Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Les 22 & 23 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !
  1. Livres et vidéos
  2. Debian GNU/Linux
  3. Maintenance et sécurité
Extrait - Debian GNU/Linux Administration du système (Nouvelle édition)
Extraits du livre
Debian GNU/Linux Administration du système (Nouvelle édition)
3 avis
Revenir à la page d'achat du livre

Maintenance et sécurité

Tâches essentielles de l’administrateur

On attend avant tout d’un administrateur système et a fortiori d’un administrateur Debian qu’il assure le bon fonctionnement des serveurs et des postes de travail sous sa responsabilité ainsi que l’application de la politique de sécurité qu’il a lui-même contribué à mettre en œuvre.

D’un point de vue global, la politique de sécurité comporte :

  • Les aspects physiques comme l’accès aux serveurs, la bonne tenue du réseau électrique, la tolérance aux pannes, etc.

  • Les aspects liés au système, de la politique d’authentification des acteurs jusqu’à la gestion des ressources.

Les aspects physiques sortent du cadre de l’ouvrage. Les aspects système évoqués ci-dessous font partie de l’administration Linux au travers des modules PAM, des permissions sur les fichiers, des listes de contrôle d’accès.

1. Contrôles simples du système (mode console)

Contrôler simplement son système Debian consiste à s’assurer au moyen de quelques commandes de la bonne santé d’un serveur. Quelques commandes ont été abordées au chapitre précédent, notamment la commande netstat.

Affinons et ajoutons d’autres commandes de façon à obtenir un mémo de synthèse pour l’administrateur.

a. Surveillance des interfaces réseau ou des processus (Burinux)

  • Affichage des informations générales sur les interfaces réseau :


root@burinux:~# netstat -i 
Table d'interfaces noyau 
Iface    MTU  RX-OK RX-ERR RX-DRP RX-OVR   TX-OK TX-ERR TX-DRP TX-OVR Flg 
enp0s3   1500   247      0      0 0         129      0      0      0 BMRU 
enp0s8   1500   108      0      0 0          45      0      0      0 BMRU 
lo      65536     8      0      0 0           8      0      0      0 LRU

  • Visualisation des informations...

Protection contre les menaces

Dans la politique de sécurité d’une entreprise, deux aspects se dégagent : celui concernant la sécurité des systèmes et celui concernant la sécurité du réseau. Il sera fait l’impasse ici de ce dernier point avec entre autres la configuration d’un pare-feu (netfilter et iptables) car n’entrant pas dans la thématique de l’ouvrage.

1. Autre antivirus

Il a été vu dans le chapitre sur la mise en place d’un poste de travail avec environnement graphique, l’antivirus ClamAV, standard sous Linux. Bien sûr, rappelons qu’un antivirus sous Linux Debian semble inutile, encore qu’il existe ELF (Executable Linux Format) qui montre le contraire (mais avec des restrictions).

Quoi qu’il en soit, afin d’éviter de transmettre un virus à un autre poste de travail, par exemple aux systèmes sous Windows, il est fortement conseillé de posséder un antivirus doté d’un scan de virus en temps réel, ce que ne possède pas ClamAV.

On ne présente plus l’antivirus Avast ; il dispose de deux atouts maîtres : sa notoriété et son existence, car il est un des rares à assurer une version sous Linux. Son installation implique plusieurs étapes :


root@burinux:~# echo "deb http://deb.avast.com/lin/repo debian 
release" >> /etc/apt/sources.list 
root@burinux:~# wget https://files.avast.com/files/resellers/linux/
avast.gpg 
--2017-04-07 18:05:24--  https://files.avast.com/files/resellers/
linux/avast.gpg 
Résolution de files.avast.com (files.avast.com)... 92.122.88.160 
Connexion à files.avast.com (files.avast.com)|92.122.88.160|:443...  
connecté. 
requête HTTP transmise, en attente de la réponse......

Inspection, maintenance et optimisation

1. Zeitgeist ou la journalisation d’événements

Ce service enregistre les activités et les événements de l’utilisateur comme les fichiers ouverts mais aussi, et c’est là que réside la polémique, les sites web visités, la géolocalisation, jusqu’aux conversations entre les utilisateurs. L’installation de ce service ne se conçoit que sur un poste de travail et il est à parier qu’un administrateur aura à « déminer » le terrain en expliquant son utilisation auprès du personnel de l’entreprise avant toute installation.

Zeitgeist évolue nativement avec l’environnement de bureau Gnome (et l’environnement Unity d’Ubuntu maintenant abandonné), ce qui rend malaisée sa désinstallation en raison de dépendances.

C’est là le paradoxe de Zeitgeist : on en parle plus dans le cadre d’une désinstallation que d’une installation ! Le projet en lui-même semble en déshérence même si le logiciel existe toujours dans les serveurs de dépôts de la Debian Stretch.

 Regardez les dépendances nécessaires à l’aide cette fois de la commande trop méconnue apt-cache du paquet logiciel zeitgeist sur le système Burinux :


root@burinux:~# apt-cache depends zeitgeist 
zeitgeist 
  Dépend: zeitgeist-core 
  Dépend: python-zeitgeist 
  Dépend: zeitgeist-datahub 
Zeitgeist activity log manager

Il suffira sous Debian de désinstaller ces paquets pour supprimer Zeitgeist, en tout cas sous Xfce.

2. Maintenance de paquets logiciels

Une des tâches de l’administrateur est de garder son système fiable, sécurisé et... propre. On entend par là enlever des paquets inutiles ou veiller à la suppression des dépendances et des fichiers de configuration superflus.

Voici la commande de suppression des dépendances :


root@burinux:~# apt-get autoremove --purge

Pour visualiser les paquets supprimés dont il subsiste les fichiers de configuration :


root@burinux:~# aptitude search ~c 
c  zeitgeist-core - système de journalisation d'événement - moteur 
c  zeitgeist-datahub - système...