etc/backup-data.d/custom.include
echo -e "\nL'entrée: $NouvelleInclusion a été ajoutée\n"
fi
On vérifie.
[root@dorgee ~]# cat /etc/backup-data.d/custom.include | grep roundcube
/etc/e-smith/templates-custom/etc/roundcubemail/
[root@dorgee ~]#
Ci-dessus, il n'y a pas de ligne vide avant __/etc/e-smith/templates-custom/etc/roundcubemail/__. Nous en avons inséré une afin de faciliter la copie de la commande.
\\
===== Suppression de Webmail =====
Si vous souhaitez supprimer //Roundcube//, exécutez la commande suivante à la ligne de commande du serveur.
yum autoremove nethserver-roundcubemail
\\
====== Migration des courriels vers NethServer ======
{{Images_Cahier-101-03-006.png?25}} S'applique à la migration des courriels depuis des serveurs //SME-8.x/9.x// vers un serveur NethServer-7.6-1810.
//Référence:// [[http://docs.nethserver.org/en/latest/migration.html#email|http://docs.nethserver.org/en/latest/migration.html#email]].
Lors d'une migration d'un serveur de messagerie, le serveur SOURCE peut être en production même après la synchronisation et les courriels continueront à y être livrés jusqu'à ce que le serveur SOURCE soit mis hors service.
Un script basé sur //rsync// est fourni avec le paquet //nethserver-mail-server//. Ce script s'exécute sur l'hôte DESTINATION et synchronise les boîtes aux lettres de l'hôte DESTINATION depuis l'hôte SOURCE.
Usage:
/usr/share/doc/nethserver-mail-server-/sync_maildirs.sh [-h] [-n] [-p] -s IPADDR
-h message d'aide
-n essai à vide (dry run)
-p PORT port ssh de SOURCE (22 par défaut)
-s IPADDR adresse IP de SOURCE
-t TYPE type de SOURCE: sme8 (par défaut), ns6
{{Images_Cahier-101-03-006.png?25}} Le serveur SOURCE à l'adresse IPADDR doit être accessible par l'usager root via //ssh// avec authentification par clé publique.
{{Images_Cahier-101-03-005.png?25}} Pour une migration complète d'un Serveur SME vers un Serveur NethServer, voir la marche à suivre à la page: [[http://docs.nethserver.org/en/latest/migration.html#|http://docs.nethserver.org/en/latest/migration.html#]].
===== Clé ssh =====
Le serveur DESTINATION doit générer une clé SSH, qu'on téléversera sur le serveur SOURCE, afin que l'utilisateur root puisse ouvrir un canal de communication SSH sans devoir fournir un mot de passe.
==== Génération de la clé SSH ====
Sur le serveur DESTINATION, on génère une clé SSH de type RSA et de **2048** bits.
- On accepte le nom du fichier par défaut en tapant la touche //[Entrée]//.
- On n'utilise pas de phrase de passe(( **phrase de passe**: Groupe de mots et de caractères alphanumériques ou spéciaux, faisant office de mot de passe, connu de l'utilisateur seulement, qui sert à protéger sa clé privée et à l'identifier lors d'une connexion ou d'un transfert de fichier, tout en lui assurant une plus grande sécurité.\\ //**Notes:**//Les phrases de passe ne diffèrent des mots de passe que par la longueur. Les mots de passe sont généralement très courts - de 6 à 10 caractères -, alors que les phrases de passe peuvent comporter jusqu'à 100 caractères //(et même plus)//. Leur longueur et la combinaison des mots et des caractères alphanumériques contribuent à les rendre plus difficiles à deviner que les mots de passe, et donc plus sûres.\\ Une phrase de passe doit être: connue que de l'utilisateur, suffisamment longue pour être sûre, difficile à deviner, facile à retenir et à saisir sans erreur. Certains considèrent qu'elle devrait atteindre 80 à 100 caractères pour être vraiment efficace.\\ //Référence://[[http://www.granddictionnaire.com/ficheOqlf.aspx?Id_Fiche=8361195|http://www.granddictionnaire.com/ficheOqlf.aspx?Id_Fiche=8361195]].
\\ \\ )) en tapant la touche //[Entrée]//.
- On confirme en tapant encore la touche //[Entrée]//.
[root@destination ~]# ssh-keygen -t rsa -b 2048
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): [Entrée]
Enter passphrase (empty for no passphrase): [Entrée]
Enter same passphrase again: [Entrée]
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:J2D2uKWZPz0RQrkP25FA+bDtp0EUp6BxUzu1jJFQk7M root@dorgee.micronator-101.org
The key's randomart image is:
+---[RSA 2048]----+
| . ==B=+o |
| + o=X*. |
| . .O=o* . |
| oE=* = |
| .=S*.o |
| .*.o+ |
| = . . |
| .. o |
| .. . |
+----[SHA256]-----+
[root@ destination ~]#
On vérifie.
[root@ destination ~]# ls -als /root/.ssh/
total 12
0 drwx------ 2 root root 57 22 janv. 21:20 .
0 dr-xr-x---. 4 root root 251 22 janv. 19:49 ..
4 -rw------- 1 root root 1675 22 janv. 21:20 id_rsa
4 -rw-r--r-- 1 root root 412 22 janv. 21:20 id_rsa.pub
4 -rw-r--r-- 1 root root 228 22 janv. 19:49 known_hosts
[root@ destination ~]#
{{Images_Cahier-101-03-006.png?25}} La clé //id_rsa// est la clé privée qui doit toujours être cachée et n'être divulguée à absolument personne.
La clé //id_rsa.pub// est la clé publique et peut être partagée avec n'importe qui. Elle sert à chiffrer un message qui vous est destiné et que seule votre clé privée peut déchiffrer.
==== Téléversement de la clé SSH publique de root ====
{{Images_Cahier-101-03-005.png?25}} Serveur DESTINATION, notre Serveur NethServer qui va recevoir les courriers depuis le serveur SOURCE, le serveur //SME-8.x/9.x// distant.
On téléverse la clé publique de root vers le serveur SOURCE afin que notre utilisateur root puisse entrer en communication avec SOURCE sans devoir utiliser un mot de passe lors d'une connexion SSH.
[root@destination ~]# cat /root/.ssh/id_rsa.pub \
| ssh -p 2222 root@192.168.1.101 \
"cat >> /root/.ssh/authorized_keys2"
The authenticity of host '[192.168.1.101]:2222 ([192.168.1.101]:2222)' can't be established.
RSA key fingerprint is a0:2f:27:ab:cc:d8:c4:57:fc:57:ee:63:dd:58:dd:02.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[192.168.1.101]:2222' (RSA) to the list of known hosts.
root@192.168.1.101's password: mot-de-passe-de-root-du_serveur-SOURCE
[root@destination ~]#
● La première ligne: "cat /root/.ssh/.ssh/id_rsa.pub \" indique à SOURCE d'afficher la clé publique "//id_rsa.pub//" de root. Le caractère "\" à la fin de la ligne indique que la commande se poursuit sur la ligne suivante.
●Le caractère de pipe "|" au début de la deuxième ligne indique de passer le résultat de la commande précédente, c.-à-d. //cat//, à la commande suivante, c.-à-d. //ssh//. Le paramètre "-p 2222" indique d'utiliser le port 2222 pour la communication //ssh//. Le paramètre "root@192.168.1.101" indique de se connecter en tant que root à l'adresse "192.168.1.101".
● La troisième ligne, qui est entre guillemets //("...")//, indique au serveur SOURCE d'exécuter la commande qui se trouve entre ces guillemets. Donc, SOURCE, le serveur //distant// va afficher avec "cat" ce qu'il reçoit et va l'ajouter ">>" au fichier "/root/.ssh/authorized_keys2".
==== Vérification de la connexion ====
On vérifie la connexion ssh sans mot de passe.
[root@destination ~]# ssh -p 2222 root@192.168.1.101
Last login: Tue Jan 22 21:34:14 2019 from 192.168.1.81
************ Welcome to SME Server 9.2 *************
Before editing configuration files, familiarise
yourself with the automated events and templates
systems.
Please take the time to read the documentation
http://wiki.contribs.org/Main_Page
Remember that SME Server is free to download
and use, but it is not free to build
Please help the project :
http://wiki.contribs.org/Donate
****************************************************
[root@source ~]#
La connexion sans mot de passe fonctionne correctement.
\\
\\
On vérifie le domaine de SOURCE.
[root@source ~]# cat /etc/hosts
#------------------------------------------------------------
# !!DO NOT MODIFY THIS FILE!!
#
# Manual changes will be lost when this file is regenerated.
#
# Please read the developer's guide, which is available
# at http://www.contribs.org/development/
#
# Copyright (C) 1999-2006 Mitel Networks Corporation
#------------------------------------------------------------
127.0.0.1 localhost
192.168.1.101 source.micronator.org source
[root@source ~]#
Le domaine de SOURCE est: //micronator.org//.
\\
\\
On se désengage de la connexion sans mot de passe.
[root@source ~]# exit
logout
Connection to 192.168.1.101 closed.
[root@destination ~]#
Nous sommes de retour sur le serveur DESTINATION.
\\
\\
===== Migration des courriels =====
{{Images_Cahier-101-03-006.png?25}} Seuls les utilisateurs qui ont un compte sur SOURCE et aussi un compte sur DESTINATION seront synchronisés.
{{Images_Cahier-101-03-004.png?25}} Les nouveaux utilisateurs sur le Serveur NethServer doivent s'être déjà logués au moins une fois à Webmail pour que leur répertoire de messagerie ''/var/lib/nethserver/vmail/adresse-courriel'' soit créé __sinon, leur courriels ne seront pas transférés__.
● On vérifie l'usage du script.
{{Images_Cahier-101-03-006.png?25}} Ajuster la version pour le nom du répertoire; nous utilisons la version **2.4.5** de //nethserver-mail-server//.
[root@dorgee ~]# /usr/share/doc/nethserver-mail-server-2.4.5/sync_maildirs.sh -h
Usage:
/usr/share/doc/nethserver-mail-server-2.4.5/sync_maildirs.sh [-h] [-n] [-p] -s IPADDR
-h help message
-n dry run
-p PORT ssh port on source host (default 22)
-s IPADDR rsync from source host IPADDR
-t TYPE source type: sme8 (default), ns6
[root@dorgee ~]#
\\
==== Test de Migration ====
● On lance un essai à vide.
{{Images_Cahier-101-03-006.png?25}} Ajuster la version pour le nom du répertoire; nous utilisons la version **2.4.5** de //nethserver-mail-server//.
[root@dorgee ~]# /usr/share/doc/nethserver-mail-server-2.4.5/sync_maildirs.sh -n -p 2222 -s 192.168.1.101
>f+++++++++ cur/1548091187.24166.dorgee:2,S
.d..t...... new/
.d..t...... tmp/
[INFO] Tue Jan 22 21:51:13 EST 2019 -- Synchronizing root Maildir/
[INFO] Skip root because it exists only in ns7
[INFO] Tue Jan 22 21:51:13 EST 2019 -- Synchronizing vmail Maildir/
rsync: change_dir "/home/e-smith/files/users/vmail/Maildir" failed: No such file or directory (2)
rsync error: some files/attrs were not transferred (see previous errors) (code 23) at main.c(1650) [Receiver=3.1.2]
rsync: [Receiver] write error: Broken pipe (32)
[INFO] Tue Jan 22 21:51:13 EST 2019 -- Synchronizing vmail@micronator-101.org Maildir/
[INFO] Skip vmail@micronator-101.org because it exists only in ns7
[root@dorgee ~]#
{{Images_Cahier-101-03-006.png?25}} {{Images_Cahier-101-03-006.png?25}} Seuls les utilisateurs qui ont un compte sur SOURCE et aussi un compte sur DESTINATION seront synchronisés.
==== Migration réelle ====
● On lance la migration réelle. //(Peut prendre un certain... être très patient.)//
{{Images_Cahier-101-03-006.png?25}} Ajuster la version pour le nom du répertoire; nous utilisons la version **2.4.5** de //nethserver-mail-server//.
[root@dorgee ~]# /usr/share/doc/nethserver-mail-server-2.4.5/sync_maildirs.sh -p 2222 -s 192.168.1.101
[INFO] Tue Jan 22 22:23:52 EST 2019 -- Synchronizing admin@micronator-101.org Maildir/
[INFO] Tue Jan 22 22:24:41 EST 2019 -- Synchronizing michelandre@micronator-101.org Maildir/
[INFO] Tue Jan 22 22:24:47 EST 2019 -- Synchronizing root Maildir/
[INFO] Skip root because it exists only in ns7
[INFO] Tue Jan 22 22:24:47 EST 2019 -- Synchronizing vmail Maildir/
rsync: change_dir "/home/e-smith/files/users/vmail/Maildir" failed: No such file or directory (2)
rsync error: some files/attrs were not transferred (see previous errors) (code 23) at main.c(1650) [Receiver=3.1.2]
rsync: [Receiver] write error: Broken pipe (32)
[INFO] Tue Jan 22 22:24:48 EST 2019 -- Synchronizing vmail@micronator-101.org Maildir/
[INFO] Skip vmail@micronator-101.org because it exists only in ns7
[root@dorgee ~]#
\\
====== Fichiers journaux ======
===== Foire aux questions =====
==== Définition d’un journal ====
Un journal //(log)// est un fichier texte dans lequel sont écrits tous les événements qui lui sont associés. Par exemple, le journal messages contiendra, entre autres, les messages affichés au démarrage de votre serveur.
==== Répertoire des journaux ====
Les fichiers journaux se trouvent dans le répertoire ''/var/log''. On y trouve, par exemple, notre fichier ''messages''.
==== Journaux dans l'interface Web ====
Pour vous faciliter la tâche, les développeurs de NethServer on tout prévu! Pour rechercher et lire facilement un journal, connectez-vous à l'interface Web de NethServer. Dans la colonne de gauche, cliquez **Administration -> Logs**.
Vous voulez visualiser le fichier //**messages**//, cliquez sur **/var/log/messages**.
===== Voir un journal ====
==== Trouver ====
Vous permet de rechercher des mots et des phrases dans tous les journaux du serveur.
Vous pouvez accéder directement à chaque journal via les liens répertoriés.
|{{ Images_Cahier-101-05-325.png?400 }}|
\\
==== Afficher un seul journal ====
Vous permet de parcourir le contenu du journal sélectionné et de suivre le flux de texte en temps réel.
**Fermer**\\
Ferme la fenêtre du journal sélectionnée et revient à la page principale.
|{{ Images_Cahier-101-05-326.png?400 }}|
**Vide**\\
Permet de vider le contenu de la fenêtre du journal. Les données sont uniquement supprimées de la fenêtre d'affichage, aucune modification n'est apportée au contenu du journal.
**Suivre**\\
Met à jour, en temps réel, la fenêtre d'affichage avec toutes les nouvelles informations écrites dans le journal.
**Arrêtez**\\
Arrête la mise à jour de la visualisation du journal en temps réel.
\\
====== Diagnostiques ======
===== External IP address =====
**Statut -> Diagnostiques ->** //**External Public IP**// affiche l'adresse publique du réseau //(celle vue depuis l'Internet)//.
|{{ Images_Cahier-101-05-327.png?700 }}|
\\
===== Adresses réseaux =====
Affiche les adresses IP de toutes les cartes réseau du système.
|{{ Images_Cahier-101-05-328.png?700 }}|
\\
===== Route réseau =====
//Référence:// [[https://fr.wikipedia.org/wiki/Table_de_routage|https://fr.wikipedia.org/wiki/Table_de_routage]].\\
Une table de routage est une structure de données utilisée par un routeur ou un ordinateur en réseau et qui associe des préfixes à des moyens d'acheminer les trames vers leur destination.
|{{ Images_Cahier-101-05-329.png?700 }}|
\\
===== Mail Test =====
Permet de vérifier que le serveur de courrier fonctionne correctement.
**SENDMAIL** pour envoyer un courriel de test à l'usager spécifié sous //**Mailbox to test**//.
|{{ Images_Cahier-101-05-330.png?700 }}|
\\
L'utilisateur root se logue à Webmail.
|{{ Images_Cahier-101-05-331.png?700 }}|
L'utilisateur root a bien reçu le message de test.
|{{ Images_Cahier-101-05-332.png?700 }}|
\\
===== Nslookup =====
//Référence:// [[https://fr.wikipedia.org/wiki/Nslookup|https://fr.wikipedia.org/wiki/Nslookup]].\\
//nslookup// est un programme informatique de recherche d'information dans le DNS, qui associe nom de domaine et adresses IP. //nslookup// permet donc d'interroger les serveurs DNS pour obtenir les informations définies pour un domaine déterminé.
|{{ Images_Cahier-101-05-333.png?700 }}|
//**Nom d'hôte ou IP:**// **nethserver.org -> NSLOOKUP**.
\\
\\
\\
===== Ping =====
//Référence:// [[https://fr.wikipedia.org/wiki/Ping_(logiciel)|https://fr.wikipedia.org/wiki/Ping_(logiciel)]].\\
Ping est le nom d'une commande informatique permettant de tester l'accessibilité d'une autre machine à travers un réseau IP. La commande mesure également le temps mis pour recevoir une réponse, appelé round-trip time //(temps aller-retour)//.
|{{ Images_Cahier-101-05-334.png?700 }}|
//**Nom d'hôte ou IP:**// **nethserver.org -> PING**.\\
Ping utilise une requête ICMP Request et attend une réponse Reply. L'envoi est répété pour des fins statistiques: déterminer le taux de paquets perdus et le délai moyen de réponse. Si d'autres messages ICMP sont reçus de la part de routeurs intermédiaires //(comme TTL exceeded, Fragmentation needed, administratively prohibited…)//, ils sont affichés à l'écran.
\\
\\
===== Scan =====
Balaie le réseau LOCAL à la recherche d'adresses IP connectées à cette interface.
//**Network interfaces:**// **em1 -> SCAN**.
|{{ Images_Cahier-101-05-335.png?700 }}|
-> //192.168.1.3:// aiguilleur sans fil pour cellulaires, tablettes, etc.\\
-> //192.168.1.10:// l'adaptateur téléphonique analogique //HT-502//. Voir le chapitre [[nethserver_101_cahier_05_vdsl_fqdn_internet_et_nethserver#Adaptateur téléphonique analogique HT-502]].\\
-> //192.168.1.81:// le poste de travail.
\\
\\
===== SpeedTest =====
Vérifie la vitesse de téléchargement-téléversement de la carte réseau.
//**Network interfaces:**// **em1 -> SPEEDTEST**.
|{{ Images_Cahier-101-05-336.png?700 }}|
\\
===== Traceroute =====
//Référence:// [[https://fr.wikipedia.org/wiki/Traceroute|https://fr.wikipedia.org/wiki/Traceroute]].\\
traceroute //(ou tracert sous Windows)// est un programme utilitaire qui permet de suivre les chemins qu'un paquet de données //(paquet IP)// va prendre pour aller de la machine locale à une autre machine connectée au réseau IP. Il a été conçu au sein du Laboratoire national Lawrence-Berkeley.
|{{ Images_Cahier-101-05-337.png?700 }}|
//**Nom d'hôte ou IP:**// **nethserver.org -> TRACEROUTE**.
\\
\\
====== Adaptateur téléphonique analogique HT-502 ======
===== Description générale =====
Ce chapitre est optionnel.
==== Introduction ====
Ce chapitre présente la marche à suivre pour configurer un adaptateur téléphonique analogique //HT-502// et le connecter à un réseau ayant un Serveur NethServer lui servant de passerelle.
==== But du HT-502 ====
{{ Images_Cahier-101-05-338.png?650 }}
===== Grandstream HT502 =====
//Référence générale:// [[http://www.grandstream.com/products/gateways-and-atas/analog-telephone-adaptors/product/handytone-502|http://www.grandstream.com/products/gateways-and-atas/analog-telephone-adaptors/product/handytone-502]].
L'adaptateur téléphonique analogique Grandstream Handytone offre aux utilisateurs débutants de la téléphonie IP: une superbe qualité audio riche en termes de fonctionnalités, l'interopérabilité avec les principaux fournisseurs de VoIP et la compatibilité avec la plupart des fournisseurs de services. Le Handytone est compact, fonctionne avec n’importe quel téléphone avec ou sans fil, ou machine fax et offre la simplicité du prêt à l'emploi //(plug-n-play)// qui le rend idéal pour l’utilisateur de téléphonie IP de base.
{{ Images_Cahier-101-05-339.png?400 }}
- //Ressources HandyTone 502:// [[http://www.grandstream.com/support/resources/?title=HandyTone%20502|http://www.grandstream.com/support/resources/?title=HandyTone%20502]].\\
- //HT502 Dual FXS Port Analog Telephone Adaptor User Manual://// (anglais)// [[http://www.grandstream.com/sites/default/files/Resources/ht502_user_manual.pdf|http://www.grandstream.com/sites/default/files/Resources/ht502_user_manual.pdf]].
\\
\\
===== Téléphonie cellulaire gratuite par Internet =====
==== Fongo ====
{{Images_Cahier-101-03-004.png?25}} Téléphonie cellulaire par Internet: [[http://www.micronator.org/?page_id=58|http://www.micronator.org/?page_id=58]] - Très utile pour vérifier le fonctionnement du //HT-502//.
===== Redirection de ports vers le HT-502 =====
==== Introduction ====
{{Images_Cahier-101-03-008.png?25}} Pour plus de sécurité, notre //ATA// ne sera pas directement relié à l'Internet, mais sera connecté sur le réseau LOCAL du Serveur NethServer. Lors de la configuration du //HT-502//, nous lui assignerons l'adresse IP statique //192.168.1.10//.
Pour que l'//ATA// puisse recevoir et envoyer des appels, il faut que le Serveur NethServer redirectionne les ports utilisés par le //HT-502//.
==== Ports utilisés par le HT-502 ====
[[http://www.grandstream.com/sites/default/files/Resources/ht502_user_manual.pdf|http://www.grandstream.com/sites/default/files/Resources/ht502_user_manual.pdf]] page //42/43//.
|Local RTP port|Defines the local //RTP// port pair the //HT502// will listen and transmit. The default value for **FXS port 1** is 5004. The default value for //FXS port 2// is //5012//.|
|Local SIP port|Defines the local //SIP// port the //HT502// will listen and transmit. The default value for **FXS port 1** is 5060. The default value for //FXS port 2// is //5062//.|
Nous voyons que les ports utilisés sont //5004// et //5060//. Nous allons donc redirectionner ces ports du Serveur NethServer vers le //HT-502//.
\\
==== Redirections des ports ====
\\
\\
\\
\\
\\
**Passerelle -> Port Forwarding -> CRÉER NOUVEAU.**
|{{ Images_Cahier-101-05-340.png?700 }}|
- Cocher **TCP,UDP**\\
- Cocher **Tout**\\
- //**Port d'origine**// **-> 5004** \\
- //**Port de destination**// **-> 5004**\\
- On clique dans le cadre sous //**Hôte de destination**//.
|{{ Images_Cahier-101-05-341.png?400 }}|
- Un écran surgissant s'affiche.\\
- Sur la ligne //**Chercher...**// on entre **HT-502 -> [Entrée]**.\\
- **Créer hôte "HT-502"**.
|{{ Images_Cahier-101-05-342.png?400 }}|
- //**Nom:**// **-> ht-502** //(en minuscule)//.\\
- //**Adresse IP:**// **-> 192.168.1.10**.\\
- La //**Description**// est déjà entrée.\\
- **SOUMETTRE**.
|{{ Images_Cahier-101-05-343.png?400 }}|
\\
- //**Autoriser seulement depuis:**// **-> 0.0.0.0**.\\
- //**Description:**// **-> Port RTP local**.\\
- **SOUMETTRE**.
|{{ Images_Cahier-101-05-344.png?400 }}|
\\
\\
\\
\\
\\
**CRÉER NOUVEAU**.
|{{ Images_Cahier-101-05-345.png?400 }}|
- Cocher **TCP,UDP** et **Tout**.\\
- //**Port d'origine**// **-> 5060**.\\
- //**Port de destination**// **-> 5060**.\\
- On clique dans le cadre sous //**Hôte de destination**//.\\
- Sélectionner **Hôte ht-502**.
|{{ Images_Cahier-101-05-346.png?400 }}|
|{{ Images_Cahier-101-05-347.png?400 }}|
\\
\\
\\
- //**Autoriser seulement depuis:**// **-> 0.0.0.0**.\\
- //**Description:**// **-> Port SIP local**.\\
- **SOUMETTRE**.
|{{ Images_Cahier-101-05-348.png?400 }}|
\\
Peu importe d'où elles proviendront, les requêtes pour les ports //5004// et //5060// seront redirigés vers ceux de l'adaptateur //HT-502//.
|{{ Images_Cahier-101-05-349.png?700 }}|
Le Serveur NethServer est maintenant configuré pour permettre au //HT-502// de recevoir des requêtes depuis l'Internet.
{{Images_Cahier-101-03-005.png?25}} Si vous avez un télécopieur connecté au port //#2// du //HT-502// voir les pages suivantes:\\
[[http://support.t38fax.com/support/solutions/articles/19000015872-grandstream-handytone-502-ht502-ata|http://support.t38fax.com/support/solutions/articles/19000015872-grandstream-handytone-502-ht502-ata]]\\
[[http://support.t38fax.com/support/solutions/articles/19000026933-recommended-fax-machine-settings|http://support.t38fax.com/support/solutions/articles/19000026933-recommended-fax-machine-settings]]\\
[[http://help.fluentcloud.com/support/solutions/articles/4000092935-recommended-setup-for-fax-ata-devices-in-my-fluentcloud-com|http://help.fluentcloud.com/support/solutions/articles/4000092935-recommended-setup-for-fax-ata-devices-in-my-fluentcloud-com]]
\\
\\
===== VoIP & HT-502 =====
==== Réinitialisation à la configuration d'usine ====
- On débranche tout du //HT-502// sauf l'alimentation.
- On s'assure que le //HT-502// est à sa configuration d'usine en appuyant sur le bouton **Reset** pour au moins __7 secondes__.
- On attend __30 secondes__ pour la fin du réamorçage.
{{ Images_Cahier-101-05-350.png?400 }}
==== Branchement d'une station ====
- On configure le poste de travail //(Win-8.1)// pour recevoir son adresse IP dynamiquement par DHCP.\\
- Clac sur l'icône réseau sur la barre de notification **-> Ouvrir le Centre réseau et partage -> Modifier les paramètres de la carte**.\\
- Double-cliquer la carte **Éthernet -> Propriétés ->**.
- Double-cliquer **Protocole Internet version 4 (TCP/IPv4)**.
- Onglet **Général** -> sélectionner **Obtenir une adresse IP automatiquement**.
- Sélectionner **Obtenir les adresses des serveurs DNS automatiquement**.
- **OK**.
- **Fermer** toutes les fenêtres.
|{{ Images_Cahier-101-05-351.png?400 }}|
\\
{{Images_Cahier-101-03-006.png?25}} Pour pouvoir configurer le //HT-502//, on branche le poste de travail directement à son port LAN.
Le poste de travail recevra son adresse IP: //192.168.2.100// et celle de la passerelle: //192.168.2.1// du DHCP du //HT-502//.
{{ Images_Cahier-101-05-352.png?400 }}
==== Login ====
Il faut utiliser le mot de passe selon la //page 28// du "User Manual" //(anglais)//: [[http://www.grandstream.com/sites/default/files/Resources/ht502_user_manual.pdf|http://www.grandstream.com/sites/default/files/Resources/ht502_user_manual.pdf]].
{{ Images_Cahier-101-05-353.png?700 }}
\\
Avec un navigateur Web du poste de travail, on se rend à l'adresse //192.168.2.1// et on se logue avec le mot de passe "admin".
|{{ Images_Cahier-101-05-354.png?700 }}|
\\
==== Statut ====
Lorsqu'on se logue, la page de l'onglet //**STATUS**// est affichée et donne la configuration actuelle du //HT-502//.
|{{ Images_Cahier-101-05-355.png?700 }}|
\\
==== Configuration ====
=== Onglet BASIC SETTINGS ===
- //**End User Password:**// on entre un mot de passe __robuste__.
- //**Web Port:**// on laisse le port Web à //80//, le port par défaut.
|{{ Images_Cahier-101-05-356.png?700 }}|
- //**Telnet Server:**// on sélectionne **YES** pour pouvoir y accéder en tout temps et vérifier les paramètres.\\ Si on met ce serveur à //NO//, on ne pourra plus accéder au //HT-502// après l'avoir réamorcé.
\\
\\
\\
//**IP Address:**//
On choisit //statically configured as:// pour donner au //HT-502// une adresse IP statique:
//**Statically configure as:**//
//**IP Address:**// **-> 192.168.1.10**\\
//**Subnet Mask:**// **-> 255.255.255.0**\\
//**Default Router:**// **-> 192.168.1.1**\\
//**DNS Server 1:**// **-> 192.168.1.1**.
|{{ Images_Cahier-101-05-357.png?700 }}|
\\
//**Time Zone:**// **-> GMT-05:00 (Eastern Time)**
|{{ Images_Cahier-101-05-358.png?700 }}|
\\
- //**Reply to ICMP on WAN port:**// **-> Yes**.\\
Pour pouvoir faire un ping afin de savoir si le HT-502 est vivant.
- //**WAN side HTTP/Telnet access:**// **-> Yes**.\\
Pour pouvoir accéder en tout temps aux paramètres de configuration.
|{{ Images_Cahier-101-05-359.png?700 }}|
\\
- //**Enable LAN DHCP:**// **-> Yes** \\
On active le DHCP pour le port LAN.
- //**LAN DHCP Base IP:**// **-> 192.168.3.10**.\\
Le port LAN sera à cette nouvelle adresse, car par défaut, le modem VDSL utilise déjà l'adresse //192.168.2.1//.
|{{ Images_Cahier-101-05-360.png?700 }}|
\\
== Apply ==
**Apply** pour appliquer et enregistrer les nouveaux paramètres.
|{{ Images_Cahier-101-05-361.png?700 }}|
\\
==== Réamorçage ====
Les paramètres ont été sauvegardés et seront effectifs seulement après un réamorçage.
On clique **Reboot**.
{{Images_Cahier-101-03-006.png?25}} Attendre 30 secondes.
|{{ Images_Cahier-101-05-362.png?700 }}|
==== Vérifications ====
=== Port LAN ===
1) Débrancher le poste de travail du port LAN.\\
2) Déconnecter la prise d'alimentation du //HT-502//.\\
3) {{Images_Cahier-101-03-006.png?25}} Attendre 30 secondes\\
4) Rebrancher l'alimentation du //HT-502//.
5) {{Images_Cahier-101-03-006.png?25}} S'assurer que le poste de travail a toujours une connexion réseau IP dynamique par DHCP.\\
6) On reconnecte la station de travail au port LAN du //HT-502//.\\
7) On vérifie l'adresse reçue par la station de travail.\\
Le poste de travail a bien reçu l'adresse //192.168.3.100// par le DHCP du port LAN du //HT-502//.
|{{ Images_Cahier-101-05-363.png?300 }}|
|{{ Images_Cahier-101-05-364.png?300 }}|
\\
- Avec le navigateur du poste de travail, on se rend à **192.168.3.10**, la nouvelle adresse de base du port LAN telle que définie au paragraphe //**Statically configure as**//.
- On entre le nouveau mot de passe donné précédemment au paragraphe //**End User Password**//.
- **Login**.
|{{ Images_Cahier-101-05-365.png?700}} |
On est logué sans aucun problème.
On voit que l'adresse //192.168.1.10// a bien été affectée au port WAN.
Tout ceci démontre que nos nouveaux paramètres ont bien été sauvegardés et activés.
|{{ Images_Cahier-101-05-366.png?700}} |
Comme le poste de travail est toujours connectée au port LAN et que nous pouvons communiquer avec le //HT-502//, nous pouvons en déduire que l'adresse IP de ce port est bien //192.168.3.10// car le poste de travail a reçu l'adresse //192.168.3.100// qui est bien la __première adresse de la plage__ que le DHCP du //HT-502// alloue telle qu'on peut la voir sur la capture d'écran ci-dessous.
Sous l'onglet **BASIC SETTINGS**, on peut voir que l'adresse IP du port LAN est maintenant //192.168.3.10// et que le DHCP est toujours activé pour ce réseau.
|{{ Images_Cahier-101-05-367.png?700}} |
=== Port WAN ===
- Vu que l'adresse IP du port WAN est maintenant //192.168.1.10//, on redonne les coordonnées IP originales au poste de travail.
- On débranche le poste de travail du port LAN et on le branche au port WAN.
{{ Images_Cahier-101-05-368.png?300 }}
=== Login ===
- Avec le navigateur du poste de travail, on se rend à la nouvelle adresse du port WAN: **192.168.1.10**.
- On vérifie qu'on peut se loguer en utilisant le nouveau mot de passe.
{{Images_Cahier-101-03-003.png?22}} Si on ne peut se loguer, une erreur s'est glissée quelque part et il faut recommencer la configuration.
|{{ Images_Cahier-101-05-369.png?700}} |
On clique l'onglet **BASIC SETTINGS** pour s'assurer qu'on peut y accéder.
|{{ Images_Cahier-101-05-370.png?700}} |
\\
- On clique sur l'onglet **Advanced Settings**.
- On nous demande un mot de passe.
|{{ Images_Cahier-101-05-371.png?700}} |
\\
- On entre le nouveau mot de passe.
- **Login**.
|{{ Images_Cahier-101-05-372.png?700}} |
\\
Lorsqu'on veut afficher le contenu de l'onglet //Advanced Settings//, le mot de passe n'est pas reconnu et on ne peut accéder aux paramètres avancées, __ce qui est normal__; voir le paragraphe [[nethserver_101_cahier_05_vdsl_fqdn_internet_et_nethserver#Mot de passe du FAI]] ci-dessous.
|{{ Images_Cahier-101-05-373.png?700}} |
=== Revérification du port LAN ===
- On remet le poste de travail pour qu'il recoive son adresse IP par DHCP et on le branche au port LAN.
- On revérifie l'adresse obtenue et elle est la même que précédemment: //192.168.3.100//.
|{{ Images_Cahier-101-05-374.png?300}} |
=== Mot de passe du FAI ===
- Avec le navigateur Web du poste de travail, on se rend à la nouvelle adresse du //HT-502//, c.-à-d. **192.168.3.10**.
{{Images_Cahier-101-03-006.png?25}} Après un réamorçage et un ré-approvisionnement par le FAI, un nouveau mot de passe est utilisé:
**motdepassetrescomplexe**
|{{ Images_Cahier-101-05-375.png?700}} |
- On entre ce mot de passe du FAI et on clique **Login**.
\\
- On peut se loguer sans problème et afficher le contenu de l'onglet //**Advanced Settings**//.
|{{ Images_Cahier-101-05-376.png?700}} |
===== Connexion du HT-502 au réseau local =====
1) Débrancher le poste de travail du port WAN.\\
2) Débrancher l'alimentation du //HT-502//.\\
3) Brancher le port WAN à l'aiguilleur du réseau LOCAL.\\
4) Brancher la prise téléphonique au port //PHONE1//.\\
5) Rebrancher l'alimentation du //HT-502// et attendre environ une minute pour les vérifications finales.
{{ Images_Cahier-101-05-377.png?600 }}
\\
==== Vérifications finales ====
1) Sur le devant du //HT-502//, les DEL //(LED)// POWER et PHONE1 sont de couleur jaune et toujours allumées; WAN clignote.\\
2) On soulève le récepteur téléphonique et PHONE1 s'éteint.\\
2) On replace le récepteur téléphonique et PHONE1 redevient jaune. \\
4) Si on possède un télécopieur //(Fax)//, on peut envoyer une télécopie qui demande de nous la retourner.\\
5) Pour vérifier la téléphonie, on téléphone à une copine et on lui demande de nous téléphoner pour s'assurer que tout est vraiment fonctionnel.
**Notre Adaptateur téléphonique analogique HT-502 est parfaitement fonctionnel.**
\\
====== Logiciels utilitaires ======
===== Description =====
Certains logiciels peuvent s'avérer très utiles pour la gestion du Serveur NethServer.
===== PuTTY =====
{{Images_Cahier-101-03-005.png?25}} Nous avons installé sur le poste de travail les logiciels utilitaires lors de l'étude du **[[nethserver_101_cahier_02_installations_configurations_logiciels_prerequis|Cahier-02]]**: //Installation et configuration des logiciels prérequis// et nous reproduisons ici leur utilisation au cas où vous ne disposeriez pas de ce cahier. Les exemples utilisés sont ceux du //Cahier-02//.
Lancer **PuTTY ->** entrer les informations requises **-> Save -> Open**.
|{{ Images_Cahier-101-05-378.png?400 }}|
Lors de la première connexion, on accepte la clé de chiffrement.
|{{ Images_Cahier-101-05-379.png?400 }}|
On se logue avec root et le mot de passe qu’on lui a attribué lors de l’installation.
|{{ Images_Cahier-101-05-380.png?400 }}|
Vérification des cartes réseau.
[root@dorgee ~]# ifconfig
em1: flags=4163 mtu 1500
inet 192.168.1.1 netmask 255.255.255.0 broadcast 192.168.1.255
inet6 fe80::226:b9ff:fe7a:8edc prefixlen 64 scopeid 0x20
ether 00:26:b9:7a:8e:dc txqueuelen 1000 (Ethernet)
RX packets 59110 bytes 19699640 (18.7 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 55554 bytes 30950756 (29.5 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
device interrupt 16
lo: flags=73 mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10
loop txqueuelen 1000 (Boucle locale)
RX packets 12405 bytes 2421429 (2.3 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 12405 bytes 2421429 (2.3 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
p1p1: flags=4163 mtu 1500
inet6 fe80::ee08:6bff:fe04:bf7e prefixlen 64 scopeid 0x20
ether ec:08:6b:04:bf:7e txqueuelen 1000 (Ethernet)
RX packets 298360 bytes 346493886 (330.4 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 271444 bytes 54477460 (51.9 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
ppp0: flags=4305 mtu 1492
inet 206.248.138.152 netmask 255.255.255.255 destination 206.248.155.132
ppp txqueuelen 3 (Protocole Point-à-Point)
RX packets 144748 bytes 193633589 (184.6 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 143476 bytes 7507991 (7.1 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
[root@dorgee ~]#
**PuTTY est fonctionnel.**
\\
===== WinSCP =====
Nous avons aussi installé WinSCP sur le poste de travail lors de l'étude du **[[nethserver_101_cahier_02_installations_configurations_logiciels_prerequis|Cahier-02]]**: //Installation et configuration des logiciels prérequis//.
On lance **WinSCP**, on entre les coordonnées de notre serveur **-> Sauver...**
|{{ Images_Cahier-101-05-381.png?400 }}|
- On peut créer un raccourci sur le bureau.\\
- **OK**.
|{{ Images_Cahier-101-05-382.png?400 }}|
\\
**Outils -> Préférences...**
|{{ Images_Cahier-101-05-383.png?400 }}|
\\
\\
\\
\\
**Fenêtre -> Afficher le chemin complet**.
|{{ Images_Cahier-101-05-384.png?400 }}|
- **Panneaux**.\\
- ☑ //**Afficher les fichiers cachés**//.\\
- ☑ //**Sélectionner le nom complet lors d'un renommage**//.\\
- **OK**.
|{{ Images_Cahier-101-05-385.png?400 }}|
\\
\\
\\
- Les informations sont sauvegardées.\\
- **Connexion** pour se connecter.
|{{ Images_Cahier-101-05-386.png?400 }}|
\\
- Lors de la première connexion, on accepte la clé de chiffrement **-> Oui**.
- On entre le mot de passe de root du serveur distant **-> OK**.
|{{ Images_Cahier-101-05-387.png?400 }}|
|{{ Images_Cahier-101-05-388.png?400 }}|
\\
On peut copier d’un panneau vers l’autre en sélectionnant un ou plusieurs fichiers/répertoires puis **cliquer/glisser**.
|{{ Images_Cahier-101-05-389.png?700 }}|
**WinSCP est fonctionnel.**
\\
===== Midnight Commander (mc) =====
//Référence:// [[https://fr.wikipedia.org/wiki/Midnight_Commander|https://fr.wikipedia.org/wiki/Midnight_Commander]].\\
GNU **Midnight Commander** //(mc)// est un gestionnaire de fichiers multiplate-forme inspiré de //Norton Commander// et écrit par Miguel de Icaza. C'est une application en mode texte. L'interface principale se compose de deux "panneaux" qui affichent les fichiers présents par rapport à leur emplacement sur le disque. Midnight Commander inclut un éditeur de texte interne avec le repérage de la syntaxe, un outil permettant de visualiser le contenu d'un RPM, et un autre permettant de se connecter à un serveur FTP.
[root@dorgee ~]# yum install -y mc
...
Transaction Summary
============================================================================================
Install 1 Package (+1 Dependent package)
Total download size: 1.8 M
Installed size: 5.7 M
Downloading packages:
(1/2): gpm-libs-1.20.7-5.el7.x86_64.rpm | 32 kB 00:00:00
(2/2): mc-4.8.7-11.el7.x86_64.rpm | 1.7 MB 00:00:01
--------------------------------------------------------------------------------------------
Total 1.1 MB/s | 1.8 MB 00:00:01
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
Installing : gpm-libs-1.20.7-5.el7.x86_64 1/2
...
Verifying : gpm-libs-1.20.7-5.el7.x86_64 2/2
Installed:
mc.x86_64 1:4.8.7-11.el7
Dependency Installed:
gpm-libs.x86_64 0:1.20.7-5.el7
Complete!
[root@dorgee ~]#
\\
Pour lancer cet utilitaire: **mc**
**[F-1]** pour l'aide.
**[F-10]** pour quitter Midnight Commander.
|{{ Images_Cahier-101-05-390.png?700 }}|
===== locate =====
Référence: [[https://fr.wikipedia.org/wiki/Locate|https://fr.wikipedia.org/wiki/Locate]].\\
L'utilitaire **locate** est une commande Unix permettant de localiser //(to locate en anglais)// un fichier.
À la différence des autres méthodes de recherche, locate ne cherche pas les fichiers demandés dans l'arborescence des répertoires, mais dans une base de données mise régulièrement à jour //(au moyen de la commande **updatedb**, que l'on automatise, si ce n'est pas déjà le cas, au moyen de cron)//. Cette base de données contient les références vers les fichiers contenus dans les répertoires du système.
{{Images_Cahier-101-03-006.png?25}} L'avantage de cette méthode repose sur la grande rapidité d'une telle recherche. En revanche, tout ajout, suppression ou déplacement d'un fichier survenus entre deux mises à jour ne sera pas répercuté dans la base de données à moins d'une mise à jour manuelle.
[root@dorgee ~]# yum install -y mlocate
...
Transaction Summary
============================================================================================
Install 1 Package
Total download size: 113 k
Installed size: 379 k
Downloading packages:
mlocate-0.26-8.el7.x86_64.rpm | 113 kB 00:00:01
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
Installing : mlocate-0.26-8.el7.x86_64 1/1
Verifying : mlocate-0.26-8.el7.x86_64 1/1
Installed:
mlocate.x86_64 0:0.26-8.el7
Complete!
[root@dorgee ~]#
Mise à jour de la BD de locate.
[root@dorgee ~]# updatedb
[root@dorgee ~]#
Exemple de recherche.
[root@dorgee ~]# locate .well-kno
/var/www/html/.well-known
/var/www/html/.well-known/acme-challenge
[root@dorgee ~]#
\\
===== Shell In A Box =====
//Référence:// https://wiki.nethserver.org/doku.php?id=shellinabox.\\
**Shell In A Box** implémente un serveur Web capable d'exporter des outils arbitraires de ligne de commande vers un émulateur Web de terminal en utilisant la technologie Ajax pour donner l’apparence d’un shell natif. Cet émulateur est accessible à tout navigateur Web compatible **JavaScript** et CSS et ne nécessite aucune extension supplémentaire du navigateur.
==== Référentiel stephdl ====
Si ce n'est déjà fait, vous devez installer le référentiel **stephdl**.\\
//Référence:// https://wiki.nethserver.org/doku.php?id=stephdl_repository.
[root@dorgee ~]# yum install -y http://mirror.de-labrusse.fr/NethServer/7/x86_64/nethserver-stephdl-1.0.7-1.ns7.sdl.noarch.rpm
...
Transaction Summary
============================================================================================
Install 1 Package
Total size: 40 k
Installed size: 40 k
...
Installed:
nethserver-stephdl.noarch 0:1.0.7-1.ns7.sdl
Complete!
[root@dorgee ~]#
Vérification.
[root@dorgee ~]# rpm -qa | grep stephdl
nethserver-stephdl-1.0.7-1.ns7.sdl.noarch
[root@dorgee ~]#
==== Installation du module ====
[root@dorgee ~]# yum install -y nethserver-shellinabox --enablerepo=stephdl
...
Resolving Dependencies
...
Dependencies Resolved
...
Transaction Summary
============================================================================================
Install 1 Package (+1 Dependent package)
Total download size: 164 k
Installed size: 551 k
...
Installed:
nethserver-shellinabox.noarch 0:0.1.6-1.ns7.sdl
Dependency Installed:
shellinabox.x86_64 0:2.20-5.el7
Complete!
[root@dorgee ~]#
{{Images_Cahier-101-03-006.png?25}} On rafraîchit la page de l'interface WEB pour faire apparaître les nouveaux menus.
\\
**Configuration -> Paramètres du terminal** pour définir des paramètres spécifiques.
☑ //**Activer Shellinabox**//\\
Active ou désactive le module.
● //**Port TCP**//\\
Définit le port TCP du démon.
⦿ //**Accès privé**//\\
Si vous sélectionnez cette options, vous ne pouvez utiliser Shellinabox que sur votre réseau LOCAL.\\
* L'//authentification Apache// peut être forcée avec la prochaine option.
|{{ Images_Cahier-101-05-391.png?400 }}|
☑ //**Forcer l'accès restreint de l'utilisateur**//\\
Apache est utilisé pour restreindre l'accès aux utilisateurs. Lorsque Shellinabox est défini sur l'//Accès Privé//, l'authentification d'Apache n'est pas obligatoire, mais vous pouvez le forcer ici. Apache doit autoriser un utilisateur, mais l'utilisateur doit toujours avoir un accès au shell du système.
⚪ //**Accès Public**//\\
Pour utiliser Shellinabox en dehors de votre réseau LOCAL.\\
{{Images_Cahier-101-03-006.png?25}} Lorsque vous autorisez une connexion depuis l'extérieur de votre réseau local ou spécifiquement pour une ou plusieurs adresses IP, l'authentification de l'utilisateur est obligatoire. L'utilisateur //admin// est autorisé par défaut, mais vous pouvez ajouter plus d'utilisateurs. //(Pour NS7 et NS6, vous devez définir un mot de passe dans le panneau de l'utilisateur du gestionnaire de serveur.)//
|{{ Images_Cahier-101-05-392.png?400 }}|
⚪ //**Accès IP**//\\
Si cous sélectionnez cette options, l'accès n'est autorisé que depuis les adresses IP spécifiées //(une adresse IP par ligne)//.
De plus, vous pouvez restreindre l'accès qu'à certains utilisateurs en cochant //**Forcer l'accès restreint de l'utilisateur**// et en spécifiant un utilisateur autorisé par ligne.
Si on change un paramètre: -> {{Images_Cahier-101-05-393.png?100}}
|{{ Images_Cahier-101-05-394.png?400 }}|
==== Redémarrage du démon ====
**Statut -> Services -> shellinaboxd -> Redémarrage**.
|{{ Images_Cahier-101-05-395.png?700 }}|
===== Accès =====
**Administration -> Terminal**.
|{{ Images_Cahier-101-05-396.png?400 }}|
On se logue avec le nom d'un des usagers autorisés.
|{{ Images_Cahier-101-05-397.png?700 }}|
\\
À la console du Terminal, on se logue en utilisant root.
|{{ Images_Cahier-101-05-398.png?700 }}|
====== Sauvegarde ======
===== Description =====
//Référence:// [[http://docs.nethserver.org/en/v7/backup.html|http://docs.nethserver.org/en/v7/backup.html]].\\
Une sauvegarde est le seul moyen de restaurer une machine en cas de sinistre. Le système gère deux types de sauvegardes:
- //**Sauvegarde de la configuration**//\\ Ce type de sauvegarde ne contient que les fichiers de configuration du système. Son objectif est de restaurer rapidement une machine en cas de récupération après sinistre.
- //**Sauvegarde des données**//\\ Ce type de sauvegarde est activé par l’installation du module **Sauvegarde** et contient, par défaut, toutes les données stockées dans le système //(répertoires des utilisateurs, dossiers partagés, courriels, etc.)//. Cette sauvegarde s'exécute une fois par jour et peut être complète ou incrémentielle sur une base hebdomadaire //(six incrémentielles et la septième complète)//. Elle contient également l'archive de la //Sauvegarde de la configuration//. Plusieurs sauvegardes peuvent être configurées pour enregistrer différentes données à des intervalles différents.\\ Lorsque la machine est fonctionnelle, une restauration complète des données peut être effectuée même si la machine est déjà en production.
===== Sauvegarde de la configuration =====
{{Images_Cahier-101-03-006.png?25}} Ces sauvegardes sont conservées dans: ''/var/lib/nethserver/backup/history''.
Depuis la page **Sauvegarde (configuration)**, la configuration du système peut être sauvegardée, téléchargée, téléversée et restaurée.
En outre, une tâche automatisée s'exécute chaque nuit à **00h15** et crée une nouvelle archive, __/var/lib/nethserver/backup/backup-config.tar.xz__, si la configuration a été modifiée au cours des dernières //24// heures.
==== Configuration ====
**Configuration -> Sauvegarde (configuration) ->** onglet **Configurer ->** on spécifie le nombre de sauvegardes automatiques à conserver **-> SOUMETTRE**.
|{{ Images_Cahier-101-05-399.png?600 }}|
|{{ Images_Cahier-101-05-400.png?400 }}|
{{Images_Cahier-101-03-005.png?25}} Ces sauvegardes n'ont que quelques Ko; on peut en garder un assez grand nombre.
La liste des modules installés est incluse dans l'archive de sauvegarde. La procédure de restauration peut télécharger et installer automatiquement les modules énumérés.
==== Personnalisation ====
=== Exclusion de fichiers/répertoire ===
Si vous souhaitez exclure un fichier ou un répertoire de la //Sauvegarde de la configuration//, ajoutez une ligne au fichier ''/etc/backup-config.d/custom.exclude''.
=== Inclusion ===
Dans la plupart des cas, il n'est pas nécessaire de modifier la //Sauvegarde de la configuration//, mais peut être utile par exemple si vous avez une configuration httpd personnalisée. Dans ce cas, vous pouvez ajouter le fichier contenant la personnalisation à la liste des fichiers à sauvegarder.
Si vous souhaitez ajouter un fichier ou un répertoire à la //Sauvegarde de la configuration//, ajoutez une ligne au fichier ''/etc/backup-config.d/custom.include''.
//Exemple:// pour sauvegarder le répertoire ''/etc/e-smith/templates-custom/etc/roundcubemail/'' qui contient le gabarit qui supprime l'affichage du nom du serveur lors d'une connexion à Webmail, ajoutez cette ligne:
/etc/e-smith/templates-custom/etc/roundcubemail/
{{Images_Cahier-101-03-006.png?25}} N'ajoutez pas de gros répertoires ou fichiers à la //Sauvegarde de la configuration//.
{{Images_Cahier-101-03-006.png?25}} Assurez-vous de ne pas laisser de lignes vides dans les fichiers modifiés. La syntaxe de la //Sauvegarde de la configuration// prend en charge uniquement les chemins simples pour les fichiers et répertoires.
\\
\\
==== Lancement de la sauvegarde de la configuration ====
**Configuration -> Sauvegarde (configuration) -> CRÉER UNE SAUVEGARDE**.
|{{ Images_Cahier-101-05-401.png?700 }}|
\\
- Si l'écran ne s'affiche pas correctement, on l'agrandit.
\\
\\
- On entre une //**Description**//.\\
- **CRÉER UN(E) SAUVEGARDE**.
|{{ Images_Cahier-101-05-402.png?400 }}|
|{{ Images_Cahier-101-05-403.png?400 }}|
\\
La sauvegarde a été créée et on voit sa description entrée précédemment lors de sa création.\\
On peut télécharger la sauvegarde sur le poste de travail en cliquant **Télécharger**.
|{{ Images_Cahier-101-05-404.png?800 }}|
\\
**Enregistrer le fichier | OK**.
|{{ Images_Cahier-101-05-405.png?400 }}|
{{Images_Cahier-101-03-004.png?25}} Ces fichiers ne sont pas très volumineux, quelques Ko seulement.
**Enregistrer**.
|{{ Images_Cahier-101-05-406.png?400 }}|
|{{ Images_Cahier-101-05-407.png?400 }}|
=== Restauration d'une configuration ===
On peut récupérer une ancienne sauvegarde stockée sur le poste de travail afin de la restaurer.
\\
\\
**Envoyer**.
|{{ Images_Cahier-101-05-408.png?400 }}|
\\
\\
**Parcourir**.
|{{ Images_Cahier-101-05-409.png?400 }}|
- On sélectionne la sauvegarde à récupérer.\\
- **Ouvrir**.
|{{ Images_Cahier-101-05-410.png?400 }}|
\\
- On entre une description.\\
- **ENVOYER**.
|{{ Images_Cahier-101-05-411.png?400 }}|
La sauvegarde récupérée apparaît dans la liste et on peut la restaurer en cliquant **Restaurer**.
|{{ Images_Cahier-101-05-412.png?700 }}|
\\
\\
\\
Les différents paramètres de la sauvegarde à restaurer apparaissent ci-dessous.
|{{ Images_Cahier-101-05-413.png?400 }}|
- Si l'option //**Télécharger les modules automatiquement**// est cochée, les modules nécessaires sont téléchargés et installés automatiquement.\\
- **RESTAURER**.
|{{ Images_Cahier-101-05-414.png?400 }}|
\\
\\
\\
\\
La tâche est en cours.
|{{ Images_Cahier-101-05-415.png?400 }}|
\\
La restauration a réussie.
{{Images_Cahier-101-03-005.png?25}} Nous aurions pu récupérer directement cette sauvegarde sans avoir à la télécharger, car elle est dans la liste de celles qui sont encore sur le Serveur NethServer.
|{{ Images_Cahier-101-05-416.png?700 }}|
\\
=== Exemple de récupération du fichier de sauvegarde de la configuration ===
{{Images_Cahier-101-03-003.png?22}} Pour une reprise après sinistre, on peut récupérer le fichier d'une sauvegarde de la configuration directement depuis le fichier ''backup-config.tar.xz'' dans le répertoire de stockage - ''D:\Sauvegarde''.
On se rend dans le répertoire de stockage, on claque sur le fichier **''backup-config.tar.xz'' -> 7-Zip -> Ouvrir archive** et on navigue jusqu'au répertoire ''\var/lib\nethserver\backup\history''.
|{{ Images_Cahier-101-05-483.png?400 }}|
Le répertoire des sauvegardes de la configuration du serveur a bien été inclus dans la sauvegarde des données.
|{{ Images_Cahier-101-05-484.png?400 }}|
Clac sur le fichier **''s00.tar.xz''** **-> Copier vers...**
|{{ Images_Cahier-101-05-485.png?400 }}|
\\
**OK**.
|{{ Images_Cahier-101-05-486.png?400 }}|
\\
Le fichier est récupéré.
|{{ Images_Cahier-101-05-487.png?400 }}|
{{Images_Cahier-101-03-004.png?25}} On peut restaurer cette sauvegarde de la configuration de la même façon que la restauration précédente au paragraphe [[nethserver_101_cahier_05_vdsl_fqdn_internet_et_nethserver#Restauration d'une configuration]].
\\
\\
===== Sauvegarde des données =====
{{Images_Cahier-101-03-006.png?25}} Les sauvegardes sont conservées dans: ''/var/lib/nethserver/backup/duplicity''.\\
NethServer implémente deux types de sauvegarde des données:
- Sauvegarde unique //(primaire, par défaut, compatible avec les versions antérieures)//.
- Sauvegardes multiples //(multi-sauvegardes, multi-moteurs)//.
La sauvegarde des données peut être effectuée à l'aide de différents moteurs:
- Duplicity (défaut) - [[http://duplicity.nongnu.org/|http://duplicity.nongnu.org/]].
- Restic - [[https://restic.net/|https://restic.net/]].
- rsync - [[https://rsync.samba.org/|https://rsync.samba.org/]].
==== Duplicity ====
**Duplicity** est le moteur par défaut pour NethServer. Il dispose d'un bon algorithme de compression qui réduira le stockage sur la destination. Duplicity nécessite une sauvegarde complète une fois par semaine. Lorsque le jeu de données est très volumineux, le processus peut prendre plus de 24 heures.
{{Images_Cahier-101-03-006.png?25}} NethServer __n’implémente pas le chiffrage__ des sauvegardes si le moteur est Duplicity.
Applications dorsales(( **Applications dorsales**: Programme qui, dans une architecture client-serveur, traite les commandes en provenance de l'application frontale. \\ //Référence//: [[http://www.granddictionnaire.com/ficheOqlf.aspx?Id_Fiche=26527120|http://www.granddictionnaire.com/ficheOqlf.aspx?Id_Fiche=26527120]].\\ \\ )) prises en charge:
- CIFS
- NFS
- USB
- WebDAV //(seulement en cas de sauvegarde unique)//
==== Sauvegarde unique ====
Il s'agit de la sauvegarde système par défaut pouvant être configurée et restaurée à l'aide de l'interface Web.
- Peut être planifiée une fois par jour.
- Peut inclure les journaux système.
- Envoie des notifications à l'administrateur système ou à une adresse courriel externe.
==== Répertoire partagé pour les sauvegardes ====
- Nos sauvegardes se feront avec le protocole CIFS //(Common Internet File System)//.
- Elles seront téléversées automatiquement dans le répertoire partagé ''D:\Sauvegarde'' que nous allons créer sur le poste de travail //Win-8.1//.
Il nous faut donc un répertoire partagé sur le poste de travail afin que le Serveur NethServer puisse y déposer les fichiers de la sauvegarde.
\\
\\
- On peut utiliser le répertoire déjà utilisé par les sauvegardes des autres serveurs.\\
- On peut aussi créer un nouveau répertoire **Sauvegarde** sur le disque ''D:\'' du poste de travail.
|{{ Images_Cahier-101-05-417.png?400 }}|
\\
\\
Si **Partager avec** offre seulement les choix ci-dessous, fermer et ouvrir un autre Explorateur Windows.
|{{ Images_Cahier-101-05-418.png?400 }}|
\\
\\
\\
Dans les menus de l'Explorateur Windows, **Affichage -> Options**.
|{{ Images_Cahier-101-05-419.png?400 }}|
- Onglet **Affichage**.\\
- Décocher **Utiliser l'Assistant Partage (recommandé)**.\\
- **OK**.
|{{ Images_Cahier-101-05-420.png?400 }}|
\\
- On retourne au dossier //**Sauvegarde**//.\\
- Clac sur le nom du répertoire **-> Partager avec -> Partage Avancé**.
|{{ Images_Cahier-101-05-421.png?400 }}|
\\
\\
\\
Onglet **Partage -> Partage avancé...**
|{{ Images_Cahier-101-05-422.png?400 }}|
Cocher **Partager ce dossier ->** Nom du partage: //Sauvegarde// apparaît **-> Autorisations**.
|{{ Images_Cahier-101-05-423.png?400 }}|
\\
\\
**Ajouter...**
|{{ Images_Cahier-101-05-424.png?400 }}|
On entre le nom d'un utilisateur de la machine Windows, ex: //michelandre// **-> Vérifier les noms**.
|{{ Images_Cahier-101-05-425.png?400 }}|
\\
\\
Le nom vérifié apparaît **-> OK**.
|{{ Images_Cahier-101-05-426.png?400 }}|
\\
Sélectionner **michelandre ->** cocher toutes les **Autorisations**.
|{{ Images_Cahier-101-05-427.png?400 }}|
Sélectionner **Tout le monde ->** décocher toutes les **Autorisations -> OK**.
|{{ Images_Cahier-101-05-428.png?400 }}|
\\
**OK**.
|{{ Images_Cahier-101-05-429.png?400 }}|
\\
Le répertoire est partagé -> **OK**.
|{{ Images_Cahier-101-05-430.png?400 }}|
\\
Dans l'Explorateur Windows, l'__utilisateur michelandre__ entre l'adresse du poste de travail: **\\182.168.1.81** -> **[Entrée]**.
On voit le répertoire de partage: ''Sauvegarde''.
Tout est correctement paramétré.
|{{ Images_Cahier-101-05-431.png?400 }}|
\\
===== Installation du module =====
**Administration -> Gestionnaire des logiciels ->** on coche **Sauvegarde -> AJOUTER**.
|{{ Images_Cahier-101-05-432.png?700 }}|
\\
**APPLIQUER LES CHANGEMENTS**.
|{{ Images_Cahier-101-05-433.png?400 }}|
**Recharger la page** pour afficher les nouveaux menus.
|{{ Images_Cahier-101-05-434.png?400 }}|
\\
===== Sauvegardes (données) =====
- **Configuration -> Sauvegarde (données) ->** onglet** Général ->** on entre les informations demandées.
- On continue à entrer les informations demandées **-> SOUMETTRE**.
|{{ Images_Cahier-101-05-435.png?400 }}|
|{{ Images_Cahier-101-05-436.png?400 }}|
==== Notification ====
Onglet **Notification**.
//**Notifier**//\\
⦿ **Toujours**\\
On préfère toujours être notifié lorsqu'une sauvegarde est effectuée.
⦿ **Adresse email personnalisée**\\
Pour recevoir les courriels. On entre l'adresse courriel de l'administrateur de tous les serveurs de notre site.
//**Adresse de l'expéditeur**//\\
On spécifie de quel serveur provient la notification.
**SOUMETTRE**.
|{{ Images_Cahier-101-05-437.png?400 }}|
==== Vérifications à la ligne de commande ====
=== Propriétés de Sauvegarde (configuration) ===
On affiche les __propriétés de la configuration__ de //Sauvegarde (configuration)//.
[root@dorgee ~]# config show backup-config
backup-config=configuration
HistoryLength=31
status=enabled
[root@dorgee ~]#
* //**HistoryLength:**// la valeur donnée au paramètre **Configuration -> Sauvegarde (Configuration) -> Automatic backups to keep**.
* //**status:**// propriété qui active ou désactive la sauvegarde automatique, peut être activée //(enabled)// ou désactivée //(disabled)//. La valeur par défaut est __activée__. Indépendamment de cette propriété, la sauvegarde est toujours exécutée si elle est démarrée manuellement.
\\
\\
=== Propriétés de Sauvegarde (données) ===
On affiche les __propriétés de la configuration__ de //Sauvegarde (données)//.
[root@dorgee ~]# config show backup-data
backup-data=configuration
IncludeLogs=enabled
[root@dorgee ~]#
*//**IncludeLogs:**// nous avons coché **Configuration -> Sauvegarde (données) ->** onglet **Général -> Advanced options -> Include system logs** au paragraphe [[nethserver_101_cahier_05_vdsl_fqdn_internet_et_nethserver#Sauvegardes (données)]].
On affiche les __propriétés__ de //Sauvegarde (données)//.
[root@dorgee ~]# db backups show
backup-data=duplicity
BackupTime=0 3 * * *
CleanupOlderThan=56D
FullDay=0
Notify=always
NotifyFrom=admin@micronator-101.org
NotifyTo=michelandre@micronator.org
Program=duplicity
SMBHost=192.168.1.81
SMBLogin=michelandre
SMBPassword=mot-de-passe
SMBShare=Sauvegarde
Type=incremental
VFSType=cifs
status=enabled
[root@dorgee ~]#
{{Images_Cahier-101-03-005.png?25}} On vérifie la propriété //**FullDay**// //(dimanche=0, lundi-1, mardi=2...)//.
==== Personnalisation ====
=== Inclusion de fichiers/répertoires ===
On peut inclure des fichiers/répertoires supplémentaires en les spécifiant dans le fichier d'inclusion:
/etc/backup-data.d/custom.include
{{Images_Cahier-101-03-006.png?25}} Pour le chemin d'un __fichier__, il ne faut pas inclure le caractère "**/**" à la fin du chemin.
Exemple: ''/etc/profile.d/activer-php72.sh''.
Pour le chemin d'un __répertoire__ et de son contenu, il faut inclure le caractère "**/**" à la fin du chemin.
Exemple: ''/etc/e-smith/templates-custom/etc/roundcubemail/''.
\\
\\
=== Exclusion de fichiers/répertoire ===
On peut exclure des fichiers/répertoires supplémentaires en les spécifiant dans le fichier d'exclusion:
/etc/backup-data.d/custom.exclude
\\
=== Grandeur des fichiers de sauvegarde ===
Comme on le voit avec la commande ''db backups show'' à la section [[nethserver_101_cahier_05_vdsl_fqdn_internet_et_nethserver#Sauvegardes (données)]], la propriété //**VolSize=250**// donnera des fichiers de sauvegarde de 250 Mo. Pour une sauvegarde de plusieurs Go, ce paramètre segmentera la sauvegarde en de très nombreux fichiers. Nous ajustons la grandeur des fichiers à 2 Go et ainsi facilitons l'examen du répertoire ''D:\Sauvegarde'' sur le poste de travail.
[root@dorgee ~]# db backups setprop backup-data VolSize 2048
[root@dorgee ~]#
On signale le changement.
[root@dorgee ~]# signal-event nethserver-backup-data-update
[root@dorgee ~]#
On vérifie.
[root@dorgee ~]# db backups show | grep VolSize
VolSize=2048
[root@dorgee ~]#
\\
==== Lancement forcé de la sauvegarde ====
=== Première sauvegarde ===
On peut forcer le lancement d'une sauvegarde en exécutant la commande ci-dessous.
[root@dorgee ~]# /sbin/e-smith/backup-data -b backup-data
Backup: backup-data
Backup started at 2019-02-08 13:28:03
Pre backup scripts status: SUCCESS
--------------[ Backup Statistics ]--------------
StartTime 1549650495.78 (Fri Feb 8 13:28:15 2019)
EndTime 1549650497.91 (Fri Feb 8 13:28:17 2019)
ElapsedTime 2.13 (2.13 seconds)
SourceFiles 419
SourceFileSize 24495192 (23.4 MB)
NewFiles 419
NewFileSize 24495192 (23.4 MB)
DeletedFiles 0
ChangedFiles 0
ChangedFileSize 0 (0 bytes)
ChangedDeltaSize 0 (0 bytes)
DeltaEntries 419
RawDeltaSize 24467434 (23.3 MB)
TotalDestinationSizeChange 1963840 (1.87 MB)
Errors 0
-------------------------------------------------
Action 'backup-data-duplicity backup-data': SUCCESS
Post backup scripts status: SUCCESS
Backup status: SUCCESS
Backup ended at 2019-02-08 13:28:19
Time elapsed: 0 hours, 0 minutes, 16 seconds
Disk Usage:
Size Used Available Use%
917.83 GB 785.67 GB 132.16 GB 85.6%
[root@dorgee ~]#
\\
Cette sauvegarde //(1 918 Ko)// est complète //(full)//.
|{{ Images_Cahier-101-05-438.png?750 }}|
On vérifie la date.
[root@dorgee ~]# date
Fri Feb 8 13:32:59 EST 2019
[root@dorgee ~]#
{{Images_Cahier-101-03-005.png?25}} Même si nous sommes //vendredi// et que nous avons paramétré les sauvegardes complètes pour les //dimanches// seulement, cette sauvegarde est complète, car c'est la première à ce jour.
\\
\\
=== Deuxième sauvegarde ===
On peut forcer une autre sauvegarde pour générer une incrémentielle.
[root@dorgee ~]# /sbin/e-smith/backup-data -b backup-data
Backup: backup-data
Backup started at 2019-02-08 13:35:07
Pre backup scripts status: SUCCESS
--------------[ Backup Statistics ]--------------
StartTime 1549650912.53 (Fri Feb 8 13:35:12 2019)
EndTime 1549650912.95 (Fri Feb 8 13:35:12 2019)
ElapsedTime 0.42 (0.42 seconds)
SourceFiles 422
SourceFileSize 24526628 (23.4 MB)
NewFiles 9
NewFileSize 23980 (23.4 KB)
DeletedFiles 0
ChangedFiles 70
ChangedFileSize 14856835 (14.2 MB)
ChangedDeltaSize 0 (0 bytes)
DeltaEntries 79
RawDeltaSize 457642 (447 KB)
TotalDestinationSizeChange 76371 (74.6 KB)
Errors 0
-------------------------------------------------
Les métadonnées locales et distantes sont déjà synchronisées. Aucune synchronisation nécessaire.
Date de la dernière sauvegarde complète : Fri Feb 08 13:28:03 2019
Aucun ancien jeu de sauvegarde n’a été trouvé, rien n’a été supprimé.
Action 'backup-data-duplicity backup-data': SUCCESS
Post backup scripts status: SUCCESS
Backup status: SUCCESS
Backup ended at 2019-02-08 13:35:14
Time elapsed: 0 hours, 0 minutes, 7 seconds
Disk Usage:
Size Used Available Use%
917.83 GB 785.68 GB 132.15 GB 85.6%
[root@dorgee ~]#
\\
La deuxième sauvegarde n'est que de //(74.6 Ko)// et est une incrémentielle //(inc)//, car ce n'est pas la première à ce jour et nous ne sommes pas //dimanche//.
|{{ Images_Cahier-101-05-439.png?700 }}|
\\
=== Troisième sauvegarde ===
Nous changeons la journée des sauvegardes complètes pour qu'elles aient lieu les //vendredis// au lieu des //dimanches// **-> SOUMETTRE**.
|{{ Images_Cahier-101-05-440.png?400 }}|
On force une troisième sauvegarde.
[root@dorgee ~]# /sbin/e-smith/backup-data -b backup-data
Backup: backup-data
Backup started at 2019-02-08 13:44:43
Pre backup scripts status: SUCCESS
--------------[ Backup Statistics ]--------------
StartTime 1549651488.35 (Fri Feb 8 13:44:48 2019)
EndTime 1549651489.30 (Fri Feb 8 13:44:49 2019)
ElapsedTime 0.95 (0.95 seconds)
SourceFiles 422
SourceFileSize 24547401 (23.4 MB)
NewFiles 422
NewFileSize 24547401 (23.4 MB)
DeletedFiles 0
ChangedFiles 0
ChangedFileSize 0 (0 bytes)
ChangedDeltaSize 0 (0 bytes)
DeltaEntries 422
RawDeltaSize 24519532 (23.4 MB)
TotalDestinationSizeChange 1996425 (1.90 MB)
Errors 0
-------------------------------------------------
Les métadonnées locales et distantes sont déjà synchronisées. Aucune synchronisation nécessaire.
Date de la dernière sauvegarde complète : Fri Feb 08 13:28:03 2019
Aucun ancien jeu de sauvegarde n’a été trouvé, rien n’a été supprimé.
Action 'backup-data-duplicity backup-data': SUCCESS
Post backup scripts status: SUCCESS
Backup status: SUCCESS
Backup ended at 2019-02-08 13:44:51
Time elapsed: 0 hours, 0 minutes, 8 seconds
Disk Usage:
Size Used Available Use%
917.83 GB 785.68 GB 132.15 GB 85.6%
[root@dorgee ~]#
\\
La troisième sauvegarde __est complète__ car nous avons paramétré les complètes pour les //vendredis//.\\
Si nous lançons une quatrième sauvegarde, elle sera complète elle aussi, car nous sommes toujours //vendredi//.
{{Images_Cahier-101-03-006.png?25}} On remet le paramètre des sauvegardes complètes pour les dimanches.
|{{ Images_Cahier-101-05-441.png?600 }}|
\\
===== Restauration des données =====
Marche à suivre:
- Nous créons un fichier dans le répertoire personnel de root.
- Nous lançons une sauvegarde.
- Nous supprimons le fichier créé avant la sauvegarde, celui de la première étape.
- Nous récupérons le fichier contenu dans la dernière sauvegarde.
1) - Nous créons un fichier dans le répertoire personnel de root.
[root@dorgee ~]# touch toto
[root@dorgee ~]#
On vérifie.
[root@dorgee ~]# ls -ls toto
0 -rw-r--r-- 1 root root 0 Feb 8 13:55 toto
[root@dorgee ~]#
2) - Nous lançons une sauvegarde.
[root@dorgee ~]# /sbin/e-smith/backup-data -b backup-data
Backup: backup-data
Backup started at 2019-02-08 13:56:09
Pre backup scripts status: SUCCESS
...
Action 'backup-data-duplicity backup-data': SUCCESS
Post backup scripts status: SUCCESS
Backup status: SUCCESS
Backup ended at 2019-02-08 13:56:17
Time elapsed: 0 hours, 0 minutes, 8 seconds
Disk Usage:
Size Used Available Use%
917.83 GB 785.68 GB 132.15 GB 85.6%
[root@dorgee ~]#
3) - Nous supprimons le fichier créé avant la sauvegarde, celui de la première étape.
[root@dorgee ~]# rm toto
rm : supprimer fichier vide « toto » ? y
[root@dorgee ~]#
On vérifie.
[root@dorgee ~]# ls -ls toto
ls: impossible d'accéder à toto: Aucun fichier ou dossier de ce type
[root@dorgee ~]#
\\
==== Restauration ====
**Configuration -> Restaurer les données**.
//**▼ Backup file**//\\
On choisit la dernière sauvegarde.
//**▼ Mode de restauration**//\\
⦿ Restaurer les fichiers dans le chemin original.
//**Sélectionner un ou plusieurs dossiers ou fichiers à restaurer**//\\
On entre **toto**.
Dans l'arborescence, on choisit **''/root''**, le répertoire contenant le fichier à restaurer: ''/root'', apparaît dans //**- Dossiers ou fichiers à restaurer**//.
**RESTAURER**.
Le message sur fond vert, en haut de l'écran: //**Restauré à la position initiale**//, indique que le fichier a été trouvé et restauré.
|{{ Images_Cahier-101-05-442.png?400 }}|
{{Images_Cahier-101-03-005.png?25}} __Si nous n'avions rien spécifié__ sous //**Sélectionner un ou plusieurs dossiers ou fichiers à restaurer**//, c'est tout l'arborescence qui aurait été alors restaurée.
=== Vérification ===
Nous vérifions que le fichier ait bien été restauré.
[root@dorgee ~]# ls -ls toto
0 -rw-r--r-- 1 root root 0 Feb 8 13:55 toto
[root@dorgee ~]#
Le fichier a été restauré.
\\
==== Recherche de fichiers dans les sauvegardes ====
On peut rechercher un fichier dans les sauvegardes //(peut prendre un certain temps)//.
[root@dorgee ~]# /sbin/e-smith/backup-data-list -b backup-data | grep toto
Fri Feb 8 13:55:22 2019 root/toto
[root@dorgee ~]#
**La sauvegarde est fonctionnelle.**
\\
====== ClamAV ======
===== Introduction =====
//Référence:// [[https://wiki.nethserver.org/doku.php?id=clamscan|https://wiki.nethserver.org/doku.php?id=clamscan]]. \\
Il n'y a pas beaucoup de virus conçus pour les distributions Linux, et par conséquent, la plupart des utilisateurs de tels systèmes ne se donnent pas la peine d'utiliser un logiciel antivirus. Toutefois, ceux qui souhaitent pouvoir analyser leur système, ou d’autres systèmes Windows connectés sur un PC Linux via un réseau, peuvent utiliser **ClamAV**. ClamAV est un moteur antivirus LIBRE conçu pour détecter les virus, les chevaux de Troie, les logiciels malveillants et autres menaces. Il prend en charge plusieurs formats de fichiers //(documents, exécutables ou archives)//. Il utilise des fonctionnalités de balayages en traitement multifil(( **Traitement multifil:** Traitement multitâche qui se traduit par l'exécution simultanée des fils d'un même processus, et qui permet d'accélérer l'exécution d'un programme par l'exploitation à d'autres fins du temps d'attente imposé au processeur lors de l'accès aux données.//Notes://- Le traitement multifil est très utilisé, notamment pour le traitement synchronisé de données audio et vidéo.- Lors du traitement multifil, les fils constituant le processus sont exécutés de façon imbriquée de manière à simuler la simultanéité.- À la différence du multitraitement qui fonctionne au niveau de l'application, le traitement multifil fonctionne au niveau des fils du processus. Il a l'avantage de consommer moins de ressources que le traitement simultané de plusieurs processus. Par contre, il implique la synchronisation du partage des ressources et de la mémoire du processeur entre les différents fils qui composent le processus traité. \\ //Référence:// [[http://www.granddictionnaire.com/ficheOqlf.aspx?Id_Fiche=8351242|http://www.granddictionnaire.com/ficheOqlf.aspx?Id_Fiche=8351242]].\\ \\ )) et reçoit les mises à jour de sa base de données de signatures au moins 3 à 4 fois par jour.
===== Installation =====
==== Prérequis ====
Si ce n'est déjà fait, vous devez installer le référentiel stephdl. //Référence:// [[https://wiki.nethserver.org/doku.php?id=stephdl_repository|https://wiki.nethserver.org/doku.php?id=stephdl_repository]].
[root@dorgee ~]# yum install -y http://mirror.de-labrusse.fr/NethServer/7/x86_64/nethserver-stephdl-1.0.7-1.ns7.sdl.noarch.rpm
...
Transaction Summary
============================================================================================
Install 1 Package
Total size: 40 k
Installed size: 40 k
...
Installed:
nethserver-stephdl.noarch 0:1.0.7-1.ns7.sdl
Complete!
[root@dorgee ~]#
Vérification.
[root@dorgee ~]# rpm -qa | grep stephdl
nethserver-stephdl-1.0.7-1.ns7.sdl.noarch
[root@dorgee ~]#
==== Installation de ClamAV ====
[root@dorgee ~]# yum install -y nethserver-clamscan --enablerepo=stephdl
...
Transaction Summary
============================================================================================
Install 1 Package (+1 Dependent package)
Upgrade ( 6 Dependent packages)
Total download size: 60 k
...
Installed:
nethserver-clamscan.noarch 0:0.1.2-3.ns7.sdl
Dependency Installed:
clamav-scanner-systemd.x86_64 0:0.101.2-1.el7
Complete!
[root@dorgee ~]#
===== Mise à jour =====
On peut manuellement mettre à jour la BD des virus.
[root@dorgee ~]# freshclam
ClamAV update process started at Fri April 19 15:13:40 2019
main.cvd is up to date (version: 58, sigs: 4566249, f-level: 60, builder: sigmgr)
daily.cld is up to date (version: 25442, sigs: 1564671, f-level: 63, builder: raynman)
bytecode.cvd is up to date (version: 328, sigs: 94, f-level: 63, builder: neo)
[root@dorgee ~]#
\\
On rafraîchit l'interface Web pour afficher le nouveau menu.
**Configuration -> Scanner Antivirus ->** onglet **Clamscan**.
☑ //**Activer l'analyse des fichiers système**//\\
On coche cette case.
⦿ //**Effectuer une analyse journalière**//\\
On choisit l'heure de l'analyse.
☑ //**Déplacer les fichiers détectés vers la corbeille**//\\
On coche cette case.
☑ //**Oui, je suis totalement sur**//\\
On coche cette case.
Comme on le voit, la BD des virus est à jour.
**SOUMETTRE**.
|{{ Images_Cahier-101-05-443.png?600 }}|
\\
Onglet **Détections**, on prend les défauts.
|{{ Images_Cahier-101-05-444.png?400 }}|
Onglet **Fichiers**, on prend les défauts.
|{{ Images_Cahier-101-05-445.png?400 }}|
Onglet **PUA**, on prend les défauts.
|{{ Images_Cahier-101-05-446.png?400 }}|
\\
À l'onglet **Quarantaine**, on peut récupérer les fichiers qui ont généré une fausse alarme.
|{{ Images_Cahier-101-05-447.png?400 }}|
\\
Onglet **Signatures**, on prend les défauts.
|{{ Images_Cahier-101-05-448.png?400 }}|
===== Lancement manuel d'un balayage =====
À la console du Serveur NethServer, on peut lancer un balayage __en arrière-plan__ en ajoutant **&** à la fin de la commande de démarrage.
[root@dorgee ~]# /sbin/e-smith/nethserver-clamscan &
[1] 25238
[root@dorgee ~]#
On vérifie.
[root@dorgee ~]# ps aux | grep -i nethserver-clamscan
root 25238 0.0 0.2 151384 7848 pts/0 S 16:40 0:00 /usr/bin/perl -w /sbin/e-smith/nethserver-clamscan
root 25695 0.0 0.0 112708 988 pts/0 R+ 16:47 0:00 grep --color=auto -i nethserver-clamscan
[root@dorgee ~]#
L'interface Web affiche que le balayage est //**En cours d'exécution**//.
|{{ Images_Cahier-101-05-449.png?400 }}|
\\
Lorsque le balayage sera terminé, le message ci-dessous apparaît à la console du Serveur NethServer.
[root@dorgee ~]#
[1]+ Done /sbin/e-smith/nethserver-clamscan
[root@dorgee ~]#
\\
On peut examiner le résultat du balayage en allant à: **Configuration -> Scanner Antivirus ->** onglet **Quarantaine**.
\\
\\
{{Images_Cahier-101-03-005.png?25}} Pour la documentation, __en anglais seulement__, voir:\\
[[https://github.com/Cisco-Talos/clamav-faq/tree/master/manual|https://github.com/Cisco-Talos/clamav-faq/tree/master/manual]].
|{{ Images_Cahier-101-05-450.png?400 }}|
====== Appendice ======
===== Écran conventionnel de démarrage =====
Si nous voulons voir l'écran conventionnel de démarrage tel que ci-contre, il suffit de supprimer un seul paramètre dans le fichier de configuration de grub:
''/etc/default/grub''
{{ Images_Cahier-101-05-451.png?300 }}
|{{ Images_Cahier-101-05-452.png?400 }}|
==== Suppression du paramètre rhgb ====
Ligne originale dans le fichier ''/etc/default/grub''.
GRUB_CMDLINE_LINUX="crashkernel=auto rd.lvm.lv=VolGroup/lv_root rd.lvm.lv=VolGroup/lv_swap nodmraid rhgb quiet"
Après avoir enlevé le paramètre **rhgb**.
GRUB_CMDLINE_LINUX="crashkernel=auto rd.lvm.lv=VolGroup/lv_root rd.lvm.lv=VolGroup/lv_swap nodmraid quiet"
On signale le changement en régénérant le fichier de configuration.
[root@dorgee ~]# grub2-mkconfig -o /boot/grub2/grub.cfg
Generating grub configuration file ...
Found linux image: /boot/vmlinuz-3.10.0-957.5.1.el7.x86_64
Found initrd image: /boot/initramfs-3.10.0-957.5.1.el7.x86_64.img
Found linux image: /boot/vmlinuz-3.10.0-957.el7.x86_64
Found initrd image: /boot/initramfs-3.10.0-957.el7.x86_64.img
Found linux image: /boot/vmlinuz-0-rescue-8ee070fd1a7a4e8daf17a7dae9f85ac1
Found initrd image: /boot/initramfs-0-rescue-8ee070fd1a7a4e8daf17a7dae9f85ac1.img
done
[root@dorgee ~]#
{{Images_Cahier-101-03-005.png?25}} Au prochain réamorçage, le nouveau fichier grub sera effectif.
\\
\\
===== Fermeture automatique de session (session timeout) =====
//Référence:// [[http://docs.nethserver.org/en/v7/access.html#session-timeouts|http://docs.nethserver.org/en/v7/access.html#session-timeouts]]. \\
Par défaut //(à partir de NethServer 7.5.1804)//, une session de gestion du serveur se termine après **60** minutes d'inactivité //(délai d'inactivité)// et expire 8 heures après la connexion //(durée de vie de la session)//.
La commande ci-dessous définit **2** heures de délai d'inactivité et **16** heures de durée de vie de session maximale. Le temps est exprimé en secondes.
[root@dorgee ~]# config setprop httpd-admin MaxSessionIdleTime 7200 MaxSessionLifeTime 57600
[root@dorgee ~]#
Désactivation des délais.
[root@dorgee ~]# config setprop httpd-admin MaxSessionIdleTime '' MaxSessionLifeTime ''
[root@dorgee ~]#
{{Images_Cahier-101-03-006.png?25}} Les nouvelles valeurs de délais affecteront les nouvelles sessions. Ils ne changent aucune session active.
\\
\\
===== Fuseau horaire =====
Pour le fuseau horaire, il existe un fichier pour //**Montréal**//.
[root@dorgee ~]# ls -ls /usr/share/zoneinfo/America/ | grep Montreal
4 -rw-r--r-- 3 root root 3477 1 avril 08:27 Montreal
[root@dorgee ~]#
==== Changement du fuseau horaire ====
On affiche le fuseau horaire actuel.
[root@dorgee ~]# ls -l /etc/localtime
lrwxrwxrwx 1 root root 37 19 mai 23:48 /etc/localtime -> ../usr/share/zoneinfo/America/Toronto
[root@dorgee ~]#
On change le fuseau horaire pour celui de Montréal.
[root@dorgee ~]# timedatectl set-timezone America/Montreal
[root@dorgee ~]#
On vérifie.
[root@dorgee ~]# ls -l /etc/localtime
lrwxrwxrwx 1 root root 38 22 mai 14:02 /etc/localtime -> ../usr/share/zoneinfo/America/Montreal
[root@dorgee ~]#
Le fuseau horaire //Montréal// est récupéré.
\\
\\
===== Changement du mot de passe de root =====
//Référence:// [[https://www.rootusers.com/how-to-reset-root-user-password-in-centos-rhel-7/|https://www.rootusers.com/how-to-reset-root-user-password-in-centos-rhel-7/]].\\
Réinitialiser le mot de passe de root est normalement une tâche simple si vous êtes déjà connecté avec les privilèges de root. Toutefois, si vous oubliez le mot de passe et devez le changer, les choses deviennent un peu plus difficiles.\\
Le processus a changé de la version 6 de CentOS/RHEL //(Red Hat Enterprise Linux)// à la version 7. Auparavant, vous démarriez en **mode mono-utilisateur**, puis changiez le mot de passe en tant qu'utilisateur root. À partir de la version 7, les modes équivalents sont: **mode de secours** et **mode d’urgence**. Cependant, ces modes d'opération nécessitent le mot de passe de root avant de pouvoir faire quoi que ce soit. Cette section va vous guider dans le nouveau processus pour changer le mot de passe perdu de root. Cette procédure doit être exécutée directement à la console du Serveur NethServer, assurez-vous donc que vous y avez accès avant de commencer.
{{Images_Cahier-101-03-003.png?22}} Comme pour toutes les tâches de maintenance du système, assurez-vous de disposer d'une sauvegarde/instantané du système avant de poursuivre.
Si votre système Linux est en cours d'exécution, redémarrez-le. S'il ne roule pas, démarrez-le.
Pour **CentOS 7**, le menu de démarrage vous laissera 5 secondes pour sélectionner le noyau du système d’exploitation à démarrer. Ces 5 secondes sont importantes, car elles permettent aux administrateurs de sélectionner différents noyaux ou d’éditer les paramètres du noyau existant avant le démarrage.
Dans le menu de démarrage, appuyez sur "**e**" pour modifier le noyau existant tel qu'indiqué ci-dessous.
{{ Images_Cahier-101-05-462.png?800 }}
\\
Dans les options de //**grub**//, recherchez la ligne débutant par ''linux16'' et allez à la fin. Entrez ''rd.break'' à la fin de cette ligne tel qu'indiqué ci-dessous.
rd.break
{{ Images_Cahier-101-05-463.png?800 }}
\\
Appuyez sur **[Ctrl]** + **[x]** pour démarrer avec ces options qui vous amèneront à l'invite //**initramfs**// avec un shell root.
{{ Images_Cahier-101-05-464.png?800 }}
\\
À ce stade, le système de fichiers racine est monté en mode lecture seule //(ro)// dans le répertoire ''/sysroot'' et doit être remonté avec les autorisations de lecture/écriture //(rw)// pour que nous puissions réellement apporter certaines modifications. Ceci est réalisé avec la commande ''mount -o remount,rw /sysroot''.
switch_root:/# mount -o remount,rw /sysroot
switch_root:/#
{{ Images_Cahier-101-05-465.png?800 }}
\\
Une fois le système de fichiers remonté, changez-le en une //**prison chroot**// afin que le répertoire ''/sysroot'' soit utilisé comme racine du système de fichiers. Ceci est nécessaire pour que toutes les commandes que nous exécuterons se rapportent à ''/sysroot''. La commande à lancer est ''chroot /sysroot''.
switch_root:/# chroot /sysroot
sh-4.2#
{{ Images_Cahier-101-05-466.png?800 }}
\\
À partir d'ici, le mot de passe de root peut être réinitialisé à l’aide de la commande ''passwd''.
sh-4.2# passwd
Changing password for user root.
New password: Nouveau-mot-de-passe-de-root
Retype new passwd: Nouveau-mot-de-passe-de-root
passwd: all authentification tokens updated successfully.
sh-4.2#
{{ Images_Cahier-101-05-467.png?800 }}
\\
Si vous n'utilisiez pas SELinux, vous pourriez redémarrer à ce stade et tout irait bien. Cependant, par défaut, CentOS/RHEL-7 active SELinux. Nous devons donc corriger le contexte du fichier ''/etc/shado''w. En effet, lorsque la commande ''passwd'' est exécutée, elle crée un nouveau fichier ''/etc/shadow''. SELinux n'étant pas en cours d'exécution dans ce mode, le fichier est créé sans aucun contexte SELinux, ce qui peut entraîner des problèmes lors du redémarrage.
On crée le fichier ''/.autorelabel'' à l’aide de ''touch''.
sh-4.2# touch /.autorelabel
sh-4.2#
{{Images_Cahier-101-03-006.png?25}} La création de ce fichier effectuera automatiquement un ré-étiquetage de tous les fichiers au prochain démarrage. Notez que cela peut prendre un certain temps en fonction de la quantité de fichiers que vous avez. Peut prendre environ **2** minutes pour un serveur CentOS-7 ordinaire.
On quitte l'environnement chroot.
sh-4.2# exit
exit
sh-4.2#
On quitte le shell racine //initramfs// //(peut prendre un certain temps, être patient...)//. Le serveur s'amorce.
sh-4.2# exit
logout
...
==== Vérification ====
__À la console du serveur__, vous devriez pouvoir vous connecter et utiliser le système avec le nouveau mot de passe que vous avez créé.
\\
\\
\\
===== ERROR Failed to send host log message =====
Cette erreur s'affiche seulement lors de l'amorçage d'un serveur roulant sous **VirtualBox**.
{{ Images_Cahier-101-05-468.png?800 }}
\\
- On arrête le Serveur NethServer.\\
- À l'écran VirtualBox, on sélectionne la machine **-> État actuel (modifié) -> Configuration**.
|{{ Images_Cahier-101-05-469.png?400 }}|
\\
Au retour, on amorce le Serveur NethServer et le message ne s'affichera plus.
\\
**Affichage -> onglet Écran -> Contrôleur graphique ->** on change pour **VboxVGA -> OK**.
|{{ Images_Cahier-101-05-470.png?400 }}|
\\
===== Martian source =====
Si dans le fichier journal ''/var/log/messages'', vous voyez plusieurs lignes telles que ci-dessous, c'est que l'IP de la passerelle du réseau vert de la carte //**enp0s3**// ou les //**Serveurs DNS**// ne sont corrects.
...IPv4: martian source 192.168.1.1...
...IPv4: martian source 192.168.1.1...
...IPv4: martian source 192.168.1.1...
=== Passerelle du réseau de la carte enp0s3 ===
On trouve notre passerelle en lançant un ''traceroute'' vers google.com
[root@dorgee ~]# traceroute google.com
traceroute to google.com (172.217.165.14), 30 hops max, 60 byte packets
1 lo0-0-lns03-tor.teksavvy.com (206.248.155.139) 10.367 ms 11.449 ms 11.487 ms
2 ae0-2150-bdr01-tor.teksavvy.com (69.196.136.172) 11.523 ms 11.793 ms 11.826 ms
3 72.14.212.134 (72.14.212.134) 11.868 ms 12.430 ms 12.306 ms
4 74.125.244.161 (74.125.244.161) 12.736 ms 74.125.244.145 (74.125.244.145) 14.002 ms 74.125.244.161 (74.125.244.161) 13.174 ms
5 216.239.40.255 (216.239.40.255) 13.577 ms 13.923 ms 216.239.41.175 (216.239.41.175) 13.923 ms
6 yyz12s06-in-f14.1e100.net (172.217.165.14) 13.020 ms 12.009 ms 11.291 ms
[root@dorgee ~]#
L'adresse IP de la ligne #1 est //**206.248.155.139**// et elle est donc la passerelle utilisée par notre connexion.
\\
\\
**Configuration -> Réseau -> Périphérique enp0s3 → Éditer**.
On change l'IP de la passerelle pour l'IP de l'interface vert / enp0s3 → **206.248.155.139**.
**SOUMETTRE**.
|{{ Images_Cahier-101-05-479.png?400 }}|
==== Serveurs DNS ====
//Référence:// [[https://korben.info/1-1-1-1-ou-9-9-9-9-ou-8-8-8-8-quel-dns-choisir.html|https://korben.info/1-1-1-1-ou-9-9-9-9-ou-8-8-8-8-quel-dns-choisir.html]].\\
... Le **DNS de Cloudflare** est un bon DNS, car il est le plus rapide, mais aussi parce qu'ils ont pris les devants et s'engagent à ne pas revendre les données, et ne conservent pas les logs au-delà de 24h...\\
Le principal avantage bien sûr, c'est que contrairement au DNS de Google qui permet de mieux vous profiler pour vous balancer de la pub, on sait que Cloudflare ne trempe pas là dedans. Cela reste une boîte américaine, donc c'est évidemment à prendre avec toutes les précautions d'usage...
//Référence:// pour //**8.8.8.8**// - [[https://www.dnsperf.com/dns-resolver/google|https://www.dnsperf.com/dns-resolver/google]].
//Autre référence:// comparaison mondiale des performances de différents DNS:\\
[[https://medium.com/@nykolas.z/dns-resolvers-performance-compared-cloudflare-x-google-x-quad9-x-opendns-149e803734e5|https://medium.com/@nykolas.z/dns-resolvers-performance-compared-cloudflare-x-google-x-quad9-x-opendns-149e803734e5]].
//Référence:// pour ci-dessous //**1.1.1.1**// - [[https://www.dnsperf.com/#!dns-resolvers|https://www.dnsperf.com/#!dns-resolvers]].
|{{ Images_Cahier-101-05-480.png?400 }}|
|{{ Images_Cahier-101-05-481.png?400 }}|
**Configuration -> Réseau -> Serveurs DNS**.
On ajuste le //**DNS Primaire**// et //**Secondaire**//.
{{Images_Cahier-101-03-005.png?25}} Le serveur //**DNS primaire**// **1.1.1.1** est le plus rapide et le plus utilisée de tout l'Internet.
Le serveur //**DNS secondaire**// **206.248.182.3** est le défaut de notre FAI.
**Soumettre**.
|{{ Images_Cahier-101-05-482.png?400 }}|
Si votre FAI filtre l'adresse 1.1.1.1, prendre 8.8.8.8 ou une de celles citées dans la référence ci-dessous:\\
[[https://medium.com/@nykolas.z/dns-resolvers-performance-compared-cloudflare-x-google-x-quad9-x-opendns-149e803734e5|https://medium.com/@nykolas.z/dns-resolvers-performance-compared-cloudflare-x-google-x-quad9-x-opendns-149e803734e5]].
\\
\\
{{NS-101_002_Banniere_Victoire.png?50}} Victoire totale, hissons la bannière de la victoire.
\\
----
====== Crédits ======
© 2017-2018-2019 RF-232\\
Auteur: Michel-André CLP.\\
Remerciement: Tous les contributeurs GNU/GPL.\\
Intégré par: Michel-André Robillard CLP.\\
Contact: michelandre at micronator.org
===== Historique des modifications =====
Répertoire de ce document: E:\000_DocPourRF232_general\RF-232_NethServer\RF-232_Cours_NethServer-101_Cahier-05_VDSL_FQDN_Internet_NethServer_2019-08-05_16h52.odt.
Historique des modifications:
^Version^Date^Commentaire^Auteur|
|1.0.0|2017-01-20|Début.|Michel-André|
|2.0.0|2018-03-23|Mise à jour.|Michel-André|
|3.0.0|2018-11-07|Mise à jour.|Michel-André|
|4.0.0|2019-01-12|Adaptation pour //NethServer-7.6.1810//.|Michel-André|
|4.0.1|2019-04-30|- Ajout du logo de Let's Encrypt.\\ - Ajout du paragraphe //But de ce cahier// avec diagramme.\\ - Coquille //nethserver-mail-server////**-**////__2.4.5__//.\\ - Coquille dans le nom du domaine de messagerie.\\ - Ajout pour "martian source".\\ - Coquille de //devnet// au lieu de ~.\\ - Ajout de //ClamAV//.\\ - Ajout de //Shell In A Box//.\\ - Ajout du répertoire du gabarit personnalisé pour //Roundcube//dans la sauvegarde des données.\\ - Ajout pour l'ajustement des fichiers de sauvegarde - //VolSize// à 2 GB.\\ - Ajout d'un fichier de configuration //z_well-known.conf// pour Apache afin que le répertoire //.well-known// soit accessible par //Let's Encrypt//.\\ - Corrections mineures.|Michel-André|
|4.0.2 RC-002|2019-06-16|- Corrections mineures.\\ - Ajout pour Let's Encrypt; répertoire .well-known.\\ - Réorganisation du chapitre Messagerie électronique.|Michel-André|
|4.1.0|2019-07-15|- Corrections orthographiques\\ - Ajout d'une entrée DNS et d'un alias de messagerie pour le domaine chez NoIP.\\ - Ajustements pour DokuWiki.|Michel-André|
|12345678901| | |12345678901|
===== AVIS DE NON-RESPONSABILITÉ =====
Ce document est uniquement destiné à informer. Les informations, ainsi que les contenus et fonctionnalités de ce document sont fournis sans engagement et peuvent être modifiés à tout moment. RF‑232 n'offre aucune garantie quant à l'actualité, la conformité, l'exhaustivité, la qualité et la durabilité des informations, contenus et fonctionnalités de ce document. L'accès et l'utilisation de ce document se font sous la seule responsabilité du lecteur ou de l'utilisateur.
RF‑232 ne peut être tenu pour responsable de dommages de quelque nature que ce soit, y compris des dommages directs ou indirects, ainsi que des dommages consécutifs résultant de l'accès ou de l'utilisation de ce document ou de son contenu.
Chaque internaute doit prendre toutes les mesures appropriées //(mettre à jour régulièrement son logiciel antivirus, ne pas ouvrir des documents suspects de source douteuse ou non connue)// de façon à protéger le contenu de son ordinateur de la contamination d'éventuels virus circulant sur la Toile.
Toute reproduction interdite
Vous reconnaissez et acceptez que tout le contenu de ce document, incluant mais sans s’y limiter, le texte et les images, sont protégés par le droit d’auteur, les marques de commerce, les marques de service, les brevets, les secrets industriels et les autres droits de propriété intellectuelle. Sauf autorisation expresse de RF-232, vous acceptez de ne pas vendre, délivrer une licence, louer, modifier, distribuer, copier, reproduire, transmettre, afficher publiquement, exécuter en public, publier, adapter, éditer ou créer d’oeuvres dérivées de ce document et de son contenu.
==== Avertissement====
Bien que nous utilisions ici un vocabulaire issu des techniques informatiques, nous ne prétendons nullement à la précision technique de tous nos propos dans ce domaine.
\\
\\