TekSavvy.com

Nous considérons TekSavvy.com comme le meilleur FAI au Québec et au Canada:

1. Il ne bloque aucun port.
2. Il est un des plus grands défenseurs des droits des utilisateurs de l'Internet.
3. Il est le premier à monter aux barricades lorsque le CRTC essaie de nous en passer une petite vite.
4. Ses prix sont parmi les plus compétitifs sans aucun contrat ni frais cachés.
5. Il offre des connexions DSL par câble téléphonique (cuivre & optique) et modem-câble (coaxial).

Les nouveaux prix (janvier 2019) incluent un modem gratuit.

Pour voir la disponibilité dans votre région, entrez votre Code postal et cliquez Vérifier maintenant.

Sans câble téléphonique branché au VDSL, on branche l'alimentation.

Pour débuter la configuration du VDSL, il faut le réinitialiser en appuyant sur le bouton rouge RESET pour au moins 7 secondes. Cette manipulation remettra tous ses paramètres à ceux d'usine.

Le modem est maintenant à sa configuration d'usine et se présente à l'adresse 192.168.2.1.

Langue

À bas l'anglolâtrie, on sélectionne Français → Langue → Français → SAUVER.

On change le mot de passe actuel qui, après une réinitialisation, est admin.

On choisit un nouveau mot de passe robuste.

Mot de passe actuel: admin → Nouveau mot de passe: on entre le mot de passe actuel → Nouveau mot de passe (une nouvelle fois): → on confirme le nouveau mot de passe → SAUVER.

Il faut maintenant se reloguer avec le nouveau mot de passe.

Internet → onglet Internet.

On supprime l'ID utilisateur: et le Mot de passe:, puis on clique SAUVER.

Après avoir sauvegarder les para­mètres (ID utilisateur:/Mot de pas­se: effacés) ceux-ci vont sembler être les mêmes que précédemment, c'est normal.

Réseau sans fil

On désactive le réseau sans fil prin­ci­pal et invité:

Réseau sans fil → onglet Réseau.

Réseau sans fil principal: on clique Dé­sac­tiver.

Réseau sans fil invité: on clique Dé­sac­tiver → SAUVER.

Réseau local

Il ne peut y avoir qu'un seul serveur DHCP par réseau IP.

On désactive le DHCP du réseau local:

Réseau local → onglet DHCP → État DHCP: on clique Désactiver → SAUVER.

Paramètres avancés

Paramètres avancées → onglet Mode WAN.

Mode WAN: on choisit VDSL → SAUVER.

Notre modem VDSL est maintenant en mode PONT (Bridge).

Peut prendre plusieurs minutes avant que les DEL (LED) soient jaune, bleu et bleu. Soyez patients.

Lorsque les DEL ont les bonnes couleurs, on peut faire un test de vitesse pour vérifier le modem.

Test de vitesse

Sur le poste de travail, on lance Firefox et on se rend à l'adresse http://beta.speedtest.net/fr.

Vos vitesses peuvent varier en fonction des capacités de votre station de travail.

- À l'invite, faire [RETOUR].

- L'installation débute.

- DATE & TIME.

- On choisit notre fuseau horaire.
- Done.

- KEYBOARD..

- On sélectionne English (US).
- Done.

- NETWORK & HOSTNAME.

- Première carte réseau → Configure…

Pour notre serveur physique Dell T110, les cartes réseau sont:

Onglet General → cocher Automatically connect to this network when it is available.

- Onglet IPv4 Settings.
- Method: → Manual.
- Addresses → Add.
- Address → 192.168.1.1.
- Netmask → 24.
- Gateway → 8.8.8.8.
- DNS servers: → 8.8.8.8.
- Save.

Au retour, les paramètres sont affichés.

Deuxième carte réseau → OFF.

Deuxième carte réseau → Configure…

Onglet IPv4 Settings → Method: Disabled → Save.

- On entre le nom FQDN de notre serveur → Host name: dorgee.micronator-101.org → Apply.
- Le Current host name apparaît correctement.
- Done.

Begin Installation.

ROOT PASSWORD.

On entre un mot de passe robuste → on confirme → Done.

L'installation se poursuit.

À la fin de l'installation, le Serveur NethServer réamorce.

1. L'URL pour accéder à l'interface Web est affichée. https://192.168.1.1:980.

1. À l'invite, on voit le nom de notre serveur; celui qu'on lui a donné au paragraphe FQDN de notre serveur NethServer.

1. On se logue à la console du serveur.
   usager: → root
   mot de passe: → celui donné au paragraphe ROOT PASSWORD → FQDN de notre serveur NethServer.

Configuration → Network → NEW LOGICAL INTERFACE.

Internet (red) → PPPoE on ppp0.

p1p1 → nom d'usager et mot de passe fournis par notre FAI.

SUBMIT.

Administration → Software center (peut prendre un certain temps) → on coche French language.

ADD.

APPLY CHANGES.

Le RPM nethserver-lang-fr s'installe.

Reload page.

On se déconnecte/reconnecte pour activer la traduction française.

- On entre le justificatif de root.

- On choisit Français (France).

- LOGIN.

Nom d'hôte
Le nom de domaine, par exemple www.nethesis.it//. Il est possible de créer des noms pour le domaine local, ce qui est utile pour donner un nom mnémonique aux périphériques configurés avec une adresse IP statique ou pour tout domaine ayant la priorité sur le serveur DNS du fournisseur (voir l'exemple de facebook.com ci-dessus). ● On indique micronator-101.org. ☑ wildcard dns record
Crée un enregistrement dans la zone DNS qui correspondra aux demandes de tous les noms de sous-domaines (ex: www.toto.com s'identifiera à toto.com). ● On coche ce paramètre. </WRAP>

Adresse IP
L'adresse IP du nom de cet hôte. ● On indique l'adresse de la carte em1 → 192.168.1.1. Description
Un commentaire facultatif pour le nom de cet hôte (exemple: “Bloquer facebook” ou “serveur vidéo”). ● On donne une description à ce nouveau serveur. SOUMETTRE. Le nouveau nom d'hôte est présent.
==== Vérification ====

On se rend à l'URL:

http://www.micronator-101.org/

Notre Serveur NethServer répond et affiche la page Web par défaut.

Lorsqu'on se rendra à l'URL:

https://www.micronator-101.org:980/

Notre Serveur NethServer répondra et affichera l'écran de connexion.

==== Alias du serveur ====

Les alias sont des noms alternatifs pour ce serveur. Par exemple, si le nom du serveur est exemple.com, un alias peut être toto.exemple.com. Le serveur utilisera sa propre adresse IP pour le nom d'alias.

CRÉER NOUVEAU
Vous permet de créer un nouvel alias pour ce serveur.

Nom d'hôte
Le nom d'hôte que vous souhaitez ajouter ou modifier. Il ne peut contenir que des lettres, des chiffres et des traits d'union. Il doit commencer par une lettre ou un chiffre.

● On entre: toto.micronator-dev.org.

Description
Une description facultative utile pour identifier l'alias. ● On entre: Test d'alias. SOUMETTRE. Le nouvel alias est créé.

On se rend à: https://www.toto.micronator-101.org.

La page Web par défaut de notre site s'affiche.

Contacts de l'organisation

Configuration → Contacts de l'organisation.

Ici, on peut modifier le contact de l'organisation.

SOUMETTRE.

Certificat du serveur

Configuration → Certificat du serveur.

On déroule le menu et on choisit → Éditer le certificat auto-signé.

On ajuste les différents paramètres.

Lorsque terminé, on clique ÉDITER LE CERTIFICAT AUTO-SIGNÉ.

On voit que le paramètre ST (State - état - province) est bien à Qc.

On rafraîchit la page du navigateur.

Le certificat a été modifié, il nous faut alors ajouter une exception pour le nouveau certificat.

Il ne sera pas nécessaire de se connecter à nouveau, car le témoin stocké dans le navigateur est toujours valide.

Si on rencontre des problème de reconnexion, vidanger l'historique du navigateur et ré-essayer à nouveau.

==== Vérification ====

On clique le cadenas puis l'icône >.

Plus d'informations.

Onglet Sécurité → Afficher le certificat.

Onglet Détails → Émetteur.

On voit les paramètres du nouveau certificat.

Fermer toutes les fenêtres du certificat.

===== Fournisseur de comptes ===== Référence: http://docs.nethserver.org/en/v7/.
NethServer peut prendre en charge l'authentification et les autorisations auprès d'un fournisseur de comptes local ou distant. Les types de fournisseurs de comptes pris en charge sont: - OpenLDAP local fonctionnant sous le Serveur NethServer lui-même. - Serveur LDAP distant avec schéma RFC2307. - Contrôleur de domaine Active Directory sous Samba 4 local. - Active Directory distant (Microsoft et Samba). L'utilisateur root peut configurer tout type de fournisseurs de comptes à partir de la page Fournisseur des comptes. Il faut considérer la règle suivante concernant les fournisseurs de comptes: une fois que NethServer a été lié à un fournisseur de comptes, le nom FQDN du domaine ne peut plus être modifié à moins de désinstaller le fournisseur de comptes. ==== Fournisseurs distants ==== Une fois que NethServer a été lié à un fournisseur distant de comptes, la page Utilisateurs et groupes affiche les comptes du domaine en mode de lecture seulement. ==== Fournisseurs locaux ==== Après avoir installé un fournisseur local (OpenLDAP ou Samba 4), l'administrateur peut créer, modifier et supprimer les utilisateurs et les groupes. Attention: Veuillez choisir judicieusement votre fournisseur de comptes, car le choix est irréversible. De plus, le système interdira toute modification du FQDN du domaine après la configuration du fournisseur de comptes. Pour modifier le FQDN, il faut désinstaller le fournisseur de comptes, modifier le FQDN, puis réinstaller le fournisseur de comptes.
- Les usagers et les groupes devraient revenir sans problème.
- Pour la désinstallation du fournisseur de comptes local, voir la section Désinstallation du fournisseur local de comptes. ==== Choisir le bon fournisseur de comptes ==== En plus de choisir de lier un fournisseur distant ou d'installer un fournisseur local, l'administrateur doit décider quel type de serveur d'arrière-plan convient à ses besoins. Le module Serveur de fichiers de NethServer, qui active les Dossiers partagés⁵⁾, peut authentifier les clients SMB/CIFS uniquement si NethServer est lié à un domaine Active Directory. Les fournisseurs LDAP n'autorisent l'accès aux dossiers partagés qu'en mode invité. Par contre, le fournisseur OpenLDAP local est plus facile à installer et configurer. Si la prise en charge du protocole de partage de fichiers SMB n’est pas requise, le meilleur choix est un fournisseur OpenLDAP local. ==== Installation du fournisseur local OpenLDAP ==== Pour installer et configurer un fournisseur de comptes OpenLDAP local, on accède à la page Configuration → Fournisseur des comptes → LDAP → Install locally. Le système a besoin d’une connexion Internet fonctionnelle afin de télécharger des paquets supplémentaires. A la fin de l'installation, le paquet est automatiquement configuré et l'administrateur peut gérer les utilisateurs et les groupes à partir de la page Gestion → Utilisateurs et groupes. Nous allons définir LDAP comme fournisseur de comptes.

- Configuration → Fournisseur des comptes → LDAP.

- Install locally.

INSTALLER.

Le paquet OpenLDAP s'installe.

OpenLDAP a été installé.
On rafraîchit la page pour afficher les nouveaux menus.

==== Désinstallation du fournisseur local de comptes ==== Les fournisseurs locaux de comptes LDAP et AD peuvent être désinstallés à partir de la page Configuration → Fournisseur des comptes → Uninstall. Lorsque la base de données du fournisseur local de comptes est désinstallée, tous les comptes des utilisateurs, des groupes et des ordinateurs sont supprimés. Une liste d'utilisateurs et de groupes au format TSV (Tab Separated Values) est transférée dans les fichiers /var/lib/nethserver/backup/users.tsv et /var/lib/nethserver/backup/groups.tsv. Voir aussi: http://docs.nethserver.org/en/v7/accounts.html#import-users-section. Les fichiers existants, appartenant aux utilisateurs et aux groupes, doivent être supprimés manuellement. Voici la liste des répertoires système contenant les données des utilisateurs et des groupes: * @lightgray:/var/lib/nethserver/home * @lightgray:/var/lib/nethserver/vmail * @lightgray:/var/lib/nethserver/ibay

===== Règles de mot de passe ===== Après l'installation d'un fournisseur de comptes, on rafraîchit la page pour faire apparaître le menu Règles de mot de passe. Sécurité → Règles de mot de passe. ☑ Politique de difficulté de mot de passe pour les utilisateurs
Si coché, définit le format à Fort pour le mot de passe des utilisateurs (non coché implique “aucune règle” sauf 7 caractères). ☐ Expiration du mot de passe des utilisateurs
Active l'expiration du mot de passe pour les utilisateurs (si cette case n'est pas cochée, les mots de passe n'expirent jamais). La durée maximum du mot de passe (180 days) → [ 30-365 days ]
Nombre maximal de jours pendant lesquels vous pouvez conserver le même mot de passe (par défaut: 180 jours). La durée minimum du mot de passe (0 days) → [ 0 - 365 days ]
Nombre minimal de jours pendant lesquels vous êtes obligé de conserver le même mot de passe (par défaut: 0 jour). ==== Fort ==== La règle par défaut. Cette stratégie impose que le mot de passe respecte les règles suivantes: - Longueur minimale de 7 caractères. - Contenir au moins 1 chiffre. - Contenir au moins 1 caractère majuscule. - Contenir au moins un caractère minuscule. - Contenir au moins 1 caractère spécial. - Au moins 5 caractères différents. - Ne doit pas être présent dans les dictionnaires de mots courants. - Doit être différent du nom d'utilisateur. - Impossible de répéter des motifs formés de 3 caractères ou plus (par exemple, le mot de passe As1.$AS1.$ n'est pas valide). AVERTISSEMENT La modification de la règle par défaut est fortement déconseillée. L'utilisation de mots de passe faibles conduit souvent à des serveurs compromis par des attaquants externes. === Aucun === Il n'y a pas de contrôle spécifique sur le mot de passe saisi, mais la longueur minimale est de 7 caractères.

===== Utilisateur et groupes ===== Gestion → Utilisateurs et groupes.

Un fournisseur de comptes est requis pour accéder à de nombreux services fournis par le serveur (courrier électronique, dossiers partagés, etc.). Vous pouvez vous connecter à un fournisseur distant de comptes LDAP ou Active Directory ou en installer un local. - La création et la modification des utilisateurs est disponible uniquement si vous installez un fournisseur de comptes local. - Si les utilisateurs sont lus à partir d’un fournisseur distant, les listes d’utilisateurs et de groupes ne peuvent être que consultées. - Chaque utilisateur est caractérisé par un justificatif d'identité (utilisateur et mot de passe). - Un compte utilisateur nouvellement créé reste verrouillé jusqu'à ce que soit défini son mot de passe. - Un utilisateur bloqué ne peut pas utiliser les services nécessitant une authentification. ==== Créer / Modifier ==== Vous permet de créer ou de modifier des données utilisateur. Le nom d'utilisateur ne peut pas être modifié après sa création. ==== Utilisateur ==== Informations de base sur l'utilisateur. Les champs ci-dessous sont obligatoires. Nom d'utilisateur
Le nom d'utilisateur sera utilisé pour accéder aux services. Il ne peut contenir que des lettres minuscules, des chiffres, des tirets, des points, des traits de soulignement (_) et doit commencer par une lettre minuscule. Par exemple, “louise”, “gtoto” et “tatie_jojo” sont des noms d'utilisateurs valides; “4Amis”, “Tonton Franco” et “aldo/erreur” ne le sont pas. Nom
C'est le vrai nom de l'utilisateur. Par exemple, “Général Toto”.
==== Groupes ==== À l'aide de la barre de recherche, vous pouvez sélectionner les groupes.

==== Nouvel utilisateur ==== Nous allons créer un nouvel utilisateur: michelandre.
Vous ne pouvez pas utiliser de caractères accentués dans Nom d'utilisateur.

Gestion → Utilisateurs et groupes → onglet Utilisateurs → CRÉER NOUVEAU.

On entre les informations demandées.

L'utilisateur michelandre a été créé. Le compte a été activé, car on lui a donné un mot de passe.

===== Compte admin ===== Si un fournisseur de comptes LDAP ou AD local est installé, un utilisateur admin, membre du groupe domain admins, est créé automatiquement. Ce compte permet d'accéder à toutes les pages de configuration du gestionnaire du Serveur NethServer. Il est initialement désactivé et n'a aucun accès à la console. Astuce: Pour activer le compte administrateur, il suffit de définir son mot de passe. Des privilèges spéciaux sont accordés au compte admin sur certains services spécifiques tels que joindre un poste de travail à un domaine Active Directory. Si NethServer est lié à un fournisseur distant de comptes, l'utilisateur admin et le groupe domain admins peuvent y être créés manuellement s'ils n'existent pas déjà. Si un utilisateur ou un groupe ayant un compte similaire est déjà présent dans la base de données du fournisseur distant de comptes, mais que son nom d'utilisateur est différent d'admin, NethServer peut être configuré pour se servir de ce compte similaire en lançant les deux commandes suivantes:

config setprop admins user customadmin group customadmins

/etc/e-smith/events/actions/system-adjust custom

==== Activation du compte admin ==== Gestion → Utilisateurs et groupes → onglet Utilisateurs → vis-à-vis admin → Éditer. La clé indique que le compte n'est pas activé.

- Il n'est pas recommandé d'autoriser Remote shell (SSH) pour l'utilisateur admin.
- Changer le mot de passe.

- On entre un mot de passe robuste.
- On confirme.
- SOUMETTRE.

Ci contre, si nous modifions un paramètre, il faut cliquer SOUMETTRE avant de changer le mot de passe, sinon la modification du paramètre sera perdue.

Le compte admin est activé, la clef est disparue.

==== Ajout de l'utilisateur michelandre au groupe domain admins ====

Gestion → Utilisateurs et groupes → onglet Groupes → à la fin de la ligne du groupe domain admins → Éditer.

Sous Membres, on entre michelandre, puis on le sélectionne pour l'Ajouter au groupe domain admins → SOUMETTRE.

Vérification

- Onglet Utilisateurs → vis à vis michelandre → Éditer.

- L'utilisateur michelandre fait bien partie du groupe domain admins.

===== SSH ===== À la page Sécurité → SSH, on peut modifier le port utilisé par le démon sshd, autoriser ou non la connexion de root et l'authentification par mot de passe.

===== Services réseau ===== Comme on le voit ci-contre, les services httpd, httpd-admin et sshd sont accessibles depuis le réseau rouge (Internet). - Le service httpd est accessible depuis l'Internet afin que les internautes puissent accéder à nos futurs sites Web. - Par contre, le service httpd-admin ne devrait être accessible que depuis les réseaux de confiance. - Le service sshd peut être accessible occasionnellement depuis l'Internet, mais ce n'est pas recommandé de manière permanente. Sécurité → Services Réseau. On modifie le service httpd-admin (Interface Web NethServer) en cliquant Éditer à la fin de sa ligne.

On décoche Internet (rouge) et on clique SOUMETTRE.

On édite aussi le service sshd (SSH). On décoche Internet (rouge) et on clique SOUMETTRE.

On vérifie.

On utilise le navigateur TOR pour vérifier les accès ci-contre.

- On peut accéder à notre site Web à l'URL: https://206.248.138.152.

- On ne peut pas accéder à l'interface Web NethServer à l'URL: https://206.248.138.152:980.

===== TLS Policy ===== Référence: http://docs.nethserver.org/en/v7/tlspolicy.html#tlspolicy-section. ==== Stratégie TLS ==== La page de stratégie TLS contrôle la manière dont chaque service configure le protocole TLS (Transport Layer Security) en sélectionnant un identificateur de stratégie. Sauf indication contraire, les paramètres TLS des stratégies sont toujours cumulatifs: les stratégies les plus récentes étendent les anciennes. Chaque module décide de la manière d'appliquer un identifiant de stratégie spécifique offrant un compromis entre sécurité et compatibilité client. Les nouvelles stratégies privilégient la sécurité tandis que les plus anciennes offrent une meilleure compatibilité avec les anciens clients. ==== Policy 2018-10-01 ==== Sécurité → TLS policy. Nous ne modifions rien et laissons la sélection suggérée, c.-à-d. Policy 2018-10-01. Cette stratégie restreint les paramètres TLS de la configuration par défaut d'Ejabberd. Elle s'applique uniquement à la version 18 et plus d'Ejabberd.
=== Ejabberd (XMPP) === - SSLv3 et TLSv1.0 désactivés. - Priorité du serveur Cipher. - Certificat ECC. - Suites Cipher: Voir https://bettercrypto.org/#cipher_suites Voir https://en.wikipedia.org/wiki/NSA_Suite_B_Cryptography. |@lightgray:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA|
===== Messagerie électronique ===== Configuration → Messagerie électronique. Nous avons déjà décidé de ne pas utiliser Smarthost au paragraphe Smarthost.

===== DHCP ===== ==== Serveur DHCP ==== Le protocole DHCP (Dynamic Host Configuration Protocol) permet d’attribuer des adresses IP aux clients du réseau LOCAL.

Configuration → DHCP → l'onglet Serveur DHCP permet de configurer le serveur DHCP.

On peut activer le service DHCP pour le réseau LOCAL du Serveur NethServer.

Il ne peut y avoir qu'un seul serveur DHCP actif par segment de réseau IP.

On peut activer le serveur DHCP de NethServer pour le réseau 192.168.1.0/24.

☑ em1 - green
Non coché: le serveur DHCP sera désactivé et les clients du réseau LOCAL ne recevront pas d'adresse IP de manière automatique par ce serveur.
● Décocher cette option s'il existe déjà un serveur DHCP sur votre réseau LOCAL.
Coché: le serveur émettra des adresses IP aux ordinateurs du réseau LOCAL (recommandé). Début de la plage d'adresses IP
Première adresse IP de la plage attribuée aux clients du réseau LOCAL. Fin de la plage d'adresses IP
La dernière adresse IP de la plage; les adresses entre début et fin seront attribuées aux clients. ▼ Options avancées

IP Passerelle
Facultatif - l'adresse IP de la passerelle à envoyer aux clients DHCP. Si laissée vide, le serveur lui-même sera la passerelle pour tous les clients.

Temps de location
Facultatif - durée du bail IP. Si laissée vide, la valeur par défaut de 86 400 secondes (24 heures) sera utilisée.

Domaine
Facultatif - nom de domaine à envoyer aux clients DHCP. Si définie, ce domaine sera ajouté à la résolution de noms des clients.

Serveurs DNS
Facultatif - liste de serveurs DNS, séparés par des virgules, à envoyer aux clients DHCP. Si laissée vide, le serveur lui-même sera le serveur DNS pour tous les clients.

Serveurs WINS
Facultatif - liste de serveurs WINS (Windows Internet Naming Service), séparés par des virgules, à envoyer aux clients DHCP. Si laissée vide, le serveur lui-même sera le serveur WINS pour tous les clients.

Serveurs NTP
Facultatif - liste de serveurs NTP (Network Time Protocol), séparés par des virgules, à envoyer aux clients DHCP. Si laissée vide, le serveur lui-même sera le serveur NTP pour tous les clients.

Serveurs TFTP
Facultatif - liste de serveurs TFTP (Trivial File Transfer Protocol), séparés par des virgules, à envoyer aux clients DHCP. Si laissée vide, le serveur lui-même sera le serveur TFTP pour tous les clients.

==== Réservation d'adresse IP ====

Créer une réservation d'IP
Ajoute une nouvelle allocation statique (réservation) au serveur DHCP. Le périphérique avec l'adresse MAC spécifiée recevra toujours l'adresse IP spécifiée.

Nom d'hôte
Le nom d'hôte que vous souhaitez attribuer au client du réseau local avec l'adresse IP spécifiée.

Adresse Mac
L'adresse MAC de la carte réseau du client (par exemple 11: 22: 33: 44: 55: 66: 77: 88).

Adresse IP
L'adresse IP que vous souhaitez attribuer au client.

Description
Une description facultative pour identifier le client.

===== Date et heure ===== Configuration → Date et heure. Nous avons déjà configuré la date et l'heure au paragraphe Date and time.

===== Routes statiques =====

Configuration → Routes Statiques.

Cette page permet de créer des routes statiques spéciales qui utiliseront la passerelle spécifiée. Ces itinéraires sont généralement utilisés pour connecter un réseau privé.

Pensez à ajouter ce réseau aux Réseaux de confiance si vous souhaitez autoriser des hôtes distants à accéder à des services locaux.

===== Réseau ===== Configuration → Réseau. Nous avons déjà configuré les réseaux au paragraphe Connexion Internet.

====== DNS dynamique ====== ===== Introduction ===== Référence: https://wiki.nethserver.org/doku.php?id=module:ddclient.
Le DNS dynamique (DDNS ou DynDNS) est une méthode permettant de mettre automatiquement à jour un serveur de noms, souvent en temps réel, avec une nouvelle configuration DNS de noms d’hôte, adresses ou autres informations. Les utilisateurs d'Internet reçoivent une allocation d’adresses IP de la part de leur FAI. Les adresses attribuées peuvent être fixes (ou statiques) et changer de temps à autre; ces adresses sont dites dynamiques. Les adresses dynamiques ne sont généralement attribuées qu'aux clients résidentiels et aux petites entreprises, car la plupart des entreprises exigent des adresses statiques. Les adresses IP dynamiques posent un problème si le client souhaite fournir un service tel qu'un site Web. Étant donné que l'adresse IP peut changer fréquemment, les noms de domaine correspondants doivent être rapidement reconfigurés dans le DNS afin de maintenir l'accessibilité à une URL connue. De nombreux fournisseurs proposent un service DNS dynamique, gratuit ou payant, pour mettre à jour ces changements d'adresses IP. Pour un Serveur NethServer, la reconfiguration automatique peut être accomplie par le module ddclient. ===== Compte chez un fournisseur de DNS dynamique ===== Il faut avoir un compte chez un fournisseur de DNS dynamique et y avoir créé un nom de domaine. ==== Introduction ==== Lors de l'installation du premier serveur pour notre domaine micronator.org nous avons utilisé le service DNS dynamique de Dyndns.org, car nous y avions un compte gratuit. Maintenant, la gratuité est disparue. Pour ce cahier, nous utiliserons noip.com comme fournisseur de DNS dynamique. ==== Fournisseur DNS dynamique ==== |Noip.com|ZoneEdit.com|Easydns.com|dslreports.com| |Hammernode (hn.org)|eurodyndns.org|Dtdns.com|loopia.se| |dnspark.com|Dynhost (ovh.com)|Changeip.com|Namecheap| ==== Création d'un compte chez noip.com ==== Avant toute chose, il faut créer un compte chez le fournisseur noip.com. On se rend à l'adresse https://www.noip.com/sign-up pour y créer un compte.

- Dérouler le menu et choisir .ddns.net.
- On entre les informations demandées et on clique Free Sign Up.

Nous allons recevoir par courriel, un lien pour la confirmation.

Dans le courriel reçu, on clique Activate Account.

On peut vérifier notre nouveau nom d'hôte en cliquant Verify Hostname Settings.

- Voilà, nous avons un nom d'hôte.
- Notre nom de domaine chez Noip est maintenant: micronator-101.ddns.net.

==== Serveur de courrier ==== Il faut indiquer notre serveur de courrier à notre fournisseur DNS dynamique.

Manage Hosts → Modify.

Dans la section MX Record, on entre mail.nom-du-domaine → Update Host.

Manage Hosts → vis-à-vis micronator-101.ddns.net → Modify.

On voit la date et l'heure de la dernière mise à jour de notre adresse IP dynamique.

De la même manière, on vérifie nos autres domaines.

Enregistrement SPF

Comme on le voit ci-contre, si on veut ajouter une entrée DNS pour SPF, il nous faut une mise à niveau de notre compte noip.com qui nous coûtera quelques dollars…

Pour la différence de prix, il est préférable d'avoir un nom de domaine FQDN et une adresse IP fixe chez un régistraire reconnu.

Pour un exemple d'entrée SPF, voir le paragraphe Enregistrement TXT (Text). Référence: https://fr.wikipedia.org/wiki/Sender_Policy_Framework.
Sender Policy Framework (SPF) est une norme de vérification du nom de domaine de l'expéditeur d'un courrier électronique, normalisée dans la RFC 7208 (section 3.1). L'adoption de cette norme est de nature à réduire les pourriels. ==== Description ==== Le protocole Simple Mail Transfer Protocol (SMTP) utilisé pour le transfert du courrier électronique à travers l'Internet ne prévoit pas de mécanisme de vérification de l'expéditeur, c'est-à-dire qu'il est facile d'envoyer un courrier avec une adresse d'expéditeur factice, voire usurpée. SPF vise à réduire les possibilités d'usurpation en publiant, dans le DNS, un enregistrement (de type TXT) indiquant quelles adresses IP sont autorisées ou interdites à envoyer du courrier pour le domaine considéré. L'identité testée par SPF est celle indiquée par la commande MAIL FROM dans la session SMTP. C'est donc une information qui appartient à l'enveloppe du courrier et non pas à ses en-têtes. (Dans certaines conditions, SPF peut aussi utiliser le nom de la machine expéditrice, tel que spécifié dans la commande HELO.) ===== Hôtes ===== Nous allons créé un nouvel hôte (micronator-101.ddns.net) pour notre FQDN du service dynamique NoIP. On n'utilise jamais www avec un nom d'hôte utilisant un service de DNS dynamique. Configuration → DNS → onglet Hôtes → CRÉER NOUVEAU.

Nom d'hôte
On indique micronator-101.ddns.net.

☑ wildcard dns record
On coche ce paramètre.

Adresse IP
On indique l'adresse sur le réseau LOCAL.

Description
On donne une description de ce nouvel hôte → Hôte chez NoIP.

SOUMETTRE.

Le nouvel hôte a été créé.

===== Installation du module DNS dynamique ===== ==== Prérequis: installation du référentiel stephdl ==== Référence: https://wiki.nethserver.org/doku.php?id=stephdl_repository. Si nous ne sommes pas connecté, on ouvre une session PuTTY vers le Serveur NethServer et on se logue en tant que root. <file> [root@dorgee ~]# yum install -y http://mirror.de-labrusse.fr/NethServer/7/x86_64/nethserver-stephdl-1.0.7-1.ns7.sdl.noarch.rpm … Transaction Summary ============================================================================================ Install 1 Package Total size: 40 k Installed size: 40 k … Installed: nethserver-stephdl.noarch 0:1.0.7-1.ns7.sdl Complete! [root@dorgee ~]# </file>
==== Installation du module nethserver-ddclient ==== <file> [root@dorgee ~]# yum install -y nethserver-ddclient –enablerepo=stephdl … Transaction Summary ============================================================================================ Install 1 Package (+6 Dependent packages) Total download size: 308 k Installed size: 742 k … Installed: nethserver-ddclient.noarch 0:1.0.7-1.ns7.sdl Dépendances installées : ddclient.noarch 0:3.8.3-2.el7 perl-Digest-SHA1.x86_64 0:2.13-9.el7 perl-JSON-Any.noarch 0:1.32-1.el7 perl-JSON-XS.x86_64 1:3.01-2.el7 perl-Types-Serialiser.noarch 0:1.0-1.el7 perl-common-sense.noarch 0:3.6-4.el7 Complete! [root@dorgee ~]# </file>
On rafraîchit notre page Web pour afficher le nouveau menu.

===== Création d'un hôte de DNS dynamique ===== Configuration → Service DNS dynamique → onglet Service DNS Dynamique → CRÉER NOUVEAU pour ajouter un nouveau nom d'hôte utilisant un DNS dynamique.

Justificatifs d'identité

On entre les informations demandées.

Nom d'hôte DNS dynamique
Le nom d'hôte d'un client d'un service DNS dynamique doit être un nom complet pour votre nom d'hôte, ex: arthur-rimbaud.dyndns.org. Il ne peut contenir que des lettres, des chiffres et des traits d'union et il doit commencer par une lettre ou un chiffre.

Description
Un description facultative du nom d'hôte.

Login
Identifiant de connexion à votre fournisseur de DNS dynamique.

Mot de passe
Le mot de passe utilisé pour vous connecter à votre fournisseur de DNS dynamique. Enregistrement MX de votre serveur de courrier
Vous pouvez fournir le nom utilisé par votre enregistrement MX définissant le nom de votre serveur de courriers, non disponible par tous les fournisseurs de DNS dynamique. ==== Fournisseurs d'adresses dynamiques ====

Si votre FAD utilise des paramètres spécifiques où s'il n'apparaît pas dans la liste des Paramètres des fournisseurs officiels (voir le prochain paragraphe), vous pouvez utiliser Personnaliser les paramètres du fournisseur pour entrer ses paramètres en cliquant:
⦿ Personnaliser les paramètres du fournisseur

Nom du serveur (FQDN)
Adresse du serveur (FQDN): ce champ est le nom de domaine complet fourni par votre fournisseur de DNS dynamique.

Protocole Ddclient
Ce champ est le protocole ddclient que vous devez utiliser avec votre fournisseur.

Paramètres des fournisseurs officiels

Vous pouvez choisir entre les fournisseurs ci-contre, si le vôtre n'est pas disponible, veuillez demander à Stéphane de Labrusse: stephd at de-labrusse dot fr de l'ajouter.

⦿ Paramètres des fournisseurs officiels

⦿ Adresses dynamiques No-IP (noip.com)

SOUMETTRE.

Le nom de notre hôte est créé.

Paramètre du service Ddclient

On utilise les paramètres par défaut.

===== Vérification ===== ==== Processus ==== Vérification du processus. <file> [root@dorgee ~]# ps aux | grep ddclient ddclient 3286 0.0 0.2 145472 7852 ? S 19:05 0:00 ddclient - sleeping for 170 seconds root 9268 0.0 0.0 112728 972 pts/0 S+ 19:08 0:00 grep –color=auto ddclient [root@dorgee ~]# </file> Le processus ddclient est actif.
==== Site Web ====

On se rend à notre site Web en spécifiant notre nom de domaine dynamique.
Il est préférable d'utiliser le navigateur TOR pour vérifier si tout fonctionne correctement.

http://micronator-101.ddns.net

Avec un service dynamique, il ne faut pas utiliser de www. tel que ci-dessous:

http://www.nom-du-domaine

Vérification chez noip.com

Avec Firefox, on se logue chez noip.com.

On clique Dynamic DNS.

On voit notre adresse IP et l'heure de sa dernière mise à jour. On se déconnecte de chez noip.com.
À la console du serveur, on affiche l'heure <file> [root@dorgee ~]# date Mon Jan 14 19:09:07 EST 2019 [root@dorgee ~]# </file> Montréal est dans le fuseau horaire (EST) UTC-5; l'heure Atlantic Standard Time (AST) est UTC-4. On vérifie la date et l'heure de la mise à jour dans le journal /var/log/messages. <file> Jan 19 19:04:21 dorgee esmith::event[15911]: Event: nethserver-ddclient-update SUCCESS Jan 19 19:05:22 dorgee ddclient[15940]: WARNING: updating micronator-101.ddns.net: nochg: No update required; unnecessary attempts to change to the current address are considered abusive </file> ==== Serveur sur un réseau local (intranet) ==== Pour accéder à une page Web depuis l'Internet, si notre Serveur NethServer est sur un réseau LOCAL, c.-à-d. derrière une passerelle, il nous faudrait utiliser Renvoi de ports sur le serveur passerelle. Le serveur passerelle (notre serveur principal) permet de re-directionner tous les ports y compris le port 80. Malheureusement, si on redirectionne le port 80 vers un serveur LOCAL, on ne pourra plus accéder au site sur la passerelle elle-même. Il est donc difficile, mais non impossible, pour un site de fonctionner correctement en étant sur un réseau LOCAL et être accessible depuis l'Internet tout en utilisant une adresse IP privée. La solution consiste à configurer le serveur principal, celui qui est directement branché à l'Internet, en tant que Mandataire inversé pour rediriger les requêtes Web vers le serveur sur le réseau LOCAL. Voir le Cahier-10: Serveur mandataire inversé.

====== Régistraire de domaines ====== ===== Introduction ===== Nous avons choisi GoDaddy.com comme régistraire de notre nouveau domaine. Cette société est efficace et offre un bon support. De plus, lorsqu'on ajuste les enregistrements DNS, ils se diffusent très rapidement dans tous les serveurs DNS de la planète; contrairement à certains autres régistraires qui font attendre entre 24 et 48 heures avant de diffuser les nouveaux enregistrements. ===== Enregistrement d'un nom de domaine ===== ==== Recherche d'une aubaine ==== Pour voir les dernières aubaines offertes, on lance une recherche godaddy 99 cent dans Google.

Cherchez bien et vous allez trouver!

Soyez prudent, assurez-vous que l'offre vient bien de GoDaddy!

Ici, nous voyons que GoDaddy offre un domaine .com pour 99 cents. Cette offre est très avantageuse pour un serveur de test.

On clique le lien.

L'exemple de ce chapitre est pour le domaine micronator-101.com, mais les manipulation sont exactement les même pour micronator-101.org ou tout autre domaine FQDN.

Recherche d'un nom de domaine

La page s'affiche en anglais, mais si on change pour français, l'offre disparaît. Nous restons en anglais pour l'instant et, plus loin, on choisira l'affichage français.

On cherche si le domaine micronator-101.com est disponible.

Sélection du domaine recherché

On s'assure que les prix sont en dollars canadiens (CAD).

Le domaine micronator-101.com est disponible pour $0.99CAD. On clique Select.

==== Coordonnées privées vs publiques ====

Normalement, nos coordonnées seront publiques et quiconque faisant une recherche dans un whois, verra notre nom, etc…

Pour remédier à la situation, GoDaddy offre de rendre nos coordonnées privées. Lorsque quelqu'un fera un recherche, ce seront les coordonnées de GoDaddy qui seront affichées.

GoDaddy charge$9.99CAD par année pour cet escamotage.

On choisit cette option et on clique Scroll down to continue to cart.

Puis, on clique Continue to Cart.

Modification du nombre d'années de l'abonnement

Maintenant, on peut afficher en français en déroulant le menu des langues disponibles.

- On change l'abonnement de 2 ans à 1 an.

- On vérifie que nos coor­don­nées seront privées.

- On vérifie le total de la fac­tu­re.

Si tout semble correct, on clique Procéder au paiement.

Nouveaux clients / Clients existants

- On vérifie le total de la facture.

- Sous Nouveaux clients, on clique Continuer.

Facturation & Paiement

Informations de facturation

- On entre toutes les informations demandées.

- Si on a lu et qu'on accepte les conditions, on coche:

☑ J'accepte les conditions suivantes.

Continuer.

==== Informations du compte et Informations de paiement ==== On entre les informations demandées puis on clique Continuer.

Information de facturation

- On vérifie toutes les informations affichées.

- Si on a lu et qu'on accepte les conditions, on vérifie qu'on a bien coché J'accepte les conditions suivantes.

- On clique Passez votre commande.

Un résumé de la transaction sera affiché à l'écran suivant.

Courriels

Premier courriel

À l'adresse de courriel fournie à GoDaddy, on reçoit un premier courriel détaillant notre facture.

Deuxième courriel

- On reçoit un deuxième courriel nous demandant de confirmer notre adresse courriel.

- On clique Verify your email address.

- Si on ne confirme pas notre adresse courriel, GoDaddy va mettre temporairement notre site en attente jusqu'à ce que la vérification soit effectuée.

Troisième courriel

- Après la confirmation de notre adresse, on reçoit un troisième courriel nous remerciant.

- GoDaddy nous offre des domaines avec d'autres suffixes.

- Si on veut faire la gestion de notre domaine, on peut cliquer MANAGE MY DOMAIN.

Login chez GoDaddy

On se logue chez GoDaddy.

Renouvellement automatique du domaine

- Par défaut, GoDaddy renouvelle automatiquement un nouveau domaine enregistré chez-lui.

- On déroule le menu DOMAINES.

- Paramètres du domaine.

- On met à Off le Renouvellement automatique.

- Puis on revient à notre domaine en cliquant Mes Domaines.

===== Les enregistrements DNS ===== Référence: https://fr.wikipedia.org/wiki/Domain_Name_System#Principaux_enregistrements_DNS.
Le type d'enregistrement de ressource RR (pour Resource Record) est codé sur 16 bits, IANA conserve le registre des codes assignés. Les principaux enregistrements définis sont les suivants: - A record ou address record qui fait correspondre un nom d'hôte à une adresse IPv4 de 32 bits distribués sur quatre octets ex: 123.123.123.123; - AAAA record ou IPv6 address record qui fait correspondre un nom d'hôte à une adresse IPv6 de 128 bits distribués sur seize octets; - CNAME record ou canonical name record qui permet de faire d'un domaine un alias vers un autre. Cet alias hérite de tous les sous-domaines de l'original; - MX record ou mail exchange record qui définit les serveurs de courriel pour ce domaine; - PTR record ou pointer record qui associe une adresse IP à un enregistrement de nom de domaine, aussi dit “reverse” puisqu'il fait exactement le contraire de A record; - NS record ou name server record qui définit les serveurs DNS de ce domaine; - SOA record ou Start Of Authority record qui donne les informations générales de la zone: serveur principal, courriel de contact, différentes durées dont celle d'expiration, numéro de série de la zone; - SRV record qui généralise la notion de MX record, mais qui propose aussi des fonctionnalités avancées comme le taux de répartition de charge pour un service donné, standardisé dans la RFC 2782; - NAPTR record ou Name Authority Pointer record qui donne accès à des règles de réécriture de l'information, permettant des correspondances assez lâches entre un nom de domaine et une ressource. Il est spécifié dans la RFC 3403; - TXT record permet à un administrateur d'insérer un texte quelconque dans un enregistrement DNS (par exemple, cet enregistrement est utilisé pour implémenter la spécification Sender Policy Framework); - d'autres types d'enregistrements sont utilisés occasionnellement, ils servent simplement à donner des informations (par exemple, un enregistrement de type LOC indique l'emplacement physique d'un hôte, c'est-à-dire sa latitude et sa longitude). Cet enregistrement aurait un intérêt majeur mais n'est malheureusement que très rarement utilisé dans le monde Internet. ==== Gestion des DNS ==== Chez GoDaddy, on clique MICRONATOR-101.COM.

Enregistrement A

Utilisation: Un enregistrement d'hôte relie un nom de domaine ou de sous-domaine à une adresse IP.

- Onglet Fichier de zone DNS.

- Sous l'encart A (Host), on clique Ajouter l'enregistrement.

- Type d'enregistrement:
On choisit A (Host).

- Hôte:
On entre le caractère @.

- Pointe sur:
On entre notre adresse IP fixe.

Si on utilise une adresse IP dynamique telle que micronator-101.ddns.net provenant de NoIP, on entre alors micronator-101.ddns.net dans le champ Pointe sur:.

- TTL:
Demeure à 1 heure.

- Cliquer Terminer.

- Au retour, tout vérifier.

-Enregistrer les modifications.

Voilà! Notre Enregistrement A est défini.

Pour supprimer un enregistrement, on clique l'icône de la Poubelle; pour le modifier on clique l'icône avec le Crayon.
=== Enregistrement AAAA (hôte IPv6) ===

Utilisation: Un enregistrement AAAA contient l'adresse IPv6 d'un nom de domaine ou d'un sous-domaine. Leurs différents éléments sont séparés par le caractère deux-points “:”.

Présentement, on n'utilise pas le protocole IPv6.

=== Enregistrement CName (Alias) ===

Utilisation: Les enregistrements CNAME (ou “enregistrements d'alias”) relient un sous-domaine à un enregistrement “A (Host)” pour permettre la traduction du sous-domaine en adresse IP. Voir CNAME.
On clique Ajouter l'enregistrement.

- On entre les CNAME ci-dessous un à la fois et à chacun → Ajouter un(une) autre. - email, ftp, http, https, imap, mail, mobilemail, pda, pop, proxy, smtp, webmail, wpad et www. - Après le dernier CNAME, on clique Terminer → Enregistrer les modifications.

=== Enregistrement MX (Mail Exchanger) === Utilisation: Les enregistrements MX assurent le routage des courriels adressés à un nom de domaine. Comme un enregistrement CNAME, un enregistrement MX relie un nom de domaine ou sous-domaine à un autre nom de domaine ou à un autre sous-domaine pour lequel il existe un enregistrement “A (Host)”.

Cet enregistrement pointe vers notre serveur de messagerie; toujours “mail.” suivi du nom du domaine pour un Serveur NethServer.

==== Enregistrement TXT (Text) ==== Utilisation: Les enregistrements TXT contiennent une chaîne de texte qui communique les informations nécessaires à certains protocoles (par exemple, SPF). Pour plus de détails sur SPF, voir le paragraphe Enregistrement SPF.

Dans le cadre TXT (Text), cliquer Ajouter l'enregistrement.

On entre les informations nécessaires, exactement tel que ci-dessous → Terminer.

Au retour, on vérifie tout.

On clique Enregistrer les modifications.

Encore une fois, on vérifie tout.

=== Enregistrement SRV (Service) === Utilisation: Les enregistrements SRV ou “enregistrements de service” sont chargés de localiser des services relatifs aux domaines, par exemple FTP, HTTP ou SIP.

Non utilisé.

=== Enregistrement NS (Nameserver) ===

Utilisation: Les enregistrements NS spécifient les serveurs de noms prioritaires du domaine considéré. Dans chaque zone DNS, il doit exister au moins deux enregistrements NS.

Ces enregistrements sont automatiquement fournis et entrés par GoDaddy. Ne pas les modifier.

==== Déconnexion ====

Après avoir tout vérifier, en haut de l'écran, on clique notre nom d'usager pour dérouler le menu → Déconnexion.

On est alors retourné sur la page d'acceuil de GoDaddy.

===== Ajout de l'hôte micronator-101.com =====

DNS → onglet Hôtes → CRÉER NOUVEAU pour ajouter notre nouvel hôte.

- On entre les informations demandées.
- SOUMETTRE.

Notre nouvel hôte a été créé.

Vérification

Il est préférable d'utiliser le navigateur TOR pour vérifier si tout fonctionne correctement.

On se rend à notre site Web en spécifiant no­tre nouveau domaine:

http://www.micronator-101.com

Victoire, notre nouveau domaine fonctionne correctement.

====== Certificat Let's Encrypt ====== ===== Glossaire ===== Ce préambule rassemble quelques termes reliés à la cryptographie. Cryptographie asymétrique Référence: https://fr.wikipedia.org/wiki/Cryptographie_asym%C3%A9trique.
La cryptographie asymétrique, ou cryptographie à clé publique, est une méthode de chiffrement qui s'oppose à la cryptographie symétrique. Elle repose sur l'utilisation d'une clé publique (qui est diffusée) et d'une clé privée (gardée secrète), la première permettant de coder le message et la seconde de le décoder. Ainsi, l'expéditeur peut utiliser la clé publique du destinataire pour coder un message que seul le destinataire (en possession de sa clé privée) peut décoder, garantissant la confidentialité du contenu. Chiffrement L'un des rôles de la clé publique est de permettre le chiffrement; c'est donc cette clé qu'utilisera Bob pour envoyer des messages chiffrés à Alice. L'autre clé — l'information secrète — sert à déchiffrer. Ainsi, Alice, et elle seule, peut prendre connaissance des messages de Bob. La connaissance d'une clé ne permet pas de déduire l'autre. Certificat

==== CNAME ==== Référence: https://en.wikipedia.org/wiki/CNAME_record.
Un enregistrement CNAME ou enregistrement de Nom Canonique est un type d'enregistrement ressource dans le Domain Name System (DNS) qui spécifie que le nom de domaine est un alias d'un autre nom de domaine canonique. Utilisation d'enregistrement CNAME En utilisant les CNAME, vous rendez les données de votre DNS plus facile à gérer. Les enregistrements CNAME redirigent vers un Enregistrement A. Par conséquent, si vous changez l'adresse IP d'un Enregistrement A, tous vos enregistrements CNAME pointés vers cet enregistrement, suivent automatiquement le nouvel IP de l'Enregistrement A. La solution alternative est d'avoir des Enregistrements A multiples, mais alors vous aurez des endroits multiples pour changer l'adresse IP qui augmente les chances d'erreur. L'utilisation la plus populaire d'un enregistrement CNAME, est de fournir un accès à un serveur Web en utilisant soit le standard www.domaine.com// ou soit domaine.com (sans le www). Cette règle est généralisée en ajoutant un enregistrement CNAME pour le nom www pointant au nom court (lors de la création d'un Enregistrement A pour le nom court - sans www).

Exemple

Si Micronator possède un serveur qui fait partie du domaine principal et dont le nom est coquille, nous pouvons alors insérer un CNAME coquille pour ce serveur.

Description

Un certificat émis par l'autorité de certification Let's Encrypt vous permettra de chiffrer les connexions de votre serveur avec une clé TLS/SSL reconnue mondialement. Les usagers pourront utiliser https et vu que le certificat aura été émis par une autorité de certification reconnue, le cadenas sera toujours vert.

Référence: https://fr.wikipedia.org/wiki/Let's_Encrypt.
Let's Encrypt est une autorité de certification (CA) lancée le 3 décembre 2015 (Bêta Version Publique). Cette autorité fournit des certificats gratuits X.509 pour le protocole cryptographique TLS/SSL au moyen d'un mécanisme automatisé destiné à se passer du processus complexe actuel impliquant: la création manuelle, la validation, la signature, l'installation et le renouvellement des certificats pour la sécurisation des sites Internet.

Principe de fonctionnement de Letsencrypt

Référence: https://linuxfr.org/news/reparlons-de-let-s-encrypt.
La facilité d'utilisation promise par Let's Encrypt repose principalement sur un script client et sur l'automatisation qu'il propose.

Le client s'occupe (ou peut s'occuper) de deux tâches distinctes:

Pour obtenir un certificat, le client:

1. génère une paire de clés et une demande de signature de certificat (Certificate Signing Request: CSR);
2. envoie la demande à un serveur ACME;
3. répond aux défis d'authentification (challenges) posés par la CA, permettant au requérant de prouver qu'il contrôle le(s) domaine(s) en question;
4. reçoit le certificat signé.

Le client installe le certificat, la clé privée correspondante et les certificats intermédiaires là où le serveur Web pourra les trouver. Enfin il configure et relance ledit serveur s'il sait le faire (si le serveur en question est Apache HTTP ou Nginx, pour l'instant).

Le client garde aussi une trace des certificats obtenus. Lancé à intervalle régulier, il répétera automatiquement la procédure s'il détecte qu'un certificat est sur le point d'expirer.

En définitive, le but est que l'administrateur puisse mettre en place un certificat TLS en une seule commande, avant d'oublier jusqu'à l'existence même du client.

Courriels du certificat

Aucun courriel n'est envoyé pour confirmer le certificat, mais vous devez fournir une adresse courriel et un/des CNAME valides lors de l'exécution du script client.

Transparence des certificats

Une partie de la mission de transparence de la société Let's Encrypt comprend la divulgation publique des certificats qu'elle délivre via Certificate Transparency. L'adresse courriel n'est pas divulguée publiquement.

Limites

90 jours

Les certificats Let's Encrypt sont valides pour 90 jours. Let's Encrypt recommande de les renouveler tous les 60 jours pour avoir une certaine marge de manoeuvre.

5/7

En date du 2019-03-14:

1. Limite de 5 certificats par domaine, dans une fenêtre de 7 jours.
2. Limite de 500 enregistrements par IP, toutes les 3 heures.

Référence: https://letsencrypt.org/docs/rate-limits/.

* Certificats par domaine signifie 5 émissions de certificat et non pas combien de domaines au sein d'un certificat multi-domaines SAN.

** Un certificat multi-domaines SAN ayant domaine1.com, www.domaine1.com//, domaine2.com, www.domaine2.com//, toto.info, titi.org est compté comme 1 certificat, mais on ne peut renouveler ce certificat multi-domaines plus de 5 fois par période de 7 jours?

*** Il n'y a pas de limites pour le nombre de domaines contenus dans un certificat multi-domaines SAN ou plus précisément jusqu'au maximum standard de 100. Let's Encrypt a choisi cette limite de 100 sur une base de prudence, car il semble que lorsqu'on en obtient plus de 100, certains navigateurs Web ont un comportement erratique. Let's Encrypt peut probablement augmenter cette limite si quelqu'un en fait la demande.

Répertoire .well-known

Référence: https://dev-notes.eu/2017/01/apache-directives-in-config-vs-htaccess/
Référence: http://httpd.apache.org/docs/current/howto/htaccess.html#page-header.

Lors d'une demande de certificat à Let's Encrypt, ce dernier doit pouvoir accéder au répertoire .well-known et à son sous-répertoire acme-challenge situés dans le répertoire Web principal et y déposer ses fichiers de défis. S'il ne peut accéder à ces répertoires, les défis seront considérés comme non relevés et le certificat ne sera pas émis.

Nous allons créer un fichier /etc/httpd/conf.d/z_well-known.conf pour indiquer à Apache de rendre accessibles les deux répertoires en question.

Prendre tout le contenu de l'encadré pour la commande.

cat > /etc/httpd/conf.d/z_well-known.conf <<'EOT'
Alias "/.well-known/acme-challenge/" "/var/www/html/.well-known/acme-challenge/"
<Directory "/var/www/html/.well-known/acme-challenge/">
   Require all granted
   Options -Indexes +FollowSymLinks
   AllowOverride All
</Directory>

EOT

On vérifie.

[root@dorgee ~]# ls -als /etc/httpd/conf.d/z_well-known.conf

4 -rw-r--r-- 1 root root 231 Apr 20 13:36 /etc/httpd/conf.d/z_well-known.conf
[root@dorgee ~]#

On affiche le contenu du fichier.

[root@dorgee ~]# cat /etc/httpd/conf.d/z_well-known.conf

Alias "/.well-known/acme-challenge/" "/var/www/html/.well-known/acme-challenge/"
<Directory "/var/www/html/.well-known/acme-challenge/">
   Require all granted
   Options -Indexes +FollowSymLinks
   AllowOverride All
</Directory>

[root@dorgee ~]#

Il n'y a pas de ligne vide au dessus de Alias… Nous avons inséré une ligne vide pour faciliter la copie de la commande.

Lors de son lancement, Apache incorpore tous les fichiers qui se trouvent dans le répertoire /etc/httpd/conf.d/ et qui ont l'extension .conf. Cette incorporation des fichiers se fait par ordre alphabétique et c'est pour cette raison qu'on a nommé notre nouveau fichier de configuration z_well-known.conf.

Redémarrage du démon httpd

On redémarre le démon Apache afin qu'il relise ses fichiers de configuration.

[root@dorgee ~]# systemctl restart httpd

[root@dorgee ~]#

Insertion du fichier dans la sauvegarde des données

On vérifie si le nom du fichier /etc/httpd/conf.d/z_well-known.conf est déjà présent dans le fichier d'inclusion de la sauvegarde des données: /etc/backup-data.d/custom.include, sinon on l'insère.

Prendre tout le contenu de l'encadré pour la commande.

NouvelleInclusion="/etc/httpd/conf.d/z_well-known.conf"
if grep -Fxq "$NouvelleInclusion" /etc/backup-data.d/custom.include
then
    # L'entrée a été trouvée dans custom.include
    echo -e "\nLe fichier custom.include contient déjà l'entrée:\n$NouvelleInclusion \n"
else
    # L'entrée n'a pas été trouvée dans custom.include
    echo -e "$NouvelleInclusion" >> /etc/backup-data.d/custom.include
    echo -e "\nL'entrée: $NouvelleInclusion a été ajoutée\n"
fi

On vérifie.

[root@dorgee ~]# cat /etc/backup-data.d/custom.include | grep z_well-known.conf

/etc/httpd/conf.d/z_well-known.conf
[root@dorgee ~]#

Demande d'un certificat officiel

Référence: https://wiki.nethserver.org/doku.php?id=developer:letsencrypt.

On veut obtenir un certificat TLS/SSL de Let's Encrypt pour le domaine micronator-101.org et ses hôtes tels que ci-dessous.

Configuration → Certificat du serveur → on déroule le menu → Requête de certificat Let's Encrypt.

- On entre l'adresse courriel qui recevra les alertes.
- On entre les CNAME désirés pour le certificat.
- Le certificat sera émis au nom du premier CNAME du tableau, c.-à-d. micronator-101.org.
- Cliquer REQUÊTE DE CERTIFICAT LET'S ENCRYPT.

Certificat par défaut

On désigne le nouveau certificat émis par Let's Encrypt en tant que celui qui sera utilisé par défaut, car c'est le certificat standard auto-signé qui l'est encore comme le démontre le crochet de la colonne Défaut de la capture d'écran ci-dessous.

- On déroule le menu à l'extrême droite de la ligne du certificat Let's Encrypt.
- Set as default.

CONFIRM.

C'est le certificat Let's Encrypt qui sera maintenant utilisé par défaut.

Examen du certificat

On rafraîchit la page et on ajoute une exception pour le nouveau certificat.

- Le cadenas est vert.
- On se logue.

- On clique le cadenas.
- On clique l'icône >.

Plus d'informations.

- Onglet Sécurité.
- Afficher le certificat.

- Onglet Détails.
- Émis pour micronator-101.org
- Émis par Let's Encrypt Authority X3
- On voit la date de début et de fin.

- Onglet Détails.
- Validité → Pas après.
- Le certificat est valide pour 90 jours.

On examine la configuration de la BD de PKI.

[root@dorgee ~]# config show pki

pki=configuration
    CertificateDuration=3650
    ChainFile=/etc/letsencrypt/live/micronator-101.org/chain.pem
    CommonName=Micronator
    CountryCode=CA
    CrtFile=/etc/letsencrypt/live/micronator-101.org/cert.pem
    EmailAddress=michelandre@micronator.org
    KeyFile=/etc/letsencrypt/live/micronator-101.org/privkey.pem
    LetsEncrypt=disabled
    LetsEncryptDomains=micronator-101.org,mail.micronator-101.org,www.micronator-101.org,http.micronator-101.org,https.micronator-101.org,ftp.micronator-101.org,proxy.micronator-101.org,wpad.micronator-101.org
    LetsEncryptMail=michelandre@micronator.org
    LetsEncryptRenewDays=30
    Locality=Montreal
    Organization=RF-232
    OrganizationalUnitName=Service informatique
    State=Qc
    SubjectAltName=*.micronator-101.org
[root@dorgee ~]#

La propriété CertificateDuration=3650 s'applique au certificat auto-signé par le Serveur NethServer et non pas à celui émis par Let's Encrypt.

Vérification par Qualsys SSLLabs

Une fois que vous avez obtenu votre certificat, testez-le en vous rendant chez Qualsys SSLLabs, https://www.ssllabs.com/ssltest/, et soumettez le nom FQDN de votre domaine pour vous assurer qu'il fonctionne correctement.

Hostname: micronator-101.org → Submit.

- Overall Rating → A.
- Certificate → 100%.

Vérification des fichiers et répertoires

On vérifie le répertoire /etc/letsencrypt/.

[root@dorgee ~]# ls -als /etc/letsencrypt/

total 12
 0 drwxr-xr-x.   9 root root  108 22 janv. 11:25 .
12 drwxr-xr-x. 114 root root 8192 25 janv. 14:56 ..
 0 drwx------    3 root root   42 22 janv. 11:25 accounts
 0 drwx------    3 root root   32 22 janv. 11:25 archive
 0 drwxr-xr-x    2 root root   34 22 janv. 14:18 csr
 0 drwx------    2 root root   34 22 janv. 14:18 keys
 0 drwx------    3 root root   46 22 janv. 14:18 live
 0 drwxr-xr-x    2 root root   37 22 janv. 14:18 renewal
 0 drwxr-xr-x    5 root root   43 22 janv. 11:25 renewal-hooks
[root@dorgee ~]#

Le répertoire des requêtes de signature du certificat (Certificate Signing Request). Une seule à date.

[root@dorgee ~]# ls -als /etc/letsencrypt/csr

total 4
0 drwxr-xr-x  2 root root   34 22 janv. 14:18 .
0 drwxr-xr-x. 9 root root  108 22 janv. 11:25 ..
4 -rw-r--r--  1 root root 1175 22 janv. 11:25 0000_csr-certbot.pem
[root@dorgee ~]#

Le répertoire des pointeurs du certificat.

[root@dorgee ~]# ls -als /etc/letsencrypt/live/micronator-101.org

total 4
0 drwxr-xr-x 2 root root  93 22 janv. 14:18 .
0 drwx------ 3 root root  46 22 janv. 14:18 ..
0 lrwxrwxrwx 1 root root  42 22 janv. 11:25 cert.pem -> ../../archive/micronator-101.org/cert1.pem
0 lrwxrwxrwx 1 root root  43 22 janv. 11:25 chain.pem -> ../../archive/micronator-101.org/chain1.pem
0 lrwxrwxrwx 1 root root  47 22 janv. 11:25 fullchain.pem -> ../../archive/micronator-101.org/fullchain1.pem
0 lrwxrwxrwx 1 root root  45 22 janv. 11:25 privkey.pem -> ../../archive/micronator-101.org/privkey1.pem
4 -rw-r--r-- 1 root root 692 22 janv. 11:25 README
[root@dorgee ~]#

Le répertoire des certificats. Un seul à date.

[root@dorgee ~]# ls -als /etc/letsencrypt/archive/micronator-101.org

total 16
0 drwxr-xr-x 2 root root   83 22 janv. 14:18 .
0 drwx------ 3 root root   32 22 janv. 11:25 ..
4 -rw-r--r-- 1 root root 2159 22 janv. 11:25 cert1.pem
4 -rw-r--r-- 1 root root 1647 22 janv. 11:25 chain1.pem
4 -rw-r--r-- 1 root root 3806 22 janv. 11:25 fullchain1.pem
4 -rw------- 1 root root 1708 22 janv. 11:25 privkey1.pem
[root@dorgee ~]#

Le script a créé un répertoire de stockage pour notre domaine micronator-101.org (le premier de la ligne de notre demande, voir Examen du certificat).

Journal Let's Encrypt

Fichier: /var/log/letsencrypt/letsencrypt.log.

Ligne de commande

Usage

[root@dorgee ~]# /usr/libexec/nethserver/letsencrypt-certs -h

Usage: /usr/libexec/nethserver/letsencrypt-certs [-h] [-f] [-d] [-v] [-t] [-e]

Options:
  -h : show this help
  -f : force certificate renew
  -d : comma-separated list of domains,
       if not set read from config db pki[LetsEncryptDomains]
  -v : verbose
  -t : testing, enable staging CA
  -e : use given mail for registration
[root@dorgee ~]#

Renouvellement

[root@dorgee ~]# /usr/libexec/nethserver/letsencrypt-certs -v

/usr/bin/certbot  certonly --webroot --webroot-path /var/www/html/ --text --non-interactive --agree-tos  --email michelandre@micronator.org  -d micronator-101.org  -d mail.micronator-101.org  -d www.micronator-101.org  -d http.micronator-101.org  -d https.micronator-101.org  -d ftp.micronator-101.org  -d proxy.micronator-101.org  -d wpad.micronator-101.org  -v
...
Cert not yet due for renewal
Keeping the existing certificate

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Certificate not yet due for renewal; no action taken.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
[root@dorgee ~]#

À cause de la ligne Cert not yet due for renewal, on force le renouvellement.

[root@dorgee ~]# /usr/libexec/nethserver/letsencrypt-certs -v -f 

/usr/bin/certbot  certonly --webroot --webroot-path /var/www/html/ --text --non-interactive --agree-tos  --email michelandre@micronator.org  -d micronator-101.org  -d mail.micronator-101.org  -d www.micronator-101.org  -d http.micronator-101.org  -d https.micronator-101.org  -d ftp.micronator-101.org  -d proxy.micronator-101.org  -d wpad.micronator-101.org  --force-renewal  -v 
IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/micronator-101.org/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/micronator-101.org/privkey.pem
   Your cert will expire on 2019-04-25. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

Executing certificate-update event...

[root@dorgee ~]#

Pointeurs

Un nouveau certificat a été créé.

Les noms des pointeurs sont demeurés les mêmes.

Le répertoire des pointeurs du certificat.

[root@dorgee ~]# ls -als /etc/letsencrypt/live/micronator-101.org

total 4
0 drwxr-xr-x 2 root root  93 25 janv. 17:53 .
0 drwx------ 3 root root  46 22 janv. 14:18 ..
0 lrwxrwxrwx 1 root root  42 25 janv. 17:53 cert.pem -> ../../archive/micronator-101.org/cert2.pem
0 lrwxrwxrwx 1 root root  43 25 janv. 17:53 chain.pem -> ../../archive/micronator-101.org/chain2.pem
0 lrwxrwxrwx 1 root root  47 25 janv. 17:53 fullchain.pem -> ../../archive/micronator-101.org/fullchain2.pem
0 lrwxrwxrwx 1 root root  45 25 janv. 17:53 privkey.pem -> ../../archive/micronator-101.org/privkey2.pem
4 -rw-r--r-- 1 root root 692 22 janv. 11:25 README
[root@dorgee ~]#

Les noms des pointeurs sont demeurés les mêmes, mais ils pointent maintenant vers le nouveau certificat, le numéro 2.

Certificat de TEST

On force le renouvellement pour un certificat de TEST.

[root@dorgee ~]# /usr/libexec/nethserver/letsencrypt-certs -v -f -t

...
/usr/bin/certbot  certonly --webroot --webroot-path /var/www/html/ --text --non-interactive --agree-tos  --email michelandre@micronator.org  -d micronator-101.org  -d mail.micronator-101.org  -d www.micronator-101.org  -d http.micronator-101.org  -d https.micronator-101.org  -d ftp.micronator-101.org  -d proxy.micronator-101.org  -d wpad.micronator-101.org  --force-renewal  --test-cert  -v 
IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/micronator-101.org/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/micronator-101.org/privkey.pem
   Your cert will expire on 2019-04-25. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
Restoring /etc/letsencrypt/ ...
[root@dorgee ~]#

Il faut surveiller que le certificat et la chaîne aient bien été créés sinon, une erreur s'est glissée quelque part.

Rien ne change, car le TEST fait une sauvegarde de répertoire /etc/letsencrypt/, exécute sa requête, manipule le répertoire original puis, lorsque la requête de TEST est terminée, il restaure la sauvegarde du répertoire contenant le certificat officiel demandé précédemment.

Pare-feu

Description

Référence: http://docs.nethserver.org/projects/nethserver-devel/en/v7/nethserver-firewall-base.html?highlight=firewall.

Pare-feu et passerelle

NethServer peut servir de pare-feu et de passerelle à l’intérieur du réseau LOCAL sur lequel il est installé. Tout le trafic entre les ordinateurs du réseau LOCAL et Internet transite par le serveur qui décide de l’acheminement des paquets et des règles à appliquer.

Caractéristiques principales:

1. Configuration réseau avancée (pont, liens, alias, etc.).
2. Prise en charge de plusieurs réseaux (jusqu'à 15).
3. Gestion des règles de pare-feu.
4. Mise en forme du trafic⁶⁾ (QoS).
5. Redirection de ports.
6. Règles de routage pour dévier le trafic sur un WAN spécifique.
7. Système de prévention des intrusions (IPS⁷⁾).
8. Inspection approfondie des paquets (DPI⁸⁾).
9. Le mode Pare-feu et passerelle n'est activé que si:
   

♦ le paquet nethserver-firewall-base est installé (module Sauvegarde) et
♦ au moins une interface réseau est configurée avec un rôle rouge.

Stratégies

Lorsqu'un paquet réseau traverse une zone de pare-feu, le système évalue une liste de règles pour décider si le trafic doit être bloqué ou autorisé. Les Stratégies sont les règles par défaut à appliquer lorsque le trafic réseau ne correspond à aucun critère existant.

Le pare-feu configure 4 zones par défaut avec des stratégies intégrées. Chaque interface est identifiée par une couleur indiquant son rôle dans le système; voir Réseau.

Ci-dessous, la circulation est autorisée de gauche à droite et bloquée de droite à gauche:
VERT → BLEU → ORANGE → ROUGE

Le pare-feu implémente deux stratégies par défaut, les choix possibles sont:
1) - Autorisé: tout le trafic du réseau local (vert) vers l'Internet (rouge) est activé par défaut.
2) - Bloqué: tout le trafic du réseau local (vert) vers l'Internet (rouge) est désactivé par défaut.

Avec la stratégie Bloqué, vous devez explicitement créer des règles pour tous les services devant être autorisés. Par exemple, une règle qui autorise le trafic Web (ports 80 et 443) de vert à rouge.

Règles

Les règles s'appliquent à tout le trafic traversant le pare-feu. Lorsqu'un paquet réseau passe d'une zone à une autre, le système recherche parmi les règles configurées; si le paquet correspond à une règle, celle-ci est appliquée.

L’ordre de la règle est très important. Le système applique toujours la première règle qui correspond.

Une règle comprend cinq parties principales:

1. Action
2. Source
3. Destination
4. Service
5. Condition de temps

Les actions disponibles sont:

ACCEPT - accepte le trafic réseau.
REJECT - bloque le trafic et avertit l'hôte émetteur.
DROP - bloque le trafic, les paquets sont abandonnés et aucune notification n'est envoyée à l'hôte émetteur.
ROUTE - achemine le trafic vers le réseau spécifié.
PRIORITY - étiquette le trafic avec une priorité haute/basse.

Le pare-feu ne générera pas de règles pour les zones bleues et oranges si au moins une interface rouge est configurée.

REJET vs DROP

En règle générale, vous devez utiliser REJECT lorsque vous souhaitez informer l'hôte source que le port auquel il tente d'accéder est fermé. Habituellement, les règles du côté du réseau LOCAL peuvent utiliser REJECT.

Pour les connexions provenant d’Internet, il est recommandé d’utiliser DROP afin de minimiser la divulgation des informations à tout attaquant.

Journal

Lorsqu'une règle correspond au trafic en cours, il est possible d'enregistrer l'événement dans un fichier journal en cochant l'option de l'interface Web. Le journal du pare-feu est enregistré dans le fichier /var/log/firewall.log.

Lissage du trafic

La mise en forme du trafic permet d'appliquer des règles de priorité au trafic réseau à travers le pare-feu. De cette manière, il est possible d’optimiser la transmission, de vérifier la latence et d’ajuster la bande passante disponible.

Pour activer le lissage du trafic, il est nécessaire de connaître la quantité exacte de bande passante disponible en téléversement et en téléchargement.

Si la bande passante de téléversement et de téléchargement ne sont pas définies pour une interface rouge, les règles de lissage du trafic ne seront pas activées pour cette interface.

Multi WAN

Le terme WAN (Réseau étendu) fait référence à un réseau public extérieur au serveur, généralement connecté à l'Internet.

1. Le fournisseur est la société qui gère le lien WAN.
2. Chaque fournisseur représente une connexion WAN et est associé à une carte réseau. Chaque fournisseur définit un poids; plus le poids (weight) est élevé, plus la priorité de la carte réseau associée au fournisseur est élevée.
3. Le système prend en charge jusqu'à 15 connexions WAN.
4. Si le serveur a au moins deux cartes rouges configurées, il est nécessaire de configurer correctement les champs Link weight, Bande-passante entrante (kbps) et Bande-passante sortante (kbps) à partir de la page Configuration → Réseau.

Link weight

Le “poids” de la connexion.

Le trafic sera acheminé proportionnellement au poids; un poids plus élevé signifie plus de trafic. Un fournisseur d'un poids de 100 recevra le double du trafic de celui d’un poids de 50. Il faut attribuer les poids selon la bande passante.

Lorsque vous utilisez le mode Sauvegarde active, le poids détermine l’utilisation de la ligne. Si le premier fournisseur a un poids de 100 et le second un poids de 50, le trafic est toujours envoyé au premier fournisseur. Le second ne sera utilisé que si le premier fournisseur tombe en panne.

Hôtes

Un hôte représente une machine avec une adresse IP. Il peut être LOCAL ou distant. Lorsque des règles sont écrites dans un fichier, l'objet hôte sera traduit par sa propre adresse IP.

Hôte - Identifiant pour l'hôte.
Adresse IP - Adresse IP de l'hôte.
Description - Description facultative.

Voir le paragraphe Règle spéciale pour un poste de travail pour la création d'un hôte pour l'IP 192.168.1.81/poste de travail.

Pare-feu de base

Installation

Administration → Gestionnaire des logiciels → cocher Pare-feu basique.

AJOUTER.

APPLIQUER LES CHANGEMENTS.

Recharger la page pour afficher les nouveaux menus.

Tout s'est bien passé. Il n'y a ni message d'erreur ni avertissement.

Règles du pare-feu

Passerelle → Règles du pare-feu.

On déroule le menu → Configurer.

Ping depuis Internet

⦿ Activé
Si activé, les interfaces publiques (rouge) répondront aux requêtes ping (ACCEPT).

⚪ Désactivé
Si cette option est désactivée, les interfaces publiques rejetteront les requêtes ping (DROP).

Pour simplifier le dépannage, il est recommandé de laisser le ping activé.

☐ Validation MAC (association fixe IP/MAC)
Si activé, tout le trafic provenant des hôtes des interfaces vertes et bleues est vérifié par rapport à une liste d'adresses IP avec les adresses MAC associées. L'association IP/MAC peut être configurée à l'aide de la page Configuration → DHCP.

Règle spéciale pour un poste de travail

Réseau LOCAL

Un de nos postes de travail possède une adresse privée et n'est pas sur le réseau LOCAL (vert) du Serveur NethServer.

Vu que le Serveur NethServer verra que la demande de connexion provient de l'adresse 192.168.1.102 (l'aiguilleur) et non pas du poste de travail 10.10.100.111, il autorisera la connexion, car l'aiguilleur 192.168.1.102 est sur le réseau LOCAL et il est aussi le relais du poste de travail 10.10.100.111.

Internet

Ci-dessous, nous avons un client dont le Serveur NethServer possède l'adresse IP 90.56.214.76 et il veut que nous nous occupions de la maintenance de ce serveur.

Notre poste de travail 192.168.1.81 n'est pas sur le réseau LOCAL de ce client et on ne peut accéder directment à son serveur. Il doit alors autoriser l'accès à son interface Web depuis l'internet et créer une règle spéciale pour que notre poste de travail puisse y accéder.

Activation de httpd-admin depuis l'Internet

Sur l'interface Web du client, celui-ci doit autoriser l'accès depuis l'Internet.

Sécurité → Service réseau → vis à vis httpd-admin (Interface Web NethServer) → Éditer.

- Le client coche Internet (rouge).
- SOUMETTRE.

Le client vérifie.

Création de l'hôte

La requête de connexion de notre poste de travail 192.168.1.81 proviendra de l'Internet à travers notre serveur passerelle 206.248.138.152.

La règle du pare-feu doit donc utiliser l'adresse IP de notre Serveur NethServer 206.248.138.152 et non pas l'adresse IP de notre poste de travail 192.168.1.81.

Sur l'Interface Web du client: Passerelle → Objet du pare-feu → onglet Hôtes → CRÉER NOUVEAU. Le client entre les informations demandées.

Le nouvel hôte a été créé.

Création de la règle du pare-feu

Sur l'Interface Web du client: Passerelle → Règles du pare-feu.

- Le client déroule le menu.
- Créer une règle en première position.

Il clique TOUT de Source.

Hôte poste-de-travail.

Le client clique TOUT de Destination.

Firewall.

Il clique TOUT de Service.

httpd-admin - network services.

Le client clique à l'intérieur de Time condition.

Toujours.

Pour être plus sécuritaire, le client pourrait créer une Condition de temps en lançant une recherche Heure de connexion distante pour faire apparaître Create time condition “Heure de connexion distante” qu'il clique et il insère les informations demandées.

SOUMETTRE.

APPLIQUER LES CHANGEMENTS.

• Attention
  Si le propriétaire d'un autre poste de travail sur notre réseau connaît le mot de passe de root du Serveur NethServer distant, ce poste de travail a, lui aussi, accès à l'interface Web. Le client doit s'assurer d'avoir des mots de passes très robustes.

• Astuce
  Pour ne pas divulguer le mot de passe de root et limiter les accès, le client peut créer un utilisateur avec le nom de distant et le mettre dans le groupe domain admins. Ainsi, il n'y aura qu'un seul utilisateur distant qui pourra se loguer à l'interface Web. Encore une fois, un mot de passe très robuste est requis.

Vérification

Depuis notre poste de travail 192.168.1.81, on se connecte au Serveur NethServer de notre client à l'URL:

https://www.fred39.fr:980.

Dans le navigateur, on ajoute une exception pour le certificat du client. L'URL se transforme en:

https://www.fred39.fr:980/fr-FR/Dashboard

et on entre les information que le client nous a fournies.

Nous somme dans l'interface Web du Serveur NethServer du client tel que démontré par l'affichage à l'extrême droite: root@fred39.fr.

Le pare-feu basique est fonctionnel.

Fail2ban

Description

Référence: https://www.fail2ban.org/wiki/index.php/Main_Page.
Référence: https://www.fail2ban.org/wiki/index.php/FAQ_french.
Référence: http://docs.nethserver.org/en/v7/fail2ban.html.

Fail2ban lit des fichiers de journaux tels que /var/log/pwdfail ou /var/log/apache/error_log et bannit les adresses IP qui ont généré un trop grand nombre d'échecs lors de l'authentification. Il met à jour les règles de pare-feu pour rejeter ces adresses IP. Des règles peuvent êtres définies par l'administrateur. Fail2ban peut lire plusieurs fichiers de journaux tels que celui de sshd ou du serveur Apache.

Fail2Ban est capable de réduire le nombre de tentatives d’authentification incorrectes, mais il ne peut éliminer les risques que représente une configuration d'authentification défaillante.

Pour améliorer la sécurité, utilisez le pare-feu pour restreindre l'accès aux divers services uniquement depuis les réseaux de confiance.

Installation

Administration → Gestionnaire des logiciels → onglet Disponible → cocher Fail2ban et whois → AJOUTER.

APPLIQUER LES CHANGEMENTS.

Recharger la page pour afficher les nouveaux menus.

Configuration

Sécurité → Fail2ban → onglet Configuration.

La plupart des paramètres peuvent être modifiés sous l'onglet Configuration, seuls les paramètres réellement avancés doivent être configurés à la ligne de commande.

☑ Activer Fail2ban
Configure le service pour démarrer et rouler.

IP Whitelisting (one per line)
Entrer les adresses IP qui seront ignorées par Fail2ban (une adresse par ligne).
Par défaut, tous les réseaux LOCAUX sont sur la liste blanche.

Send email notifications

☑ Send email notifications
Envoyer des notifications par courrier électronique.

Administrators emails (one per line)
Entrer les adresses courriel des administrateurs qui recevront les notifications (une adresse par ligne).

☐ Notify jail start/stop events
Ne pas activer ce paramètre, car vous serez inondé de courriels de départs et d'arrêts de Fail2ban.

Les prisons

- Une prison est la combinaison d'un filtre et d'une ou plusieurs actions.
- Toutes les prisons peuvent être activées/dé­sactivées individuellement sous le paramètre Jails.
- Lorsque vous installez un nouveau module, la prison correspondante (si elle existe) est automatiquement activée après l'installation du paquet.

Avancé

1. Nombre de tentatives (maxretry)
   Le nombre maximal de tentatives avant d'être banni. Défaut de 3.
2. Durée (bantime)
   Période de temps pour atteindre le nombre de tentatives avant le bannissement. Défaut de 900 secondes.
3. Ban time (bantime)
   Durée de bannissement d'une adresse IP. Défaut de 1800 secondes.

☑ Recidive jail is perpetual
Lorsqu'une adresse IP est condamnée plusieurs fois à la prison, elle y demeure pour une période beaucoup plus longue. Si ce paramètre est activé, cette période est perpétuelle.
À noter que si un banni utilise une adresse IP dynamique et qu'après un certain temps, cette adresse est relâchée par le FAI puis, remise à un autre internaute par le FAI, ce nouvel internaute est aussi banni, car il utilise une adresse déjà en récidive.

☐ Allow bans on the LAN
Par défaut, tous les réseaux LOCAUX sont sur la liste blanche. Activez ce paramètre pour traiter les adresses IP des réseaux LOCAUX comme les autres adresses.

Logging Level
Niveau de journalisation des événements. Les choix possibles sont: CRITICAL, ERROR, WARNING, NOTICE, INFO et DEBUG. Le défaut est INFO.

SOUMETTRE.

Comme on le voit ci-contre, le service redémarre (restart) pour prendre en compte les nouveaux paramètres.

Bannissement manuel

Notre installation chez 11.22.33.44 est terminée et nous avons muté notre associé chez un autre client. On a changé l'adresse IP (vue de l'Internet) de l'hôte Poste de travail distant (poste-de-travail) pour celle de notre nouveau client. La Règle du pare-feu admin distant demeure la même, car elle est utilisée par le poste de travail de notre nouveau client.

Vu qu'un bannissement à la prison Recidive est perpétuelle (voir ci-dessus Recidive jail is perpetual )…

[root@dorgee ~]# config show fail2ban | grep -i recidive

    Recidive_MaxRetry=
    Recidive_Perpetual=enabled
    Recidive_status=true
[root@dorgee ~]#

… on pourrait bannir manuellement l'adresse 11.22.33.44.

[root@dorgee ~]# fail2ban-client set recidive banip 11.22.33.44

11.22.33.44
[root@dorgee ~]#

Vérification à la ligne de commande

[root@dorgee ~]# fail2ban-client status recidive

Status for the jail: recidive
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     6
|  `- File list:        /var/log/fail2ban.log
`- Actions
   |- Currently banned: 1
   |- Total banned:     1
   `- Banned IP list:   11.22.33.44
[root@dorgee ~]#

L'utilisateur michelandre a reçu un courriel lui signalant que le bannissement d'une adresse IP avait eu lieu.

Il reçoit ce courriel, car il est sur la liste du paragraphe Send email notifications.

Si les informations du WHOIS n'apparaissent pas, redémarrer tous les services pour vous assurez que ceux-ci se réinitialisent correctement.

 /etc/e-smith/events/actions/system-adjust

Vérification avec l'interface Web

Statut → Fali2ban → onglet Ban statistics.

Onglet Unban IP.

Suppression d'un bannissement

Les adresses IP sont bannies lorsqu'elles sont trouvées plusieurs fois dans le journal durant la période spécifiée. Elles sont stockées dans une base de données pour être à nouveau bannies à chaque redémarrage du serveur ou du service.

- Statut → Fail2ban → onglet Unban IP.
- On entre l'adresse sous Unban the specified IP.
- SUBMIT/REFRESH.

L'adresse IP n'est plus bannie.

Ligne de commande

Usage

Pour afficher toutes les options de la commande fail2ban-client.

[root@dorgee ~]# fail2ban-client -h

Usage: /usr/bin/fail2ban-client [OPTIONS] <COMMAND>

Fail2Ban v0.9.7 reads log file that contains password failure report
and bans the corresponding IP addresses using firewall rules.

Options:
    -c <DIR>             configuration directory
    -s <FILE>            socket path
    -p <FILE>            pidfile path
    -d                   dump configuration. For debugging
    -i                   interactive mode
    -v                   increase verbosity
    -q                   decrease verbosity
    -x                   force execution of the server (remove socket file)
    -b                   start server in background (default)
    -f                   start server in foreground (note that the client forks once itself)
    -h, --help           display this help message
    -V, --version        print the version
...
    get <JAIL> actionmethods <ACT>           gets a list of methods for the
                                             action <ACT> for <JAIL>
    get <JAIL> action <ACT> <PROPERTY>       gets the value of <PROPERTY> for
                                             the action <ACT> for <JAIL>

Report bugs to https://github.com/fail2ban/fail2ban/issues
[root@dorgee ~]#

Suppression d'un bannissement

Si nous n'avions pas supprimer le bannissement de l'adresse IP 11.22.33.44 depuis l'interface Web, nous aurions pu le supprimer à la ligne de commande.

[root@dorgee ~]# fail2ban-client set recidive unbanip 11.22.33.44

11.22.33.44
You have new mail in /var/spool/mail/root
[root@dorgee ~]#

On vérifie.

[root@dorgee ~]# fail2ban-client status recidive

Status for the jail: recidive
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     6
|  `- File list:        /var/log/fail2ban.log
`- Actions
   |- Currently banned: 0
   |- Total banned:     1
   `- Banned IP list:
[root@dorgee ~]#

La liste des adresses IP bannies est vide.

Désactivation de httpd-admin depuis l'Internet

Le bannissement et la règle ont été vérifiés, on pourra désactiver l'accès à l'interface Web depuis l'Internet lorsque ce ne sera plus nécessaire pour notre associé chez notre nouveau client.

Sécurité → Service réseau → vis à vis httpd-admin (Interface Web NethServer) → Éditer.

- On décoche Internet (rouge).
- SOUMETTRE.

Fail2ban fonctionne correctement.

Messagerie électronique

Description

Référence: https://github.com/NethServer/nethserver-mail.

Le module Email est divisé en trois parties principales:

1) - Serveur SMTP pour l'envoi et la réception.
2) - Serveur IMAP et POP3 pour lire le courrier électronique et le langage Sieve pour l’organiser.
3) - Filtre anti-spam, antivirus et bloqueur de pièces jointes.

Les avantages sont:

1. Autonomie complète dans la gestion du courrier électronique.
2. Évite les problèmes dûs au fournisseur de services Internet.
3. Possibilité de traquer l'itinéraire des messages afin de détecter les erreurs.
4. Analyse antivirus et anti-spam optimisée.

Voir également les rubriques connexes suivantes:

1. Comment fonctionne le courrier électronique: https://fr.wikipedia.org/wiki/Courrier_%C3%A9lectronique.
2. DNS - Enregistrement MX: https://fr.wikipedia.org/wiki/Enregistrement_Mail_eXchanger.
3. Protocole SMTP: https://fr.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol.
4. Signature DKIM: https://fr.wikipedia.org/wiki/DomainKeys_Identified_Mail.
5. MTA(Mail Transfer Agent): https://fr.wikipedia.org/wiki/Mail_Transfer_Agent.

Depuis NethServer 7.5.1804, les nouvelles installations de messagerie, de connecteur et de mandataire POP3 sont basées sur le moteur de filtrage Rspamd. Les installations précédentes de NethServer sont automatiquement mises à niveau vers Rspamd.

Ports d'écoute SMTP de Postfix

Référence: https://github.com/NethServer/nethserver-mail#postfix-smtp-listening-ports.

Le serveur SMTP de Postfix est à l’écoute sur les ports TCP suivants:

1. 25 → port standard SMTP; utilisé par d'autres MTA.
2. 587 → port standard d'envoi SMTP; STARTTLS requis par défaut pour protéger les mots de passe de connexion; utilisé par les MUA.
3. 465 → port standard d'envoi SMTPS; TLS toujours requis au niveau du connecteur (socket); utilisé par les MUA qui ne supportent pas STARTTLS.
4. 10587 → port supplémentaire d'envoi SMTP pour localhost uniquement; aucun TLS requis; utilisé par les applications de messagerie locales.

Entrée DNS

On s'assure que notre domaine ait une entrée DNS sur le serveur.

Configuration → DNS → onglet Hôtes.

Alias

Par précaution si ce n'est déjà fait, on crée un alias pour mail.micronator-101.org.

Installation de la messagerie

Référence: http://docs.nethserver.org/en/latest/mail.html.

Le logiciel nethserver-mail-disclaimer est considéré comme obsolète, car le projet alterMIME, fournissant l'implémentation réelle, n'est plus développé et peut cesser de fonctionner à tout moment. Ce paramètre a été exclus dans les nouvelles mise à jour.

Administration → Gestionnaire des logiciels → onglet Disponible → cocher Email et nethserver-mail-quarantine (ne pas cocher nethserver-mail-disclaimer), cocher Proxy SMTP et Roundcube web mail → AJOUTER.

APPLIQUER LES CHANGEMENTS.

Recharger la page pour afficher les nouveaux menus.

Activation de la mise en quarantaine

Administration → Gestionnaire de logiciels → onglet Installé → vis-à-vis Email → Éditer.

On coche nethserver-mail-quarantine → APPLI­QUER LES CHANGEMENTS.

Recharger la page.

Configuration

Domaines

Si le menu Configuration → Messagerie électronique n'apparaît pas, rafraîchir la page.

Configuration → Messagerie électronique → onglet Domaines.

NethServer peut gérer un nombre illimité de domaines de messagerie, configurables à partir de la page Configuration → Messagerie électronique → Domaines.

Pour chaque domaine, il existe deux alternatives:
1) - Livrer les messages aux boîtes aux lettres locales, selon le format Maildir: https://fr.wikipedia.org/wiki/Maildir.
2) - Relayer les messages vers un autre serveur de messagerie.

Si un domaine est supprimé, ses courriels ne seront pas supprimés; tous les messages déjà reçus sont conservés.

Configuration → Messagerie électronique → onglet Messages.

NethServer permet de stocker une copie cachée de tous les messages dirigés vers un domaine particulier; ils seront envoyés au destinataire final ainsi qu’à une adresse électronique personnalisée.

☐ Toujours envoyer une copie (Bcc)
Si la case est cochée, la copie cachée est activée.

Dans certains pays, l'activation de l'option Toujours envoyer une copie (Bcc) peut être contraire aux lois sur la confidentialité.

Onglet Domaines → Éditer.

Domaine
Notre domaine principal est micronator-dev.org.

Description
Champ facultatif utile à l'administrateur système pour noter à quel domaine s'appliquent les paramètres spécifiés.

Messages to domain micronator-dev.org
Développer cette option pour configurer le serveur afin qu'il distribue le courrier entrant, adressé au domaine spécifié, dans des dossiers locaux.

⦿ Distribution locale
☐ Copie cachée (BCC)
☑ Accepter des destinataire inconnus
Si le destinataire final ne peut pas être établi (c'est-à-dire que l'adresse du destinataire n'existe pas), le message est normalement rejeté. Parfois (lorsqu’un domaine de messagerie est migré), il peut être utile de l’accepter et de remettre le message, en mode silencieux, à une boîte aux lettres fourre-tout. Ce comportement peut être obtenu en activant cette option.

⚪ Relais vers un autre serveur
Si on sélectionne cette option, le courrier entrant sera transféré vers le serveur spécifié.

DKIM

☑ Signer les messages sortant avec DomainKeys Identified Mail (DKIM)
DomainKeys Identified Mail (DKIM) fournit un moyen de valider le MTA d'envoi en ajoutant une signature cryptographique aux en-têtes MIME des messages sortants.
Cocher pour activer la signature DKIM pour ce domaine de messagerie.
Les en-têtes de signature DKIM sont ajoutés uniquement aux messages envoyés via les ports TCP 587⁹⁾(envoi) et 465 (smtps).

Référence: https://wiki.nethserver.org/doku.php?id=email_protection_resources#domainkeys_identified_mail_dkim.

Enregistrement DNS

Pour fonctionner efficacement, le DNS public doit être configuré correctement. Reportez-vous aux instructions de votre fournisseur DNS pour exécuter les étapes suivantes:

- Ajoutez un enregistrement TXT à votre fournisseur de service DNS public avec la clé default._domainKey. - Copier et coller le texte de la clé dans l'enregistrement DNS.

On se rend chez notre régistraire:

https://www.godaddy.com

Mes domaines → micronator-101.org → en bas de la page Manage DNS → ADD.

- Type: TXT.

- Host: default._domainKey.

- TXT Value: coller le texte v=DKIM1…DAQAB, de l'encadré en bleu ci-dessus.

- Save.

Le nouvel enregistrement est ajouté à la liste.

On clique Enregistrer les modifications.

De retour à l'interface Web de notre Serveur NethServer:

SOUMETTRE pour enregistrer les modifications.

Vérification

On se rend à: https://dkimcore.org/tools/keycheck.html.

On entre les informations demandées → Check.

L'enregistrement DKIM est valide.

Ajout d'un nouveau domaine de messagerie

Pour le domaine micronator-101.ddns.net, voir Création d'un compte chez noip.com.

Configuration → Messagerie électronique → onglet Domaines → CRÉER NOUVEAU.

Entre les informations demandées pour le nouveau domaine de messagerie: micronator-101.ddns.net.

On n'utilise pas de signature DKIM, car on ne peut ajouter d'enregistrements DNS chez NoIP.

Le nouveau domaine a été ajouté.

Entrée DNS pour micronator-101.ddns.net

Si on veut que le domaine micronator-101.ddns.net (domaine chez NoIP) puisse recevoir/envoyer des courriels, il faut que ce domaine ait une entrée dans le DNS du Serveur NethServer.

Configuration → DNS → onglet Hôtes → CRÉER NOUVEAU.

On entre les informations demandées.

SOUMETTRE.

L'entrée DNS a été ajoutée.

Alias de messagerie

Pour que l'utilisateur michelandre puisse recevoir des courriels à l'adresse michelandre@micronator-101.ddns.net, il faut lui créer un alias de messagerie.

Gestion → Adresse mail → onglet Alias de messagerie → CRÉER NOUVEAU.

- On entre les informations demandées.
- Pour Destination, on entre michelandre et il apparaît dans le champ en dessous; on sélectionne l'adresse courriel de cet utilisateur.
- SOUMETTRE.

On vérifie.

1. Pour que l'utilisateur michelandre puisse entrer dans sa boîte aux lettres, il devra utiliser:
   

https://www.mail.micronator-101.ddns.net/webmail (le nouveau domaine) ou
https://www.micronator-101.org/webmail (le domaine principal).

Filtre

Référence: http://docs.nethserver.org/en/latest/mail.html#filter.

Tous les courriels en transit sont soumis à une liste de vérifications pouvant être activées de manière sélective.
Si ce n'est déjà fait: Configuration → Messagerie électronique → Filtre.

☑ Bloquer les pièces jointes
Le serveur peut bloquer les classes de pièces jointes suivantes.

• ☑ Exécutables (ex: exe, msi)
• ☐ Archives (ex: zip, tar.gz, docx)
• ☐ Liste personnalisée

☑ Antivirus
Le module antivirus trouve les messages électroniques contenant des virus. Les messages infectés sont ignorés. La base de données de signatures de virus est mise à jour périodiquement.

☑ Anti-spam
Le module anti-spam https://rspamd.com/ analyse les courriels en détectant et en classant les messages à l'aide de critères heuristiques, de règles prédéterminées et d'évaluations statistiques du contenu des messages.
On ajuste les niveaux en cliquant et glissant les curseurs.
Le filtre peut également vérifier si le serveur émetteur est répertorié dans une ou plusieurs listes noires (DNSBL).

Un note est associée à chaque règle. La note totale collectée à la fin de l'analyse permet au serveur de décider ce qu'il doit faire avec le message, en fonction de trois seuils pouvant être ajustés sous Configuration → Courriel (Email) → Filtre → Anti-spam.

1. Si la note est supérieure au seuil de la liste grise, le message est temporairement rejeté. La technique greylisting¹⁰⁾ suppose qu'un polluposteur est pressé et est susceptible d'abandonner, tandis qu'un MTA compatible SMTP tentera à nouveau de remettre le message différé.
2. Si la note est supérieure au seuil des courriers indésirables, le message est marqué comme tel en ajoutant l'en-tête spécial X-Spam: Yes pour des traitements spécifiques. Le message est alors envoyé comme tout autre message. En guise d'alternative, l'option Ajouter un préfixe au Sujet des messages considérés comme spam rend l'indicateur de courrier indésirable visible sur l'objet du message en préfixant ce dernier du texte spécifié.
3. Si la note est supérieure au Seuil de refus du message pour cause de spam, le message est rejeté.

Les filtres statistiques, appelés Filtrage bayésien du spam¹¹⁾, sont des règles spéciales qui évoluent et s’adaptent rapidement aux messages d’analyse marqués comme spam ou ham¹²⁾.

Les filtres statistiques peuvent ensuite apprendre avec n’importe quel client IMAP en déplaçant simplement un message dans le dossier “Junk”.

Avant de commencer, vous devez activer le dossier de courrier indésirable à partir de la page Configuration → Messagerie électronique → Boîtes mails en cochant l'option Déplacer dans le dossier “Junk”.

- En mettant un message dans le dossier de courrier indésirable, les filtres apprennent qu'il s'agit d'un spam et attribueront un score plus élevé à des messages similaires.

- Au contraire, en enlevant un message du dossier “Junk”, les filtres apprennent que c’est un ham; la prochaine fois, un score inférieur sera attribué.

Par défaut, tous les utilisateurs peuvent faire apprendre aux filtres en utilisant cette technique. Si un groupe appelé spamtrainers existe, seuls les utilisateurs de ce groupe seront autorisés à faire apprendre aux filtres.

L'apprentissage des filtres bayésiens s’applique à tous les utilisateurs du système et non pas uniquement à ceux qui ont marqué un courrier électronique en tant que spam ou ham.

Il est important de comprendre le fonctionnement des tests bayésiens:

1. Ils ne marquent pas les messages comme spam s'ils contiennent un sujet ou une adresse d'expéditeur spécifique. Ils ne font que collecter les caractéristiques particulières du message.
2. Un message ne peut être noté qu'une seule fois. Le même message noté plusieurs fois n’affecte rien, car les tests dynamiques ont déjà été appris pour ce message.
3. Les tests bayésiens ne sont actifs que s’ils reçoivent suffisamment d’informations; ce qui implique un minimum de 200 spams et de 200 hams.
   

Une bonne habitude est de vérifier fréquemment le dossier des courriels indésirables afin de ne pas perdre les courriels reconnus à tort comme spam.

Si le système ne reconnaît pas correctement les spams, même après avoir été éduqué, les listes blanches et les listes noires peuvent alors vous aider. Ce sont des listes d'adresses courriels ou de domaines, toujours autorisées ou toujours bloquées, pour envoyer ou recevoir des messages.

De retour à la page Configuration → Messagerie électronique → Filtre.

☑ Ajouter un préfixe au Sujet des messages considérés comme spam
On peut ajouter un préfixe au Sujet des messages considérés comme pourriel.

Règles par adresses mails

Cette section permet de créer trois types de règles:

1) - Nouveau blocage depuis: tout message de l'expéditeur spécifié est bloqué.

2) - Nouvelle autorisation depuis: tout message de l'expéditeur spécifié est accepté.

3) - Nouvelle autorisation pour: tout message au destinataire spécifié est accepté.

Il est possible de créer une règle Nouveau blocage ou Nouvelle autorisation même pour un domaine complet de messagerie et non pas seulement pour une adresse courriel unique: il vous suffit de spécifier le domaine souhaité (par exemple: nethserver.org).

- ▼ Dérouler le menu Nouveau blocage depuis.
- Cliquer Nouvelle autorisation depuis
- Entrer nethserver.org.
- Cliquer l'icône à droite.

SOUMETTRE.

Les vérifications antivirus sont appliquées malgré les paramètres de la liste blanche.

Interface web Rspamd

Le module anti-spam du Serveur NethServer est implémenté par Rspamd https://rspamd.com/ qui fournit une interface Web d’administration à laquelle on peut accéder:
- à l'URL: https://<HOST_IP>:980/rspamd,
- ou à l'URL: https://www.micronator-101.org:980/rspamd/,
- ou Statut → Application → Rspamd → OUVERT → on entre le justificatif de l'utilisateur admin → OK.

La page de RSPAMD s'affiche.

Le menu offre plusieurs choix d'affichage et de configurations.

Adresses mail

Chaque utilisateur possède une boîte aux lettres personnelle et tout nom d'utilisateur sous la forme <nom-d'utilisateur>@<domaine> est également une adresse électronique valide pour y envoyer des messages.

Gestion → Adresse mail → onglet Boîtes aux lettres utilisateurs affiche la liste des boîtes aux lettres.

Boîtes au lettres utilisateurs

Pour un utilisateur spécifique (ex: michelandre@micronator-dev.org), le bouton Éditer permet de dé­sactiver l'accès au service mail (IMAP, POP3, SMTP/AUTH). Les messages envoyés à la boîte aux lettres de cet utilisateur peuvent être transférés à une adresse électronique externe.

Si le système est lié à un fournisseur distant de comptes et qu'un compte d'utilisateur est supprimé à distance, la boîte aux lettres associée doit être effacée manuellement. Le préfixe du chemin du répertoire est /var/lib/nethserver/vmail/.

☑ Accéder au service mail
Permet d'activer/désactiver l'accès au service de messagerie. Ce paramètre est activé par défaut.

☐ Réseau local seulement
Parfois, une entreprise interdit les communications externes à l’organisation. L'option Réseau local seulement bloque la possibilité à une adresse de recevoir du courrier électronique de l'extérieur. Néanmoins, l'option Réseau local seulement peut être utilisée pour échanger des messages avec d'autres comptes du système.

☐ Transférer des messages
Lorsque coché, ce paramètre affiche un cadre pour entrer l'adresse courriel de destination du transfert.
On peut garder une copie du message sur le serveur.

☐ Quota de la boîte mails personnalisé
Permet d'ajuster le quota de la boîte aux lettres de cet utilisateur en cliquant et en glissant le curseur. (Défaut de 2 Go).

☐ Durée de rétention personnalisée des spams
Le curseur permet d'ajuster le temps de rétention des pourriels de cet utilisateur.

SOUMETTRE si on a modifié un paramètre.

Boîtes au lettres partagées

Les boîtes aux lettres peuvent être partagées entre des groupes d'utilisateurs. Cet onglet permet de créer une nouvelle boîte aux lettres partagée et d'en définir un ou plusieurs groupes propriétaires. Les boîtes aux lettres partagées peuvent également être créées par tout client IMAP prenant en charge l'extension de protocole IMAP ACL (RFC 4314).

Alias de messagerie

Le système permet la création d’un nombre illimité d’adresses électroniques supplémentaires, à partir de cet onglet.

Chaque alias de messagerie est associé à une ou plusieurs Destinations. Une destination peut être un des types suivants:

1. boîte aux lettres d'utilisateur,
2. boîte aux lettres partagée ou
3. adresse courriel externe.

Un alias de messagerie peut être lié à n'importe quel domaine de messagerie ou être spécifique à un domaine particulier.

Exemple:

1. Premier domaine: mondomaine.net.
2. Deuxième domaine: exemple.com.

Pour une adresse électronique valide pour les deux domaines (séparées par une virgule): info@mondomaine.net, info@exemple.com.

Pour une adresse courriel de l'usager toto, valide uniquement pour un domaine: toto@exemple.com.

Boîtes mails

Configuration → Messagerie électronique → Boîtes mails contrôle les protocoles disponibles pour accéder à une boîte aux lettres d'utilisateur.

Protocoles d'accès aux boîtes mails

☑ IMAP ¹³⁾ (recommandé)

☑ POP3 ¹⁴⁾ (obsolète)

☐ Autoriser les connexions non chiffrées
Pour des raisons de sécurité, tous les protocoles nécessitent par défaut, le chiffrage STARTTLS. Autoriser les connexions non chiffrées désactive cette exigence importante et permet de transmettre sur le réseau les mots de passe et le contenu du courrier en texte clair.

N'autorisez pas les connexions non chiffrées dans les environnements de production!

Espace disque

À partir de la même page (Configuration → Messagerie électronique → Boîtes mails), l'espace disque de toutes les boîtes aux lettres peut être limité à un quota par défaut.

⦿ Appliquer les quotas si cliqué/activé, la page Quota emails récapitule l'utilisation du quota pour chaque utilisateur. Ce résumé est mis à jour lorsqu'un utilisateur se connecte ou qu'un message est livré.

Le quota peut être personnalisé pour un utilisateur spécifique dans Gestion → Adresse mail → Boîtes aux lettres utilisateurs → vis-à-vis un utilisateur → Éditer → Quota de la boîte mails personnalisé.

Traitement des spams

De retour à la page Configuration → Messagerie électronique → Boîtes mails, les messages marqués comme pourriel peuvent être automatiquement déplacés en activant l'option Déplacer dans le dossier “Junk”.

Si cette option est activée, tous les spams pour tous les utilisateurs sont automatiquement supprimés à la fin de la période de conservation spécifiée.

La période de rétention du courrier indésirable peut être personnalisée pour un utilisateur spécifique dans Gestion → Adresse mail → Boîtes aux lettres utilisateurs → Éditer vis-à-vis un utilisateur:

☑ Durée de rétention personnalisée des spams.
Déplacer le curseur pour ajuster.

De retour à Configuration → Messagerie électronique → Boîtes mails, l'utilisateur root peut personnifier (emprunter l'identité d') un autre utilisateur et ainsi obtenir tous les droits et autorisations sur les dossiers et contenus du courrier de la boîte aux lettres de cet utilisateur.

☐ Root peut se connecter en tant qu'un autre utilisateur est le paramètre qui contrôle cette personnification qui est également appelée uti­li­sateur principal dans Dovecot¹⁵⁾.
Lorsque ce paramètre est activé, le justificatif d'identification suivant est accepté par le serveur IMAP:
♦ nom d'utilisateur avec le suffixe *root ajouté
♦ mot de passe de root

Exemple: pour accéder à la boîte aux lettres de michelandre, root doit utiliser le justificatif d'identification suivant:
♦ nom d'utilisateur: michelandre*root
♦ mot de passe: mot-de-passe-de-root

Messages

Configuration → Messagerie électronique → onglet Messages, le curseur Taille maximum des messages dans la file d'attente définit la taille maximale totale des messages dans la file d'attente du système de courriers. Si cette limite est dépassée, aucun message ne peut entrer dans le système et il est rejeté.

Une fois qu'un message entre dans NethServer, il est conservé dans une file d'attente, en attendant la livraison finale ou le relais vers un autre système.

Lorsque NethServer relaie un message vers un serveur distant, des erreurs peuvent survenir:

1. la connexion réseau a échoué, ou
2. l'autre serveur est en panne ou surchargé.

Ces erreurs et certaines autres sont temporaires. Dans ces cas, NethServer tente de se reconnecter à l'hôte distant à intervalles réguliers jusqu'à ce qu'une limite de temps soit atteinte. Le curseur Durée de vie des messages dans la file d'attente modifie cette limite. Par défaut, elle est définie à 4 jours.

Lorsque les messages sont dans la file d'attente, l'administrateur peut demander une tentative immédiate de relayer les messages en appuyant sur Statut → Queue d'e-mail → Tenter d'envoyer → à l'écran surgissant, Tenter d'envoyer.

L'administrateur peut supprimer sélectivement les messages en file d'attente ou vider complètement la file d'attente avec le bouton Supprimer tout.

De retour à Configuration → Messagerie électronique → Messages et pour conserver une copie cachée de tous les messages traversant le serveur de messagerie, cochez la case:

☐ Toujours envoyer une copie (Bcc)
Cette fonctionnalité est différente de la même case à cocher sous Configuration → Courrier (E-mail) → Domaine → Copie cachée (Bcc), car elle ne différencie pas les domaines de messagerie et traite également les messages sortants.

Dans certains pays, l'activation de l'option Toujours envoyer une copie (Bcc) peut être contraire aux lois sur la confidentialité.

Smarthost

La page Configuration → Courrier (E-mail) → Smarthost configure tous les messages sortant de manière à ce qu'ils soient dirigés vers un serveur SMTP spécial, techniquement appelé smarthost. Un smarthost accepte de relayer des messages sous certaines restrictions. Il pourrait vérifier:

1. l'adresse IP du client et
2. les informations d'identification du client SMTP AUTH.

L'envoi via un smarthost n'est généralement pas recommandé. Ce paramètre ne peut être utilisé que si le serveur est temporairement sur une liste noire¹⁶⁾ ou si l'accès SMTP normal est limité par le fournisseur d'accès Internet (FAI).

☐ Envoyer les messages en utilisant un smarthost
Par défaut, le Serveur NethServer tentera d'envoyer les courriels directement à la destination (recommandé dans la plupart des cas).
En choisissant plutôt d'envoyer par un smarthost, il essaiera de les transmettre via le serveur SMTP du FAI (recommandé en cas de connexion peu fiable, IP dynamique, etc.).
Nom d'hôte - Le nom du serveur de messagerie du fournisseur d'accès Internet.
Port - Le port du serveur de messagerie du FAI.
Nom d'utilisateur - Si le serveur du FAI requiert une authentification, spécifiez le nom d'utilisateur.
Mot de passe - Le mot de passe requis par le FAI.

☐ Autoriser les connexions non cryptées
Normalement, si vous utilisez une connexion authentifiée (avec nom d'utilisateur et mot de passe), une connexion chiffrée est requise pour protéger le mot de passe. La sélection de cette option permettra à une connexion non sécurisée de se connecter au FAI (non recommandé, à utiliser uniquement si le FAI a des problèmes).

Accès SMTP

Autoriser l'envoi à partir de ces adresses IP
Autoriser l'envoi de messages électroniques à partir de l'adresse IP spécifiée, sans authentification SMTP ni autres restrictions de sécurité. Cette option convient à un dispositif¹⁷⁾ réseau patrimonial¹⁸⁾ qui ne prend pas en charge le protocole SMTP/AUTH.

Ne changez pas la politique par défaut sur les nouveaux environnements!

Par exemple: certains périphériques (imprimantes, numériseur/digitaliseur,…) ne prennent pas en charge l'authentification SMTP, le chiffrage ou les paramètres de port. Ces périphériques peuvent être activés pour envoyer des courriels en entrant leur adresse IP dans la zone de texte Autoriser l'envoi à partir de ces adresses IP.

▼ Options avancées

☐ Autoriser l'envoi à partir des réseaux de confiance
Autorise l'envoi de messages électroniques à partir de n'importe quel hôte des réseaux de confiance, sans authentification SMTP ni autres restrictions de sécurité.

☐ Activer l'authentification sur le port 25
Les clients de messagerie devraient envoyer leurs messages uniquement à l'aide du port 587 d'envoi standard. Pour les environnements patrimoniaux, cette option active aussi l'authentification du client ainsi que le relais de messagerie sur le port 25.

Validation de l'adresse de l'expéditeur

Référence: https://github.com/NethServer/nethserver-mail#sender-address-validation.
Si la propriété postfix/SenderValidation est définie sur enabled, le serveur SMTP limite l'utilisation de la commande Mail from. L'adresse de l'expéditeur doit être associée au nom de connexion SMTP. La correspondance login/expéditeur est spécifiée dans les tables Postfix suivantes, toutes deux implémentées avec un gabarit e-smith: “/etc/postfix/login_maps” et “/etc/postfix/login_maps.pcre”.

(Optionnel) - Pour activer la propriété SenderValidation:

[root@dorgee ~]# config setprop postfix SenderValidation enabled

[root@dorgee ~]#

On signale le changement.

[root@dorgee ~]# signal-event nethserver-mail-server-update

[root@dorgee ~]#

On vérifie.

[root@dorgee ~]# config show postfix

postfix=service
    AccessBypassList=
    AccessPolicies=
    AlwaysBccAddress=
    AlwaysBccStatus=disabled
    ConnectionsLimit=0
    ConnectionsLimitPerIp=0
    HeloHost=
    MessageQueueLifetime=4
    MessageSizeMax=20000000
    MessageSizeMin=1048576
    SenderValidation=enabled
    SmartHostName=
    SmartHostPassword=
    SmartHostPort=25
    SmartHostStatus=disabled
    SmartHostTlsStatus=enabled
    SmartHostUsername=
    SystemUserRecipientStatus=disabled
    TCPPorts=25,465,587
    access=green,red
    status=enabled
[root@dorgee ~]#

Logs - Journaux

Administration → Logs

Chaque opération du serveur de messagerie est enregistrée dans les fichiers journaux suivants:

/var/log/imap - contient les opérations de connexion et de déconnexion des utilisateurs.

/var/log/maillog - enregistre toutes les transactions de courrier.

Une transaction enregistrée dans le fichier maillog implique généralement différents paramètres du serveur de messagerie. Chaque ligne contient respectivement:

1. l'horodatage,
2. le nom d'hôte,
3. le nom du composant et l'id du processus de l'instance du composant
4. et un message texte détaillant l'opération.

Webmail

Installation

Nous avons installé Webmail (Roundcube web mail) lors de l'installation des modules de la messagerie électronique au paragraphe Installation de la messagerie.

Description

Le client par défaut de la messagerie électronique est Roundcube. Les principales caractéristiques de Roundcube sont:

1. Simple et rapide.
2. Carnet d'adresses intégré avec le protocole LDAP interne.
3. Prise en charge des messages HTML.
4. Prise en charge des dossiers partagés.
5. Extensions.

Accès

Webmail est disponible aux URL suivantes:
- http://FQDN/webmail
- http://FQDN/roundcubemail

Pour un serveur avec l'adresse IP 192.168.1.1 et le nom de domaine micronator-101.org, les adresses valides sont les suivantes:
- http://192.168.1.1/webmail
- http://192.168.1.1/roundcubemail
- http://www.micronator-101.org/webmail
- http://www.micronator-101.org/roundcubemail
- https://mail.micronator-101.org/webmail
- https://mail.micronator-101.org/roundcubemail

La connexion est sécuritaire, le protocole http sera transformé en protocole https.

Pour accéder à Webmail sur un Hôte virtuel (dans le sens de NethServer et non pas de VirtualBox) il faut toujours employer: https://mail.FQDN/webmail ou https://www.mail.FQDN/webmail

Courriel de test

Remarque: si NethServer est lié à un fournisseur distant de comptes Active Directory, un compte utilisateur dédié dans AD est requis par le module pour être pleinement opérationnel! Voir Join an existing Active Directory domain à l'URL http://docs.nethserver.org/en/v7/accounts.html#join-existing-ad-section.

On accède à la messagerie électronique de notre Serveur NethServer:

http://www.micronator-101.org/webmail

Le pro­tocole devient automatiquement https.

L'utilisateur admin se logue.

La page de la boîte de réception d'admin s'affiche.

Rédiger pour écrire un nouveau message.

On rédige un message pour l'utilisateur michelandre → Envoyer.

Dans le répertoire Envoyés, le message est présent.

- Déconnexion.

- L'utilisateur michelandre se connecte à Webmail.

Le courriel d'admin a bien été reçu par michelandre.

On double-clique l'objet du courriel pour l'afficher.

Le message reçu de l'utilisateur admin s'affiche.

On clique l'icône Plus d'actions… pour afficher les menus masqués → Afficher la source.

La source du message s'affiche et on peut voir que la signature DKIM fait bien partie du message.

Return-Path: <admin@micronator-101.org>
Delivered-To: michelandre@micronator-101.org
Received: from dorgee.micronator-101.org
    by dorgee.micronator-101.org with LMTP id +AWSASDLTFymGQAAYOHJyQ
    for <michelandre@micronator-101.org>; Sat, 26 Jan 2019 16:03:28 -0500
Received: from www.micronator-101.org (localhost [127.0.0.1])
    by dorgee.micronator-101.org (Postfix) with ESMTP id D4CCF40C4CB3
    for <michelandre@micronator-101.org>; Sat, 26 Jan 2019 16:03:27 -0500 (EST)
DKIM-Filter: OpenDKIM Filter v2.11.0 dorgee.micronator-101.org D4CCF40C4CB3
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=micronator-101.org;
    s=default; t=1548536607;
    bh=sExTSFtDXS2NhmPa2QfkcvkqFW7fafSUx3JYA0b1hys=;
    h=Date:From:To:Subject:From;
    b=T99iieqd0qwbf287HUvjfAUGD51r0LZ25tAbzKGuLAVlszNP+Eyicym74ut88k9Lc
     Q930rXU/JYGxJNkSBn7DnH7nxpKGtl/cOP5qfiwK9Ha/GX5Wjer72886scv6joWMWF
     2ZrUB2NxeyLUmYfdATyoR1EcQb2R06vgRPMAHMLPuA3mZILvADwpq/F87sbAAv8xy7
     uMN+0L52KTiqqScWSxocEVpBrJ9bbLs2wmpbln+IhM6ads2XhG2ZG2Q6rLu9FbVmqU
     FxmXUEqg5y/5Bs1Kr65I8jizVBpxxm1/quf2xEqpJpJpnrOs5uJmQU6o2pvNw2P8G0
     w7yGCAsATAIKQ==
MIME-Version: 1.0
Content-Type: text/plain; charset=US-ASCII;
 format=flowed
Content-Transfer-Encoding: 7bit
Date: Sat, 26 Jan 2019 16:03:27 -0500
From: admin@micronator-101.org
To: Michel-Andre <michelandre@micronator-101.org>
Subject: Test de courriel
Message-ID: <7be97aa4c1187a12e5e741ddd58e3d2f@micronator-101.org>
X-Sender: admin@micronator-101.org
User-Agent: Roundcube Webmail/1.1.12

Bonjour le monde!

admin

Extensions

Roundcube prend en charge de nombreuses extensions qui sont déjà intégrées à l'installation.

Les extensions activées par défaut sont:

1. Manage sieve: gère les filtres pour le courrier entrant.
2. Mark as junk: marque les messages sélectionnés comme courriers indésirables et les déplace dans le dossier des courriers indésirables.

Extensions recommandées

1. New mail notifier → Notification de nouveau courrier.
2. Emoticons → Émoticônes.
3. VCard support → Support VCard.

Des extensions peuvent être ajoutées ou supprimées en modifiant la liste, séparée par des virgules, dans la propriété PluginsList.

Exemple pour activer: Notification de nouveau courrier, Marquer comme indésirables et Gérer les extensions sieve depuis la ligne de commande, exécutez:

config setprop roundcubemail PluginsList managesieve,markasjunk,newmail_notifier

On signale les changements.

signal-eventnethserver-roundcubememail-update

On peut trouver une liste des extensions disponibles dans le répertoire: /usr/share/roundcubemail/plugins.

Pour obtenir la liste, exécuter simplement:

[root@dorgee ~]# ls /usr/share/roundcubemail/plugins

acl                         help                 password
additional_message_headers  hide_blockquote      redundant_attachments
archive                     http_authentication  show_additional_headers
attachment_reminder         identity_select      squirrelmail_usercopy
autologon                   jqueryui             subscriptions_option
database_attachments        legacy_browser       userinfo
debug_logger                managesieve          vcard_attachments
emoticons                   markasjunk           virtuser_file
enigma                      newmail_notifier     virtuser_query
example_addressbook         new_user_dialog      zipdownload
filesystem_attachments      new_user_identity
[root@dorgee ~]#

Pour voir les extensions installées:

[root@dorgee ~]# config show roundcubemail

roundcubemail=configuration
    PluginsList=managesieve,markasjunk
    Server=localhost
    access=public
[root@dorgee ~]#

Accès à Webmail

Avec la configuration par défaut, Webmail est accessible via HTTPS à partir de n'importe quel réseau.

Si vous souhaitez restreindre l'accès uniquement aux réseaux verts et de confiance, exécutez:

config setprop roundcubememail access private

signal-event nethserver-roundcubememail-update

Si vous voulez ouvrir l'accès depuis n'importe quel réseau:

config setprop roundcubememail access public

signal-event nethserver-roundcubememail-update

Nom du serveur dans l'écran de connexion à Webmail

À l'écran de connexion à Webmail, dans le champ Serveur, le nom du domaine principal du serveur apparaît.

On peut supprimer complètement l'affichage de cette ligne.

Utile surtout si nous avons plusieurs domaines hébergés sur le Serveur NethServer, car peu importe le domaine auquel nous nous connectons, c'est toujours le nom du domaine principal qui est affiché.

Pour supprimer l'affichage de cette ligne, il nous faut modifier le fichier de configuration de PHP: /etc/roundcubemail/config.inc.php et y ajouter la ligne suivante: config['default_host'] = '127.0.0.1';.

Par contre, si nous modifions directement ce fichier, le prochain ré-amorçage écrasera la modification lorsque le serveur assemblera les gabarits de configuration du système.

Il nous faut donc créer un gabarit personnalisé et y insérer la nouvelle ligne de configuration. Ainsi, lors de l'assemblage des gabarits, le serveur incorporera le gabarit personnalisé aux gabarits standards de configuration de PHP.

Création du répertoire pour le gabarit personnalisé.

[root@dorgee ~]# mkdir -p /etc/e-smith/templates-custom/etc/roundcubemail/config.inc.php

[root@dorgee ~]#

On crée le fichier 91CacherNomDuServeur et on y insère la ligne de configuration.

Le numéro du fichier doit être plus petit que 95.

Prendre tout le contenu de l'encadré pour la commande.

cat > /etc/e-smith/templates-custom/etc/roundcubemail/config.inc.php/91CacherNomDuServeur <<'EOT'
$config['default_host'] = '127.0.0.1';

EOT

On vérifie.

[root@dorgee ~]# cat /etc/e-smith/templates-custom/etc/roundcubemail/config.inc.php/91CacherNomDuServeur

$config['default_host'] = '127.0.0.1';

[root@dorgee ~]#

Il n'y a pas de ligne vide avant $config['default_host'] = '127.0.0.1'; Nous en avons inséré une pour faciliter la copie de la commande.

On signale le changement.

[root@dorgee ~]# expand-template /etc/roundcubemail/config.inc.php

[root@dorgee ~]#

On redémarre le démon httpd.

[root@dorgee ~]# systemctl restart httpd

[root@dorgee ~]#

On se rend à l'URL de connexion à Webmail: https://www.micronator-101.org/webmail/.

Le domaine du serveur ne s'affiche plus.

Sauvegarde

On vérifie si le nom du répertoire /etc/e-smith/templates-custom/etc/roundcubemail/ est déjà présent dans le fichier d'inclusion de la sauvegarde des données: /etc/backup-data.d/custom.include, sinon on l'insère.

Prendre tout le contenu de l'encadré pour la commande.

NouvelleInclusion="/etc/e-smith/templates-custom/etc/roundcubemail/"
if grep -Fxq "$NouvelleInclusion" /etc/backup-data.d/custom.include
then
    # L'entrée a été trouvée dans custom.include
    echo -e "\nLe fichier custom.include contient déjà l'entrée:\n$NouvelleInclusion \n"
else
    # L'entrée n'a pas été trouvée dans custom.include
    echo -e "$NouvelleInclusion" >> /etc/backup-data.d/custom.include
    echo -e "\nL'entrée: $NouvelleInclusion a été ajoutée\n"
fi

On vérifie.

[root@dorgee ~]# cat /etc/backup-data.d/custom.include | grep roundcube

/etc/e-smith/templates-custom/etc/roundcubemail/
[root@dorgee ~]#

Ci-dessus, il n'y a pas de ligne vide avant /etc/e-smith/templates-custom/etc/roundcubemail/. Nous en avons inséré une afin de faciliter la copie de la commande.

Suppression de Webmail

Si vous souhaitez supprimer Roundcube, exécutez la commande suivante à la ligne de commande du serveur.

yum autoremove nethserver-roundcubemail

Migration des courriels vers NethServer

S'applique à la migration des courriels depuis des serveurs SME-8.x/9.x vers un serveur NethServer-7.6-1810.

Référence: http://docs.nethserver.org/en/latest/migration.html#email.

Lors d'une migration d'un serveur de messagerie, le serveur SOURCE peut être en production même après la synchronisation et les courriels continueront à y être livrés jusqu'à ce que le serveur SOURCE soit mis hors service.

Un script basé sur rsync est fourni avec le paquet nethserver-mail-server. Ce script s'exécute sur l'hôte DESTINATION et synchronise les boîtes aux lettres de l'hôte DESTINATION depuis l'hôte SOURCE.

Usage:

/usr/share/doc/nethserver-mail-server-<VERSION>/sync_maildirs.sh [-h] [-n] [-p] -s IPADDR

        -h         message d'aide
        -n         essai à vide (dry run)
        -p PORT    port ssh de SOURCE (22 par défaut)
        -s IPADDR  adresse IP de SOURCE
        -t TYPE    type de SOURCE: sme8 (par défaut), ns6

Le serveur SOURCE à l'adresse IPADDR doit être accessible par l'usager root via ssh avec authentification par clé publique.

Pour une migration complète d'un Serveur SME vers un Serveur NethServer, voir la marche à suivre à la page: http://docs.nethserver.org/en/latest/migration.html#.

Clé ssh

Le serveur DESTINATION doit générer une clé SSH, qu'on téléversera sur le serveur SOURCE, afin que l'utilisateur root puisse ouvrir un canal de communication SSH sans devoir fournir un mot de passe.

Génération de la clé SSH

Sur le serveur DESTINATION, on génère une clé SSH de type RSA et de 2048 bits.

1. On accepte le nom du fichier par défaut en tapant la touche [Entrée].
2. On n'utilise pas de phrase de passe¹⁹⁾ en tapant la touche [Entrée].
3. On confirme en tapant encore la touche [Entrée].

[root@destination ~]# ssh-keygen -t rsa -b 2048

Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): [Entrée]
Enter passphrase (empty for no passphrase): [Entrée]
Enter same passphrase again: [Entrée]
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:J2D2uKWZPz0RQrkP25FA+bDtp0EUp6BxUzu1jJFQk7M root@dorgee.micronator-101.org
The key's randomart image is:
+---[RSA 2048]----+
|  . ==B=+o       |
|   + o=X*.       |
|  .  .O=o* .     |
|     oE=* =      |
|      .=S*.o     |
|      .*.o+      |
|      =  . .     |
|       .. o      |
|        .. .     |
+----[SHA256]-----+
[root@ destination ~]#

On vérifie.

[root@ destination ~]# ls -als /root/.ssh/

total 12
0 drwx------  2 root root   57 22 janv. 21:20 .
0 dr-xr-x---. 4 root root  251 22 janv. 19:49 ..
4 -rw-------  1 root root 1675 22 janv. 21:20 id_rsa
4 -rw-r--r--  1 root root  412 22 janv. 21:20 id_rsa.pub
4 -rw-r--r--  1 root root  228 22 janv. 19:49 known_hosts
[root@ destination ~]#

La clé id_rsa est la clé privée qui doit toujours être cachée et n'être divulguée à absolument personne.

La clé id_rsa.pub est la clé publique et peut être partagée avec n'importe qui. Elle sert à chiffrer un message qui vous est destiné et que seule votre clé privée peut déchiffrer.

Téléversement de la clé SSH publique de root

Serveur DESTINATION, notre Serveur NethServer qui va recevoir les courriers depuis le serveur SOURCE, le serveur SME-8.x/9.x distant.

On téléverse la clé publique de root vers le serveur SOURCE afin que notre utilisateur root puisse entrer en communication avec SOURCE sans devoir utiliser un mot de passe lors d'une connexion SSH.

[root@destination ~]#  cat /root/.ssh/id_rsa.pub                 \
                           | ssh -p 2222 root@192.168.1.101      \
                           "cat >> /root/.ssh/authorized_keys2"

The authenticity of host '[192.168.1.101]:2222 ([192.168.1.101]:2222)' can't be established.
RSA key fingerprint is a0:2f:27:ab:cc:d8:c4:57:fc:57:ee:63:dd:58:dd:02.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[192.168.1.101]:2222' (RSA) to the list of known hosts.
root@192.168.1.101's password: mot-de-passe-de-root-du_serveur-SOURCE
[root@destination ~]#

● La première ligne: "cat /root/.ssh/.ssh/id_rsa.pub \" indique à SOURCE d'afficher la clé publique “id_rsa.pub” de root. Le caractère “\” à la fin de la ligne indique que la commande se poursuit sur la ligne suivante.

●Le caractère de pipe “|” au début de la deuxième ligne indique de passer le résultat de la commande précédente, c.-à-d. cat, à la commande suivante, c.-à-d. ssh. Le paramètre “-p 2222” indique d'utiliser le port 2222 pour la communication ssh. Le paramètre “root@192.168.1.101” indique de se connecter en tant que root à l'adresse “192.168.1.101”.

● La troisième ligne, qui est entre guillemets (“…”), indique au serveur SOURCE d'exécuter la commande qui se trouve entre ces guillemets. Donc, SOURCE, le serveur distant va afficher avec “cat” ce qu'il reçoit et va l'ajouter ">>" au fichier “/root/.ssh/authorized_keys2”.

Vérification de la connexion

On vérifie la connexion ssh sans mot de passe.

[root@destination ~]# ssh -p 2222 root@192.168.1.101

Last login: Tue Jan 22 21:34:14 2019 from 192.168.1.81
************ Welcome to SME Server 9.2 *************

Before editing configuration files, familiarise
yourself with the automated events and templates
systems.

Please take the time to read the documentation
http://wiki.contribs.org/Main_Page

Remember that SME Server is free to download
and use, but it is not free to build

Please help the project :
http://wiki.contribs.org/Donate

****************************************************
[root@source ~]#

La connexion sans mot de passe fonctionne correctement.

On vérifie le domaine de SOURCE.

[root@source ~]# cat /etc/hosts

#------------------------------------------------------------
#              !!DO NOT MODIFY THIS FILE!!
#
# Manual changes will be lost when this file is regenerated.
#
# Please read the developer's guide, which is available
# at http://www.contribs.org/development/
#
# Copyright (C) 1999-2006 Mitel Networks Corporation
#------------------------------------------------------------
127.0.0.1       localhost
192.168.1.101   source.micronator.org source
[root@source ~]#

Le domaine de SOURCE est: micronator.org.

On se désengage de la connexion sans mot de passe.

[root@source ~]# exit

logout
Connection to 192.168.1.101 closed.
[root@destination ~]#

Nous sommes de retour sur le serveur DESTINATION.

Migration des courriels

Seuls les utilisateurs qui ont un compte sur SOURCE et aussi un compte sur DESTINATION seront synchronisés.

Les nouveaux utilisateurs sur le Serveur NethServer doivent s'être déjà logués au moins une fois à Webmail pour que leur répertoire de messagerie /var/lib/nethserver/vmail/adresse-courriel soit créé sinon, leur courriels ne seront pas transférés.

● On vérifie l'usage du script.

Ajuster la version pour le nom du répertoire; nous utilisons la version 2.4.5 de nethserver-mail-server.

[root@dorgee ~]# /usr/share/doc/nethserver-mail-server-2.4.5/sync_maildirs.sh -h

Usage:
    /usr/share/doc/nethserver-mail-server-2.4.5/sync_maildirs.sh [-h] [-n] [-p] -s IPADDR
        -h          help message
        -n          dry run
        -p PORT     ssh port on source host (default 22)
        -s IPADDR   rsync from source host IPADDR
        -t TYPE     source type: sme8 (default), ns6

[root@dorgee ~]#

Test de Migration

● On lance un essai à vide.

Ajuster la version pour le nom du répertoire; nous utilisons la version 2.4.5 de nethserver-mail-server.

[root@dorgee ~]# /usr/share/doc/nethserver-mail-server-2.4.5/sync_maildirs.sh -n -p 2222 -s 192.168.1.101


>f+++++++++ cur/1548091187.24166.dorgee:2,S
.d..t...... new/
.d..t...... tmp/
[INFO] Tue Jan 22 21:51:13 EST 2019 -- Synchronizing root Maildir/
[INFO] Skip root because it exists only in ns7
[INFO] Tue Jan 22 21:51:13 EST 2019 -- Synchronizing vmail Maildir/
rsync: change_dir "/home/e-smith/files/users/vmail/Maildir" failed: No such file or directory (2)
rsync error: some files/attrs were not transferred (see previous errors) (code 23) at main.c(1650) [Receiver=3.1.2]
rsync: [Receiver] write error: Broken pipe (32)
[INFO] Tue Jan 22 21:51:13 EST 2019 -- Synchronizing vmail@micronator-101.org Maildir/
[INFO] Skip vmail@micronator-101.org because it exists only in ns7
[root@dorgee ~]#

Seuls les utilisateurs qui ont un compte sur SOURCE et aussi un compte sur DESTINATION seront synchronisés.

Migration réelle

● On lance la migration réelle. (Peut prendre un certain… être très patient.)

Ajuster la version pour le nom du répertoire; nous utilisons la version 2.4.5 de nethserver-mail-server.

[root@dorgee ~]# /usr/share/doc/nethserver-mail-server-2.4.5/sync_maildirs.sh -p 2222 -s 192.168.1.101

[INFO] Tue Jan 22 22:23:52 EST 2019 -- Synchronizing admin@micronator-101.org Maildir/
[INFO] Tue Jan 22 22:24:41 EST 2019 -- Synchronizing michelandre@micronator-101.org Maildir/
[INFO] Tue Jan 22 22:24:47 EST 2019 -- Synchronizing root Maildir/
[INFO] Skip root because it exists only in ns7
[INFO] Tue Jan 22 22:24:47 EST 2019 -- Synchronizing vmail Maildir/
rsync: change_dir "/home/e-smith/files/users/vmail/Maildir" failed: No such file or directory (2)
rsync error: some files/attrs were not transferred (see previous errors) (code 23) at main.c(1650) [Receiver=3.1.2]
rsync: [Receiver] write error: Broken pipe (32)
[INFO] Tue Jan 22 22:24:48 EST 2019 -- Synchronizing vmail@micronator-101.org Maildir/
[INFO] Skip vmail@micronator-101.org because it exists only in ns7
[root@dorgee ~]#

Fichiers journaux

Foire aux questions

Définition d’un journal

Un journal (log) est un fichier texte dans lequel sont écrits tous les événements qui lui sont associés. Par exemple, le journal messages contiendra, entre autres, les messages affichés au démarrage de votre serveur.

Répertoire des journaux

Les fichiers journaux se trouvent dans le répertoire /var/log. On y trouve, par exemple, notre fichier messages.

Journaux dans l'interface Web

Pour vous faciliter la tâche, les développeurs de NethServer on tout prévu! Pour rechercher et lire facilement un journal, connectez-vous à l'interface Web de NethServer. Dans la colonne de gauche, cliquez Administration → Logs.

Vous voulez visualiser le fichier messages, cliquez sur /var/log/messages.

Voir un journal

Trouver

Vous permet de rechercher des mots et des phrases dans tous les journaux du serveur.

Vous pouvez accéder directement à chaque journal via les liens répertoriés.

Afficher un seul journal

Vous permet de parcourir le contenu du journal sélectionné et de suivre le flux de texte en temps réel.

Fermer
Ferme la fenêtre du journal sélectionnée et revient à la page principale.

Vide
Permet de vider le contenu de la fenêtre du journal. Les données sont uniquement supprimées de la fenêtre d'affichage, aucune modification n'est apportée au contenu du journal.

Suivre
Met à jour, en temps réel, la fenêtre d'affichage avec toutes les nouvelles informations écrites dans le journal.

Arrêtez
Arrête la mise à jour de la visualisation du journal en temps réel.

Diagnostiques

External IP address

Statut → Diagnostiques → External Public IP affiche l'adresse publique du réseau (celle vue depuis l'Internet).

Adresses réseaux

Affiche les adresses IP de toutes les cartes réseau du système.

Route réseau

Référence: https://fr.wikipedia.org/wiki/Table_de_routage.
Une table de routage est une structure de données utilisée par un routeur ou un ordinateur en réseau et qui associe des préfixes à des moyens d'acheminer les trames vers leur destination.

Mail Test

Permet de vérifier que le serveur de courrier fonctionne correctement.

SENDMAIL pour envoyer un courriel de test à l'usager spécifié sous Mailbox to test.

L'utilisateur root se logue à Webmail.

L'utilisateur root a bien reçu le message de test.

Nslookup

Référence: https://fr.wikipedia.org/wiki/Nslookup.
nslookup est un programme informatique de recherche d'information dans le DNS, qui associe nom de domaine et adresses IP. nslookup permet donc d'interroger les serveurs DNS pour obtenir les informations définies pour un domaine déterminé.

Nom d'hôte ou IP: nethserver.org → NSLOOKUP.

Ping

Référence: https://fr.wikipedia.org/wiki/Ping_(logiciel).
Ping est le nom d'une commande informatique permettant de tester l'accessibilité d'une autre machine à travers un réseau IP. La commande mesure également le temps mis pour recevoir une réponse, appelé round-trip time (temps aller-retour).

Nom d'hôte ou IP: nethserver.org → PING.
Ping utilise une requête ICMP Request et attend une réponse Reply. L'envoi est répété pour des fins statistiques: déterminer le taux de paquets perdus et le délai moyen de réponse. Si d'autres messages ICMP sont reçus de la part de routeurs intermédiaires (comme TTL exceeded, Fragmentation needed, administratively prohibited…), ils sont affichés à l'écran.

Scan

Balaie le réseau LOCAL à la recherche d'adresses IP connectées à cette interface.

Network interfaces: em1 → SCAN.

→ 192.168.1.3: aiguilleur sans fil pour cellulaires, tablettes, etc.
→ 192.168.1.10: l'adaptateur téléphonique analogique HT-502. Voir le chapitre Adaptateur téléphonique analogique HT-502.
→ 192.168.1.81: le poste de travail.

SpeedTest

Vérifie la vitesse de téléchargement-téléversement de la carte réseau.

Network interfaces: em1 → SPEEDTEST.

Traceroute

Référence: https://fr.wikipedia.org/wiki/Traceroute.
traceroute (ou tracert sous Windows) est un programme utilitaire qui permet de suivre les chemins qu'un paquet de données (paquet IP) va prendre pour aller de la machine locale à une autre machine connectée au réseau IP. Il a été conçu au sein du Laboratoire national Lawrence-Berkeley.

Nom d'hôte ou IP: nethserver.org → TRACEROUTE.

Adaptateur téléphonique analogique HT-502

Description générale

Ce chapitre est optionnel.

Introduction

Ce chapitre présente la marche à suivre pour configurer un adaptateur téléphonique analogique HT-502 et le connecter à un réseau ayant un Serveur NethServer lui servant de passerelle.

But du HT-502

Grandstream HT502

Référence générale: http://www.grandstream.com/products/gateways-and-atas/analog-telephone-adaptors/product/handytone-502.

L'adaptateur téléphonique analogique Grandstream Handytone offre aux utilisateurs débutants de la téléphonie IP: une superbe qualité audio riche en termes de fonctionnalités, l'interopérabilité avec les principaux fournisseurs de VoIP et la compatibilité avec la plupart des fournisseurs de services. Le Handytone est compact, fonctionne avec n’importe quel téléphone avec ou sans fil, ou machine fax et offre la simplicité du prêt à l'emploi (plug-n-play) qui le rend idéal pour l’utilisateur de téléphonie IP de base.

- Ressources HandyTone 502: http://www.grandstream.com/support/resources/?title=HandyTone%20502.
- HT502 Dual FXS Port Analog Telephone Adaptor User Manual: (anglais) http://www.grandstream.com/sites/default/files/Resources/ht502_user_manual.pdf.

Téléphonie cellulaire gratuite par Internet

Fongo

Téléphonie cellulaire par Internet: http://www.micronator.org/?page_id=58 - Très utile pour vérifier le fonctionnement du HT-502.

Redirection de ports vers le HT-502

Introduction

Pour plus de sécurité, notre ATA ne sera pas directement relié à l'Internet, mais sera connecté sur le réseau LOCAL du Serveur NethServer. Lors de la configuration du HT-502, nous lui assignerons l'adresse IP statique 192.168.1.10.

Pour que l'ATA puisse recevoir et envoyer des appels, il faut que le Serveur NethServer redirectionne les ports utilisés par le HT-502.

Ports utilisés par le HT-502

http://www.grandstream.com/sites/default/files/Resources/ht502_user_manual.pdf page 42/43.

Local RTP port	Defines the local RTP port pair the HT502 will listen and transmit. The default value for FXS port 1 is 5004. The default value for FXS port 2 is 5012.
Local SIP port	Defines the local SIP port the HT502 will listen and transmit. The default value for FXS port 1 is 5060. The default value for FXS port 2 is 5062.

Nous voyons que les ports utilisés sont 5004 et 5060. Nous allons donc redirectionner ces ports du Serveur NethServer vers le HT-502.

Redirections des ports

Passerelle → Port Forwarding → CRÉER NOUVEAU.

- Cocher TCP,UDP
- Cocher Tout
- Port d'origine → 5004
- Port de destination → 5004
- On clique dans le cadre sous Hôte de destination.

- Un écran surgissant s'affiche.
- Sur la ligne Chercher… on entre HT-502 → [Entrée].
- Créer hôte “HT-502”.

- Nom: → ht-502 (en minuscule).
- Adresse IP: → 192.168.1.10.
- La Description est déjà entrée.
- SOUMETTRE.

- Autoriser seulement depuis: → 0.0.0.0.
- Description: → Port RTP local.
- SOUMETTRE.

CRÉER NOUVEAU.

- Cocher TCP,UDP et Tout.
- Port d'origine → 5060.
- Port de destination → 5060.
- On clique dans le cadre sous Hôte de destination.
- Sélectionner Hôte ht-502.

- Autoriser seulement depuis: → 0.0.0.0.
- Description: → Port SIP local.
- SOUMETTRE.

Peu importe d'où elles proviendront, les requêtes pour les ports 5004 et 5060 seront redirigés vers ceux de l'adaptateur HT-502.

Le Serveur NethServer est maintenant configuré pour permettre au HT-502 de recevoir des requêtes depuis l'Internet.

Si vous avez un télécopieur connecté au port #2 du HT-502 voir les pages suivantes:
http://support.t38fax.com/support/solutions/articles/19000015872-grandstream-handytone-502-ht502-ata
http://support.t38fax.com/support/solutions/articles/19000026933-recommended-fax-machine-settings
http://help.fluentcloud.com/support/solutions/articles/4000092935-recommended-setup-for-fax-ata-devices-in-my-fluentcloud-com

VoIP & HT-502

Réinitialisation à la configuration d'usine

1. On débranche tout du HT-502 sauf l'alimentation.
2. On s'assure que le HT-502 est à sa configuration d'usine en appuyant sur le bouton Reset pour au moins 7 secondes.
3. On attend 30 secondes pour la fin du réamorçage.

Branchement d'une station

1. On configure le poste de travail (Win-8.1) pour recevoir son adresse IP dynamiquement par DHCP.
   
2. Clac sur l'icône réseau sur la barre de notification → Ouvrir le Centre réseau et partage → Modifier les paramètres de la carte.
   
3. Double-cliquer la carte Éthernet → Propriétés →.
4. Double-cliquer Protocole Internet version 4 (TCP/IPv4).
5. Onglet Général → sélectionner Obtenir une adresse IP automatiquement.
6. Sélectionner Obtenir les adresses des serveurs DNS automatiquement.
7. OK.
8. Fermer toutes les fenêtres.

Pour pouvoir configurer le HT-502, on branche le poste de travail directement à son port LAN.

Le poste de travail recevra son adresse IP: 192.168.2.100 et celle de la passerelle: 192.168.2.1 du DHCP du HT-502.

Login

Il faut utiliser le mot de passe selon la page 28 du “User Manual” (anglais): http://www.grandstream.com/sites/default/files/Resources/ht502_user_manual.pdf.

Avec un navigateur Web du poste de travail, on se rend à l'adresse 192.168.2.1 et on se logue avec le mot de passe “admin”.

Statut

Lorsqu'on se logue, la page de l'on­glet STATUS est affichée et donne la configuration actuelle du HT-502.

Configuration

Onglet BASIC SETTINGS

1. End User Password: on entre un mot de passe robuste.
2. Web Port: on laisse le port Web à 80, le port par défaut.

1. Telnet Server: on sélectionne YES pour pouvoir y accéder en tout temps et vérifier les paramètres.
   Si on met ce serveur à NO, on ne pourra plus accéder au HT-502 après l'avoir réamorcé.

IP Address:

On choisit statically configured as: pour donner au HT-502 une adresse IP statique:

Statically configure as:

IP Address: → 192.168.1.10
Subnet Mask: → 255.255.255.0
Default Router: → 192.168.1.1
DNS Server 1: → 192.168.1.1.

Time Zone: → GMT-05:00 (Eastern Time)

- Reply to ICMP on WAN port: → Yes.
Pour pouvoir faire un ping afin de savoir si le HT-502 est vivant.

- WAN side HTTP/Telnet access: → Yes.
Pour pouvoir accéder en tout temps aux paramètres de con­fi­guration.

- Enable LAN DHCP: → Yes
On active le DHCP pour le port LAN.

- LAN DHCP Base IP: → 192.168.3.10.
Le port LAN sera à cette nou­vel­le adresse, car par défaut, le modem VDSL utilise déjà l'a­dresse 192.168.2.1.

Apply

Apply pour appliquer et enregistrer les nouveaux paramètres.

Réamorçage

Les paramètres ont été sauvegardés et seront effectifs seulement après un réamorçage.

On clique Reboot.

Attendre 30 secondes.

Vérifications

Port LAN

1) Débrancher le poste de travail du port LAN.
2) Déconnecter la prise d'alimentation du HT-502.
3) Attendre 30 secondes
4) Rebrancher l'alimentation du HT-502.

5) S'assurer que le poste de travail a toujours une connexion réseau IP dynamique par DHCP.
6) On reconnecte la station de travail au port LAN du HT-502.
7) On vérifie l'adresse reçue par la station de tra­vail.
Le poste de travail a bien reçu l'adresse 192.168.3.100 par le DHCP du port LAN du HT-502.

- Avec le navigateur du poste de travail, on se rend à 192.168.3.10, la nouvelle adresse de base du port LAN telle que définie au paragraphe Statically configure as.

- On entre le nouveau mot de passe donné précédemment au paragraphe End User Password.

- Login.

On est logué sans aucun pro­blème.

On voit que l'adresse 192.168.1.10 a bien été affectée au port WAN.

Tout ceci démontre que nos nouveaux pa­ra­mè­tres ont bien été sauvegardés et activés.

Comme le poste de travail est toujours con­nectée au port LAN et que nous pouvons communiquer avec le HT-502, nous pouvons en déduire que l'adresse IP de ce port est bien 192.168.3.10 car le poste de travail a reçu l'adresse 192.168.3.100 qui est bien la première adresse de la plage que le DHCP du HT-502 alloue telle qu'on peut la voir sur la capture d'écran ci-dessous.

Sous l'onglet BASIC SETTINGS, on peut voir que l'adresse IP du port LAN est maintenant 192.168.3.10 et que le DHCP est toujours activé pour ce réseau.

Port WAN

- Vu que l'adresse IP du port WAN est maintenant 192.168.1.10, on redonne les coordonnées IP ori­gi­na­les au poste de travail.

- On dé­bran­che le poste de travail du port LAN et on le branche au port WAN.

Login

- Avec le navigateur du poste de travail, on se rend à la nouvelle a­dresse du port WAN: 192.168.1.10.

- On vérifie qu'on peut se loguer en utilisant le nouveau mot de passe.

Si on ne peut se loguer, une erreur s'est glissée quelque part et il faut recommencer la configuration.

On clique l'onglet BASIC SETTINGS pour s'assurer qu'on peut y accéder.

- On clique sur l'onglet Advanced Settings.

- On nous demande un mot de passe.

- On entre le nouveau mot de passe.

- Login.

Lorsqu'on veut afficher le contenu de l'onglet Advanced Settings, le mot de passe n'est pas reconnu et on ne peut accéder aux paramètres avancées, ce qui est normal; voir le paragraphe Mot de passe du FAI ci-dessous.

Revérification du port LAN

- On remet le poste de travail pour qu'il recoive son adresse IP par DHCP et on le branche au port LAN.

- On revérifie l'adresse obtenue et elle est la même que précédemment: 192.168.3.100.

Mot de passe du FAI

- Avec le navigateur Web du poste de travail, on se rend à la nouvelle adresse du HT-502, c.-à-d. 192.168.3.10.

Après un réamorçage et un ré-approvisionnement par le FAI, un nouveau mot de passe est utilisé:

motdepassetrescomplexe

- On entre ce mot de passe du FAI et on clique Login.

- On peut se loguer sans problème et afficher le contenu de l'onglet Advanced Settings.

Connexion du HT-502 au réseau local

1) Débrancher le poste de travail du port WAN.
2) Débrancher l'alimentation du HT-502.
3) Brancher le port WAN à l'aiguilleur du réseau LOCAL.
4) Brancher la prise téléphonique au port PHONE1.
5) Rebrancher l'alimentation du HT-502 et attendre environ une minute pour les vérifications finales.

Vérifications finales

1) Sur le devant du HT-502, les DEL (LED) POWER et PHONE1 sont de couleur jaune et toujours allumées; WAN clignote.
2) On soulève le récepteur téléphonique et PHONE1 s'éteint.
2) On replace le récepteur téléphonique et PHONE1 redevient jaune.
4) Si on possède un télécopieur (Fax), on peut envoyer une télécopie qui demande de nous la retourner.
5) Pour vérifier la téléphonie, on téléphone à une copine et on lui demande de nous téléphoner pour s'assurer que tout est vraiment fonctionnel.

Notre Adaptateur téléphonique analogique HT-502 est parfaitement fonctionnel.

Logiciels utilitaires

Description

Certains logiciels peuvent s'avérer très utiles pour la gestion du Serveur NethServer.

PuTTY

Nous avons installé sur le poste de travail les logiciels utilitaires lors de l'étude du Cahier-02: Installation et configuration des logiciels prérequis et nous reproduisons ici leur utilisation au cas où vous ne disposeriez pas de ce cahier. Les exemples utilisés sont ceux du Cahier-02.

Lancer PuTTY → entrer les informations requises → Save → Open.

Lors de la première connexion, on accepte la clé de chiffrement.

On se logue avec root et le mot de passe qu’on lui a attribué lors de l’installation.

Vérification des cartes réseau.

[root@dorgee ~]# ifconfig

em1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.1  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 fe80::226:b9ff:fe7a:8edc  prefixlen 64  scopeid 0x20<link>
        ether 00:26:b9:7a:8e:dc  txqueuelen 1000  (Ethernet)
        RX packets 59110  bytes 19699640 (18.7 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 55554  bytes 30950756 (29.5 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device interrupt 16

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Boucle locale)
        RX packets 12405  bytes 2421429 (2.3 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 12405  bytes 2421429 (2.3 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

p1p1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet6 fe80::ee08:6bff:fe04:bf7e  prefixlen 64  scopeid 0x20<link>
        ether ec:08:6b:04:bf:7e  txqueuelen 1000  (Ethernet)
        RX packets 298360  bytes 346493886 (330.4 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 271444  bytes 54477460 (51.9 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

ppp0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1492
        inet 206.248.138.152  netmask 255.255.255.255  destination 206.248.155.132
        ppp  txqueuelen 3  (Protocole Point-à-Point)
        RX packets 144748  bytes 193633589 (184.6 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 143476  bytes 7507991 (7.1 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

[root@dorgee ~]#

PuTTY est fonctionnel.

WinSCP

Nous avons aussi installé WinSCP sur le poste de travail lors de l'étude du Cahier-02: Installation et configuration des logiciels prérequis.

On lance WinSCP, on entre les coordonnées de notre serveur → Sauver…

- On peut créer un raccourci sur le bureau.
- OK.

Outils → Préférences…

Fenêtre → Afficher le chemin complet.

- Panneaux.
- ☑ Afficher les fichiers cachés.
- ☑ Sélectionner le nom complet lors d'un renommage.
- OK.

- Les informations sont sauvegardées.
- Connexion pour se connecter.

- Lors de la première connexion, on accepte la clé de chiffrement → Oui.

- On entre le mot de passe de root du serveur distant → OK.

On peut copier d’un panneau vers l’autre en sélectionnant un ou plusieurs fichiers/répertoires puis cliquer/glisser.

WinSCP est fonctionnel.

Midnight Commander (mc)

Référence: https://fr.wikipedia.org/wiki/Midnight_Commander.
GNU Midnight Commander (mc) est un gestionnaire de fichiers multiplate-forme inspiré de Norton Commander et écrit par Miguel de Icaza. C'est une application en mode texte. L'interface principale se compose de deux “panneaux” qui affichent les fichiers présents par rapport à leur emplacement sur le disque. Midnight Commander inclut un éditeur de texte interne avec le repérage de la syntaxe, un outil permettant de visualiser le contenu d'un RPM, et un autre permettant de se connecter à un serveur FTP.

[root@dorgee ~]# yum install -y mc

...
Transaction Summary
============================================================================================
Install  1 Package (+1 Dependent package)

Total download size: 1.8 M
Installed size: 5.7 M
Downloading packages:
(1/2): gpm-libs-1.20.7-5.el7.x86_64.rpm                              |  32 kB  00:00:00
(2/2): mc-4.8.7-11.el7.x86_64.rpm                                    | 1.7 MB  00:00:01
--------------------------------------------------------------------------------------------
Total                                                       1.1 MB/s | 1.8 MB  00:00:01
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
  Installing : gpm-libs-1.20.7-5.el7.x86_64                                             1/2
...
  Verifying  : gpm-libs-1.20.7-5.el7.x86_64                                             2/2

Installed:
  mc.x86_64 1:4.8.7-11.el7

Dependency Installed:
  gpm-libs.x86_64 0:1.20.7-5.el7

Complete!
[root@dorgee ~]#

Pour lancer cet utilitaire: mc

[F-1] pour l'aide.

[F-10] pour quitter Midnight Commander.

locate

Référence: https://fr.wikipedia.org/wiki/Locate.
L'utilitaire locate est une commande Unix permettant de localiser (to locate en anglais) un fichier.

À la différence des autres méthodes de recherche, locate ne cherche pas les fichiers demandés dans l'arborescence des répertoires, mais dans une base de données mise régulièrement à jour (au moyen de la commande updatedb, que l'on automatise, si ce n'est pas déjà le cas, au moyen de cron). Cette base de données contient les références vers les fichiers contenus dans les répertoires du système.

L'avantage de cette méthode repose sur la grande rapidité d'une telle recherche. En revanche, tout ajout, suppression ou déplacement d'un fichier survenus entre deux mises à jour ne sera pas répercuté dans la base de données à moins d'une mise à jour manuelle.

[root@dorgee ~]# yum install -y mlocate

...
Transaction Summary
============================================================================================
Install  1 Package

Total download size: 113 k
Installed size: 379 k
Downloading packages:
mlocate-0.26-8.el7.x86_64.rpm                                        | 113 kB  00:00:01
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
  Installing : mlocate-0.26-8.el7.x86_64                                                1/1
  Verifying  : mlocate-0.26-8.el7.x86_64                                                1/1

Installed:
  mlocate.x86_64 0:0.26-8.el7

Complete!
[root@dorgee ~]#

Mise à jour de la BD de locate.

[root@dorgee ~]# updatedb

[root@dorgee ~]#

Exemple de recherche.

[root@dorgee ~]# locate .well-kno

/var/www/html/.well-known
/var/www/html/.well-known/acme-challenge
[root@dorgee ~]#

Shell In A Box

Référence: https://wiki.nethserver.org/doku.php?id=shellinabox.
Shell In A Box implémente un serveur Web capable d'exporter des outils arbitraires de ligne de commande vers un émulateur Web de terminal en utilisant la technologie Ajax pour donner l’apparence d’un shell natif. Cet émulateur est accessible à tout navigateur Web compatible JavaScript et CSS et ne nécessite aucune extension supplémentaire du navigateur.

Référentiel stephdl

Si ce n'est déjà fait, vous devez installer le référentiel stephdl.
Référence: https://wiki.nethserver.org/doku.php?id=stephdl_repository.

[root@dorgee ~]# yum install -y  http://mirror.de-labrusse.fr/NethServer/7/x86_64/nethserver-stephdl-1.0.7-1.ns7.sdl.noarch.rpm

...
Transaction Summary
============================================================================================
Install  1 Package

Total size: 40 k
Installed size: 40 k
...
Installed:
  nethserver-stephdl.noarch 0:1.0.7-1.ns7.sdl

Complete!
[root@dorgee ~]#

Vérification.

[root@dorgee ~]# rpm -qa | grep stephdl

nethserver-stephdl-1.0.7-1.ns7.sdl.noarch
[root@dorgee ~]#

Installation du module

[root@dorgee ~]# yum install -y nethserver-shellinabox --enablerepo=stephdl

...
Resolving Dependencies
...
Dependencies Resolved
...
Transaction Summary
============================================================================================
Install  1 Package (+1 Dependent package)

Total download size: 164 k
Installed size: 551 k
...
Installed:
  nethserver-shellinabox.noarch 0:0.1.6-1.ns7.sdl

Dependency Installed:
  shellinabox.x86_64 0:2.20-5.el7

Complete!
[root@dorgee ~]#

On rafraîchit la page de l'interface WEB pour faire apparaître les nouveaux menus.

Configuration → Paramètres du terminal pour définir des paramètres spécifiques.

☑ Activer Shellinabox
Active ou désactive le module.

● Port TCP
Définit le port TCP du démon.

⦿ Accès privé
Si vous sélectionnez cette options, vous ne pouvez utiliser Shellinabox que sur votre réseau LOCAL.
* L'authentification Apache peut être forcée avec la prochaine option.

☑ Forcer l'accès restreint de l'utilisateur
Apache est utilisé pour restreindre l'accès aux utilisateurs. Lorsque Shellinabox est défini sur l'Accès Privé, l'authentification d'Apache n'est pas obligatoire, mais vous pouvez le forcer ici. Apache doit autoriser un utilisateur, mais l'utilisateur doit toujours avoir un accès au shell du système.

⚪ Accès Public
Pour utiliser Shellinabox en dehors de votre réseau LOCAL.
Lorsque vous autorisez une connexion depuis l'extérieur de votre réseau local ou spécifiquement pour une ou plusieurs adresses IP, l'authentification de l'utilisateur est obligatoire. L'utilisateur admin est autorisé par défaut, mais vous pouvez ajouter plus d'utilisateurs. (Pour NS7 et NS6, vous devez définir un mot de passe dans le panneau de l'utilisateur du gestionnaire de serveur.)

⚪ Accès IP
Si cous sélectionnez cette options, l'accès n'est autorisé que depuis les adresses IP spécifiées (une adresse IP par ligne).

De plus, vous pouvez restreindre l'accès qu'à certains utilisateurs en cochant Forcer l'accès restreint de l'utilisateur et en spécifiant un utilisateur autorisé par ligne.

Si on change un paramètre: →

Redémarrage du démon

Statut → Services → shellinaboxd → Redémarrage.

Accès

Administration → Terminal.

On se logue avec le nom d'un des usagers autorisés.

À la console du Terminal, on se logue en utilisant root.

Sauvegarde

Description

Référence: http://docs.nethserver.org/en/v7/backup.html.
Une sauvegarde est le seul moyen de restaurer une machine en cas de sinistre. Le système gère deux types de sauvegardes:

1. Sauvegarde de la configuration
   Ce type de sauvegarde ne contient que les fichiers de configuration du système. Son objectif est de restaurer rapidement une machine en cas de récupération après sinistre.
2. Sauvegarde des données
   Ce type de sauvegarde est activé par l’installation du module Sauvegarde et contient, par défaut, toutes les données stockées dans le système (répertoires des utilisateurs, dossiers partagés, courriels, etc.). Cette sauvegarde s'exécute une fois par jour et peut être complète ou incrémentielle sur une base hebdomadaire (six incrémentielles et la septième complète). Elle contient également l'archive de la Sauvegarde de la configuration. Plusieurs sauvegardes peuvent être configurées pour enregistrer différentes données à des intervalles différents.
   Lorsque la machine est fonctionnelle, une restauration complète des données peut être effectuée même si la machine est déjà en production.

Sauvegarde de la configuration

Ces sauvegardes sont conservées dans: /var/lib/nethserver/backup/history.

Depuis la page Sauvegarde (configuration), la configuration du système peut être sauvegardée, téléchargée, téléversée et restaurée.

En outre, une tâche automatisée s'exécute chaque nuit à 00h15 et crée une nouvelle archive, /var/lib/nethserver/backup/backup-config.tar.xz, si la configuration a été modifiée au cours des dernières 24 heures.

Configuration

Configuration → Sauvegarde (configuration) → onglet Configurer → on spécifie le nombre de sauvegardes automatiques à conserver → SOUMETTRE.

Ces sauvegardes n'ont que quelques Ko; on peut en garder un assez grand nombre.

La liste des modules installés est incluse dans l'archive de sauvegarde. La procédure de restauration peut télécharger et installer automatiquement les modules énumérés.

Personnalisation

Exclusion de fichiers/répertoire

Si vous souhaitez exclure un fichier ou un répertoire de la Sauvegarde de la configuration, ajoutez une ligne au fichier /etc/backup-config.d/custom.exclude.

Inclusion

Dans la plupart des cas, il n'est pas nécessaire de modifier la Sauvegarde de la configuration, mais peut être utile par exemple si vous avez une configuration httpd personnalisée. Dans ce cas, vous pouvez ajouter le fichier contenant la personnalisation à la liste des fichiers à sauvegarder.

Si vous souhaitez ajouter un fichier ou un répertoire à la Sauvegarde de la configuration, ajoutez une ligne au fichier /etc/backup-config.d/custom.include.

Exemple: pour sauvegarder le répertoire /etc/e-smith/templates-custom/etc/roundcubemail/ qui contient le gabarit qui supprime l'affichage du nom du serveur lors d'une connexion à Webmail, ajoutez cette ligne:

/etc/e-smith/templates-custom/etc/roundcubemail/

N'ajoutez pas de gros répertoires ou fichiers à la Sauvegarde de la configuration.

Assurez-vous de ne pas laisser de lignes vides dans les fichiers modifiés. La syntaxe de la Sauvegarde de la configuration prend en charge uniquement les chemins simples pour les fichiers et répertoires.

Lancement de la sauvegarde de la configuration

Configuration → Sauvegarde (configuration) → CRÉER UNE SAUVEGARDE.

- Si l'écran ne s'affiche pas correctement, on l'agrandit.

- On entre une Description.
- CRÉER UN(E) SAUVEGARDE.

La sauvegarde a été créée et on voit sa description entrée précédemment lors de sa création.
On peut télécharger la sauvegarde sur le poste de travail en cliquant Télécharger.

Enregistrer le fichier | OK.

Ces fichiers ne sont pas très volumineux, quelques Ko seulement.

Enregistrer.

Restauration d'une configuration

On peut récupérer une ancienne sauvegarde stockée sur le poste de travail afin de la restaurer.

Envoyer.

Parcourir.

- On sélectionne la sauvegarde à récupérer.
- Ouvrir.

- On entre une description.
- ENVOYER.

La sauvegarde récupérée apparaît dans la liste et on peut la restaurer en cliquant Restaurer.

Les différents paramètres de la sauvegarde à restaurer apparaissent ci-dessous.

- Si l'option Télécharger les modules automatiquement est cochée, les modules nécessaires sont téléchargés et installés automatiquement.
- RESTAURER.

La tâche est en cours.

La restauration a réussie.

Nous aurions pu récupérer directement cette sauvegarde sans avoir à la télécharger, car elle est dans la liste de celles qui sont encore sur le Serveur NethServer.

Exemple de récupération du fichier de sauvegarde de la configuration

Pour une reprise après sinistre, on peut récupérer le fichier d'une sauvegarde de la configuration directement depuis le fichier backup-config.tar.xz dans le répertoire de stockage - D:\Sauvegarde.

On se rend dans le répertoire de stockage, on claque sur le fichier backup-config.tar.xz → 7-Zip → Ouvrir archive et on navigue jusqu'au répertoire \var/lib\nethserver\backup\history.

Le répertoire des sauvegardes de la configuration du serveur a bien été inclus dans la sauvegarde des données.

Clac sur le fichier s00.tar.xz → Copier vers…

OK.

Le fichier est récupéré.

On peut restaurer cette sauvegarde de la configuration de la même façon que la restauration précédente au paragraphe Restauration d'une configuration.

Sauvegarde des données

Les sauvegardes sont conservées dans: /var/lib/nethserver/backup/duplicity.
NethServer implémente deux types de sauvegarde des données:

1. Sauvegarde unique (primaire, par défaut, compatible avec les versions antérieures).
2. Sauvegardes multiples (multi-sauvegardes, multi-moteurs).

La sauvegarde des données peut être effectuée à l'aide de différents moteurs:

1. Duplicity (défaut) - http://duplicity.nongnu.org/.
2. Restic - https://restic.net/.
3. rsync - https://rsync.samba.org/.

Duplicity

Duplicity est le moteur par défaut pour NethServer. Il dispose d'un bon algorithme de compression qui réduira le stockage sur la destination. Duplicity nécessite une sauvegarde complète une fois par semaine. Lorsque le jeu de données est très volumineux, le processus peut prendre plus de 24 heures.

NethServer n’implémente pas le chiffrage des sauvegardes si le moteur est Duplicity.

Applications dorsales²⁰⁾ prises en charge:

1. CIFS
2. NFS
3. USB
4. WebDAV (seulement en cas de sauvegarde unique)

Sauvegarde unique

Il s'agit de la sauvegarde système par défaut pouvant être configurée et restaurée à l'aide de l'interface Web.

1. Peut être planifiée une fois par jour.
2. Peut inclure les journaux système.
3. Envoie des notifications à l'administrateur système ou à une adresse courriel externe.

Répertoire partagé pour les sauvegardes

1. Nos sauvegardes se feront avec le protocole CIFS (Common Internet File System).
2. Elles seront téléversées automatiquement dans le répertoire partagé D:\Sauvegarde que nous allons créer sur le poste de travail Win-8.1.

Il nous faut donc un répertoire partagé sur le poste de travail afin que le Serveur NethServer puisse y déposer les fichiers de la sauvegarde.

- On peut utiliser le répertoire déjà utilisé par les sauvegardes des autres serveurs.
- On peut aussi créer un nouveau répertoire Sauvegarde sur le disque D:\ du poste de travail.

Si Partager avec offre seulement les choix ci-dessous, fermer et ouvrir un autre Explorateur Windows.

Dans les menus de l'Explorateur Windows, Affichage → Options.

- Onglet Affichage.
- Décocher Utiliser l'Assistant Partage (recommandé).
- OK.

- On retourne au dossier Sauvegarde.
- Clac sur le nom du répertoire → Partager avec → Partage Avancé.

Onglet Partage → Partage avancé…

Cocher Partager ce dossier → Nom du partage: Sauvegarde apparaît → Autorisations.

Ajouter…

On entre le nom d'un utilisateur de la machine Windows, ex: michelandre → Vérifier les noms.

Le nom vérifié apparaît → OK.

Sélectionner michelandre → cocher toutes les Autorisations.

Sélectionner Tout le monde → décocher toutes les Autorisations → OK.

OK.

Le répertoire est partagé → OK.

Dans l'Explorateur Windows, l'utilisateur michelandre entre l'adresse du poste de travail: \\182.168.1.81 → [Entrée].

On voit le répertoire de partage: Sauvegarde.

Tout est correctement paramétré.

Installation du module

Administration → Gestionnaire des logiciels → on coche Sauvegarde → AJOUTER.

APPLIQUER LES CHANGEMENTS.

Recharger la page pour afficher les nouveaux menus.

Sauvegardes (données)

- Configuration → Sauvegarde (données) → onglet Général → on entre les informations demandées.

- On continue à entrer les informations demandées → SOUMETTRE.

Notification

Onglet Notification.

Notifier
⦿ Toujours
On préfère toujours être notifié lorsqu'une sauvegarde est effectuée.

⦿ Adresse email personnalisée
Pour recevoir les courriels. On entre l'adresse courriel de l'administrateur de tous les serveurs de notre site.

Adresse de l'expéditeur
On spécifie de quel serveur provient la notification.

SOUMETTRE.

Vérifications à la ligne de commande

Propriétés de Sauvegarde (configuration)

On affiche les propriétés de la configuration de Sauvegarde (configuration).

[root@dorgee ~]# config show backup-config

backup-config=configuration
    HistoryLength=31
    status=enabled
[root@dorgee ~]#

• HistoryLength: la valeur donnée au paramètre Configuration → Sauvegarde (Configuration) → Automatic backups to keep.
• status: propriété qui active ou désactive la sauvegarde automatique, peut être activée (enabled) ou désactivée (disabled). La valeur par défaut est activée. Indépendamment de cette propriété, la sauvegarde est toujours exécutée si elle est démarrée manuellement.

Propriétés de Sauvegarde (données)

On affiche les propriétés de la configuration de Sauvegarde (données).

[root@dorgee ~]# config show backup-data

backup-data=configuration
    IncludeLogs=enabled
[root@dorgee ~]#

• IncludeLogs: nous avons coché Configuration → Sauvegarde (données) → onglet Général → Advanced options → Include system logs au paragraphe Sauvegardes (données).

On affiche les propriétés de Sauvegarde (données).

[root@dorgee ~]# db backups show

backup-data=duplicity
    BackupTime=0 3 * * *
    CleanupOlderThan=56D
    FullDay=0
    Notify=always
    NotifyFrom=admin@micronator-101.org
    NotifyTo=michelandre@micronator.org
    Program=duplicity
    SMBHost=192.168.1.81
    SMBLogin=michelandre
    SMBPassword=mot-de-passe
    SMBShare=Sauvegarde
    Type=incremental
    VFSType=cifs
    status=enabled
[root@dorgee ~]#

On vérifie la propriété FullDay (dimanche=0, lundi-1, mardi=2…).

Personnalisation

Inclusion de fichiers/répertoires

On peut inclure des fichiers/répertoires supplémentaires en les spécifiant dans le fichier d'inclusion:

/etc/backup-data.d/custom.include

Pour le chemin d'un fichier, il ne faut pas inclure le caractère “/” à la fin du chemin.

Exemple: /etc/profile.d/activer-php72.sh.

Pour le chemin d'un répertoire et de son contenu, il faut inclure le caractère “/” à la fin du chemin.

Exemple: /etc/e-smith/templates-custom/etc/roundcubemail/.

Exclusion de fichiers/répertoire

On peut exclure des fichiers/répertoires supplémentaires en les spécifiant dans le fichier d'exclusion:

/etc/backup-data.d/custom.exclude

Grandeur des fichiers de sauvegarde

Comme on le voit avec la commande db backups show à la section Sauvegardes (données), la propriété VolSize=250 donnera des fichiers de sauvegarde de 250 Mo. Pour une sauvegarde de plusieurs Go, ce paramètre segmentera la sauvegarde en de très nombreux fichiers. Nous ajustons la grandeur des fichiers à 2 Go et ainsi facilitons l'examen du répertoire D:\Sauvegarde sur le poste de travail.

[root@dorgee ~]# db backups setprop backup-data VolSize 2048

[root@dorgee ~]#

On signale le changement.

[root@dorgee ~]# signal-event nethserver-backup-data-update

[root@dorgee ~]#

On vérifie.

[root@dorgee ~]# db backups show  |  grep VolSize

    VolSize=2048
[root@dorgee ~]#

Lancement forcé de la sauvegarde

Première sauvegarde

On peut forcer le lancement d'une sauvegarde en exécutant la commande ci-dessous.

[root@dorgee ~]# /sbin/e-smith/backup-data -b backup-data

Backup: backup-data
Backup started at 2019-02-08 13:28:03
Pre backup scripts status: SUCCESS
--------------[ Backup Statistics ]--------------
StartTime 1549650495.78 (Fri Feb  8 13:28:15 2019)
EndTime 1549650497.91 (Fri Feb  8 13:28:17 2019)
ElapsedTime 2.13 (2.13 seconds)
SourceFiles 419
SourceFileSize 24495192 (23.4 MB)
NewFiles 419
NewFileSize 24495192 (23.4 MB)
DeletedFiles 0
ChangedFiles 0
ChangedFileSize 0 (0 bytes)
ChangedDeltaSize 0 (0 bytes)
DeltaEntries 419
RawDeltaSize 24467434 (23.3 MB)
TotalDestinationSizeChange 1963840 (1.87 MB)
Errors 0
-------------------------------------------------

Action 'backup-data-duplicity backup-data': SUCCESS
Post backup scripts status: SUCCESS
Backup status: SUCCESS
Backup ended at 2019-02-08 13:28:19
Time elapsed: 0 hours, 0 minutes, 16 seconds

Disk Usage:
      Size       Used  Available     Use%
 917.83 GB  785.67 GB  132.16 GB    85.6%
[root@dorgee ~]#

Cette sauvegarde (1 918 Ko) est complète (full).

On vérifie la date.

[root@dorgee ~]# date

Fri Feb  8 13:32:59 EST 2019
[root@dorgee ~]#

Même si nous sommes vendredi et que nous avons paramétré les sauvegardes complètes pour les dimanches seulement, cette sauvegarde est complète, car c'est la première à ce jour.

Deuxième sauvegarde

On peut forcer une autre sauvegarde pour générer une incrémentielle.

[root@dorgee ~]# /sbin/e-smith/backup-data -b backup-data

Backup: backup-data
Backup started at 2019-02-08 13:35:07
Pre backup scripts status: SUCCESS
--------------[ Backup Statistics ]--------------
StartTime 1549650912.53 (Fri Feb  8 13:35:12 2019)
EndTime 1549650912.95 (Fri Feb  8 13:35:12 2019)
ElapsedTime 0.42 (0.42 seconds)
SourceFiles 422
SourceFileSize 24526628 (23.4 MB)
NewFiles 9
NewFileSize 23980 (23.4 KB)
DeletedFiles 0
ChangedFiles 70
ChangedFileSize 14856835 (14.2 MB)
ChangedDeltaSize 0 (0 bytes)
DeltaEntries 79
RawDeltaSize 457642 (447 KB)
TotalDestinationSizeChange 76371 (74.6 KB)
Errors 0
-------------------------------------------------

Les métadonnées locales et distantes sont déjà synchronisées. Aucune synchronisation nécessaire.
Date de la dernière sauvegarde complète : Fri Feb 08 13:28:03 2019
Aucun ancien jeu de sauvegarde n’a été trouvé, rien n’a été supprimé.
Action 'backup-data-duplicity backup-data': SUCCESS
Post backup scripts status: SUCCESS
Backup status: SUCCESS
Backup ended at 2019-02-08 13:35:14
Time elapsed: 0 hours, 0 minutes, 7 seconds

Disk Usage:
      Size       Used  Available     Use%
 917.83 GB  785.68 GB  132.15 GB    85.6%
[root@dorgee ~]#

La deuxième sauvegarde n'est que de (74.6 Ko) et est une incrémentielle (inc), car ce n'est pas la première à ce jour et nous ne sommes pas dimanche.

Troisième sauvegarde

Nous changeons la journée des sauvegardes complètes pour qu'elles aient lieu les vendredis au lieu des dimanches → SOUMETTRE.

On force une troisième sauvegarde.

[root@dorgee ~]# /sbin/e-smith/backup-data -b backup-data

Backup: backup-data
Backup started at 2019-02-08 13:44:43
Pre backup scripts status: SUCCESS
--------------[ Backup Statistics ]--------------
StartTime 1549651488.35 (Fri Feb  8 13:44:48 2019)
EndTime 1549651489.30 (Fri Feb  8 13:44:49 2019)
ElapsedTime 0.95 (0.95 seconds)
SourceFiles 422
SourceFileSize 24547401 (23.4 MB)
NewFiles 422
NewFileSize 24547401 (23.4 MB)
DeletedFiles 0
ChangedFiles 0
ChangedFileSize 0 (0 bytes)
ChangedDeltaSize 0 (0 bytes)
DeltaEntries 422
RawDeltaSize 24519532 (23.4 MB)
TotalDestinationSizeChange 1996425 (1.90 MB)
Errors 0
-------------------------------------------------

Les métadonnées locales et distantes sont déjà synchronisées. Aucune synchronisation nécessaire.
Date de la dernière sauvegarde complète : Fri Feb 08 13:28:03 2019
Aucun ancien jeu de sauvegarde n’a été trouvé, rien n’a été supprimé.
Action 'backup-data-duplicity backup-data': SUCCESS
Post backup scripts status: SUCCESS
Backup status: SUCCESS
Backup ended at 2019-02-08 13:44:51
Time elapsed: 0 hours, 0 minutes, 8 seconds

Disk Usage:
      Size       Used  Available     Use%
 917.83 GB  785.68 GB  132.15 GB    85.6%
[root@dorgee ~]#

La troisième sauvegarde est complète car nous avons paramétré les complètes pour les vendredis.
Si nous lançons une quatrième sauvegarde, elle sera complète elle aussi, car nous sommes toujours vendredi.

On remet le paramètre des sauvegardes complètes pour les dimanches.

Restauration des données

Marche à suivre:

1. Nous créons un fichier dans le répertoire personnel de root.
2. Nous lançons une sauvegarde.
3. Nous supprimons le fichier créé avant la sauvegarde, celui de la première étape.
4. Nous récupérons le fichier contenu dans la dernière sauvegarde.

1) - Nous créons un fichier dans le répertoire personnel de root.

[root@dorgee ~]# touch toto

[root@dorgee ~]#

On vérifie.

[root@dorgee ~]# ls -ls toto

0 -rw-r--r-- 1 root root 0 Feb  8 13:55 toto
[root@dorgee ~]#

2) - Nous lançons une sauvegarde.

[root@dorgee ~]# /sbin/e-smith/backup-data -b backup-data

Backup: backup-data
Backup started at 2019-02-08 13:56:09
Pre backup scripts status: SUCCESS
...
Action 'backup-data-duplicity backup-data': SUCCESS
Post backup scripts status: SUCCESS
Backup status: SUCCESS
Backup ended at 2019-02-08 13:56:17
Time elapsed: 0 hours, 0 minutes, 8 seconds

Disk Usage:
      Size       Used  Available     Use%
 917.83 GB  785.68 GB  132.15 GB    85.6%
[root@dorgee ~]#

3) - Nous supprimons le fichier créé avant la sauvegarde, celui de la première étape.

[root@dorgee ~]# rm toto

rm : supprimer fichier vide « toto » ? y
[root@dorgee ~]#

On vérifie.

[root@dorgee ~]# ls -ls toto

ls: impossible d'accéder à toto: Aucun fichier ou dossier de ce type
[root@dorgee ~]#

Restauration

Configuration → Restaurer les données.

▼ Backup file
On choisit la dernière sauvegarde.

▼ Mode de restauration
⦿ Restaurer les fichiers dans le chemin original.

Sélectionner un ou plusieurs dossiers ou fichiers à restaurer
On entre toto.

Dans l'arborescence, on choisit /root, le répertoire contenant le fichier à restaurer: /root, apparaît dans - Dossiers ou fichiers à restaurer.

RESTAURER.

Le message sur fond vert, en haut de l'écran: Restauré à la position initiale, indique que le fichier a été trouvé et restauré.

Si nous n'avions rien spécifié sous Sélectionner un ou plusieurs dossiers ou fichiers à restaurer, c'est tout l'arborescence qui aurait été alors restaurée.

Vérification

Nous vérifions que le fichier ait bien été restauré.

[root@dorgee ~]# ls -ls toto

0 -rw-r--r-- 1 root root 0 Feb  8 13:55 toto
[root@dorgee ~]#

Le fichier a été restauré.

Recherche de fichiers dans les sauvegardes

On peut rechercher un fichier dans les sauvegardes (peut prendre un certain temps).

[root@dorgee ~]# /sbin/e-smith/backup-data-list -b backup-data | grep toto

Fri Feb  8 13:55:22 2019 root/toto
[root@dorgee ~]#

La sauvegarde est fonctionnelle.

ClamAV

Introduction

Référence: https://wiki.nethserver.org/doku.php?id=clamscan.
Il n'y a pas beaucoup de virus conçus pour les distributions Linux, et par conséquent, la plupart des utilisateurs de tels systèmes ne se donnent pas la peine d'utiliser un logiciel antivirus. Toutefois, ceux qui souhaitent pouvoir analyser leur système, ou d’autres systèmes Windows connectés sur un PC Linux via un réseau, peuvent utiliser ClamAV. ClamAV est un moteur antivirus LIBRE conçu pour détecter les virus, les chevaux de Troie, les logiciels malveillants et autres menaces. Il prend en charge plusieurs formats de fichiers (documents, exécutables ou archives). Il utilise des fonctionnalités de balayages en traitement multifil²¹⁾ et reçoit les mises à jour de sa base de données de signatures au moins 3 à 4 fois par jour.

Installation

Prérequis

Si ce n'est déjà fait, vous devez installer le référentiel stephdl. Référence: https://wiki.nethserver.org/doku.php?id=stephdl_repository.

[root@dorgee ~]# yum install -y  http://mirror.de-labrusse.fr/NethServer/7/x86_64/nethserver-stephdl-1.0.7-1.ns7.sdl.noarch.rpm

...
Transaction Summary
============================================================================================
Install  1 Package

Total size: 40 k
Installed size: 40 k
...
Installed:
  nethserver-stephdl.noarch 0:1.0.7-1.ns7.sdl

Complete!
[root@dorgee ~]#

Vérification.

[root@dorgee ~]# rpm -qa | grep stephdl

nethserver-stephdl-1.0.7-1.ns7.sdl.noarch
[root@dorgee ~]#

Installation de ClamAV

[root@dorgee ~]# yum install -y nethserver-clamscan --enablerepo=stephdl

...
Transaction Summary
============================================================================================
Install  1 Package  (+1 Dependent package)
Upgrade             ( 6 Dependent packages)

Total download size: 60 k
...
Installed:
  nethserver-clamscan.noarch 0:0.1.2-3.ns7.sdl

Dependency Installed:
  clamav-scanner-systemd.x86_64 0:0.101.2-1.el7

Complete!
[root@dorgee ~]#

Mise à jour

On peut manuellement mettre à jour la BD des virus.

[root@dorgee ~]# freshclam

ClamAV update process started at Fri April  19 15:13:40 2019
main.cvd is up to date (version: 58, sigs: 4566249, f-level: 60, builder: sigmgr)
daily.cld is up to date (version: 25442, sigs: 1564671, f-level: 63, builder: raynman)
bytecode.cvd is up to date (version: 328, sigs: 94, f-level: 63, builder: neo)
[root@dorgee ~]#

On rafraîchit l'interface Web pour afficher le nouveau menu.

Configuration → Scanner Antivirus → onglet Clamscan.

☑ Activer l'analyse des fichiers système
On coche cette case.

⦿ Effectuer une analyse journalière
On choisit l'heure de l'analyse.

☑ Déplacer les fichiers détectés vers la corbeille
On coche cette case.

☑ Oui, je suis totalement sur
On coche cette case.

Comme on le voit, la BD des virus est à jour.

SOUMETTRE.

Onglet Détections, on prend les défauts.

Onglet Fichiers, on prend les défauts.

Onglet PUA, on prend les défauts.

À l'onglet Quarantaine, on peut récupérer les fichiers qui ont généré une fausse alarme.

Onglet Signatures, on prend les défauts.

Lancement manuel d'un balayage

À la console du Serveur NethServer, on peut lancer un balayage en arrière-plan en ajoutant & à la fin de la commande de démarrage.

[root@dorgee ~]# /sbin/e-smith/nethserver-clamscan &

[1] 25238
[root@dorgee ~]#

On vérifie.

[root@dorgee ~]# ps aux | grep -i nethserver-clamscan

root     25238  0.0  0.2 151384  7848 pts/0    S    16:40   0:00 /usr/bin/perl -w /sbin/e-smith/nethserver-clamscan
root     25695  0.0  0.0 112708   988 pts/0    R+   16:47   0:00 grep --color=auto -i nethserver-clamscan
[root@dorgee ~]#

L'interface Web affiche que le balayage est En cours d'exécution.

Lorsque le balayage sera terminé, le message ci-dessous apparaît à la console du Serveur NethServer.

[root@dorgee ~]#
[1]+  Done                    /sbin/e-smith/nethserver-clamscan
[root@dorgee ~]#

On peut examiner le résultat du balayage en allant à: Configuration → Scanner Antivirus → onglet Quarantaine.

Pour la documentation, en anglais seulement, voir:
https://github.com/Cisco-Talos/clamav-faq/tree/master/manual.

Appendice

Écran conventionnel de démarrage

Si nous voulons voir l'écran conventionnel de démarrage tel que ci-contre, il suffit de supprimer un seul paramètre dans le fichier de configuration de grub:

/etc/default/grub

Suppression du paramètre rhgb

Ligne originale dans le fichier /etc/default/grub.

GRUB_CMDLINE_LINUX="crashkernel=auto rd.lvm.lv=VolGroup/lv_root rd.lvm.lv=VolGroup/lv_swap nodmraid rhgb quiet"

Après avoir enlevé le paramètre rhgb.

GRUB_CMDLINE_LINUX="crashkernel=auto rd.lvm.lv=VolGroup/lv_root rd.lvm.lv=VolGroup/lv_swap nodmraid quiet"

On signale le changement en régénérant le fichier de configuration.

[root@dorgee ~]# grub2-mkconfig -o /boot/grub2/grub.cfg

Generating grub configuration file ...
Found linux image: /boot/vmlinuz-3.10.0-957.5.1.el7.x86_64
Found initrd image: /boot/initramfs-3.10.0-957.5.1.el7.x86_64.img
Found linux image: /boot/vmlinuz-3.10.0-957.el7.x86_64
Found initrd image: /boot/initramfs-3.10.0-957.el7.x86_64.img
Found linux image: /boot/vmlinuz-0-rescue-8ee070fd1a7a4e8daf17a7dae9f85ac1
Found initrd image: /boot/initramfs-0-rescue-8ee070fd1a7a4e8daf17a7dae9f85ac1.img
done
[root@dorgee ~]#

Au prochain réamorçage, le nouveau fichier grub sera effectif.

Fermeture automatique de session (session timeout)

Référence: http://docs.nethserver.org/en/v7/access.html#session-timeouts.
Par défaut (à partir de NethServer 7.5.1804), une session de gestion du serveur se termine après 60 minutes d'inactivité (délai d'inactivité) et expire 8 heures après la connexion (durée de vie de la session).

La commande ci-dessous définit 2 heures de délai d'inactivité et 16 heures de durée de vie de session maximale. Le temps est exprimé en secondes.

[root@dorgee ~]# config setprop httpd-admin MaxSessionIdleTime 7200 MaxSessionLifeTime 57600

[root@dorgee ~]#

Désactivation des délais.

[root@dorgee ~]# config setprop httpd-admin MaxSessionIdleTime '' MaxSessionLifeTime ''

[root@dorgee ~]#

Les nouvelles valeurs de délais affecteront les nouvelles sessions. Ils ne changent aucune session active.

Fuseau horaire

Pour le fuseau horaire, il existe un fichier pour Montréal.

[root@dorgee ~]# ls -ls /usr/share/zoneinfo/America/ | grep Montreal

 4 -rw-r--r--  3 root root 3477  1 avril 08:27 Montreal
[root@dorgee ~]#

Changement du fuseau horaire

On affiche le fuseau horaire actuel.

[root@dorgee ~]# ls -l /etc/localtime

lrwxrwxrwx 1 root root 37 19 mai   23:48 /etc/localtime -> ../usr/share/zoneinfo/America/Toronto
[root@dorgee ~]#

On change le fuseau horaire pour celui de Montréal.

[root@dorgee ~]# timedatectl set-timezone America/Montreal

[root@dorgee ~]#

On vérifie.

[root@dorgee ~]# ls -l /etc/localtime

lrwxrwxrwx 1 root root 38 22 mai   14:02 /etc/localtime -> ../usr/share/zoneinfo/America/Montreal
[root@dorgee ~]#

Le fuseau horaire Montréal est récupéré.

Changement du mot de passe de root

Référence: https://www.rootusers.com/how-to-reset-root-user-password-in-centos-rhel-7/.
Réinitialiser le mot de passe de root est normalement une tâche simple si vous êtes déjà connecté avec les privilèges de root. Toutefois, si vous oubliez le mot de passe et devez le changer, les choses deviennent un peu plus difficiles.
Le processus a changé de la version 6 de CentOS/RHEL (Red Hat Enterprise Linux) à la version 7. Auparavant, vous démarriez en mode mono-utilisateur, puis changiez le mot de passe en tant qu'utilisateur root. À partir de la version 7, les modes équivalents sont: mode de secours et mode d’urgence. Cependant, ces modes d'opération nécessitent le mot de passe de root avant de pouvoir faire quoi que ce soit. Cette section va vous guider dans le nouveau processus pour changer le mot de passe perdu de root. Cette procédure doit être exécutée directement à la console du Serveur NethServer, assurez-vous donc que vous y avez accès avant de commencer.

Comme pour toutes les tâches de maintenance du système, assurez-vous de disposer d'une sauvegarde/instantané du système avant de poursuivre.

Si votre système Linux est en cours d'exécution, redémarrez-le. S'il ne roule pas, démarrez-le.

Pour CentOS 7, le menu de démarrage vous laissera 5 secondes pour sélectionner le noyau du système d’exploitation à démarrer. Ces 5 secondes sont importantes, car elles permettent aux administrateurs de sélectionner différents noyaux ou d’éditer les paramètres du noyau existant avant le démarrage.

Dans le menu de démarrage, appuyez sur “e” pour modifier le noyau existant tel qu'indiqué ci-dessous.

Dans les options de grub, recherchez la ligne débutant par linux16 et allez à la fin. Entrez rd.break à la fin de cette ligne tel qu'indiqué ci-dessous.

rd.break

Appuyez sur [Ctrl] + [x] pour démarrer avec ces options qui vous amèneront à l'invite initramfs avec un shell root.

À ce stade, le système de fichiers racine est monté en mode lecture seule (ro) dans le répertoire /sysroot et doit être remonté avec les autorisations de lecture/écriture (rw) pour que nous puissions réellement apporter certaines modifications. Ceci est réalisé avec la commande mount -o remount,rw /sysroot.

switch_root:/# mount -o  remount,rw  /sysroot

switch_root:/#

Une fois le système de fichiers remonté, changez-le en une prison chroot afin que le répertoire /sysroot soit utilisé comme racine du système de fichiers. Ceci est nécessaire pour que toutes les commandes que nous exécuterons se rapportent à /sysroot. La commande à lancer est chroot /sysroot.

switch_root:/# chroot /sysroot

sh-4.2#

À partir d'ici, le mot de passe de root peut être réinitialisé à l’aide de la commande passwd.

sh-4.2# passwd

Changing password for user root.
New password: Nouveau-mot-de-passe-de-root
Retype new passwd: Nouveau-mot-de-passe-de-root
passwd: all authentification tokens updated successfully.
sh-4.2#

Si vous n'utilisiez pas SELinux, vous pourriez redémarrer à ce stade et tout irait bien. Cependant, par défaut, CentOS/RHEL-7 active SELinux. Nous devons donc corriger le contexte du fichier /etc/shadow. En effet, lorsque la commande passwd est exécutée, elle crée un nouveau fichier /etc/shadow. SELinux n'étant pas en cours d'exécution dans ce mode, le fichier est créé sans aucun contexte SELinux, ce qui peut entraîner des problèmes lors du redémarrage.

On crée le fichier /.autorelabel à l’aide de touch.

sh-4.2# touch /.autorelabel

sh-4.2#

La création de ce fichier effectuera automatiquement un ré-étiquetage de tous les fichiers au prochain démarrage. Notez que cela peut prendre un certain temps en fonction de la quantité de fichiers que vous avez. Peut prendre environ 2 minutes pour un serveur CentOS-7 ordinaire.

On quitte l'environnement chroot.

sh-4.2# exit

exit
sh-4.2#

On quitte le shell racine initramfs (peut prendre un certain temps, être patient…). Le serveur s'amorce.

sh-4.2# exit

logout
...

Vérification

À la console du serveur, vous devriez pouvoir vous connecter et utiliser le système avec le nouveau mot de passe que vous avez créé.

ERROR Failed to send host log message

Cette erreur s'affiche seulement lors de l'amorçage d'un serveur roulant sous VirtualBox.

- On arrête le Serveur NethServer.
- À l'écran VirtualBox, on sélectionne la machine → État actuel (modifié) → Configuration.

Au retour, on amorce le Serveur NethServer et le message ne s'affichera plus.

Affichage → onglet Écran → Contrôleur graphique → on change pour VboxVGA → OK.

Martian source

Si dans le fichier journal /var/log/messages, vous voyez plusieurs lignes telles que ci-dessous, c'est que l'IP de la passerelle du réseau vert de la carte enp0s3 ou les Serveurs DNS ne sont corrects.

...IPv4: martian source 192.168.1.1...
...IPv4: martian source 192.168.1.1...
...IPv4: martian source 192.168.1.1...

Passerelle du réseau de la carte enp0s3

On trouve notre passerelle en lançant un traceroute vers google.com

[root@dorgee ~]# traceroute google.com

traceroute to google.com (172.217.165.14), 30 hops max, 60 byte packets
 1  lo0-0-lns03-tor.teksavvy.com (206.248.155.139)  10.367 ms  11.449 ms  11.487 ms
 2  ae0-2150-bdr01-tor.teksavvy.com (69.196.136.172)  11.523 ms  11.793 ms  11.826 ms
 3  72.14.212.134 (72.14.212.134)  11.868 ms  12.430 ms  12.306 ms
 4  74.125.244.161 (74.125.244.161)  12.736 ms 74.125.244.145 (74.125.244.145)  14.002 ms 74.125.244.161 (74.125.244.161)  13.174 ms
 5  216.239.40.255 (216.239.40.255)  13.577 ms  13.923 ms 216.239.41.175 (216.239.41.175)  13.923 ms
 6  yyz12s06-in-f14.1e100.net (172.217.165.14)  13.020 ms  12.009 ms  11.291 ms
[root@dorgee ~]#

L'adresse IP de la ligne #1 est 206.248.155.139 et elle est donc la passerelle utilisée par notre connexion.

Configuration → Réseau → Périphérique enp0s3 → Éditer.

On change l'IP de la passerelle pour l'IP de l'interface vert / enp0s3 → 206.248.155.139.

SOUMETTRE.

Serveurs DNS

Référence: https://korben.info/1-1-1-1-ou-9-9-9-9-ou-8-8-8-8-quel-dns-choisir.html.
… Le DNS de Cloudflare est un bon DNS, car il est le plus rapide, mais aussi parce qu'ils ont pris les devants et s'engagent à ne pas revendre les données, et ne conservent pas les logs au-delà de 24h…
Le principal avantage bien sûr, c'est que contrairement au DNS de Google qui permet de mieux vous profiler pour vous balancer de la pub, on sait que Cloudflare ne trempe pas là dedans. Cela reste une boîte américaine, donc c'est évidemment à prendre avec toutes les précautions d'usage…

Référence: pour 8.8.8.8 - https://www.dnsperf.com/dns-resolver/google.

Autre référence: comparaison mondiale des performances de différents DNS:
https://medium.com/@nykolas.z/dns-resolvers-performance-compared-cloudflare-x-google-x-quad9-x-opendns-149e803734e5.

Référence: pour ci-dessous 1.1.1.1 - https://www.dnsperf.com/#!dns-resolvers.

Configuration → Réseau → Serveurs DNS.

On ajuste le DNS Primaire et Secondaire.

Le serveur DNS primaire 1.1.1.1 est le plus rapide et le plus utilisée de tout l'Internet.

Le serveur DNS secondaire 206.248.182.3 est le défaut de notre FAI.

Soumettre.

Si votre FAI filtre l'adresse 1.1.1.1, prendre 8.8.8.8 ou une de celles citées dans la référence ci-dessous:
https://medium.com/@nykolas.z/dns-resolvers-performance-compared-cloudflare-x-google-x-quad9-x-opendns-149e803734e5.

Victoire totale, hissons la bannière de la victoire.

---

Crédits

© 2017-2018-2019 RF-232
Auteur: Michel-André CLP.
Remerciement: Tous les contributeurs GNU/GPL.
Intégré par: Michel-André Robillard CLP.
Contact: michelandre at micronator.org

Historique des modifications

Répertoire de ce document: E:\000_DocPourRF232_general\RF-232_NethServer\RF-232_Cours_NethServer-101_Cahier-05_VDSL_FQDN_Internet_NethServer_2019-08-05_16h52.odt.

Historique des modifications:

Version	Date	Commentaire	Auteur
1.0.0	2017-01-20	Début.	Michel-André
2.0.0	2018-03-23	Mise à jour.	Michel-André
3.0.0	2018-11-07	Mise à jour.	Michel-André
4.0.0	2019-01-12	Adaptation pour NethServer-7.6.1810.	Michel-André
4.0.1	2019-04-30	- Ajout du logo de Let's Encrypt. - Ajout du paragraphe But de ce cahier avec diagramme. - Coquille nethserver-mail-server-2.4.5. - Coquille dans le nom du domaine de messagerie. - Ajout pour “martian source”. - Coquille de devnet au lieu de ~. - Ajout de ClamAV. - Ajout de Shell In A Box. - Ajout du répertoire du gabarit personnalisé pour Roundcubedans la sauvegarde des données. - Ajout pour l'ajustement des fichiers de sauvegarde - VolSize à 2 GB. - Ajout d'un fichier de configuration z_well-known.conf pour Apache afin que le répertoire .well-known soit accessible par Let's Encrypt. - Corrections mineures.	Michel-André
4.0.2 RC-002	2019-06-16	- Corrections mineures. - Ajout pour Let's Encrypt; répertoire .well-known. - Réorganisation du chapitre Messagerie électronique.	Michel-André
4.1.0	2019-07-15	- Corrections orthographiques - Ajout d'une entrée DNS et d'un alias de messagerie pour le domaine chez NoIP. - Ajustements pour DokuWiki.	Michel-André
12345678901			12345678901

<html><hr style=“width:50%; margin: 0 auto;”></html>

AVIS DE NON-RESPONSABILITÉ

Ce document est uniquement destiné à informer. Les informations, ainsi que les contenus et fonctionnalités de ce do­cument sont fournis sans engagement et peuvent être modifiés à tout moment. RF‑232 n'offre aucune garantie quant à l'actualité, la conformité, l'exhaustivité, la qualité et la durabilité des informations, contenus et fonctionnalités de ce document. L'accès et l'utilisation de ce document se font sous la seule responsabilité du lecteur ou de l'utilisateur.

RF‑232 ne peut être tenu pour responsable de dommages de quelque nature que ce soit, y compris des dommages di­rects ou indirects, ainsi que des dommages consécutifs résultant de l'accès ou de l'utilisation de ce document ou de son contenu.

Chaque internaute doit prendre toutes les mesures appropriées (mettre à jour régulièrement son logiciel antivirus, ne pas ouvrir des documents suspects de source douteuse ou non connue) de façon à protéger le contenu de son ordina­teur de la contamination d'éventuels virus circulant sur la Toile.

Toute reproduction interdite Vous reconnaissez et acceptez que tout le contenu de ce document, incluant mais sans s’y limiter, le texte et les images, sont protégés par le droit d’auteur, les marques de commerce, les marques de service, les brevets, les secrets industriels et les autres droits de propriété intellectuelle. Sauf autorisation expresse de RF-232, vous acceptez de ne pas vendre, délivrer une licence, louer, modifier, distribuer, copier, reproduire, transmettre, afficher publiquement, exécuter en public, publier, adapter, éditer ou créer d’oeuvres dérivées de ce document et de son contenu.

Avertissement

Bien que nous utilisions ici un vocabulaire issu des techniques informatiques, nous ne prétendons nullement à la précision technique de tous nos propos dans ce domaine.

¹⁾

FQDN: Dans le DNS, un Fully Qualified Domain Name (FQDN, ou nom de domaine complètement qualifié) est un nom de domaine qui révèle la position absolue d'un nœud dans l'arborescence DNS en indiquant tous les domaines de niveau supérieur jusqu'à la racine. On parle également de domaine absolu, par opposition aux domaines relatifs. Par convention, le FQDN est ponctué par un point final.
Référence: https://fr.wikipedia.org/wiki/Fully_qualified_domain_name.

²⁾

Table de mappe de clavier: n.f. Disposition des touches d'un clavier.
Référence:http://www.granddictionnaire.com/ficheOqlf.aspx?Id_Fiche=18050861#eng.

³⁾

Smarthost: Un smarthost est un serveur de messagerie via lequel des tiers peuvent envoyer des courriers électroniques et les transférer sur les serveurs de messagerie des destinataires.
Référence:https://en.wikipedia.org/wiki/Smart_host.

⁴⁾

Référentiel: En informatique, un dépôt ou référentiel (de l'anglais repository) est un stockage centralisé et organisé de données. Ce peut être une ou plusieurs bases de données où les fichiers sont localisés en vue de leur distribution sur le réseau ou bien un endroit directement accessible aux utilisateurs.La plupart des distributions GNU/Linux utilisent des dépôts accessibles sur Internet, officiels et non officiels, permettant aux utilisateurs de télécharger et de mettre à jour des logiciels compatibles. Ces logiciels sont distribués sous forme de paquets.
Référence:https://fr.wikipedia.org/wiki/D%C3%A9p%C3%B4t_(informatique).

⁵⁾

Dossiers partagés: Un dossier partagé est un endroit où un groupe de personnes peut accéder à des fichiers en utilisant Samba(SMB/CIFS).

⁶⁾

Mise en forme de trafic - Technique qui permet d'analyser le trafic des données dans un réseau et de l'adapter au débit disponible, de manière à éviter toute forme de congestion.
Référence: http://www.granddictionnaire.com/ficheOqlf.aspx?Id_Fiche=8359282.

⁷⁾

IPS - Un système de prévention d'intrusion (ou IPS, Intrusion Prevention System) est un outil des spécialistes en sécurité des systèmes d'information, similaire aux IDS, permettant de prendre des mesures afin de diminuer les impacts d'une attaque. C'est un IDS actif, s'il détecte un balayage automatisé, l'IPS peut bloquer les ports automatiquement. Les IPS peuvent donc parer les attaques connues et inconnues. Comme les IDS, ils ne sont pas fiables à 100 % et risquent même en cas de faux positif de bloquer du trafic légitime.
Référence: https://fr.wikipedia.org/wiki/Deep_packet_inspection.

⁸⁾

DPI - En informatique et en télécommunication, la Deep Packet Inspection (DPI), en français inspection approfondie des paquets, est l'activité pour un équipement d'infrastructure réseau consistant à analyser le contenu (au-delà de l'en-tête) d'un paquet réseau (paquet IP le plus souvent) de façon à en tirer des statistiques, à filtrer ceux-ci, à les prioriser ou à détecter des intrusions, du spam ou tout autre contenu prédéfini. La DPI peut servir notamment à la censure sur Internet ou dans le cadre de dispositifs de protection de la propriété intellectuelle.
Elle s'oppose au Stateful Packet Inspection, qui ne concerne que l'analyse de l'en-tête des paquets. La DPI peut provoquer un ralentissement sensible du trafic là où elle est déployée.
Référence: https://fr.wikipedia.org/wiki/Syst%C3%A8me_de_pr%C3%A9vention_d%27intrusion.

⁹⁾

Port 587 is reserved for email message submission as specified in this document. Messages received on this port are defined to be submissions. The protocol used is ESMTP [SMTP-MTA, ESMTP], with additional restrictions or allowances as specified here.Although most email clients and servers can be configured to use port 587 instead of 25, there are cases where this is not possible or convenient. A site MAY choose to use port 25 for message submission, by designating some hosts to be MSAs and others to be MTAs.
Référence: https://www.ietf.org/rfc/rfc4409.txt.

¹⁰⁾

Greylisting: Le greylisting (mot anglophone signifiant “inscription sur liste grise”) est une technique de lutte anti-spam très simple qui consiste à rejeter temporairement un message électronique, par émission d’un code de refus temporaire au serveur informatique émetteur (MTA). Dans la majorité des cas, les serveurs émetteurs réexpédient le courriel après quelques minutes. La plupart des serveurs émettant des spams ne prennent pas cette peine. Au surplus, s'ils le font, ça laisse le temps aux logiciels piégeurs de spam de les inscrire sur des listes noires de spammeurs.
Référence: https://fr.wikipedia.org/wiki/Greylisting.

¹¹⁾

Filtrage bayésien du spam: le filtrage bayésien du spam (en référence au théorème de Bayes) est une technique statistique de détection de pourriels s'appuyant sur la classification naïve bayésienne.Les filtres bayésiens fonctionnent en établissant une corrélation entre la présence de certains éléments (en général des mots, parfois d'autres choses) dans un message et le fait qu'ils apparaissent en général dans des messages indésirables (spam) ou dans des messages légitimes (ham) pour calculer la probabilité que ce message soit un spam.Le filtrage bayésien du spam est une technique puissante pour traiter le courrier électronique indésirable. Elle s'adapte aux habitudes de courrier des uns et des autres et produit un taux de faux positifs suffisamment bas pour être acceptable.
Référence: https://fr.wikipedia.org/wiki/Filtrage_bay%C3%A9sien_du_spam.

¹²⁾

HAM: par opposition aux messages indésirables, les logiciels de filtrage de courrier électronique tels que SpamAssassin définissent comme “ham”, littéralement “jambon”, tout message électronique légitime.
Référence: https://fr.wikipedia.org/wiki/Spam#Origine_du_terme_%C2%AB_spam_%C2%BB.

¹³⁾

IMAP: Au sens strict, Interactive Message Access Protocol, devenu avec IMAP-4 Internet Message Access Protocol (IMAP), est un protocole qui permet d'accéder à ses courriers électroniques directement sur les serveurs de messagerie. Son fonctionnement est donc à l'opposé de POP qui, lui, récupère les messages localement (vers le poste de travail) via un logiciel spécialisé. L'évolution des différentes versions d'IMAP (IMAP 4) en fait aujourd'hui un protocole permettant également de récupérer les messages localement.
Référence: https://fr.wikipedia.org/wiki/Internet_Message_Access_Protocol.

¹⁴⁾

POP: En informatique, le POP (Post Office Protocol, littéralement “protocole de bureau de poste”), est un protocole qui permet de récupérer les courriers électroniques situés sur un serveur de messagerie électronique. En dehors d'un paramétrage spécifique, POP se connecte au serveur de messagerie, s'authentifie, récupère le courrier, “peut” effacer le courrier sur le serveur, et se déconnecte.
Ce protocole a été réalisé en plusieurs versions; respectivement POP1, POP2 et actuellement POP3.
Cette opération transite sur un réseau TCP/IP et utilise le protocole de transfert TCP via le port 110. Ce protocole est défini par la RFC 1939.
Référence: https://fr.wikipedia.org/wiki/Post_Office_Protocol.

¹⁵⁾

Dovecot est un serveur IMAP et POP3 pour les systèmes d'exploitation Unix et dérivés, conçu avec comme premier but la sécurité. Dovecot est distribué en double licence MITx et xGPL version 2.
Référence: https://fr.wikipedia.org/wiki/Dovecot.

¹⁶⁾

DNS Black Listing (DNSBL) est une méthode permettant de consulter une liste noire d'émetteurs de courrier électronique en utilisant le protocole DNS. Le nom DNS Black Listing vient de l'expression anglaise black list qui signifie liste noire.
Référence: https://fr.wikipedia.org/wiki/DNS_Black_Listing.

¹⁷⁾

dispositif: n. m. unité qui assure la réalisation d'une opération particulière, indispensable au bon fonctionnement d'un système informatique, d'une machine ou d'un appareil.
Référence: http://www.granddictionnaire.com/ficheOqlf.aspx?Id_Fiche=8357059.

¹⁸⁾

patrimonial: se dit de composants, logiciels ou matériels, issus d'une génération ou d'une version dépassée et qui continuent d'être utilisés, après des ajustements, en même temps que la technologie contemporaine d'une entreprise.Note: Les entreprises ont continué à supporter et à entretenir des environnements patrimoniaux qui auraient dû être changés depuis longtemps.
Référence: http://www.granddictionnaire.com/ficheOqlf.aspx?Id_Fiche=8390423.

¹⁹⁾

phrase de passe: Groupe de mots et de caractères alphanumériques ou spéciaux, faisant office de mot de passe, connu de l'utilisateur seulement, qui sert à protéger sa clé privée et à l'identifier lors d'une connexion ou d'un transfert de fichier, tout en lui assurant une plus grande sécurité.
Notes:Les phrases de passe ne diffèrent des mots de passe que par la longueur. Les mots de passe sont généralement très courts - de 6 à 10 caractères -, alors que les phrases de passe peuvent comporter jusqu'à 100 caractères (et même plus). Leur longueur et la combinaison des mots et des caractères alphanumériques contribuent à les rendre plus difficiles à deviner que les mots de passe, et donc plus sûres.
Une phrase de passe doit être: connue que de l'utilisateur, suffisamment longue pour être sûre, difficile à deviner, facile à retenir et à saisir sans erreur. Certains considèrent qu'elle devrait atteindre 80 à 100 caractères pour être vraiment efficace.
Référence:http://www.granddictionnaire.com/ficheOqlf.aspx?Id_Fiche=8361195.

²⁰⁾

Applications dorsales: Programme qui, dans une architecture client-serveur, traite les commandes en provenance de l'application frontale.
Référence: http://www.granddictionnaire.com/ficheOqlf.aspx?Id_Fiche=26527120.

²¹⁾

Traitement multifil: Traitement multitâche qui se traduit par l'exécution simultanée des fils d'un même processus, et qui permet d'accélérer l'exécution d'un programme par l'exploitation à d'autres fins du temps d'attente imposé au processeur lors de l'accès aux données.Notes:- Le traitement multifil est très utilisé, notamment pour le traitement synchronisé de données audio et vidéo.- Lors du traitement multifil, les fils constituant le processus sont exécutés de façon imbriquée de manière à simuler la simultanéité.- À la différence du multitraitement qui fonctionne au niveau de l'application, le traitement multifil fonctionne au niveau des fils du processus. Il a l'avantage de consommer moins de ressources que le traitement simultané de plusieurs processus. Par contre, il implique la synchronisation du partage des ressources et de la mémoire du processeur entre les différents fils qui composent le processus traité.
Référence: http://www.granddictionnaire.com/ficheOqlf.aspx?Id_Fiche=8351242.

nethserver_101_cahier_05_vdsl_fqdn_internet_et_nethserver.txt · Dernière modification : 2025-01-12 19:30 de 127.0.0.1

---