
               Installation de votre nouveau domaine Mini-HOWTO

Christopher Neufeld <neufeld@linuxcare.com>
Traduction franaise par Genevive Gracian <ggracian@free.fr> le 7 fvrier 2001

   version 0.12 du 17 octobre 2000
     _________________________________________________________________

   _Ce document survole les oprations que vous serez probablement amen
    raliser quand vous voudrez mettre en place un rseau d'ordinateurs
   sous votre propre domaine. Il couvre la configuration du rseau, des
   services rseau ainsi que les paramtrages relatifs  la scurit._
     _________________________________________________________________

1. Notes

1.1 Mise en garde

   Ce texte est une introduction. J'ai pass sous silence beaucoup de
   choses qui pourraient tre prsentes bien plus en dtail et j'ai,
   probablement, rat entirement des paragraphes importants. Toute
   suggestion concernant des complments, suppressions, ou aspects sur
   lesquels je devrais donner plus ou moins de prcisions est la
   bienvenue.

1.2 Nouvelles versions de ce document

   La version la plus rcente de ce document peut tre trouve  :
   http://caliban.physics.utoronto.ca/neufeld/Domain.HOWTO/.

1.3 Copyright

   Copyright (c) Christopher Neufeld. Ce document peut tre distribu
   selon les termes et conditions noncs dans la licence LDP  l'adresse
   http://www.linuxdoc.org/COPYRIGHT.html.

2. Introduction

   Le prsent document est un guide pour mettre en place votre propre
   domaine de machines Linux ou d'un mlange de machines Linux et de
   machines Windows sur une connexion permanente avec une IP fixe et un
   domaine propre.

   Il n'est pas vraiment appropri pour des installations qui utilisent
   des adresses IP dynamiques, ou qui sont rgulirement dconnectes de
   leur fournisseur d'accs pendant de longues priodes ; cependant, des
   conseils de base pour mettre en place de telles installations figurent
   dans la section Utiliser une IP dynamique.

   Avec la dmocratisation des connexions permanentes et des IPs
   statiques, il est devenu plus ais pour les personnes et les
   organisations de mettre en place un vritable domaine avec la prsence
   internet qui y est associe. Une planification rigoureuse peut rduire
   les problmes pouvant se poser par la suite.

   L'essentiel de ce document dcrit les techniques pour mettre en place
   une scurit discrte sur le rseau nouvellement expos. Il traite de
   la protection contre les attaques extrieures et contre les attaques
   internes  fortuites . Il ne prtend pas proposer une une
   installation extrmement scurise mais en gnral suffisante pour
   dissuader les agresseurs les moins obstins.

   Ce document s'adresse en premier lieu  de petites organisations ayant
   un rseau prexistant, ventuellement une connexion  dial-up 
   partage, qui cherchent  voluer vers une connexion permanente
   relativement rapide, tant pour mettre en oeuvre des changes de
   fichiers avec le monde extrieur que pour crer un site www ou ftp. Il
   concerne galement de nouvelles organisations qui veulent sauter les
   tapes prliminaires et mettre en place tout de suite une connexion
   rapide et hberger des services sous leur propre domaine.

   Tout au long de ce document, je traiterai de la configuration d'un
   nouveau rseau enregistr sous le nom de _example.com_. Notez que
   example.com est rserv par l'IANA pour une utilisation dans les
   documentations et, par consquent, ne correspondra jamais  un domaine
   existant.

   La plupart des informations du prsent document est disponible
   ailleurs. J'ai essay de synthtiser l'essentiel concernant la
   cration d'un nouveau domaine. Si les dtails sur un sujet spcifique
   semblent  simplets , vous pouvez consulter un des documents plus
   explicites.

   Ce document couvrira galement le cas d'un environnement mixte compos
   de plusieurs systmes d'exploitation. Plus spcialement je suppose que
   les postes de travail fonctionnent sous Windows, alors que les
   serveurs et passerelles fonctionnent sous Linux.

3. Dfinir la topologie de votre rseau

   Bien qu'il existe des arguments en faveur de diffrentes
   architectures, les exigences de bien des organisations peuvent tre
   satisfaites en intgrant les postes de travail et les serveurs privs
   dans un rseau priv, et les machines publiques sur des adresses IP
   externes valides. Les machines possdant les adresses IP publiques
   seront appeles dans la suite de ce document  htes exposs . Ceci
   conduit  la topologie suivante (exemple) :

+--------------+
|              |               +---------------+
| routeur du   |---------------| serveur FTP   |
| fournisseur  |        |      +---------------+
| d'accs      |        |
|              |        |
+--------------+        |      +----------------+
                        |------| serveur WWW #1 |
                        |      +----------------+
                        |
                        |      +----------------+
                        |------| serveur WWW #2 |
                        |      +----------------+
                        |
                        ~
                        ~
                        |
                        |      +---------------+
                        |------| passerelle    |
                               | de rseau     |
                               | priv         |
                               +---------------+
                                       |
                                       |
                                       |
                                       |
      +------------+                   |      +------------------+
      | station #1 |-------------------|------| serveur priv #1 |
      +------------+                   |      +------------------+
                                       |
             .      -------------------|--------        .
             .                         |                .
             .      -------------------|--------        .
                                       |
      +------------+                   |      +------------------+
      | station #N |-------------------|------| serveur priv #N |
      +------------+                          +------------------+

   Dans cet exemple, le routeur du FAI (fournisseur d'accs Internet --
   provider--), le serveur FTP, les serveurs WWW et la machine dsigne
   comme passerelle de rseau priv ont tous des adresses IP visibles
   depuis l'extrieur, alors que les stations et les serveurs privs ont
   des adresses IP rserves pour une utilisation prive. Voir la
   RFC1918 : http://www.ietf.org/rfc/rfc1918.txt ;
   http://abcdrfc.free.fr/rfc-vf/rfc1918.html en version franaise. Les
   adresses IP que vous choisissez pour votre rseau priv (tout ce qui
   est sous votre passerelle de rseau priv) doivent tre uniques, mais
   pas seulement par rapport  l'ensemble des htes qui sont sous votre
   contrle ; elles ne doivent pas non plus entrer en conflit avec des
   adresses attribues dans les autres rseaux privs similaires, sur
   d'autres sites ou partenaires, avec lesquels vous pourriez vouloir un
   jour dvelopper un rseau priv virtuel ; et ceci dans le but d'viter
   dboires et reconfigurations lorsque les deux rseaux seront relis de
   cette manire. Comme indiqu dans la RFC, vous pouvez opter pour un
   rseau de classe C entre les plages d'adresses 192.168.0.* et
   192.168.255.*, un rseau de classe B compris entre les plages
   d'adresses 172.16.*.* et 172.31.*.*, ou bien, un rseau de classe A
   10.*.*.*. Dans la suite de ce document, je supposerai que votre rseau
   priv (si vous avez choisi d'en crer un) est un rseau de classe C
   sur la plage 192.168.1.*, que l'interface extrieure de votre
   passerelle de rseau priv a l'adresse IP 10.1.1.9, une des adresses
   qui vous ont t alloues par le FAI (notez qu'il ne s'agit pas d'une
   adresse publique valide, je ne l'utilise que comme exemple). Je
   supposerai galement qu'il y a une machine, betty.example.com 
   l'adresse 10.1.1.10, qui supporte simultanment le service FTP et le
   service www.

   Faites le compte du nombre d'adresses IP externes dont vous avez
   besoin pour vos machines. Vous aurez besoin d'une adresse pour chacune
   des machines installes du cot externe de la passerelle de rseau
   priv, plus une pour la passerelle elle-mme. Ce compte n'inclut pas
   toute IP qui pourrait tre attribue  d'autres routeurs, adresses de
   diffusion, etc. Vous devez demander  votre fournisseur d'accs un
   bloc d'adresses suffisamment grand pour mettre en place toutes vos
   machines. Par exemple, sur mon rseau professionnel, parmi les huit
   adresses IP alloues par le FAI, trois n'taient pas utilisables par
   mes ordinateurs, laissant la place pour quatre machines  l'extrieur
   de la passerelle, plus la passerelle elle-mme.

   Cette topologie de rseau ne vaut pas pour tout le monde, mais elle
   constitue un point de dpart raisonnable pour beaucoup de
   configurations qui n'ont pas de besoin particulier. Les avantages de
   cette configuration sont les suivants  :

     * facilit de dveloppement. Si vous souhaitez doubler le nombre de
       vos noeuds dans le rseau priv, vous n'avez pas besoin de faire
       appel  votre fournisseur pour obtenir une plage d'adresses
       supplmentaire ni reconfigurer l'ensemble des interfaces de vos
       machines.
     * contrle local du rseau. Ajouter une nouvelle station de travail
       sur votre rseau priv ne requiert aucune intervention de votre
       provider, contrairement  l'ajout d'htes exposs ; ceux-ci ont
       besoin d'tre cartographis (connus) dans les bases de donnes DNS
       (direct et invers) s'ils veulent accomplir certaines tches (ssh
       et ftpd risquent de se plaindre s'il ne peuvent faire du DNS
       direct ou du DNS invers sur des connexions entrantes). Une
       requte DNS invers se fait dans le but d'obtenir le nom d'hte 
       partir de l'adresse IP.
     * scurit centralise. La passerelle de rseau priv, en filtrant
       les paquets et notant les attaques, permet de mettre en vigueur
       les rgles de scurit sur l'ensemble du rseau priv plutt que
       d'avoir  installer de telles mesures sur chacun des serveurs et
       stations du rseau priv. Ceci est applicable non seulement pour
       les paquets entrants mais aussi pour les paquets sortants de sorte
       qu'une station mal configure ne peut pas, par erreur, diffuser au
       monde extrieur une information qui doit rester interne.
     * dplacement facilit. Du fait que les adresses IP  l'intrieur du
       rseau priv sont les vtres pour autant de temps que vous le
       souhaitez, vous pouvez transposer l'ensemble du rseau sur une
       nouvelle srie d'adresses IP publiques sans avoir  effectuer une
       quelconque modification de la configuration du rseau priv. Bien
       sr, les htes publics ncessitent quand mme d'tre reconfigurs.
     * accs  Internet transparent. Les machines du rseau priv peuvent
       continuer  utiliser FTP, telnet, WWW, et autres services avec un
       minimum d'embarras moyennant un camouflage  Linux-Masquerading .
       Les utilisateurs peuvent mme n'avoir jamais conscience que leurs
       machines n'ont pas d'adresse IP visible depuis l'extrieur.

   Les dsavantages potentiels de ce type de configuration sont les
   suivants  :

     * certains services ne seront pas disponibles directement sur les
       machines du rseau interne. La synchronisation NTP avec un hte
       extrieur, quelques obscurs services dont les rgles de masquage
       ne sont pas supportes dans le noyau, et l'authentification
       .shosts sur des htes externes sont tous difficiles voire
       impossibles, mais il existe quasiment toujours des procdures de
       contournement.
     * cots de matriel rseau plus lev. La passerelle de rseau priv
       ncessite deux cartes rseau, et vous avez besoin d'au moins deux
       concentrateurs (hubs) ou commutateurs (switchs), l'un sur le
       rseau visible, l'autre sur le rseau priv.
     * Les machines localises  l'extrieur du rseau priv ne peuvent
       pas facilement se connecter sur les machines  l'intrieur du
       rseau priv. Elles doivent d'abord ouvrir une session sur la
       passerelle de rseau priv, puis se connecter au travers de
       celle-ci sur l'hte interne. Il est possible de router des paquets
       de manire transparente  travers le pare-feu (firewall), mais
       ceci n'est pas recommand pour des raisons de scurit qui seront
       abordes plus tard.

   Vous devriez tenir compte de tous ces points lors de l'laboration de
   la topologie de votre rseau, et dcider si un rseau entirement
   visible est mieux adapt  votre cas. Dans la suite du document, je
   supposerai que vous avez configur votre rseau comme montr
   ci-dessus. Si vous avez opt pour un rseau entirement visible,
   certains dtails diffreront, et j'essayerai de signaler de telles
   diffrences.

   Au cas o vous n'auriez pas besoin de serveur externe, le routeur
   fourni par le provider peut tre directement connect  l'interface
   externe de la passerelle de rseau priv, plutt que par
   l'intermdiaire d'un hub.

4. Vous procurer votre connexion

4.1 Choisir votre fournisseur d'accs

   Comme pour tout, prospectez. Dterminez quelle est l'offre de services
   dans votre rgion, aussi bien que les cots associs  chacun de ces
   services. Toutes les lieux ne sont pas cbls pour DSL, et certaines
   ne sont pas appropris pour des connexions sans fils,  cause de
   contraintes gographiques, architecturales ou environnementales. Dans
   la mesure o la rapidit des liaisons DSL est intimement lie  la
   distance entre le point de liaison et le switch, soyez prt  fournir
   l'adresse postale du lieu o la tte de votre liaison sera localise,
   et posez galement des questions prcises sur la bande passante entre
   votre machine et le fournisseur d'accs, sur ce qui doit tre fait
   pour installer la connexion et sur le matriel dont la location est
   comprise dans le forfait mensuel propos. Vous devez galement avoir
   une ide du nombre d'adresses IP dont vous avez besoin pour vos
   machines propres (rappelez-vous que les adresses de la srie que vous
   obtiendrez ne seront pas toutes utilisables pour vos ordinateurs).
   Demandez au fournisseur d'accs quelle est sa bande passante totale
   vers l'extrieur car la vitesse dclare dans sa proposition
   financire ne concerne que la liaison entre votre site et le sien. Si
   le provider a une bande passante insuffisante vers l'extrieur, ses
   clients auront  ptir de goulots d'tranglements  l'intrieur de son
   rseau.

   Une fois que vous avez prslectionn une liste de candidats,
   renseignez-vous, voyez si personne ne peut vous conseiller sur les
   prestataires que vous envisagez. Demandez leur quel type de bande
   passante ils obtiennent vers des sites non chargs. En outre, si vous
   avez l'intention d'avoir des connexions rapides entre le nouveau
   domaine et un accs internet personnel depuis chez vous, pour
   tltravailler ou bien pour faire de l'administration  distance, il
   est essentiel que vous fassiez un _traceroute_ depuis votre connexion
   personnelle vers un hte localis chez le prestataire envisag. Ceci
   vous renseignera sur le nombre de  pas , et la latence auxquels vous
   devez vous attendre entre chez vous et le nouveau domaine. Des
   latences suprieures  100-200 millisecondes peuvent tre
   problmatiques pour des utilisations prolonges. Le _traceroute_ doit
   tre lanc aux moments de la journe pendant lesquels vous souhaitez
   utiler une connexion rseau entre votre domicile et le nouveau
   domaine.

4.2 Faire les prparatifs pour l'installation matrielle

   Aprs avoir choisi le fournisseur et le type d'accs pour le nouveau
   domaine, renseignez-vous sur les dtails de l'installation. Vous
   pouvez aussi bien avoir besoin d'une prestation de l'oprateur
   tlphonique en plus de celle du FAI afin de mettre en place l'accs,
   et les techniciens peuvent avoir besoin d'accder  des zones
   contrles de vtre btiment ; informez donc votre  responsable de la
   maintenance immobilire  des ncessits de l'installation. Avant que
   le technicien de l'ISP n'arrive, demandez les paramtres, tout
   spcialement les adresses IP, le masque de rseau, l'adresse de
   diffusion, l'adresse de la passerelle de routage, celle du serveur
   DNS, et galement quel type de cblage est ncessaire pour le matriel
   apport par le technicien (par exemple cble droit ou cble crois
   RJ45, etc.).

   Ayez une machine disponible pour les tests, et installez-la 
   proximit de l'endroit o le matriel de connexion au rseau sera
   localis. Si possible, configurez-la avant que le technicien du
   prestataire n'arrive en paramtrant son adresse IP et le masque de
   rseau. Ayez galement les cbles appropris sous la main de faon 
   ce que les tests puissent tre faits rapidement.

4.3 Tester la connexion

   Une fois que votre machine de test est relie au matriel du provider,
   assurez-vous que vous pouvez faire un _ping_ sur une machine au del
   du FAI. Si ce n'est pas possible, un _traceroute_ vers l'extrieur
   peut vous aider  localiser la dfaillance de la connexion. Si le
   traceroute ne montre aucun  pas  russi, cela indique que la
   configuration rseau de votre machine (route par dfaut, adresse de
   l'interface, pilote de la carte, DNS, etc.) n'est pas bonne. Si un
   seul  pas  est russi, cela peut signifier que le routeur n'est pas
   correctement configur pour communiquer avec le FAI. Si plusieurs
    pas  sont russis avant la dfaillance, le problme est trs
   certainement localis chez le provider ou bien  l'extrieur, et hors
   de de votre contrle immdiat.

4.4 Utiliser une IP dynamique

   Les avantages d'une connexion d'entreprise avec une plage d'adresses
   IP statiques et l'hbergement de divers services entranent un cot.
   Elle peut tre 10 fois plus onreuse qu'une connexion personnelle 
   haut dbit avec DSL ou un modem-cble. Si votre budget ne peut
   supporter une telle connexion ou bien si ce type de connexion n'est
   pas disponible dans votre rgion, vous voudrez certainement essayer de
   mettre en place votre domaine sur une IP dynamique. En gnral, plutt
   qu'une plage d'adresses vous n'obtiendrez qu'une seule adresse, ce qui
   veut dire que votre passerelle de rseau priv devra galement
   hberger tous les services accessibles depuis l'extrieur.

   D'abord vous devriez vrifier si c'est faisable. Beaucoup de contrats
   de prestataires interdisent explicitement la mise en place de services
   accessibles depuis l'extrieur sur des comptes personnels. Les
   prestataires peuvent faire appliquer cette rgle par la mise en place
   d'un filtrage de paquets bloquant les connexions entrantes sur les
   ports http et FTP. Vous devez galement tre attentif au fait que la
   vitesse de transfert mentionne dans l'offre pour des accs DSL ou
   modem-cble est la vitesse de la voie descendante, et que la voie
   montante peut tre beaucoup plus lente. La bande passante montante est
   ce qui est important pour offrir des contenus web ou FTP.

   Si vous avez une IP dynamique et que vous voulez avoir des connexions
   entrantes, vous devez vous inscrire  un service d'hbergement d'IP
   dynamique tels que ceux lists sur Dynamic DNS Providers ( l'adresse
   http://www.technopagan.org/dynamic). Ces services fonctionnent
   ordinairement en excutant un logiciel sur votre machine qui
   communique votre adresse IP actuelle aux serveurs de l'hbergeur.
   Quand votre adresse IP est connue de ceux-ci, leurs tables DNS sont
   mises  jour pour tenir compte de la nouvelle valeur. Vous pouvez
   aussi obtenir un nom de domaine sous leur nom de domaine, tel que
    example.dynip.com  ou bien  example.dynhost.com , ou bien vous
   pouvez enregistrer votre propre domaine et faire pointer le DNS
   primaire sur la socit fournissant ce service (c'est habituellement
   plus cher).

   Il existe galement un service d'hbergement gratuit  Domain Host
   Services ( l'adresse http://www.dhs.org). Ce service semble assez
   rcent et il y a peu de dtails sur le site web pour l'instant, mais
   vous trouverez peut-tre que cela vaut le coup d'tre tudi.

   Si vous avez mis en place une IP dynamique, et que vous tes abonn 
   l'un de ces services, cela influera sur certaines dcisions que vous
   ferez dans la section Dcider des services que vous hbergerez. En
   particulier, cela ne sert  rien de vous abonner  un service
   d'hbergement d'IP dynamique si vous n'envisagez pas de mettre en
   place au moins un des services web ou FTP. Vous devrez configurer le
   DNS primaire de faon  ce qu'il pointe sur la socit que vous avez
   choisie. Vous ne devez pas avoir un dmon _named_ qui rpond  des
   requtes manant de l'extrieur de votre rseau priv. D'autres
   lments tels que le transport du courrier lectronique, dpendront
   des spcificits du service auquel vous vous tes abonn, et peuvent
   mieux tre expliqus par le service d'assistance de cette socit.

   Une remarque finale : si vous voulez avoir un accs distant  une
   machine avec une IP dynamique, machine qui n'hbergera pas d'autres
   services, une solution bon march est de crer une  boite de dpt 
   sur une machine publique avec une IP statique et de faire en sorte que
   l'hte ayant une IP dynamique envoie son adresse IP  cet endroit,
   soit par ml ou tout simplement en l'inscrivant dans un fichier sous
   un compte shell. Quand vous voulez accder  distance  votre machine,
   rcuprez d'abord l'adresse IP actuelle dans la  boite de dpt ,
   puis utilisez _slogin_ pour vous attacher directement  cette adresse
   IP. C'est, somme toute, tout ce que fait un service d'hbergement
   d'adresses IP dynamiques, il le fait juste de manire automatique au
   dessus des services standards, vous pargnant des manipulations.

5. Enregistrer un nom de domaine

   Afin que les personnes du monde extrieur puissent localiser vos
   serveurs sous le nom de domaine de votre choix, que ce soit pour le
   web, pour le FTP ou pour la messagerie lectronique, vous devrez
   enregistrer ce nom de domaine afin qu'il soit intgr dans la base de
   donnes du domaine de premier niveau adquat.

   Usez de prudence en choisissant votre nom de domaine. Certains mots ou
   locutions peuvent tre interdits en raison de coutumes locales, ou
   pourraient tre choquants pour des personnes dont le langage ou
   l'argot diffre de celui de votre rgion. Les noms de domaine peuvent
   contenir les 26 caractres de l'alphabet latin (sans accents), le
   tiret (quoique celui-ci ne peut tre mis au dbut ou la fin du nom),
   et les dix chiffres. Les noms de domaines ne sont pas sensibles  la
   casse, et peuvent avoir une longueur maximale de 26 caractres (cette
   limite est susceptible de changer). Faites attention  ne pas
   enregistrer un nom de domaine  propos duquel vous ne pouvez pas
   raisonnablement faire valoir que vous ne saviez pas que celui-ci
   emptait sur des marques dposes par des socits existantes, les
   tribunaux ne sont pas indulgents pour les  cyber-squatters . Des
   informations concernant les situations dans lesquelles votre nom de
   domaine humblement choisi peut tre retir de votre contrle sont
   disponibles dans le document de l'ICANN  Politique pour une
   rsolution des conflits sur les noms de domaines   l'adresse
   http://www.icann.org/udrp/udrp-policy24oct99.htm (en franais :
   http://www.juriscom.net/pro/2/ndm20001011.htm).

   Il existe beaucoup de socits qui proposent l'enregistrement de noms
   dans les domaines de premier niveau  .com ,  .net  et  .org .
   Pour une liste  jour, vrifiez la liste de prestataires conventionns
    l'adresse http://www.icann.org/registrars/accredited-list.html. Pour
   enregistrer un nom dans un domaine de premier niveau gographique, tel
   que  .fr ,  .ca ,  .de ,  .uk , etc., cherchez quelle est
   l'autorit approprie, ce renseignement pouvant tre trouv dans la
   base de donnes des Country Code Top-Level Domains  l'adresse
   http://www.iana.org/cctld.html.

6. Dcider des services que vous hbergerez

   La plupart des fournisseurs d'accs  full-service  proposent  leur
   clients un ventail de services relatifs au domaine. Ceci est
   largement d  la difficult d'hberger ces services avec certains
   autres systmes d'exploitation, plus populaires, pour machines de
   bureau et serveurs. Ces services sont beaucoup plus faciles  mettre
   en oeuvre sous Linux et peuvent tre hbergs sur des matriels peu
   onreux. Vous devriez donc dcider des services que vous voulez garder
   sous votre contrle. Certains de ces services sont :

     * DNS primaire (le service DNS principal pour votre domaine). Voyez
       la section DNS primaire
     * Messagerie lectronique. Reportez-vous  la section Messagerie
       lectronique
     * Hbergement de site web. Reportez-vous  la section Hbergement de
       site web
     * Hbergement de site FTP. Reportez-vous  la section Hbergement de
       site FTP
     * Filtrage de paquets. Reportez-vous  la section Filtrage de
       paquets

   Pour chacun de ces services vous devez valuer l'intrt d'en garder
   le contrle. Si votre FAI propose un ou plusieurs de ces services,
   vous pouvez gnralement avoir l'assurance qu'il a du personnel
   expriment pour la gestion de ceux-ci ; aussi, vous aurez moins 
   apprendre et moins de soucis. Paralllement  cela, vous perdez la
   matrise de ces services. La moindre modification impose que vous
   passiez par le FAI, chose qui peut ne pas tre pratique ou demander
   des dlais plus longs que vous ne le voudriez. Il y a aussi une
   question de scurit, le FAI est une cible beaucoup plus tentante pour
   les agresseurs que votre propre site. Dans la mesure o les serveurs
   d'un FAI peuvent hberger la messagerie et/ou les sites web de
   douzaines de socits qui sont ses clients, un pirate qui endommage un
   de ces serveurs obtient une bien meilleure rcompense  ces efforts
   que celui qui attaque votre serveur personnel o les seules donnes
   d'une entreprise sont stockes.

6.1 DNS primaire

   Quand une personne, quelque part, dans le monde extrieur, demande 
   se connecter sur une machine du nouveau domaine example.com, les
   requtes transitent par des serveurs divers sur internet ; et
   finalement l'adresse IP de la machine est renvoye au logiciel de la
   personne qui demande la connexion. Le dtail de cette squence est au
   del de l'objet de ce document. Sans entrer dans les dtails, quand
   une demande est faite pour la machine fred.example.com, une base de
   donnes centralise est questionne pour dterminer quelle est
   l'adresse IP de la machine qui a l'autorit administrative sur la zone
   example.com. L'adresse IP obtenue est ensuite questionne pour obtenir
   l'adresse IP de fred.example.com.

   Il doit exister un DNS primaire et un DNS secondaire pour chaque nom
   de domaine. Les noms et adresses de ces deux serveurs sont enregistrs
   dans une base de donnes dont les entres sont contrles par des
   autorits de nommage telles que  Network solutions  ( l'adresse
   http://www.networksolutions.com).

   Si vous avez opt pour un DNS primaire hberg par le FAI, ces deux
   machines seront probablement contrles par celui-ci.  chaque fois
   que vous voudrez ajouter  votre rseau une machine visible depuis
   l'extrieur, vous devrez contacter le FAI pour lui demander d'ajouter
   la nouvelle machine  sa base de donnes.

   Si vous avez choisi de grer le DNS primaire sur votre propre machine,
   vous devrez galement utiliser une deuxime machine comme serveur
   secondaire. Techniquement, vous devriez la localiser sur une connexion
   internet redondante , mais l'hbergement du DNS secondaire sur l'une
   des machines du FAI est trs rpandu. Si vous voulez ajouter  votre
   rseau une machine visible depuis l'extrieur, vous devrez mettre 
   jour votre propre base de donnes et ensuite attendre que la
   modification se propage (chose qui, habituellement, prend un petit
   nombre d'heures). Ceci vous permet d'ajouter barney.example.com sans
   passer par votre FAI.

   C'est une bonne ide de mettre en oeuvre le DNS secondaire sur un hte
   distant du point vue gographique ; ainsi, une simple rupture de cble
   du cot de votre FAI ne met pas simultanment hors-ligne vos serveurs
   DNS primaire et secondaire. Le prestataire d'enregistrement de nom que
   vous avez utils pour enregistrer votre domaine peut fournir un
   service de DNS secondaire. Il existe galement un service gratuit,
   Granite Canyon ( l'adresse http://www.granitecanyon.com), disponible
   pour qui le demande.

   Indpendamment du fait que vous avez choisi ou non de constituer vous
   mme l'autorit DNS principale pour votre domaine, voyez la section
   Mettre en place la rsolution de noms pour une aide concernant la
   configuration. Vous aurez besoin d'un systme de rsolution de noms au
   sein de votre rseau priv, mme si vous dlguez le DNS primaire 
   votre FAI.

6.2 Messagerie lectronique

   En gnral, quand vous vous abonnez chez votre FAI, celui-ci vous
   fournit un certain nombre d'adresses de messagerie. Vous pouvez
   choisir de n'utiliser que cette possibilit, auquel cas tous les
   messages entrants sont stocks sur le serveur du FAI et vos
   utilisateurs lisent leur courrier avec des clients POP3 qui se
   connectent sur le serveur du FAI. D'une autre manire, vous pouvez
   dcider d'installer la messagerie sur vos propres machines. Une fois
   de plus, vous devez peser le pour et le contre de chacune des deux
   possibilits et choisir celle qui vous convient le mieux.

   Ce dont il faut se rappeler si vous utilisez les services de l'ISP
   pour la messagerie :

     * Il sera plus facile d'accder  la messagerie depuis votre
       domicile, ou depuis d'autres lieux quand vous tes en dplacement
       professionnel, en fonction du type de scurit que vous utilisez
       pour votre domaine.
     * Les messages sont stocks sur les serveurs de l'ISP, ce qui peut
       poser problme si des donnes confidentielles sont envoyes sans
       avoir t chiffres.
     * Vous avez un nombre d'adresses limit, et vous pouvez tre amen 
       payer un supplment si vous dpassez cette limite.
     * Pour crer de nouvelles adresses, vous devez passer par le FAI.

   Ce dont il faut se rappeler si vous grez vous-mme la messagerie :

     * Les messages sont stocks sur vos serveurs, avec des
       enregistrements de sauvegarde chez l'ISP si votre serveur de
       messagerie tombe ou si le disque se sature.
     * Vous avez un nombre illimit de comptes de messagerie, que vous
       pouvez crer et supprimer vous-mme.
     * Vous devez supporter les logiciels clients de messagerie utiliss
       sur votre rseau priv et, ventuellement, ceux utiliss par les
       personnes qui essayent de lire leur courrier depuis leur domicile.

   Une approche possible est d'hberger la messagerie vous-mme et, en
   supplment, d'utiliser quelques unes des adresses fournies par le FAI.
   Les personnes qui ont besoin d'une messagerie accessible depuis
   l'extrieur du rseau priv peuvent avoir des adresses dans votre
   domaine qui sont rediriges sur l'une des adresses fournies par l'ISP.
   Les autres peuvent avoir une messagerie locale sur le rseau priv.
   Ceci requiert un petit peu plus de coordination et de configuration,
   mais donne plus de flexibilit que chacune des autres approches.

   Si vous choisissez d'hberger la messagerie pour votre domaine,
   reportez-vous  la section Mettre en place la messagerie lectronique

   Si vous dcidez de ne pas hberger la messagerie pour votre domaine,
   reportez-vous  la section Configuration du DNS si vous n'hbergez pas
   le service de messagerie.

6.3 Hbergement du site web

   Votre FAI peut vous allouer une certaine quantit d'espace sur ses
   serveurs web. Vous pouvez dcider d'utiliser cette possibilit ou vous
   pouvez avoir un serveur web que vous mettez dans votre rseau externe,
   sur une des IPs externes.

   Ce dont il faut se rappeler si vous choisissez d'utiliser
   l'hbergement web du FAI :

     * Vous avez une certaine quantit d'espace-disque alloue que vous
       ne pouvez pas dpasser. Ceci n'inclut pas seulement le contenu du
       site web mais aussi les donnes collectes auprs des visiteurs du
       site.
     * La bande passante entre votre serveur web et le monde extrieur
       sera certainement plus large que si vous hbergiez ce serveur sur
       votre propre matriel. Dans tous les cas, elle ne peut pas tre
       plus lente.
     * Il peut s'avrer difficile d'installer des CGI personnalises ou
       des progiciels commerciaux sur votre serveur web.
     * La bande passante entre votre rseau et votre serveur web sera
       certainement plus lente qu'elle ne le serait si vous hbergiez le
       service sur votre propre rseau.

   Ce dont il faut se rappeler si choisissez d'hberger votre propre
   serveur web.

     * Vous avez plus de matrise sur le serveur. Vous pouvez faonner
       votre scurit de manire plus adapte  votre utilisation.
     * Les donnes potentiellement critiques, telles que des numros de
       cartes de crdit ou des adresses ml, rsident sur des machines
       que vous contrlez.
     * Votre stratgie de sauvegarde est probablement moins complte que
       celle de votre FAI.

   Notez que je ne dis rien  propos du fait que l'ISP a du matriel plus
   performant, des taux de transfert de donnes plus levs, et ainsi de
   suite. Au fil du temps, ces choses deviennent importantes, et l'on
   parle de connexions rseaux  trs hauts dbits, et, trs franchement,
   vous auriez d dlguer ces dcisions  un consultant spcialis, pas
   regarder dans un HOWTO Linux.

   Si vous choisissez d'hberger l'espace web de votre domaine sur vos
   propres serveurs, reportez-vous  d'autres documents tels que le
   WWW-HOWTO ( l'adresse
   ftp://metalab.unc.edu/pub/Linux/docs/HOWTO/WWW-HOWTO ou
   http://www.freenix.org/unix/linux/HOWTO/WWW-HOWTO.html en version
   franaise), pour la configuration. Pour des raisons de scurit, je
   vous recommande chaudement de faire fonctionner ce service sur une
   autre machine que la passerelle de rseau priv.

6.4 Hbergement du site FTP

   Fondamentalement, les mmes raisonnements qui s'appliquent 
   l'hbergement WWW s'appliquent  l'hbergement FTP,  l'exception du
   fait que le ftp n'est pas concern par les contenus dynamiques et que
   les scripts CGI n'y apparaissent pas. La plupart des exploits rcents
   sur des serveurs ftpd ont t raliss par des dbordements de tampon
   conscutifs  la cration de rpertoires ayant des noms longs dans des
   rpertoires de tlchargement modifiables par n'importe qui ; ainsi,
   si votre FAI autorise le tlchargement et se montre ngligent dans la
   maintenance des mises  jour de scurit sur le serveur FTP, vous
   feriez aussi bien d'hberger le service vous-mme.

   Dans le cas o vous choisissez d'hberger FTP pour votre domaine sur
   vos propres serveurs, assurez-vous d'avoir la dernire version du
   dmon FTP, et consultez les instructions de configuration. Une fois de
   plus, je recommande fortement, pour des raisons de scurit, que ce
   service fonctionne sur une autre machine que la passerelle de rseau
   priv.

   Pour _wu-ftpd_, je recommande les options de configuration suivantes :

     * --disable-upload ( moins que n'ayez besoin du tlchargement
       anonyme)
     * --enable-anononly (incite vos utilisateurs locaux  utiliser scp
       pour le transfert de fichier entre les machines)
     * --enable-paranoid (dsactive toute fonctionnalit de la version
       courante qui peut tre sujette  caution)

6.5 Filtrage de paquets

   Certains FAI mettent des filtres de paquets, pour protger les
   utilisateurs du systme les uns des autres ou vis  vis d'agresseurs
   externes. Les rseaux modem-cble et d'autres rseau  diffusion
   similaires posent problme quand, sans le faire exprs, des
   utilisateurs de Windows 95 ou 98 activent le partage de fichiers
   mettant ainsi le contenu entier de leurs disques durs  la vue de
   n'importe qui prend le soin d'explorer son  voisinnage rseau   la
   recherche de serveurs actifs. Dans certains cas, la solution a t de
   dire aux utilisateurs de ne pas faire cela, mais certains fournisseurs
   d'accs ont mis en place un filtrage dans le matriel de connexion
   pour empcher les gens d'exporter leurs donnes par inadvertance.

   Le filtrage de paquet est vraiment une chose que vous devriez faire
   vous-mme. Il s'intgre facilement dans le noyau fonctionnant sur
   votre passerelle de rseau priv et vous donne une meilleure ide de
   ce qui se passe autour de vous. En outre, il arrive souvent que l'on
   veuille, pendant l'installation, procder  de menus ajustements sur
   le pare-feu pour l'optimiser, et c'est beaucoup plus facile  faire en
   temps rel plutt que par l'intermdiaire d'un support technique.

   Si vous choisissez de faire le filtrage de paquets pour votre domaine,
   reportez-vous  la section Mettre en place le filtrage de paquets.

7. Configurer les services hbergs

7.1 Mettre en place la rsolution de noms

   Vous devrez mettre en place un moyen pour que les ordinateurs sur
   votre rseau se reconnaissent par leur nom, et galement que les
   personnes  l'extrieur connaissent par leur nom vos machines
   exposes. Il existe plusieurs moyens d'aboutir  ce rsultat.

  rsolution DNS sur le rseau priv, le FAI gre le domaine

   (remarque : si vous avez choisi de ne pas mettre en place un rseau
   priv, allez  la section Rseau entirement expos, hberg par le
   FAI)

   Dans cette configuration, vous avez dlgu la responsabilit du DNS
   primaire de votre domaine au FAI. Vous continuez  utiliser DNS 
   l'intrieur de votre rseau priv quand les htes internes veulent
   communiquer ensemble. Vous avez communiqu au FAI une liste des
   adresses IP de l'ensemble des htes exposs. Si vous voulez qu'une des
   machines visibles depuis l'extrieur, par exemple betty.example.com,
   soit en mme temps le serveur web et le serveur FTP, vous devez
   demander au FAI de mettre en place des entres CNAME www.example.com
   et ftp.example.com qui pointent sur betty.example.com.

   Mettez en place le DNS sur votre passerelle de rseau priv. Ceci peut
   tre ralis de manire scurise, et rendre les mises  jour plus
   faciles, au cas o vous dcidiez un jour d'hberger l'autorit
   primaire du DNS.

   Je supposerai que vous avez dcid d'hberger le DNS sur la machine
   dns.example.com, qui est la passerelle de rseau priv, et un surnom
   (alias) pour fred.example.com  l'adresse 192.168.1.1. Si ce n'est pas
   le cas, de petites modifications doivent tre faites  votre
   configuration. Je ne traiterai pas de cela dans ce HOWTO  moins que
   cela ne prsente un vritable intrt.

   Vous devrez tlcharger et compiler une version de BIND, Berkeley
   Internet Name Domain. Il est disponible sur le site de BIND (
   l'adresse http://www.isc.org/products/BIND/). Ensuite vous devez
   configurer les dmons. Crez le fichier /etc/named.conf suivant :
     _________________________________________________________________

     options {
             directory "/var/named";
             listen-on { 192.168.1.1 };
     };

     zone "." {
             type hint;
             file "root.hints";
     };

     zone "0.0.127.in-addr.arpa" {
             type master;
             file "pz/127.0.0";
     };

     zone "1.168.192.in-addr.arpa" {
             type master;
             file "pz/1.168.192";
     };

     zone "example.com" {
             type master;
             notify no;
             file "pz/example.com";
     };
     _________________________________________________________________

   Remarquez que nous nous sommes dclars matres du domaine
   example.com. Cependant, notre FAI se dclare aussi comme l'autorit du
   mme domaine. Ce n'est pas un problme tant que l'on fait attention 
   l'installation. Toutes les machines du rseau priv doivent utiliser
   dns.example.com pour mettre en oeuvre leur rsolution de noms. Elles
   ne doivent _pas_ utiliser le  resolver  de l'ISP dans la mesure o
   le le serveur de nom de l'ISP croit qu'il fait authorit sur
   l'intgralit du domaine mais ne connait pas les adresses IP ou les
   noms des machines sur votre rseau priv. De la mme manire, les
   htes ayant les adresses publiques de votre domaine _doivent_ utiliser
   le serveur de noms du FAI, pas le serveur de nom priv sur
   dns.example.com.

   Les diffrents fichiers sous /var/named doivent maintenant tre crs.

   Le fichier root.hint est tel que dcrit dans la documentation de BIND
   ou dans le DNS-HOWTO ( l'adresse
   ftp://metalab.unc.edu/pub/Linux/docs/HOWTO/DNS-HOWTO ;
   http://www.freenix.org/unix/linux/HOWTO/DNS-HOWTO.html).  l'heure o
   j'cris, Ce qui suit est un fichier root.hint valide.
     _________________________________________________________________

     H.ROOT-SERVERS.NET.     6d15h26m24s IN A  128.63.2.53
     C.ROOT-SERVERS.NET.     6d15h26m24s IN A  192.33.4.12
     G.ROOT-SERVERS.NET.     6d15h26m24s IN A  192.112.36.4
     F.ROOT-SERVERS.NET.     6d15h26m24s IN A  192.5.5.241
     B.ROOT-SERVERS.NET.     6d15h26m24s IN A  128.9.0.107
     J.ROOT-SERVERS.NET.     6d15h26m24s IN A  198.41.0.10
     K.ROOT-SERVERS.NET.     6d15h26m24s IN A  193.0.14.129
     L.ROOT-SERVERS.NET.     6d15h26m24s IN A  198.32.64.12
     M.ROOT-SERVERS.NET.     6d15h26m24s IN A  202.12.27.33
     I.ROOT-SERVERS.NET.     6d15h26m24s IN A  192.36.148.17
     E.ROOT-SERVERS.NET.     6d15h26m24s IN A  192.203.230.10
     D.ROOT-SERVERS.NET.     6d15h26m24s IN A  128.8.10.90
     A.ROOT-SERVERS.NET.     6d15h26m24s IN A  198.41.0.4
     _________________________________________________________________

   Le fichier pz/127.0.0.0 est comme suit :
     _________________________________________________________________

@               IN      SOA     example.com. root.example.com. (
                                1       ; numro de srie
                                8H      ; mise  jour
                                2H      ; tentative aprs chec
                                1W      ; dlai d'expiration
                                1D)     ; dure de vie minimale
                        NS      dns.example.com.
1                       PTR     localhost.
     _________________________________________________________________

   Le fichier pz/1.168.192 est comme suit :
     _________________________________________________________________

$TTL 86400

@       IN      SOA             dns.example.com. root.dns.example.com. (
                                1       ; numro de srie
                                8H      ; mise  jour            8 heures
                                2H      ; tentative aprs chec  2 heures
                                1W      ; dlai d'expiration     1 semaine
                                1D      ; dure de vie minimale  1 jour
                        )
                NS      dns.example.com.

1               PTR     fred.example.com.
                PTR     dns.example.com.
                PTR     mail.example.com.
2               PTR     barney.example.com.
3               PTR     wilma.example.com.
     _________________________________________________________________

   et ainsi de suite, o vous crez un enregistrement PTR pour chacune
   des machines ayant une interface sur le rseau priv. Dans cet
   exemple, fred.example.com est  l'adresse 192.168.1.1 et il est
    point  par les alias dns.example.com et mail.example.com. La
   machine barney.example.com est  l'adresse IP 192.168.1.2 et ainsi de
   suite.

   Le fichier pz/example.com est comme suit :
     _________________________________________________________________

$TTL 86400

@               IN      SOA     example.com. root.dns.example.com. (
                                1       ; numro de srie
                                8H      ; mise  jour             8 heures
                                2H      ; tentative aprs chec   2 heures
                                1W      ; dlai d'expiration      1 semaine
                                1D      ; TTL minimale            1 jour
                        )
                        NS              dns.example.com.
        IN              A               192.168.1.1
        IN              MX          10  mail.example.com.
        IN              MX          20  <IP de la machine de mail de l'ISP>.


localhost               A           127.0.0.1
fred                    A           192.168.1.1
                        A           10.1.1.9
dns                     CNAME       fred
mail                    CNAME       fred
barney                  A           192.168.1.2
wilma                   A           192.168.1.3
betty                   A           10.1.1.10
www                     CNAME       betty
ftp                     CNAME       betty
     _________________________________________________________________

   Dans la mesure o les machines  l'intrieur du rseau priv n'ont pas
   intrt  questionner le serveur de noms du FAI pour une requte sur,
   disons, betty.example.com, remarquez que nous crons des entres tant
   pour les machines localises  l'intrieur du rseau priv que pour
   celles ayant des adresses IP externes. Nous dclarons galement
   chacune des deux adresses IP de fred, l'adresse externe et l'adresse
   interne.

   Une ligne dans la section  options  de /etc/named.conf appelle une
   explication  :

listen-on { 192.168.1.1 };

   Elle empche votre dmon named de rpondre  des requtes DNS sur son
   interface externe (toutes les requtes manant de l'extrieur doivent
   passer par le serveur de nom du FAI, pas par le vtre).

  pas de rsolution DNS sur le rseau priv, le FAI gre le domaine

   (note : si vous avez dcid de ne pas mettre en oeuvre de rseau
   priv, reportez-vous  la section Rseau pleinement expos, hberg
   par le FAI)

   Dans cette configuration, vous avez tranch sur le fait que, somme
   toute, votre rseau est peu tendu et qu'il est improbable qu'il
   s'tende. Vous avez dcid de ne pas utiliser la base de donnes
   centralise d'un serveur de noms, et, en consquence, de maintenir la
   rsolution de noms sparment sur chacune des machines. Toutes les
   machines doivent donc utiliser le serveur de noms de l'ISP pour
   rsoudre les noms d'htes situs au del de la passerelle de rseau
   priv. Pour la rsolution de nom au sein du rseau priv, un fichier
   des htes doit tre cr. Sous Linux, cela signifie entrer les noms et
   les adresses IP de toutes les machines dans le fichier /etc/hosts sur
   chacune des machines.  chaque fois qu'un nouvel hte est ajout, ou
   qu'une adresse IP est change, ce fichier doit tre modifi sur chaque
   Linuxette.

   Comme dans la section le DNS est sur le rseau priv, le FAI gre le
   domaine, la liste des htes ayant des adresses IP publiques doit tre
   communique au FAI et chaque alias (tels que les noms www et ftp) doit
   tre spcifi dans une entre CNAME cre par le FAI.

  vous tes l'autorit DNS primaire pour le domaine

   Bien que vous puissiez mettre en oeuvre la rsolution _named_ sur les
   htes exposs, et une base de donnes prive de rsolution pour le
   rseau priv, je ne m'tendrai pas sur ce cas. Si vous envisagez
   d'utiliser named pour un service, vous devriez vraiment le faire pour
   tous, juste pour simplifier la configuration. Dans cette section je
   supposerai que la passerelle de rseau priv gre la rsolution de
   noms tant pour le rseau priv que pour les requtes extrieures.

    l'heure o j'cris, sous la version 8.2.2 du paquet BIND, il n'est
   pas possible pour un dmon _named_ unique de produire des rponses
   diffrencies en fonction de l'interface sur laquelle arrive la
   requte. On veut que la rsolution de noms se comporte de manire
   diffrente si la requte vient du monde extrieur parce que les
   adresses IP du rseau priv ne doivent pas tre envoyes  l'extrieur
    ; par contre, on doit tre capable de rpondre  des requtes manant
   du rseau priv. Une rflexion existe sur de nouveaux mot-cl  view 
   qui pourraient,  l'avenir, tre intgrs  BIND pour combler cette
   lacune, mais, avant que cela ne soit effectif, la solution est de
   faire fonctionner deux dmons _named_ avec des configurations
   diffrentes.

   D'abord, configurez le serveur de noms du domaine priv comme dcrit
   dans la section rsolution DNS sur le rseau priv, le FAI gre le
   domaine, il constituera le  resolver  visible depuis le rseau
   priv.

   Ensuite, vous devez mettre en place le DNS de votre domaine de faon 
   ce qu'il soit visible des htes du monde extrieur. D'abord, vrifiez
   auprs de votre FAI s'il se dlguera lui-mme les recherches DNS
   invers sur vos adresses IP. Bien que la norme DNS d'origine ne donne
   pas la possibilit de contrler le DNS invers sur des sous-rseaux
   plus petits qu'un rseau de classe C, une mthode de contournement a
   t dveloppe qui fonctionne avec tous les clients compatibles DNS et
   a t bauche dans la RFC 2317 ( l'adresse
   http://www.ietf.orf/rfc/rfc2317.txt). Si votre provider accepte de
   vous dlguer le DNS invers sur votre srie d'adresses IP, vous devez
   obtenir de lui le nom du pseudo-domaine in-addr qu'il a choisi pour la
   dlgation (la RFC ne propose pas de normalisation pour une
   utilisation ordinaire) et vous devrez dclarer votre autorit sur ce
   pseudo-domaine. Je supposerai que le FAI vous a dlgu l'autorit et
   que le nom du pseudo-domaine est 8.1.1.10.in-addr.arpa. L'ISP devra
   crer des entres sous la forme :
     _________________________________________________________________

8.1.1.10.in-addr.arpa.     2H IN CNAME 8.8.1.1.10.in-addr.arpa.
9.1.1.10.in-addr.arpa.     2H IN CNAME 9.8.1.1.10.in-addr.arpa.
10.1.1.10.in-addr.arpa.    2H IN CNAME 10.8.1.1.10.in-addr.arpa.
etc.
     _________________________________________________________________

   dans son fichier de zone pour le domaine 1.1.10.in-addr.arpa. La
   configuration de votre fichier de zone 8.1.1.10.in-addr.arpa est
   donne plus loin dans cette section.

   Si votre provider accepte de vous dlguer le contrle du DNS invers,
   il crera, pour les adresses IP sous votre contrle, des entres CNAME
   dans la table des zones de son DNS invers qui pointent vers les
   enregistrements correspondants dans votre pseudo-domaine comme montr
   ci-dessus. S'il n'envisage pas de vous dlguer l'autorit, vous
   devrez lui demander de mettre  jour son DNS  chaque fois que vous
   ajouterez, supprimerez ou changerez le nom d'un hte visible depuis
   l'extrieur dans votre domaine. Si la table DNS invers n'est pas
   synchronise avec les entres DNS direct, certains services peuvent
   mettre des avertissements ou bien refuser de traiter des requtes
   produites par des machines affectes par ce dysfonctionnement.

   Vous devez maintenant mettre en place un second _named_, celui l pour
   traiter les requtes provenant de machines  l'extrieur de la
   passerelle de rseau priv.

   D'abord, crez un second fichier de configuration, par exemple
   /etc/named.ext.conf pour les requtes sur l'interface externe. Dans
   notre exemple, il pourrait tre comme suit :
     _________________________________________________________________

options {
        directory "/var/named";
        listen-on { 10.1.1.9; };
};

zone "." {
        type hint;
        file "root.hints";
};

zone "0.0.127.in-addr.arpa" {
        type master;
        file "pz/127.0.0";
};


zone "8.1.1.10.in-addr.arpa" {
        type master;
        file "ext/8.1.1.10";
};

zone "example.com" {
        type master;
        notify no;
        file "ext/example.com";
};
     _________________________________________________________________

   Les fichiers root.hint et pz/127.0.0, tous les deux sous /var/named,
   sont partags par les dmons actifs. Le fichier /ext/8.1.1.10 est
   comme suit :
     _________________________________________________________________

$TTL 86400

@       IN      SOA             fred.example.com. root.fred.example.com. (
                                1               ; numro de srie
                                10800           ; mise  jour            3 heur
es
                                3600            ; tentative aprs chec  1 heur
e
                                3600000         ; dlai d'expiration     1000 h
eures
                                86400 )         ; TTL minimale           24 heu
res
                NS      dns.example.com.
9       IN      PTR     fred.example.com.
                PTR     dns.example.com.
                PTR     mail.example.com.
10      IN      PTR     betty.example.com.
                PTR     www.example.com.
                PTR     ftp.example.com.
     _________________________________________________________________

   Le fichier ext/example.com contient ce qui suit :
     _________________________________________________________________

$TTL 86400

@               IN      SOA     example.com. root.fred.example.com. (
                                10021   ; numro de srie
                                8H      ; mise  jour             8 heures
                                2H      ; tentative aprs chec   2 heures
                                1W      ; dlai d'expiration      1 semaine
                                1D      ; dure de vie minimale   1 jour
                        )
                        NS              fred.example.com.
        IN              A               10.1.1.9
        IN              MX          10  mail.example.com.
        IN              MX          20  <machine mail du FAI>.


localhost               A           127.0.0.1
fred                    A           10.1.1.9
betty                   A           10.1.1.10
dns                     CNAME       fred
mail                    CNAME       fred
www                     CNAME       betty
ftp                     CNAME       betty
     _________________________________________________________________

   Dmarrez les deux dmons sur votre passerelle de rseau priv. Mettez
   ce qui suit dans vos scripts d'initialisation :

/usr/sbin/named -u dnsuser -g dnsgroup /etc/named.conf
/usr/sbin/named -u dnsuser -g dnsgroup /etc/named.ext.conf

   J'ai suppos ici que vous avez cr l'utilisateur sans privilge
    dnsuser  et le groupe sans privilge correspondant  dnsgroup . Si
   un bogue se fait jour, permettant  un attaquant d'excuter du code 
   l'intrieur de _named_, l'agresseur sera limit aux actions permises 
   un utilisateur sans privilge. Le rpertoire /var/named et les
   fichiers qui y sont inclus ne doivent pas tre modifiables par
    dnsuser .

   Les machines du rseau priv doivent avoir leur rsolution de noms
   rgle pour s'en rfrer  dns.example.com ( l'IP 192.168.1.1 dans
   notre exemple) alors que les machines visibles depuis l'extrieur
   peuvent envoyer leurs requtes  l'interface externe de la passerelle
   rseau ( l'IP 10.0.1.9) ou au serveur de noms du FAI.

  rseau pleinement expos, hberg par le FAI

   Dans cette configuration, vous avez choisi d'exposer tous vos htes.
   Vous avez une  vritable  adresse IP pour chacune des machines de
   votre domaine et vous avez communiqu  votre FAI la liste des noms de
   machines et de leurs adresses IP. Le FAI vous a donn l'adresse d'un
   au moins de ses serveurs de noms. Vos machines Linux sont alors
   configures pour la rsolution de noms dans /etc/resolv.conf :
     _________________________________________________________________

search example.com
nameserver <premier hte DNS>
nameserver <deuxime hte DNS>
     _________________________________________________________________

   Les machines Windows sont configures de la mme manire dans les
   boites de dialogue de configuration du rseau.

  prparer le DNS avant de dplacer votre domaine

   Si vous dcidez de dplacer votre domaine sur de nouvelles adresses
   IP, soit parce que vous devez changer de FAI soit parce que vous avez
   apport des modifications  vos services et que ceci vous impose de
   migrer vers de nouvelles adresses IP chez le mme FAI, vous devrez
   faire quelques prparatifs avant la migration.

   Vous devez mettre les choses en place de faon  ce que, avant la
   migration, l'adresse IP demande par une recherche DNS quelque part
   dans le monde pointe correctement sur l'adresse IP d'origine et,
   qu'ensuite, aprs la migration, elle pointe rapidement sur la nouvelle
   adresse IP. Des sites distants peuvent avoir mis en cache votre
   adresse IP, et des requtes postrieures peuvent obtenir une rponse
   localement, depuis le cache, plutt qu'en questionnant les serveurs
   appropris. L'effet de ceci peut tre que des personnes ayant visit
   votre site rcemment sont dans l'impossibilit de se connecter alors
   que de nouveaux visiteurs rcuprent des informations valides non
   mises en cache. Le fait que les serveurs racine ne soient mis  jour
   que deux fois par jour complique encore plus les choses ; ainsi il est
   difficile d'acclrer un changement fait  l'identit de vos serveurs
   DNS primaire et secondaire dans les serveurs racine.

   La manire la plus simple de faire la transition est srement de
   dupliquer son site en entier, ou au moins ses composantes visibles
   publiquement, sur la nouvelle IP, dclarer la modification et attendre
   que le trafic bascule compltement sur la nouvelle adresse IP.
   Cependant, ce n'est probablement pas trs faisable.

   Ce que vous pouvez faire est de vous arranger avec votre nouveau FAI
   (ou avec votre FAI actuel si vous changez juste d'adresses chez le
   mme FAI) afin qu'il hberge le DNS primaire et le DNS secondaire
   pendant le transfert. Ceci devrait tre fait au moins un jour avant le
   dplacement. Demandez-lui de positionner la TTL (dure de vie) de cet
   enregistrement sur quelque chose de suffisamment petit (par exemple 5
   minutes). Les exemples de fichier DNS montrs plus haut dans cette
   section ont tous des valeurs TTL positionnes sur 86400 secondes (1
   jour). Si votre TTL est plus longue que cela, vous devrez faire le
   changement plus longtemps  l'avance. En dfinitive, voici ce que vous
   devez faire. Si la configuration actuelle de la TTL de votre domaine
   est, disons, N heures, alors ce qui suit doit tre ralis plus que N
   heures avant le dplacement :

     * L'enregistrement de votre domaine doit dsigner les DNS primaire
       et secondaire de votre nouvel ISP dans sa base de donnes racine.
       Comptez au moins un jour entre le moment o vous soumettez la
       modification et le moment o cette modification sera prise en
       compte dans la base de donnes.
     * Les nouveaux DNS primaire et secondaire doivent pointer sur les IP
       d'origine de votre site avec une TTL trs petite.

   Remarquez que vous ne pouvez pas acclrer le processus en rduisant
   la valeur actuelle de la TTL de votre domaine,  moins que vous ne
   l'ayez dj fait au moins N heures avant le dplacement.

   Maintenant, vous tes prt pour le transfert. Migrez vos machines sur
   les nouvelles adresses IP. Synchronisez ceci avec une mise  jour des
   enregistrements DNS de votre FAI de faon  ce qu'ils pointent sur les
   nouvelles adresses. Dans un dlai de 5 minutes (la petite TTL que vous
   avez enregistre pour le transfert), le trafic devrait avoir bascul
   sur le nouveau site. Vous pouvez maintenant arranger la section
   autorise du DNS  votre got, vous rendant primaire si c'est ce que
   vous voulez et repositionant la TTL sur une valeur raisonnablement
   grande.

7.2 Configuration du DNS si vous n'hbergez pas de service de messagerie

   Les configurations dcrites dans la section Mettre en place la
   rsolution de noms ont des enregistrements MX qui pointent sur une
   machine  mail.example.com . L'enregistrement MX avec la valeur de
   priorit la moins grande signale aux sites distants o envoyer le
   courrier lectronique. Les autres enregistrements de MX avec des
   valeurs de priorit plus leves sont utiliss comme des changeurs de
   ml de secours. Ces  secours  retiendront les messages pendant une
   certaine dure si l'changeur primaire n'est pas en mesure, pour une
   raison quelconque, d'accepter les messages. Dans les exemples de cette
   section, j'ai suppos que fred.example.com sous son alias de
   mail.example.com, gre la messagerie pour le domaine. Si vous avez
   choisi de laisser le FAI hberger de votre messagerie, vous devrez
   modifier ces enregistrements MX de faon  ce qu'ils pointent sur les
   machines appropries du FAI. Demandez  l'assistance technique de
   votre fournisseur quels sont les noms des htes que vous devez
   utiliser pour les enregistrements MX dans les divers fichiers.

7.3 Mettre en place la messagerie lectronique

   Si vous avez choisi d'hberger intgralement la messagerie pour votre
   domaine, vous devrez prendre des mesures spciales pour les messages
   entrants sur les htes du rseau priv.  moins que vous ne soyez
   vigilant, les messages ont de fortes chances de rester en rade s'ils
   attendent sur une machine et que le destinataire correspondant est
   connect sur une autre machine. Pour des questions de scurit, je
   recommande que les messages entrants ne soient pas accessibles depuis
   les htes publiquement visibles (ceci pouvant aider  dissuader un PHB
   qui veut que sa station de travail soit sur une adresse IP relle et
   qui s'tonne de se faire planter sa machine par un ping de la mort
   deux fois par jour). Sendmail s'accomode trs bien d'un systme de
   distribution de courrier transparent sur le rseau priv. Si quiconque
   souhaite fournir ici des solutions _testes_ pour d'autres dmons de
   messagerie, j'accueille volontiers toute contribution.

  Une solution utilisant Sendmail

   Afin que les messages dlivrs sur un hte soient accessibles depuis
   toutes les machines, la solution la plus simple est d'exporter le
   rpertoire de spool de la messagerie avec des droits de
   lecture/criture sur l'ensemble du rseau priv. La passerelle de
   rseau priv se comportera comme un changeur de messagerie pour
   celui-ci et doit donc avoir les droits de  root  en ce qui concerne
   l'criture sur le disque du rpertoire de spool de la messagerie. Les
   autres clients peuvent ou non rembarrer  root ,  votre gr. Ma
   philosophie gnrale en matire de scurit est de ne pas attribuer
   ces privilges  moins qu'il n'y ait une bonne raison de le faire,
   ainsi j'interdis l'utilisateur  root  depuis toutes les machines
   sauf depuis la passerelle de rseau priv. Ceci a pour effet que root
   ne peut lire son courrier que depuis cette machine mais ce n'est pas
   vraiment un handicap srieux. Notez que le rpertoire rseau de spool
   peut tre localis sur la passerelle de rseau priv elle-mme,
   export par NFS, ou qu'il peut tre localis sur l'un des serveurs
   internes, export sur l'ensemble du rseau priv. Si le rpertoire de
   spool rside sur la passerelle de rseau priv, il n'y a pas intrt 
   interdire  root  pour cette machine. Si le rpertoire de spool est
   sur un autre serveur, notez que le courrier ne sera pas dlivrable si
   ce serveur, la passerelle, ou le rseau les reliant sont hors-service.

   Pour les machines Windows de votre rseau priv, vous pouvez soit
   mettre en place un serveur POP sur le serveur de mail ou bien utiliser
   Samba pour exporter le rpertoire de spool sur ces machines. Les
   machines Windows doivent tre configures pour envoyer et recevoir les
   messages sous un nom d'utilisateur Linux tel que joeuser@example.com,
   ainsi l'adresse ml de l'hte est le nom de domaine uniquement, pas un
   nom de machine tel que barney.example.com. Le serveur SMTP sortant
   doit tre localis sur la passerelle de rseau priv qui sera charge
   de la redirection des messages et de toute rcriture d'adresse.

   Ensuite vous devrez configurer Sendmail pour qu'il redirige les
   messages en provenance des machines du rseau priv et qu'il rcrive
   les adresses si ncessaire. Rcuprez les sources les plus rcents
   depuis le site web de Sendmail  l'adresse http://www.sendmail.org.
   Compilez les excutables et ensuite allez dans le sous-rpertoire
   cf/domain dans l'arborescence source de Sendmail et crez le nouveau
   fichier suivant : example.com.m4.
     _________________________________________________________________

divert(-1)
#
# Copyright (c) 1998 Sendmail, Inc.  All rights reserved.
# Copyright (c) 1983 Eric P. Allman.  All rights reserved.
# Copyright (c) 1988, 1993
#       The Regents of the University of California.  All rights reserved.
#
# Par l'utilisation de ce fichier, vous acceptez les termes et conditions plac
s
# dornavant dans le fichier LICENCE qui peut tre trouv  la racine
# de la distribution de sendmail
#
#

#
# Ce qui suit est un fichier gnrique de domaine. Vous devriez pouvoir
# l'utiliser n'importe o. Si vous voulez le personnaliser, copiez-le dans un f
ichier
# nomm comme votre domaine et faites les modifications; puis copiez les fichie
rs .mc
# appropris et changez `DOMAIN(generic)' pour qu'ils renvoient  vos fichiers

# de domaine modifis.
#
divert(0)
define(`confFORWARD_PATH', `$z/.forward.$w+$h:$z/.forward+$h:$z/.forward.$w:$z/
.forward')dnl
FEATURE(redirect)dnl
MASQUERADE_AS(example.com)dnl
FEATURE(masquerade_envelope)dnl
     _________________________________________________________________

   Ceci dfinit le domaine example.com. Ensuite vous devez crer les
   fichiers sendmail.cf qui seront utiliss sur le serveur de messagerie
   (la passerelle de rseau priv), et sur les autres noeuds du rseau
   priv.

   Crez le fichier suivant dans l'arborescence de Sendmail, sous cf/cf :
   example.master.m4
     _________________________________________________________________

     divert(-1)
#
# Copyright (c) 1998 Sendmail, Inc.  All rights reserved.
# Copyright (c) 1983 Eric P. Allman.  All rights reserved.
# Copyright (c) 1988, 1993
#       The Regents of the University of California.  All rights reserved.
#
# Par l'utilisation de ce fichier, vous acceptez les termes et conditions plac
s
# dornavant dans le fichier LICENCE qui peut tre trouv  la racine
# de la distribution de sendmail
#

#
# Ceci est un fichier prototype pour une configuration qui ne supporte rien
#  part des connexions SMTP de base sur TCP.
#
# Vous devez changer la macro `OSTYPE' pour spcifier le systme d'exploitation
# sur lequel a va marcher ; cela indiquera la localisation de fichiers de supp
ort
# divers pour l'environnement de votre systme d'exploitation. Vous DEVEZ
# crer un fichier de domaine dans ../domain et le rfrencer en ajoutant une
# macro `DOMAIN' aprs la macro `OSTYPE'. Je vous recommande de
# commencer  par copier ce fichier sous un autre nom de faon  ce que les mise
s
#  jour de sendmail n'crasent pas vos modifications.
#

divert(0)dnl
OSTYPE(linux)dnl
DOMAIN(example.com)dnl
FEATURE(nouucp)
FEATURE(relay_entire_domain)
FEATURE(`virtusertable', `hash /etc/sendmail/virtusertable')dnl
FEATURE(`genericstable', `hash /etc/sendmail/genericstable')dnl
define(`confPRIVACY_FLAGS', ``noexpn,novrfy'')dnl
MAILER(local)
MAILER(smtp)
Cw fred.example.com
Cw example.com
     _________________________________________________________________

   Dans cet exemple, on a dsactiv les commandes  expn  et  vrfy .
   Un agresseur pourrait tester en boucle avec  expn  des alias tels
   que  personnel  ou  employes  jusqu' ce qu'il trouve un alias qui
   lui dveloppe plusieurs noms d'utilisateurs. Il peut alors essayer
   certains mots de passe mdiocres dans le but d'entrer (en supposant
   qu'il puisse obtenir une invite de login - les rglages de scurit
   dans la section Scuriser votre domaine sont dfinis de faon  ce
   qu'aucune invite de login ne soit possible pour les attaquants de
   l'extrieur).

   L'autre fichier que vous devez crer dfinira le sendmail.cf pour les
   machines esclaves : example.slave.m4.
     _________________________________________________________________

divert(-1)
#
# Copyright (c) 1998 Sendmail, Inc.  All rights reserved.
# Copyright (c) 1983 Eric P. Allman.  All rights reserved.
# Copyright (c) 1988, 1993
#       The Regents of the University of California.  All rights reserved.
#
# Par l'utilisation de ce fichier, vous acceptez les termes et conditions plac
s
# dornavant dans le fichier LICENCE qui peut tre trouv  la racine
# de la distribution de sendmail
#
#

#
#  Ceci est un prototype pour un  null-client  -- c'est  dire un client qui
#  ne fait rien  part rediriger tout le courrier vers un changeur de mail.
#  IL N'EST PAS UTILISABLE EN L'ETAT !!!
#
#  Pour l'utiliser, vous devez utiliser la fonction nullclient avec le nom de
#  de l'changeur de mail comme argument. Vous DEVEZ galement dfinir un
#  `OSTYPE' pour dfinir la localisation des rpertoires de file d'attente et a
pparents.
#  En plus, vous POUVEZ slectionner la fonction nocanonify. Cela entrainera
#  l'envoi d'adresses non qualifies par la connection SMTP; normalement
#  elles sont qualifies avec le nom de masquage, qui est par dfaut le
#  nom de la machine de connexion.
#  A part a, il ne devrait pas contenir d'autre ligne.
#

divert(0)dnl

OSTYPE(linux)
FEATURE(nullclient, fred.$m)
Cm example.com
     _________________________________________________________________

   Vous compilez les fichiers sendmail.cf qui vont bien avec la
   commande :

     make example.master.cf example.slave.cf

   et puis vous copiez les fichiers sur les machines appropries sous le
   nom de sendmail.cf.

   Cette configuration installe la plupart des fichiers de configuration
   de Sendmail dans le sous-rpertoire /etc/sendmail et amne _sendmail_
    analyser et  utiliser deux fichiers spcifiques, virtusertable.db
   et genericstable.db. Pour utiliser ces fichiers spcifiques, crez
   leurs fichiers source. D'abord, virtusertable.db :
     _________________________________________________________________

     John.Public@example.com                 jpublic
     Jane.Doe@example.com                    jdoe@somemachine.somedomain
     abuse@example.com                       root
     Pointyhaired.Boss@example.com           #phb#@hotmail.com
     _________________________________________________________________

   Ceci met en relation les adresses de messagerie du courrier entrant
   avec de nouvelles destinations. Les messages envoys 
   John.Public@example.com sont dlivrs localement sur le compte Linux
   jpublic. Les messages pour Jane.Doe@example.com sont redirigs vers un
   autre compte de messagerie, ventuellement, dans un domaine diffrent.
   Le courrier pour abuse@example.com est envoy  root et ainsi de
   suite. L'autre fichier est genericstable.src :
     _________________________________________________________________

     jpublic                                 John.Public@example.com
     janedoe                                 Jane.Doe@example.com
     whgiii                                  Pointyhaired.Boss@example.com
     _________________________________________________________________

   Ce fichier change le nom de l'expditeur des courriers sortants
   provenant de la messagerie locale. Alors qu'il ne peut manifestement
   pas avoir d'incidence sur l'adresse de retour des messages envoys
   directement par jdoe@somemachine.somedomain, il vous permet de
   rcrire l'adresse des expditeurs en changeant leurs noms
   d'utilisateurs internes selon le  plan d'adressage ml  que vous
   avez choisi. En dernier ressort, crez le fichier Makefile suivant
   dans /etc/sendmail :
     _________________________________________________________________

     all : genericstable.db virtusertable.db

     virtusertable.db : virtusertable.src
             makemap hash virtusertable < virtusertable.src

     genericstable.db : genericstable.src
             makemap hash genericstable < genericstable.src
     _________________________________________________________________

   Excutez _make_ pour crer les fichiers compils interprtables par
   _sendmail_, et n'oubliez pas de r-excuter _make_ et de redmarrer
   _sendmail_ (ou de lui envoyer un SIGHUP) aprs toute modification de
   chacun de ces fichiers  .src .

  Solutions utilisant d'autres MTA (Agents de transfert de mail)

   Je n'ai d'exprience que sur Sendmail. Si quiconque souhaite crire
   cette section, contactez-moi svp. Sinon, il est possible que j'essaye
   plus tard de donner moi-mme des dtails sur des MTA tels que
   _Postfix_, _Exim_ ou _smail_. Je prfrerais vraiment que quelqu'un
   d'autre, qui utilise ces programmes, crive cette section.

7.4 Mettre en place le serveur web

   Pour des raisons de scurit, vous devriez mettre en place votre
   serveur web public sur une machine  l'extrieur du rseau priv et
   non sur la passerelle. Si le serveur web a besoin d'accder  des
   bases de donnes ou  d'autres ressouces entreposes sur le rseau
   priv, la situation se complique tant du point de vue du rseau que du
   point de vue de la scurit. Une telle configuration est hors du champ
   de ce document.

   Les prcisions sur l'installation du serveur en lui mme peuvent tre
   trouvs dans la documentation d'apache et dans le WWW-HOWTO de Linux 
   l'adresse ftp://metalab.unc.edu/pub/Linux/docs/HOWTO/WWW-HOWTO ou 
   l'adresse http://www.freenix.org/unix/linux/HOWTO/WWW-HOWTO.html en
   version franaise.

7.5 Mettre en place le serveur FTP

   Une fois encore, votre serveur FTP devrait tre localis sur une des
   machines visibles depuis l'extrieur et non sur la passerelle de
   rseau priv. Suivez les indications qui sont fournies avec votre
   dmon FTP. Assurez-vous d'avoir rcupr la version la plus rcente
   car il existe des failles de scurit dans les vieilles versions de
   beaucoup de serveurs. Si votre site FTP ne ncessite pas que des
   utilisateurs anonymes y transfrent des fichiers, assurez-vous d'avoir
   dsactiv cette fonction dans le dmon. Je recommande que la
    connexion-utilisateur  (non anonyme) ne soit pas autorise sur le
   serveur, ceci impliquant que vos utilisateurs utilisent scp, la
   commande de copie  distance du shell scuris, pour toute mise  jour
   de fichier qu'ils seraient amens  faire sur le serveur FTP. Cela
   donne galement aux utilisateurs de bonnes habitudes de scurit et
   protge du problme de  routeur hostile  dcrit dans la section
   Scuriser votre domaine.

7.6 Mettre en place le filtrage de paquets

   Ce sujet est prsent en dtail dans la section Configurer votre
   Pare-feu.

8. Scuriser votre domaine

   Cette section traite de la scurisation de votre domaine. L'accent est
   mis sur l'importance de la transparence de cette dernire vis  vis
   des utilisateurs. Si votre scurit est trop contraignante et drange
   trop les activits de vos utilisateurs, ceux-ci dvelopperont leurs
   propres procdures de contournement qui peuvent nuire  l'ensemble du
   domaine. Le meilleur moyen d'viter ceci est de rendre la scurit
   aussi peu contraignante que possible et d'encourager les utilisateurs
    vous contacter en premier lieu quand ils ont des difficults qui
   pourraient tre imputables aux mesures de scurit du site. Une
   certaine tolrance est importante. Je sais, d'exprience personnelle,
   que si le rglement de scurit est trop rigide, les utilisateurs
   mettront en place leurs propres tunnels  travers le firewall de faon
    pouvoir se loguer depuis l'extrieur du domaine. Il est prfrable
   que les procdures de connexion  distance, ou n'importe quoi d'autre
   que tentent de faire les utilisateurs soient installes, contrles et
   approuves par vous.

   Cette section traite de la scurisation de votre rseau contre les
   agressions extrieures et contre un espionnage factuel depuis
   l'intrieur. Scuriser votre site contre une attaque dtermine de la
   part d'utilisateurs lgitimes  l'intrieur du rseau est une tche
   beaucoup plus difficile et complique et reste hors du champ de ce
   document.

   Un des points de scurit sur lesquels se base cette section est la
   protection contre le  routeur hostile . Le routeur fourni par votre
   ISP peut constituer  lui seul un ordinateur contrlable  distance
   dont le mot de passe est dtenu par votre FAI. Il y a eu, dans le
   pass, des problmes de scurit quand les mots de passe constructeur
   (ceux qui sont utiliss quand le FAI oublie le mot de passe qu'il a
   attribu) ont t connus par des  pirates . Si possible, vous
   devriez planifier votre scurit en prenant comme hypothse que le
   routeur est potentiellement hostile. C'est  dire qu'il pourrait
   utiliser n'importe quelle adresse dans vos plages publique _ou
   prive_, qu'il pourrait rediriger les paquets sortants vers un autre
   site ou qu'il pourrait enregistrer tout ce qui lui passe au travers.

8.1 Configurer votre pare-feu (firewall)

   Cette section traite de la configuration d'un routeur de filtrage, de
   masquage et de transport bas sur _ipchains_. Vous devriez
   certainement lire d'abord le IPCHAINS-HOWTO ( l'adresse
   ftp://metalab.unc.edu/pub/Linux/docs/HOWTO/IPCHAINS-HOWTO ;
   http://www.freenix.org/unix/linux/HOWTO/IPCHAINS-HOWTO.html en version
   franaise) puis chercher ici des conseils additionnels. Ce HOWTO
   dcrit les tapes pour configurer un noyau avec support de masquage
   (masquerading) et dcrit en dtail l'utilisation de l'excutable. Vous
   devriez activer le pare-feu sur toutes les machines ayant une IP
   expose.

   Vrifiez vos scripts de dmarrage afin de vous assurer que leur
   enchanement est comme suit sur la passerelle de rseau priv :

    1. la carte Ethernet est initialise
    2. les rgles de pare-feu sont passes en revue par ipchains
    3. le transport est activ
    4. les dmons des services rseau sont dmarrs

   Ainsi,  titre d'exemple, sur un systme bas sur la Slackware, la
   configuration du pare-feu devrait intervenir entre l'excution du
   rc.inet1 et du rc.inet2. En outre, si un quelconque problme apparat
   au cours des tapes de dmarrage du pare-feu, un avertissement devrait
   tre affich et la carte rseau externe dsactive avant que les
   services rseau ne soient lancs.

   Un problme courant avec les pare-feu bass sur ipchains est de
   s'assurer que les rgles sont correctement positionnes selon que les
   paquets arrivent sur l'interface de loopback, ou depuis l'une des deux
   interfaces, interne ou externe. Les paquets d'origine locale peuvent
   tre bloqus par le pare-feu. Trop souvent, ceci est rgl par une
   espce de dbogage bricol rapidement o les rgles du pare-feu sont
   manipules jusqu' ce que l'application semble fonctionner  nouveau
   correctement sur le pare-feu. Malheureusement, ceci peut parfois
   aboutir  un dispositif qui a des trous de scurit involontaires.
   Avec ipchains, il est possible d'crire un script de firewall qui peut
   tre facilement dbogu et peut viter beaucoup de problmes. Voici un
   script d'exemple /sbin/firewall.sh :
     _________________________________________________________________

#! /bin/sh
#
# Nouveau script de firewalling utilisant IP chains. Cre un routeur filtrant
# avec masquage de rseau
#

# dfinition de quelques variables

IPCHAINS=/sbin/ipchains

LOCALNET="192.168.1.0/24"       # le rseau priv
ETHINSIDE="192.168.1.1"         # IP prive de fred.example.com #
ETHOUTSIDE="10.1.1.9"           # IP publique de fred.example.com #
LOOPBACK="127.0.0.1/8"
ANYWHERE="0/0"
OUTSIDEIF=eth1                  # interface prive de fred.example.com

FORWARD_PROCENTRY=/proc/sys/net/ipv4/ip_forward

#
# Ces deux commandes retourneront des codes d'erreur si les rgles
# existent dj (ce qui se produit si vous excutez le script
# de pare-feu plus d'une fois). On met ces commandes avant  set -e 
# comme a, dans ce cas le script n'est pas interrompu.

$IPCHAINS -N outside
$IPCHAINS -N portmap

set -e                  # Abandonne immdiatement si des erreurs se produisent
                        # lors de l'installation des rgles.

#
# Arrte la redirection de ports et initialise les tables

echo "0" > ${FORWARD_PROCENTRY}

$IPCHAINS -F forward
$IPCHAINS -F input
$IPCHAINS -F output
$IPCHAINS -F outside
$IPCHAINS -F portmap

#
# Masque les paquets en provenance de notre rseau local
#  destination du monde extrieur. Ne masque pas les
# paquets locaux  destination locale.

$IPCHAINS -A forward -s $LOCALNET -d $LOCALNET -j ACCEPT
$IPCHAINS -A forward -s $ETHOUTSIDE -d $ANYWHERE -j ACCEPT
$IPCHAINS -A forward -s $LOCALNET -d $ANYWHERE -j MASQ

#
# Positionne les signaux de priorit. Dlais minimum
# de connexion pour www, telnet, ftp et ssh (paquets sortants
# uniquement).

$IPCHAINS -A output -p tcp -d $ANYWHERE www -t 0x01 0x10
$IPCHAINS -A output -p tcp -d $ANYWHERE telnet -t 0x01 0x10
$IPCHAINS -A output -p tcp -d $ANYWHERE ftp -t 0x01 0x10
$IPCHAINS -A output -p tcp -d $ANYWHERE ssh -t 0x01 0x10

#
# n'importe quel paquet venant de notre classe C locale doit
# tre accept comme le sont les paquets provenant de l'interface
# de loopback  et l'interface externe de fred

$IPCHAINS -A input -s $LOCALNET -j ACCEPT
$IPCHAINS -A input -s $LOOPBACK -j ACCEPT
$IPCHAINS -A input -s $ETHOUTSIDE -j ACCEPT

#
# On va crer un jeu de rgles pour les paquets provenant du grand,
# mchant monde extrieur, et puis y attacher toutes les interfaces
# externes. Ces rgles seront appeles  outside .
#
# On cre galement une chane  portmap . Les sockets utilises
# par les dmons rfrencs par le portmapper RPC ne sont pas
# fixes, il est donc un peu difficile de leur attribuer des
# rgles de filtrage. La chane portmap est configure dans un
# script  part.

#
# Paquets envoys depuis n'importe quelle interface extrieure
#  la chane  outside . Ceci inclut l'interface $OUTSIDEIF
# et toute interface ppp utilise pour se connecter (ou fournir
# une connexion).

$IPCHAINS -A input -i ${OUTSIDEIF} -j outside
$IPCHAINS -A input -i ppp+ -j outside

##################################################
#
#  installe les rgles de la chane  outside   #
#
##################################################

#
# Personne de l'extrieur ne devrait pouvoir se faire
# passer comme venant de l'intrieur ou du loopback.

$IPCHAINS -A outside -s $LOCALNET -j DENY
$IPCHAINS -A outside -s $LOOPBACK -j DENY

#
# Aucun des paquets routs vers notre rseau local
# ne peut venir de l'extrieur car l'extrieur
# n'est pas cens connatre nos adresses IP prives.

$IPCHAINS -A outside -d $LOCALNET -j DENY

#
# Bloque les connexions entrantes sur les ports X. Bloque 6000  6010.

$IPCHAINS -l -A outside -p TCP -s $ANYWHERE -d $ANYWHERE 6000:6010 -j DENY

#
# Bloque les ports NFS 111 et 2049.

$IPCHAINS -l -A outside -p TCP -s $ANYWHERE -d $ANYWHERE 111 -j DENY
$IPCHAINS -l -A outside -p TCP -s $ANYWHERE -d $ANYWHERE 2049 -j DENY
$IPCHAINS -l -A outside -p UDP -s $ANYWHERE -d $ANYWHERE 111 -j DENY
$IPCHAINS -l -A outside -p UDP -s $ANYWHERE -d $ANYWHERE 2049 -j DENY

#
# Bloque les paquets xdm venant de l'extrieur, port UDP 177.

$IPCHAINS -l -A outside -p UDP -s $ANYWHERE -d $ANYWHERE 177 -j DENY

#
# Bloque le port 653 YP/NIS .

$IPCHAINS -l -A outside -p TCP -s $ANYWHERE -d $ANYWHERE 653 -j DENY

#
# On ne va pas s'embter avec des logins sur le port TCP 80, le port www.

$IPCHAINS -A outside -p TCP -s $ANYWHERE -d $ANYWHERE 80 -j DENY

#
# Accepte des connexions donnes et contrle FTP.

$IPCHAINS -A outside -p TCP -s $ANYWHERE 20:21 -d $ANYWHERE 1024: -j ACCEPT

#
# Accepte les paquets ssh.

$IPCHAINS -A outside -p TCP -s $ANYWHERE -d $ANYWHERE ssh -j ACCEPT

#
# Accepte les paquets DNS depuis l'extrieur.

$IPCHAINS -A outside -p TCP -s $ANYWHERE -d $ANYWHERE 53 -j ACCEPT
$IPCHAINS -A outside -p UDP -s $ANYWHERE -d $ANYWHERE 53 -j ACCEPT

#
# Accepte SMTP depuis partout.

$IPCHAINS -A outside -p TCP -s $ANYWHERE -d $ANYWHERE 25 -j ACCEPT

#
# Accepte les paquets NTP.

$IPCHAINS -A outside -p UDP -s $ANYWHERE -d $ANYWHERE 123 -j ACCEPT

#
# N'accepte pas les paquets d'indentification, on ne les utilise pas.

$IPCHAINS -A outside -p TCP -s $ANYWHERE -d $ANYWHERE 113 -j DENY

#
# Dsactive et journalise tous les autres paquets entrants,
# TCP ou UDP, sur les ports privilgis.

$IPCHAINS -l -A outside -p TCP -s $ANYWHERE -d $ANYWHERE :1023 -y -j DENY
$IPCHAINS -l -A outside -p UDP -s $ANYWHERE -d $ANYWHERE :1023 -j DENY

#
# Contrle bas sur les rgles de portmapper.

$IPCHAINS -A outside -j portmap

##############################################
#
#  Fin des rgles de la chane  outside    #
#
##############################################

#
# Bloque les paquets rwho sortants.

$IPCHAINS -A output -p UDP -i $OUTSIDEIF -s $ANYWHERE 513 -d $ANYWHERE -j DENY

#
# Empche les paquets netbios de s'chapper.

$IPCHAINS -A output -p UDP -i $OUTSIDEIF -s $ANYWHERE 137 -d $ANYWHERE -j DENY

#
# Active le routage.

echo "1" > ${FORWARD_PROCENTRY}
     _________________________________________________________________

   Remarquez que le pare-feu peut tre utilis non seulement pour les
   paquets entrants mais aussi pour les paquets sortants qui pourraient
   dvoiler des informations sur votre rseau priv tels que des paquets
    rwho  ou  netbios .

   Comme not plus haut, les rgles du portmapper sont lgrement
   diffrentes car les dmons portmap s'abonnent eux-mmes au portmapper
   et sont renseigns sur les ports  couter. Les ports utiliss par un
   dmon quelconque peuvent changer si vous modifiez les services RPC
   utiliss ou si vous changez leur ordre de dmarrage. Le script
   suivant, /sbin/firewall.portmap.sh, gnre les rgles pour le dmon
   portmap.
     _________________________________________________________________

#! /bin/sh
#
ANYWHERE=0/0

IPCHAINS=/sbin/ipchains

$IPCHAINS -F portmap

# Rgles pour empcher l'accs aux services portmapps aux personnes de l'extr
ieur.
#
/usr/bin/rpcinfo -p | tail +2 | \
        { while read program vers proto port remainder
          do
             prot=`echo $proto | tr "a-z" "A-Z"`
             $IPCHAINS -l -A portmap -p $prot -s $ANYWHERE -d $ANYWHERE $port -
j DENY || exit 1
          done
             }
     _________________________________________________________________

   Nous n'avons pas  nous soucier du fait que les paquets entrants sont
   des paquets  lgitimes  en provenance du rseau priv ou non, la
   chane portmap n'est vrifie que quand les paquets proviennent de
   l'extrieur.

   Cette configuration de pare-feu note la plupart des paquets suspects
   par l'intermdiaire de klogd avec la priorit kern.info. Elle notera
   les essais de connexion normaux aussi bien que tous les scans furtifs
   connus.

   Maintenant on assemble le tout. On aimerait s'assurer qu'il n'existe
   pas de petite fentre de vulnrabilit au dmarrage du systme, en
   consquence on configure la squence de dmarrage comme suit :
     _________________________________________________________________

#! /bin/sh
#
# Dmarrer le rseau de faon scurise
#
#
/etc/rc.d/rc.inet1              # configure les interfaces rseau
                                # et active le routage.
/sbin/firewall.sh || { echo "la configuration du pare-feu a chou"
                       /sbin/ifconfig eth1 down }

/sbin/ipchains -I outside 1 -j DENY     # interdit tous les paquets entrants

/etc/rc.d/rc.inet2              # dmarre les dmons rseau

sleep 5                         # les laisse se stabiliser

# scurise les service portmapps
/sbin/firewall.portmap.sh || { echo "la configuration du pare-feu de portmap a
chou"
                               /sbin/ifconfig eth1 down }

/sbin/ipchains -D outside 1       # autorise les paquets entrants
     _________________________________________________________________

   Ceci suppose que eth1 est l'interface ayant l'adresse IP visible. Si
   la moindre erreur a lieu lors de l'installation d'une des rgles
   d'ipchains, un avertissement est produit et cette interface est
   dsactive. La chaine  outside  est positionne de manire  refuser
   tous les paquets avant que les dmons de service rseau ne soient
   dmarrs, parce que les rgles de pare-feu ne sont pas encore en place
   pour les services portmapps. Une fois que ces services sont protgs
   par le pare-feu, la chane  outside  est rendue  son comportement
   normal.

8.2 Configurer OpenSSH ou SSH1

    l'heure o j'cris, Open SSH, aussi bien que SSH1, offre dsormais
   des possibilits de configuration permettant d'intgrer _scp_, _ssh_
   et _slogin_ comme des excutables sous les noms _rcp_, _rsh_ et
   _rlogin_ avec un retour transparent, dans les programmes clients ssh,
   aux _rsh_, _rcp_ ou _rlogin_ d'origine quand le site distant n'excute
   pas _sshd_. Faire en sorte que l'invocation de _rsh_ excute  sa
   place le client _ssh_ est,  mon avis, important pour conserver une
   scurit facile  utiliser et pour en dcharger les utilisateurs. Les
   scripts de tout le monde, les configurations de _rdist_, etc.
   continueront  fonctionner sans modification si le site distant
   excute _sshd_, mais les donnes seront envoyes chiffres avec une
   forte certification de l'hte. La rciproque n'est pas toujours vraie.
   Tout spcialement si la machine distante n'excute pas sshd, le
   programme _rsh_ enverra un message  l'cran, avertissant que la
   connexion n'est pas chiffre. Ce message provoque une erreur avec
   _rdist_ et probablement avec d'autres programmes. Il ne peut tre
   supprim par des options en ligne de commande ou de compilation. Pour
   _rdist_, une solution est d'appeler le programme avec -p
   /usr/lib/rsh/rsh.

   Rcuprez ssh1 depuis le site de ssh ( : http://www.ssh.org), ou
   OpenSSH depuis son site ( : http://www.openssh.org), et compilez-le
   pour remplacer les  programmes en r  (_rsh_, _rlogin_ et _rcp_) non
   chiffrs. D'abord, copiez ces trois fichiers dans /usr/lib/rsh, puis
   configurez le paquet ssh avec :

./configure --with-rsh=/usr/lib/rsh/rsh --program-transform-name='s/^s/r/' --pr
efix=/usr

   Installez les excutables et configurez-les en fonction des
   directives. Sur la passerelle de rseau priv, assurez-vous que la
   configuration de sshd comprend bien les entres suivantes :

ListenAddress 192.168.1.1       # l'adresse interne de fred
IgnoreRhosts no
X11Forwarding yes
X11DisplayOffset 10
RhostsAuthentication no
RhostsRSAAuthentication yes
RSAAuthentication yes
PasswordAuthentication yes

   Vous serez amen  effectuer des rglages supplmentaires dans le
   fichier /etc/sshd_config, mais essayez de ne pas changer ces champs.
   Une fois que vous avez rgl toutes les entres du fichier sur les
   valeurs qui vous conviennent, copiez le fichier vers un nouveau
   fichier, /etc/sshd_config.ext, pour le rseau externe. Changez deux
   entres dans le nouveau fichier : la valeur de  ListenAdress  doit
   tre remplace par l'adresse IP de la passerelle de rseau priv
   (10.1.1.9 dans notre exemple de fred.example.com) et
    PasswordAuthentication  doit tre positionn sur  no  dans
   /etc/sshd_config.ext. Dans vos scripts de dmarrage des services
   rseau, faites dmarrer sshd deux fois, une fois avec

/usr/sbin/sshd

   et une fois avec

 /usr/sbin/sshd -f /etc/sshd_config.ext

   Ceci lancera deux dmons sshd. Celui oprant sur l'interface interne
   autorisera les connexions avec mot de passe, mais l'interface externe
   exigera la validation d'une cl RSA avant que quiconque puisse se
   loguer.

   Ensuite, dsactivez les services telnet et shell dans le fichier de
   configuration de inetd (notez que la configuration propose dans la
   section Configurer votre pare-feu empche dj les accs depuis
   l'extrieur, mais il est prfrable de se dfendre en profondeur, ne
   vous en remettez pas au fait que tout fonctionne correctement).

   Les personnes qui veulent pouvoir se connecter depuis leur domicile ou
   depuis un lieu de dplacement auront besoin une cl RSA. Assurez-vous
   qu'elles savent comment procder de faon  ce qu'elles ne gaspillent
   pas leur nergie  essayer de mettre en place un autre moyen de se
   connecter comme, par exemple, excuter un telnetd sur un port sans
   privilge sur la machine pare-feu.

   Une cl RSA est gnre par la commande suivante :

ssh-keygen -b 1024 -f new_rsa_key

   Vous serez invit  entrer une phrase-cl (passphrase). Celle-ci ne
   doit _pas_ tre vide. Une personne ayant un accs au fichier
   new_rsa_key et connaissant la phrase-cl a tout ce qu'il lui faut pour
   russir un dfi d'authentification RSA. La phrase-cl peut tre un mot
   de passe  introuvable  ou une phrase longue, mais choisissez quelque
   chose de pas banal. Le fichier new_rsa_key peut tre copi sur une
   disquette ou sur un portable et, en association avec la phrase-cl,
   peut tre utilis pour se connecter sous les comptes paramtrs pour
   accorder l'accs  cette cl RSA prcise.

   Pour configurer un compte de faon  ce qu'il soit accessible par une
   cl RSA, crez simplement un rpertoire $HOME/.ssh pour cet
   utilisateur sur la passerelle de rseau priv (c'est  dire la machine
   qui recevra la demande de connexion), et copiez le fichier
   new_rsa_key.pub qui a t cr par la commande  ssh-keygen  dans le
   fichier $HOME/.ssh/authorized_keys. Pour des dtails sur les autres
   options que vous pouvez ajouter  la cl, telles qu'obliger la demande
   de connexion  provenir d'une certaine adresse IP ou d'un certain nom
   d'hte, ou bien permettre  la cl de n'autoriser l'invocation 
   distance que de certaines commandes seulement (par exemple une cl RSA
   qui ne fait que commander le dbut d'une sauvegarde ou l'envoi par
   mail  l'extrieur du site d'un rapport d'tat), reportez-vous  la
   section  AUTHORIZED_KEYS FILE FORMAT  dans la page de manuel de
   sshd.

   Il reste une seule chose  faire pour rendre le mcanisme de
   chiffrement RSA aussi simple que possible pour les utilisateurs. Si
   l'utilisateur est oblig d'entrer la phrase-cl plus d'une fois ou
   deux au cours de sa session, il va vraisemblablement finir par tre
   gn et par prendre en main les questions de scurit. Sous Linux,
   faites en sorte que son shell de login soit invoqu sous _ssh-agent_.
   Par exemple si les portables de socit utiliss en dplacement
   excutent _xdm_ et basculent les utilisateurs sous une session X,
   allez dans le fichier /var/X11R6/lib/xdm/Xsession_0 et modifiez les
   lignes qui lancent le dmarrage et qui sont probablement du type :

exec "$startup"

   par des lignes du type :

exec ssh-agent "$startup"

   Dans mon paramtrage de xdm il y a trois lignes dans ce fichier qui
   ont d tre modifies. Maintenant, quand l'utilisateur ouvre une
   session sur le portable, il saisit la commande

ssh-add new_rsa_key

   sous n'importe quel prompt, il saisit la phrase-cl quand il y est
   invit et toutes les fentres auront accs sans phrase-cl au compte
   sur la passerelle de rseau priv jusqu' ce que l'utilisateur
   dconnecte la session X sur le portable.

   Excutez sshd sur toutes les machines de votre rseau priv, autant
   que sur vos htes exposs. Pour les autres machines que la passerelle,
   l'entre ListenAdress dans le fichier /etc/sshd_config peut-tre
   positionne sur  0.0.0.0 . Vous devez mettre en place les cls des
   htes avec la commande :

ssh-keygen -b 1024 -f /etc/ssh_host_key -N ""

   puis excuter _make-ssh-known-hosts_ et distribuer le fichier
   /etc/ssh_know_hosts sur toutes les machines du rseau priv.

   Dsactivez le telnet entrant et les  services en r  non chiffrs. Ne
   supprimez pas l'excutable _telnet_, il est utile pour d'autres choses
   que de simples connexions telnet sur le port 23. Vous pouvez autoriser
   l'identification par mot de passe sur le rseau priv et la dsactiver
   sur les machines exposes, en imposant une cl RSA pour la connexion
   sur les htes exposs.

   Il est pratique pour les utilisateurs que les htes du rseau se
   rpertorient les uns les autres dans le fichier /etc/hosts.equiv. Les
   dmons sshd prendront ceci en compte et permettront aux personnes de
   se connecter  distance ou d'excuter des shells  distance entre
   machines sans mot de passe ou phrase-cl.  chacune des connexions,
   les machines vrifieront leurs identits respectives avec des cls RSA
   au niveau machine.

   Une difficult apparat quand un utilisateur connect sur une machine
   du rseau priv veut se connecter sur une machine ayant une adresse IP
   publique. Vous ne pouvez pas utiliser /etc/hosts.equiv ou
   $HOME/.shosts pour permettre une identification sans mot de passe
   parce que l'utilisateur est sur une machine dont l'adresse IP ne peut
   tre dtermine - elle semblera venir du pare-feu, mais les
   cls-machine ne fonctionneront pas. Il y a deux solutions  cela.
   D'abord, si vous voulez vraiment utiliser les mthodes
   /etc/hosts.equiv ou $HOME/.shosts, l'utilisateur devra se connecter 
   la passerelle de rseau priv (fred.example.com dans notre exemple
   actuel) et ensuite se connecter sur la machine expose depuis cet
   endroit. L'autre technique consiste  utiliser l'authentification RSA
   qui fonctionne toujours indpendamment des fantaisies du mcanisme de
   rsolution et d'adresses IP occasionnes par votre configuration.

8.3 Configurer X

   La qute perptuelle de l'utilisateur pour prouver qu'il privilgie la
   facilit d'utilisation par rapport  la scurit, a rendu commun
   l'usage de la commande

xhost +

   dans ses scripts d'initialisation de X. Ceci permet l'accs au serveur
   X  n'importe qui dans le monde. Maintenant, n'importe quel intrus
   peut remplacer votre fond d'cran par quelque chose d'embarassant
   juste au moment o votre chef fait visiter votre bureau  sa mre. Cet
   intrus peut galement tranquillement surveiller tout ce que vous tapez
   au clavier et capturer le contenu de votre cran sur sa machine.
   Inutile de dire que ceci ne sied pas trs bien aux mots de passe que
   vous utilisez pour vous connecter sur d'autres sites ou  d'autres
   documents sensibles affichs  l'cran. Le protocole xhost lui mme a
   des limitations inhrentes au fait qu'il n'est pas possible d'accorder
   la permission d'utiliser l'affichage sur une  base utilisateur  mais
   seulement sur une  base machine .

   Optez pour l'identification _xauth_. Si vous avez _xdm_, vous excutez
   dj probablement l'identification _xauth_ mais _xhost_ fonctionne
   toujours et peut continuer  tre utilis par les gens pour excuter
   des processus X entre machines. Une fois encore, le but est de rendre
   la scurit suffisamment facile  utiliser de manire  ce que les
   utilisateurs ne soient plus tents d'utiliser la commande _xhost_.

   Le paramtrage de sshd dcrit dans la section Configurer SSH1, avec
   l'indicateur  X11Forwarding  positionn, est actuellement plus
   simple d'utilisation que la technique _xhos_t. Une fois que vous vous
   tes connect sur votre terminal, vous pouvez simplement vous
    rloguer  sur une machine distante et excuter _netscape_, _xv_ ou
   ou ce que vous voulez sans avoir  positionner la variable $DISPLAY ou
    accorder des permissions explicites. Au cours du login _ssh_, le
   systme est configur d'une manire transparente pour l'utilisateur
   final, et mme, tous les paquets sont chiffrs avant de partir sur le
   rseau.

   Si vous n'avez pas la possibilit d'utiliser le transfert X11 sshd
   pour une raison ou pour une autre, vous devrez utiliser _xauth_ quand
   vous voudrez autoriser les autres machines  se connecter sur votre
   serveur X. Documentez ceci pour vos utilisateurs ou bien crez des
   scripts shell spcialiss pour les aider. La commande adquate pour
   permettre une identification,  jpublic  sur la machine  barney  de
   faon  avoir accs au serveur est :

/usr/X11/bin/xauth extract - $DISPLAY | rsh -l jpublic barney /usr/X11/bin/xaut
h merge -

   Cette squence n'est pas ncessaire pour autoriser les connexions X
   depuis les machines qui partagent un rpertoire commun de montage NFS.
   La cl xauth sera immdiatement disponible aux utilisateurs de toutes
   les machines qui montent le mme rpertoire racine.

   Je serais tent d'effacer purement et simplement _xhost_ de toutes les
   machines. Si ceci cause des problmes pour quelques programmes, vous
   saurez au moins que ces programmes avaient une scurit mal conue. Il
   est suffisamment ais d'crire un script-shell qui utilise la squence
   _xauth_ dcrite plus haut comme solution de remplacement pour _xhost_.

   Notez que, si _rsh_ n'est pas le programme de chiffrement de ssh, la
   cl xauth est envoye sous forme de texte. Quiconque s'empare du texte
   de la cl peut accder  votre serveur, ainsi vous ne gagnez pas
   beaucoup de scurisation si vous n'utilisez pas ssh pour ces
   transactions. Notez galement que si les rpertoires home des
   utilisateurs sont exports via NFS (Network File System) la cl xauth
   est disponible en clair pour n'importe quelle personne en mesure
   d'espionner ces paquets NFS, indpendamment du fait que vous excutez
   ssh sur vos systmes.

8.4 Configurer le partage de fichiers

   Avec la messagerie arrivant sur une machine centralise, les
   procdures de lecture et d'expdition depuis n'importe quel hte
   dcrites ici sont trs pratiques, mais des prcautions doivent tre
   prises contre le furetage de la part d'utilisateurs locaux qui
   s'ennuient. NFS sans implmentation de AUTH_DES manque foncirement de
   scurit. NFS s'en remet  la machine cliente pour certifier l'accs,
   il n'y a pas de vrification de mot de passe sur le serveur pour
   s'assurer que le client est autoris  accder  tel fichier priv
   d'un utilisateur particulier. Une machine Windows peut tre configure
   pour lire les volumes exports par NFS sous n'importe quel identifiant
   numrique en outrepassant compltement les permissions de fichiers
   UNIX. En consquence, les exports NFS ne devraient tre mis en place
   que sur les machines qui sont toujours sous Linux (ou UNIX), sous
   votre contrle direct, et jamais sur celles qui ont un boot multiple
   avec Windows. Si vous voulez exporter le rpertoire de spool de votre
   messagerie, ou n'importe quel autre rpertoire, vers des machines qui
   peuvent tre  l'occasion utilises sous Windows, exportez-les avec
   Samba en mettant le mode d'identification sur  security=USER . Le
   fait de connecter les machines sur votre rseau  l'aide d'un
   commutateur plutt qu'un hub sera galement bnfique et donnera peu
   d'intrt  la mise en place de renifleurs sur les machines Windows.
   Cependant, et en dernier lieu, il est trs difficile de scuriser un
   partage de fichier  travers les rseaux au moment de son criture.

   Pourquoi vous inquiter si vous ne pouvez rellement scuriser les
   disques rseau ? C'est avant tout un moyen de rendre l'ensemble de la
   scurisation crdible. Si vous laissez une feuille de papier avec des
   informations confidentielles sur votre bureau et que quelqu'un la lit,
   il pourra arguer du fait qu'il n'avait pas ralis la nature du
   document, sa curiosit naturelle venant juste de l'emporter quand il
   l'a vu pose l. Si la feuille de papier est dans un classeur ou dans
   un tiroir du bureau, c'est une histoire totalement diffrente. L'objet
   des mesures de scurit en interne est surtout de s'assurer que
   personne ne peut accidentellement compromettre la scurit gnrale.

9. Remerciements

   Ce document a t crit comme documentation interne pour le projet
   DYNACAN, intgr au au projet de dveloppement continu sous le
   contrle du Dveloppement des ressources humaines Canada.

   Ce document a considrablement bnfici des suggestions de

     * Rod Smith (rodsmith@rodsbooks.com), qui a suggr que je fournisse
       des dtails sur la manire d'enregistrer un nom de domaine, sur la
       configuration avec des adresses IP dynamiques et qui m'a orient
       sur les divers services d'hbergement d'IP dynamiques et sur
       Granite Canyon.
     * Greg Leblanc (gleblanc@my-deja.com) pour des suggestions utiles
       pour amliorer la lisibilit du document.
     * Sami Yousif (syousif@iname.com).
     * Marc-Andr Dumas (m_a_dumas@hotmail.com), qui m'a suggr la
       section concernant la transposition du domaine sur de nouvelles
       adresses IP.
     * Osamu Aoki (aoki@pacbell.net).
     * Joao Ribeiro <(url
       url="mailto:sena@decoy.ath.cx"name="sena@decoy.ath.cx">).

10. Glossaire des termes utiliss

   Voici une liste de la signification de certains des mots ou acronymes
   utiliss dans le document.

   _Adresse IP_
          L'adresse d'une certaine interface rseau. Sous le standard
          actuel, nomm ipv4, cette adresse consiste en une srie de 4
          valeurs codes sur 8 bits gnralement crites en base 10 et
          spars par des points. La communication entre ordinateurs sur
          internet est base sur l'envoi de paquets d'information entre
          adresses IP.

   _Adresse IP dynamique_
          Adresse IP qui est attribue priodiquement ou sur la base
          d'une session. Aucune garantie n'est donne sur le fait que
          l'adresse IP restera la mme. Une adresse IP dynamique n'est
          susceptible de changer que quand votre connexion rseau tombe
          et se reconnecte, ou bien priodiquement lors d'une ngociation
          DHCP. Certains services bass sur la session tels que _telnet_
          ou _ssh_ s'arrteront si l'adresse IP de l'une ou l'autre des
          deux machines connectes change pendant la session.

   _Adresse IP statique_
          Une adresse IP qui vous a t attribue ou loue de manire
          permanente. Sauf annulation de la convention qui vous attribue
          cette adresse IP, elle sera toujours disponible pour votre
          utilisation, et aucune autre machine sur internet n'est
          autorise  utiliser cette adresse. S'oppose  Adresse IP
          dynamique.

   _DHCP_
          Dynamic Host Configuration Protocol. Un standard, dfini dans
          la RFC 1531, pour que des ordinateurs sur rseau TCP/IP
          puissent obtenir de serveurs des informations telles que
          l'adresse IP qu'ils doivent utiliser, le masque de rseau, la
          passerelle, etc. Plutt que ses informations soient paramtres
          par un administrateur, la machine les demande simplement au
          serveur quand elle se connecte au rseau.

   _DNS_
          Domain name service. Un standard pour convertir les noms de
          domaine en adresses IP ou vice-versa, en recherchant
          l'information dans des bases de donnes centrales.

   _DSL_
          Digital Subscriber Line. Une connexion rseau relativement
          rapide, habituellement fournie sur un cblage tlphonique
          spcialis.

   _FAI_
          Fournisseur d'accs  internet. La socit qui vous fournit la
          connexion  internet, y compris la connexion physique,
          l'hbergement de services, et l'attribution d'adresses IP
          qu'elle contrle.

   _Fournisseur d'accs Internet_
          voir FAI

   _FTP_
          File Transfert Protocol. Un protocole pour envoyer des fichiers
          entre machines  travers internet.

   _ftpd_
          Le dmon (serveur) charg de fournir le service FTP sur un
          hte. Il rpond aux requtes faites par un client distant.

   _IP_
          voir adresse IP

   _ISP_
          Internet Service Provider, quivalent anglais pour FAI

   _Masquage (ou camouflage)_
          Un type de filtrage dans lequel les paquets manant d'une
          machine vers le monde extrieur ont leur en-tte rcrit de
          faon  ce qu'ils semblent provenir d'une machine
          intermdiaire. La machine intermdiaire transmet alors les
          rponses  la machine d'origine. Le rsultat, en termes de
          rseau, est qu'un rseau entier de machines peut sembler
          n'utiliser qu'une seule adresse IP, celle de la machine qui
          assure le masquage, en ce qui concerne les connexions
          extrieures.

   _Masquerading_
          voir masquage

   _named_
          Le serveur de noms. C'est le dmon qui rpond aux requtes DNS.
          Il est distribu dans le paquet BIND.

   _Network Time Protocol_
          voir NTP

   _NTP_
          Network Time Protocol. Un standard pour synchroniser votre
          horloge systme avec  l'heure officielle , dfini comme la
          rfrence de beaucoup d'horloges de prcision  travers le
          monde.

   _OS_
          Operating System. voir SE

   _PHB_
          Pointy Haired Boss (voir :
          http://www.unitedmedia.com/comics/dilbert/about/html/boss.html
          ou
          http://www.cplus.fr/html/samedicomedie/dilbert/personnages.html
          #3). Un personnage de Scott Adams, dans la srie Dilbert.

   _Provider_
          voir FAI

   _Requte DNS directe_
          (forward DNS) Une requte DNS qui convertit un nom de domaine
          en une adresse IP.

   _Requte DNS invers_
          (reverse DNS) Une requte DNS qui convertit une adresse IP en
          un nom de domaine.

   _Routeur_
          Une machine spcialise qui met  excution les rgles
          concernant l'endroit o envoyer les paquets sur la base de leur
          adresse IP, les ponts entre vos machines Ethernet et n'importe
          quel mdia de communication qui vous connecte avec votre FAI.

   _Script CGI_
          Common Gateway Interface. C'est un programme qui est excut 
          la demande pour gnrer le contenu d'une page web. Si une page
          web doit faire autre chose que d'envoyer des informations
          (textes et graphiques) fixes au navigateur, vous aurez
          probablement besoin d'un programme quelconque de gnration
          d'affichage dynamique tel qu'un script CGI. Les applications
          peuvent tre des forums de dicussion, des formulaires
          interactifs, des cartes de crdit e-commerce, etc.

   _SE_
          Systme d'exploitation. Linux, Windows, FreeBSD, BeOS, HP-UX,
          MacOS, etc.

   _ssh_
          Le shell scuris. Une substitution chiffre pour _rlogin_,
          _telnet_, _ftp_ et autres programmes. Protge contre
          l'usurpation d'adresse, l'attaque de l'intercepteur, et le
          reniflage de paquets.
