Author: tontonfred

Du shell au Script shell .. TD ASR ABD #Warmup

Posted on 6 décembre 20228 décembre 2022 by tontonfred

Maintenant que Leila et Stéphanie sont devenues les reines du #Bash

Entrainez-vous avec les exercices suivants . Devant certains exercices cous avez un petit cours à lire avant (pour certains en PDF)

Création d’un premier Script

On passe par la commande touch ou par un éditeur pour créer le script

touch monscript.sh ou nano monscript.sh

J’ai donné ici l’extension .sh à monscript. On le fait souvent par convention pour indiquer que c’est un script shell, mais ce n’est pas obligatoire. Certains scripts shell n’ont d’ailleurs pas d’extension du tout.Il pourrait s’appeler monscript

La première ligne du script commence par le “sha-bang.”Il sert à dire quel shell on va utiliser .il permet de charger le bon shell mais il n’est pas obligatoire..si il n’est pas présent le shell de l’utilisateur courant sera utilisé.

#!        <---Ca c'est le sha-bang
on aura donc en début de script bash:

#!/bin/bash

Par convention et bon sens on va ajouter des commentaires dans le script. Ce sont des lignes qui ne seront pas exécutées mais qui permettent d’expliquer ce que fait votre script.

Tous les commentaires commencent par un #

#!/bin/bash

# Affichage du répertoire courant
pwd

Ensuite il faut enregistrer le script et lui donner des droits d’execution. Avec la commande :

chmod +x monscript.sh

il passera donc en – rwx r-x r-x au niveau de la permission

Et enfin on l’exécute avec ./

./monscript.sh

Lire PDF commandes interne et externe

EXO Commandes internes et externes

Connectez-vous avec votre nom de login et ouvrez une console
Dites si echo est une commande interne ou externe
Quel est le résultat des commandes suivantes:

help
help echo
help cd
help ls cd –help
ls –help

Que pouvez-vous en déduire ?

4. Quel est le type de données contenu dans les fichiers suivants ?

/bin/bash
/etc/init.d
/sbin/poweroff

LIRE PDF AFFICHAGE A L’ECRAN

Exo Affichage à l’écran

1. Exécutez la commande echo qui permet d’afficher le texte suivant à l’écran :

Les RISR 2021 sont les meilleurs

oui, je le pense aussi

2. A l’aide de la commande echo, affichez la liste de caractères suivants:

& ~ # ( ) | \ ^@ $ * ! ;

3. Quel est le résultat affiché par les lignes de commandes suivantes:

echo pwd

echo `pwd`

echo "il ya `ls | wc -l` fichiers dans `pwd`"

echo "`whoami`, nous sommes le `date '+%d/%m/%y'`"

echo "$(whoami), nous sommes le $(date) "

Caractères spéciaux du shell

Caractères	sh (Bourne)	ksh 88	bash	Signification
espacetabulationsaut de ligne	oui	oui	oui	Séparateurs de mots sur la ligne de commande.
&	oui	oui	oui	Arrière-plan.
\| < << > >>	oui	oui	oui	Tube et redirections.
>\|	non	oui	oui	Écrasement d’un fichier (option noclobber).
(cmde1;cmde2){cmde1;cmde2}	oui	oui	oui	Regroupement de commandes.
;	oui	oui	oui	Séparateur de commandes.
* ? [ ]	oui	oui	oui	Expressions pour noms de fichier et case.
* ? [ ]	non	oui	oui	Expressions pour la commande de test [[…]].
?() +() *()!() @()	non	oui	oui	Expressions pour noms de fichier [[ ]] et case.
$ et ${ }	oui	oui	oui	Valeur d’une variable.
`…`	oui	oui	oui	Substitution de commandes.
$()	non	oui	oui	Substitution de commandes.
’…’”…”\	oui	oui	oui	Caractères de protection.
$(( ))	non	oui	oui	Substitution d’expression arithmétique.
cmde1 && cmde2cmde1 \|\| cmde2	oui	oui	oui	Opérateurs logiques du shell.
#	oui	oui	oui	Commentaire.
~	non	oui	oui	Répertoire d’accueil de l’utilisateur.

Lire PDF sur les redirections

Lire PDF tubes de communications

Lire PDF Regroupement de commandes

Lire PDF Processus en arrière plan

L’environnement SHELL

EXO Pré-Requis

Interco IVP4/IPV6/0SPF

Posted on 17 janvier 202217 janvier 2022 by tontonfred

Site et Services AD / Réplication inter sites

Config du routeur de Lille (CISCO 2900Séries)

!
! Last configuration change at 14:26:19 UTC Fri Jan 14 2022 by lille
! NVRAM config last updated at 13:00:47 UTC Fri Jan 14 2022
! NVRAM config last updated at 13:00:47 UTC Fri Jan 14 2022
version 15.2
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname LILLE
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 $1$I2nZ$lI7reKDhANydNC4IKLqZO.
!
no aaa new-model
!
ipv6 unicast-routing
ipv6 cef
!
!
!
!
!
ip domain name woodlille.com
ip cef
multilink bundle-name authenticated
!
!
crypto pki token default removal timeout 0
!
!
license udi pid CISCO2901/K9 sn FCZ1713C0SN
!
!
username lille password 7 060A062D404B
!
!
ip ssh version 2
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
ip address 192.168.59.254 255.255.255.0
duplex auto
speed auto
ipv6 address FE80::FF link-local
ipv6 address 2022:F00D:5959:5959::FF/64
ipv6 ospf 1 area 0
!
interface GigabitEthernet0/1
ip address 172.16.61.100 255.255.255.0
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface Serial0/0/0
ip address 10.59.74.1 255.255.255.252
ipv6 address 2022:F00D:5959:7474::1/64
ipv6 address autoconfig
ipv6 ospf 1 area 0
clock rate 2000000
!
interface Serial0/0/1
ip address 10.29.59.2 255.255.255.252
ip nat inside
ip virtual-reassembly in
ipv6 address 2022:F00D:2929:5959::2/64
ipv6 address autoconfig
ipv6 ospf 1 area 0
!
router ospf 1
router-id 59.59.59.59
network 10.59.74.0 0.0.0.3 area 0
network 10.29.59.0 0.0.0.3 area 0
network 192.168.59.0 0.0.0.255 area 0
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip nat inside source list 1 interface GigabitEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1
!
access-list 1 permit 0.0.0.0
access-list 1 permit 192.168.59.0 0.0.0.255
access-list 1 permit 192.168.40.0 0.0.0.255
access-list 1 permit 192.168.71.0 0.0.0.255
access-list 1 permit 192.168.29.0 0.0.0.255
access-list 1 permit 192.168.74.0 0.0.0.255
ipv6 router ospf 1

Configuration Intersite DC de Lille

Console sites et services Active Directory

!
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
login local
transport input ssh
transport output ssh
!
scheduler allocate 20000 1000
end

Cluster Proxmox Stockage SAN NFS

Posted on 7 janvier 20227 janvier 2022 by tontonfred

Pour ce tp, nous imaginerons que vous avez déjà installé plusieurs hyperviseurs Proxmox Virtual Environment sur le même réseau.

Mise en cluster des hyperviseurs

Sur un des hyperviseurs, créez le cluster.

pvecm create <nom_du_cluster>

Puis, sur les autres hyperviseurs, rentrez la commande suivante pour les ajouter au cluster.

pvecm add <adresse_ip_du_premier_hyperviseur>

Voilà, vous avez créé votre cluster. Maintenant, nous allons installer un serveur Debian pour y stocker les ISO, les VM et les backup.

Création des stockages dans un serveur Debian

Dans un serveur Debian, créez les 3 fichiers dont vous avez besoin et accordez leur toutes les permissions possibles (attention : nous faisons ça uniquement dans le cadre du TP)

Ensuite installez le service nfs-kernel-server.

apt install nfs-kernel-server

A présent, pour partager les dossiers pour les clusters, il faut modifier le fichier de configuration /etc/exports.

Redémarrez le service nfs-kernel-server. Vos dossiers sont maintenant partagés. Maintenant connectez vous à l’interface web d’un des hyperviseurs.

Créer des stockages dans l’hyperviseur

Allez dans le stockage de votre cluster et ajoutez des stockages.

Maintenant vos VM, vos ISO et vos sauvegardes pourront être stockées hors des hyperviseurs.

Pense-bête Stratégies de groupe #RAN22 #GMSI

Posted on 6 janvier 202225 juillet 2022 by tontonfred

GPO (Global Policy Object, Stratégies de groupe)

Elles permettent de configurer des restrictions d’utilisation de Windows où des paramètres à appliquer soit sur un ordinateur donné soit sur un compte utilisateur donné.

Une stratégie utilisateur s'applique à l'ouverture de session.

Une stratégie Ordinateur s'applique au démarrage l'ordinateur.

Les stratégies de groupe sont supportées sur Windows 2000, Windows XP Pro, Windows Vista, Windows 2003, Windows 2008, Windows 2012, Windows 2016, Windows 7, Windows 8 ,8.1 et Windows 10

Après avoir créé une stratégie de groupe, elle peut être liée à un site AD, à un domaine ou à une unité d’organisation (UO).

Il est donc possible d’agir sur:

La redirection de certains répertoires et leurs contenus.
Le déploiement de logiciels : Une automatisation complète de l’installation des programmes sur les postes clients.
L’application des paramètres de sécurité.
L’application de scripts.
L’application d’une modification de l’interface utilisateur
L’application d’une modification des programmes intégrés à Windows.

GPMC est un outil qui va vous aider pour:

faciliter l’utilisation des GPO
l’importation et l’exportation ainsi que le copier/coller des objets de stratégie de groupe.
la sauvegarde et la restauration des objets de stratégie de groupe
l’utilisation de scripts pour les tâches associées aux stratégies de groupe
générer des rapports
avoir une vue global des objets liées aux stratégies de groupe

Lorsqu’une GPO est définit, les paramétrages de cette dernière sont stockés dans la base de registre dans les branches suivantes :

HKEY_CURRENT_USER\Software\Policies\Microsoft
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies

Il est possible de forcer l’application des GPO manuellement avec la commande

gpupdate

gpupdate /Force

Il est possible de visualiser l’application effective des GPO manuellement avec la commande

gpresult

gpresult [/s <Computer> [/u [<Domain>\]<UserName> [/p [<Password>]]]] [/user [<TargetDomain>\]<TargetUser>] [/scope {user | computer}]  [/r | /v | /z] [[/x | /h] <FileName> [/f]]

sources:http://technet.microsoft.com

Installation Sme-Server #GMSI21 TP pour se détendre

Posted on 1 janvier 20225 janvier 2022 by tontonfred

Depuis quelques semaines, je commence à migrer les serveurs de messagerie encore en prod tournant sous SME-SERVER. Cette distribution a toujours répondu à mes attentes mais depuis quelques mois la fréquence des mises à jour et releases a diminué et pour la sécurité j’ai décidé de l’abandonner. C’est dommage la communauté Française de cette distrib aurait bien besoin d’un coup de pouce pour revenir dans les distributions “Pro” incontournables.

Edit du 14/01/2013 Depuis ce billet une nouvelle version est téléchargeable depuis Juillet 2012. Et les dernières MAJ majeures datent de AOUT 2012 .. A l’heure d’Aujourd’hui il me reste encore 2 SME en prod avec depuis ce billet 0 problème..

Toutefois c’est une distribution robuste, facile à installer, facile à administrer et elle constitue un excellent point de départ quand on parle de services réseau. C’est pourquoi j’ai décidé de vous en parler, et décider de faire notre premier TD d’introduction “Serveur Linux” avec cette distribution.

On distingue 2 modes de fonctionnement pour cette distribution :(site officiel)

Serveur uniquement : SME ne gère pas la connexion à Internet ; c’est généralement un autre système (passerelle et pare-feu) déjà en place qui en a la charge. Au niveau des fonctionnalités, SME ne gère donc pas la sécurité du réseau et n’offre alors que ses fonctions de serveur, à savoir serveur Web, serveur de courrier, partage de fichiers (par FTP, Samba ) etc..

Serveur et passerelle : SME gère la connexion globale à Internet ; c’est par lui que vont transiter toutes les données entre les ordinateurs de votre réseau local et Internet. Ainsi, en plus de partager une connexion unique à Internet pour toutes vos machines, SME va s’intercaler de façon transparente dans les transferts de données afin de protéger les accès à votre réseau local et de minimiser les risques d’intrusion. Les fonctionnalités offertes par SME sont alors les mêmes qu’en mode serveur uniquement et sont, pour la plupart, directement accessible depuis Internet.

Voici, de façon simplifiée, les fonctionnalités les plus intéressantes qu’apporte cette distribution (ce n’est qu’un aperçu) :

Installation et configuration d’une simplicité exemplaire
Prise en charge du RAID (1, 5 et 6) logiciel
Installation de logiciels et mises à jour aisées grâce au système des packages RPM
Personnalisations du système faites à partir de templates simples à créer ou à modifier
Possibilité d’administrer complètement le serveur à distance à partir de la console du serveur (en passant par SSH) ou du gestionnaire du serveur (depuis n’importe quel navigateur)
Connexion et reconnexion automatique à Internet, que ce soit en ADSL (protocoles PPPoE et DHCP intégrés) comme en RTC et également avec certaines lignes spécialisées
Possibilité d’utiliser certains serveurs DNS dynamique quand on héberge soi-même un site sur une connexion avec adresse IP dynamique
Règles de pare-feu (firewall) pré-configurées pour bloquer certaines attaques extérieures. Globalement, l’aspect sécurité est pris en compte à tous les niveaux
Serveur HTTP pour créer ses propres sites Web (éventuellement sécurisés). Perl, PHP4 et MySQL sont intégrés dans la distribution pour “dynamiser” vos sites
Serveur FTP pour partager vos données sur Internet
Serveur de messagerie sécurisé pour envoyer et recevoir des mails directement depuis chez soi, avec possibilité d’accéder à distance (via Internet, par exemple) à ses comptes de messagerie depuis un client de messagerie ou une interface WebMail sécurisée
Filtres antivirus et anti-pourriels pour la messagerie qui permettent de se prémunir de ces fléaux de plus en plus répandus
Serveur de fichier Samba et AppleShare compatibles Windows et Machintosh
Des clients HTTP, FTP, NTP, LDAP, messagerie (avec un système d’analyse de logs) permettent parfois de se sortir de situations délicates
Le système des i-bays (concept facilitant la création de serveurs virtuels) apporte une souplesse d’utilisation et une solution à de nombreux problèmes pour des réseaux ayant un grand nombre d’utilisateurs, ou pour héberger plusieurs sites
Redirection de certains ports entrants vers des machines spécifiques
Possibilité de faire des sauvegardes sur bandes
etc.

Mise en place de la structure du TD :

Installation d’une SME SERVER (Environ 15 min)

Voici les principales étapes :

Après le redémarrage, on configure le serveur.

C’est ici que l’on choisit le mode passerelle ou serveur uniquement.

Attention par défaut le rôle DHCP est activé. Pensez à le désactiver si vous n’en avez pas besoin.

Après redémarrage on obtient ce prompt:

En se connectant en admin on obtient cette fenêtre :

En se connectant en root on obtient cette fenêtre :

Pour effectuer une première configuration il vous suffit de vous connecter à partir d’un navigateur internet pouvant atteindre (via TCP/IP) votre serveur.

Le mot de passe de “root” est celui de “admin”

Pour se connecter en web il faut utiliser “admin”

Comme ceci: https://IP_du_Serveur_SME/server-manager

Vous obtiendrez cette fenêtre :

Voici quelques captures d’écran qui présentent des fonctionnalités de la Sme-Server

Il est possible d’effectuer des sauvegardes à partir de l’interface http

Il est possible également de visualiser les logs de la machine y compris les logs de la partie messagerie.

On configure très facilement un accès VPN, SSH, FTP…

Directement on peut également configurer IMAPs, POPs et l’accès Webmail (Horde)

On trouve sur cette fenêtre un récapitulatif des adresses importantes du serveur.

Sur une Sme Server d’origine nous avons les fonctionnalités d’origine mais il est tout à fait possible de rajouter pratiquement n’importe quelles fonctionnalités. On peut même ajouter ces fonctionnalités dans l’interface http quand cela s’avère utile.

Sources: http://smeserver.fr/index.php Captured by tontonfred & Louis

Questions:

Niveau 1

Sur la sme server dites quel version de linux et noyau tourne
Installer Sme Server sur le meme réseau que la debian et votre hote Windows (Bridge)
Verifier avec des Pings
Créer à partir du server-manager 4 users
Sur la bdd Sme server dites quel shell est utilisé
Se connecteur à partir du windows via l’explorateur sur la sme-server avec 1 user
Déposer un fichier texte à l’endroit ou vous êtes loggué
Rechercher le fichier à partir de la sme en ligne de commande (find)
trouver comment activer le FTP sur le serveur sme
Installer un client FTP sur le windows et sur la debian (filezilla client)
Se connecter à partir des 2 en FTP avec 2 users différents et deposer Un fichier pour chaque
Retrouver ces 2 fichiers en ligne de commande à partir de la sme
Activer le SSH sur la SME
Se connecter en SSH sur la sme à partir de la debian et du windows
Connecter 1 utilisateur pour chaque
Et me prouver par une ligne de commande sur la sme qui est connecté
Vous avez atteint le niveau 1 RV pour le niveau 2

Niveau 2

Afficher la liste des fichiers de /etc/init.d dont le nom commence par a, b ou c.
Modifier la commande de la question précédente pour qu’au lieu d’afficher le résultat, celui-ci soit placé dans un fichier nommé “Abc.list” de votre répertoire de connexion.
Afficher les 5 premières, puis les 5 dernières lignes du fichier /etc/passwd.
Afficher la 7ième ligne de ce fichier (et elle seule), en une seule ligne de commande.
Afficher la liste des répertoires de connexion des utilisateurs déclarés dans le fichier /etc/passwd.
On rappelle qu’à chaque utilisateur est associé un interpréteur de commandes (shell) lancé lors de son login. La commande correspondante est indiquée dans le 7ième champ du fichier /etc/passwd.
Afficher en une ligne de commande le nombre d’interpréteurs de commandes différents mentionnés dans /etc/passwd.

Niveau 3

On dispose d’un fichier texte telephone.txt contenant un petit carnet d’adresses.
Chaque ligne est de la forme “nom prenom numerotelephone” les champs étant séparés par des tabulations.
Répondre aux questions suivantes en utilisant à chaque fois une ligne de commande shell:

Afficher le carnet d’adresse trié par ordre alphabétique de noms.
Afficher le nombre de personnes dans le répertoire.
Afficher toutes les lignes concernant les “Dupond”.
Afficher toutes les lignes ne concernant pas les “Dupond”.
Afficher le numéro de téléphone (sans le nom) du premier “Dupond” apparaissant dans le répertoire.
Afficher le numéro de téléphone (sans le nom) du premier “Dupond” dans l’ordre alphabétique (ordre basé sur les prénoms)

Découvrir DOCKER

Posted on 21 décembre 202130 août 2023 by tontonfred

Installation de Docker

Pour Windows Server 2022, 2019,2016:

https://docs.microsoft.com/fr-fr/virtualization/windowscontainers/quick-start/set-up-environment?tabs=Windows-Server

Pour les Desktop Windows :

https://docs.microsoft.com/fr-fr/virtualization/windowscontainers/quick-start/set-up-environment?tabs=Windows-10-and-11

Pour Linux Famille Debian :

apt install docker.io

Pour Linux Famille CentOS :

## On supprime les éventuelles anciennes versions de Docker

 sudo yum remove docker \
                  docker-client \
                  docker-client-latest \
                  docker-common \
                  docker-latest \
                  docker-latest-logrotate \
                  docker-logrotate \
                  docker-engine

## On ajoute le repo pour Docker

sudo yum install -y yum-utils

 sudo yum-config-manager \
    --add-repo \
    https://download.docker.com/linux/centos/docker-ce.repo

## On installe ensuite la dernière version de Docker engine

 sudo yum install docker-ce docker-ce-cli containerd.io --allowerasing

Qu’est-ce qu’une image Docker?

Une image Docker est un fichier immuable, qui constitue une capture instantanée d’un conteneur. Généralement, les images sont créées avec la commande « docker build ». Et puis, ils vont produire un conteneur quand ils sont lancés avec la commande « run ». En revanche, dans un registre Docker, les images sont stockées comme « registry.hub.docker.com ». Comme elles peuvent devenir assez volumineuses, les images sont conçues pour composer des couches de d’autres images, ce qui permet d’envoyer une quantité minimale de données lors du transfert des images sur le réseau.

## par defaut "docker hub est installé sur votre machine et vous 
## permet de trouver des images de conteneurs installables

Utiliser le Hub

une des images les plus connues et des plus légère est l’image alpine par exemple pour l’installer on fait comme ceci :

La Commande Docker

Installation Images Docker

L’image est exécutée puis s’arrête ce qui est tout à fait normal

on peut lister les images téléchargées comme ceci :

Effacer une image (attention elle ne doit pas être attaché à un conteneur sinon

docker rm nom_du_conteneur

Qu’est-ce qu’un conteneur Docker?

Un conteneur Docker est une instance exécutable d’une image. En utilisant l’API ou la CLI de Docker, nous pouvons créer, démarrer, arrêter, déplacer ou supprimer un conteneur. De manière avantageuse, nous pouvons connecter un conteneur à un ou plusieurs réseaux, y attacher de la mémoire ou créer une nouvelle image sur la base de son état actuel. De plus, il consiste en une image Docker, un environnement d’exécution et un ensemble d’instructions standard.

Même chose avec le mode Detach pour créer un conteneur

On peut faire la même chose avec une image Ubuntu par exemple

Ici plus réel on crée un conteneur qui se nomme Web d’une image nginx avec une redirection de port sur le port 8080 de la machine hôte.

Résultat sur le navigateur de la machine hôte

Extrait du docker inspect du conteneur web

suite de l’extrait du fichier de config du conteneur web

Monter un volume persistant

Dans un premier temps je vais activer un shell ds mon conteneur pour modifier le stockage de mon serveur nginx (conteneur web precedemment créé)

Je fais un vim de mon fichier de config de nginx pour montrer que j’ai la main (attention l’autocompletion ne fonctionne plus dans les conteneurs)

Dans ce cas présent si on supprime de maniére brutale le conteneur on va s’apercevoir que l’on perd la modification des datas du site c’est la qu’interviennent les volumes

je crée un repertoire /srv/data/nginx sur ma machine locale

je supprime mon conteneur précédent pour en recréer un avec un volume attaché

j’obtiens un forbidden !!! Normal mon repertoire est vide

Maintenant si je supprime mon conteneur la data étant stockée sur mon host j’ai toujours mes données

Docker Volume

créer un volume, puis lister les volumes, puis inspecter un volume

créons un volume et unnouveau conteneur sur le 8081 du host avec une image nginx

un petit inspect pour avoir le chemin du volume persistant des datas du nginx

allons dans le nouveau emplacement du host

voila une autre façon de monter un volume

Créer une image à partir d’un conteneur

on installe des packages et on parametre la ubuntu .. Puis on retourne sur le host et on fait un docker ps pour avoir le numéro ID de conteneur ..et avec la commande docker commit on transforme le conteneur en image .

WordPress avec docker-compose

On commence par l’installation de docker-compose

docker-compose --version

#on install Docker-compose :

 
apt install libffi-dev libssl-dev python3-dev python3 python3-pip 

 
sudo pip3 install docker-compose 
puis 
nano docker-compose.yml

Le fichier docker-compose.yml permettra d’aller chercher directement les images dont vous aurez besoin et de les lier entre elles. Modifiez le fichier docker-compose.yml

wordpress:
    image: wordpress
    links:
     - mariadb:mysql
    environment:
     - WORDPRESS_DB_PASSWORD=password
     - WORDPRESS_DB_USER=root
    ports:
     - "public_ip:80:80"
    volumes:
     - ./html:/var/www/html
mariadb:
    image: mariadb
    environment:
     - MYSQL_ROOT_PASSWORD=password
     - MYSQL_DATABASE=wordpress
    volumes:
     - ./database:/var/lib/mysql

Important : Faites attention à modifier les password utilisateur et adresse ip à renseigner

Ensuite on exécute le script avec

docker-compose up -d

Ensuite, mettez vous dans le répertoire dans lequel vous avez mis le fichier et exécuter la commande suivante.

Voilà c’est terminé ! Maintenant allez sur votre navigateur et entrez votre adresse locale et le port que vous avez utilisé dans le fichier docker-compose.yml.

Plus qu’à installer et configurer votre WordPress !

Docker Les Réseaux

Image à partir dun Dockerfile

Intégrer une Station Debian à un domaine Active Directory

Posted on 17 décembre 202122 juin 2022 by tontonfred

Préparer un serveur 2019 avec un AD
Respecter les prérequis habituels
Mettre en place une structure AD de test avec quelques UO et Users
Installer un Debian 10/11 sur le même Réseau

Le but final est de pouvoir s’authentifier avec un utilisateur de l’Active directory en graphique sur la station Debian.

Dans un second temps il sera possible d’affiner le paramétrage de Samba pour optimiser les liens entre serveur de fichier et les objets de l’Active Directory

Les prérequis du serveur Debian sont les mêmes qu’un Membre Active Directory qui serait paramétré sur un Serveur Microsoft ( IP, DNS,Nom du Serveur etc)

Packages nécessaires sur la Debian:

apt install packagekit samba-common-bin sssd-tools sssd libnss-sss libpam-sss policykit-1 sssd ntpdate ntp realmd

Les paquets installés permettent de contacter l’annuaire LDAP, prendre en charge Kerberos, et des outils pour effectuer des actions sur l’AD.
Il faut aussi s’assurer que le DNS de la Debian est configuré, et pointe bien sur le contrôleur de domaine.
Si le DNS et le suffixe ne sont pas donnés par le DHCP ou qu’on est dans une configuration IP Statique

Editer le fichier Resolv.conf

nano /etc/resolv.conf

##attention au reboot de la machine
##dans le fichier resolv.conf
search tontonfred.adds
nameserver 192.168.21.222

Editer le fichier hostname

nano /etc/hostname

## attention
## mettre le nom en FQDN
## fully qualified domain name
stationlinux.tontonfred.adds

Tester la resolution DNS avec un ping du domaine

Ping tontonfred.adds

il doit vous répondre avec l’ip du SERVEUR DNS

Si ce n’est pas le cas refaire revoir les étapes précédentes

Joindre le système au domaine Windows

realm join --user=administrateur tontonfred.adds
Password for administrateur:

Le mot de passe de l’administrateur du domaine est demandé.
Le compte AD utilisé doit posséder les droits de faire adhérer des machines au domaine.
Les fichiers /etc/sssd/sssd.conf , /etc/krb.conf et /etc/krb5.keytab seront configurés automatiquement grâce à la commande ci-dessus. ici il ya une énorme différence avec les versions précédente de Linux et Samba

realm list

Vous devriez avoir un truc qui ressemble à ceci :

tontonfred.adds
  type: kerberos
  realm-name: TONTONFRED.ADDS
  domain-name: tontonfred.adds
  configured: kerberos-member
  server-software: active-directory
  client-software: sssd
  required-package: oddjob
  required-package: oddjob-mkhomedir
  required-package: sssd
  required-package: adcli
  required-package: samba-common-tools
  login-formats: %U@tontonfred.adds
  login-policy: allow-realm-logins

Faire vérification dans l’AD que la machine est apparue

Pour vérifier les comptes qui peuvent se connecter à cette Debian on peut utiliser la commande id :

id utilisateur@tontonfred.adds

La commande doit vous renvoyer les informations sur l’utilisateur si ce n’est pas le cas reprendre les étapes précédentes

Ensuite il devrait être possible de se connecter avec un utilisateur de l’AD sur la station Debian en mode graphique en utilisant un login de type : utilisateur@tontonfred.adds

UNIX/LINUX TP1 #CPP22

Posted on 13 décembre 202119 avril 2022 by tontonfred

Sources.list de la version 10.X de Debian

deb http://deb.debian.org/debian bullseye main
deb-src http://deb.debian.org/debian bullseye main

deb http://deb.debian.org/debian-security/ bullseye-security main
deb-src http://deb.debian.org/debian-security/ bullseye-security main

deb http://deb.debian.org/debian bullseye-updates main
deb-src http://deb.debian.org/debian bullseye-updates main

Si toi pas comprendre (Touche pas à ça ptit con)

TD D’intro . ATTENTION SELON DISTRIBUTIONS LINUX

TD1 Commandes de base Unix/Linux. (Débutants)

note:

La plupart des commandes sont documentées si on les fait précéder de man.
Exemple man ls (on sort des pages de man avec la touche q)
Les commandes système (comme ls) appellent un programme du même nom que la commande. En général, vous passez des paramètres à une commande. Chaque paramètre doit être séparé par un espace.

Ouvrez une session sous l’identité root (administrateur du système).
Ouvrez une console de commandes

Le listing d’un répertoire s’obtient avec ls .
Le listing détaillé avec ls –l .
Le listing détaillé avec les fichiers cachés avec ls –la . (Les fichiers sont cachés quand leur nom débute avec un point).
Le répertoire courant se note point “. ”
Le répertoire d’un cran en arrière dans l’arborescence se note pointpoint “..” .
Attention piège, en UNIX les chemins d’accès aux fichiers sont séparés par le caractère slash “/” pas l’anti-slash de Microsoft “\”.

Entraînez vous à quelques ls dans votre répertoire courant.

La commande cd permet de changer de répertoire courant.
On peut l’utiliser en mode absolu, cd /[chemin complet de destination] .
Exemple: cd /usr/bin
On peut l’utiliser en mode relatif, cd [nom du répertoire à partir du répertoire courant] . Exemple: cd user à partir du répertoire /home .

cd .. permet de remonter d’un cran en arrière dans l’arborescence.
cd (sans argument) permet de revenir dans votre répertoire personnel. La commande cd ~ produit le même effet car ~ ,en UNIX, désigne votre répertoire personnel.

Promenez vous dans l’arborescence et notez le nom de tous les répertoires situé au niveau racine (/).

la commande touch [nom de fichier] permet de créer un fichier vide.

Retournez dans votre répertoire personnel et créez un fichier vide. Lancez ensuite un éditeur (voir fred) et créez quelques lignes de texte dans votre fichier.

La commande cat [nom de fichier] permet d’afficher le contenu d’un fichier.
Pour les fichiers volumineux on peut envoyer la sortie de cat dans un programme appelé more qui affiche page par page. On appelle cet envoi de sortie d’un programme vers l’entrée d’un autre : “créer un tube (pipe)”. La création du tube se note avec le caractère “|”. Exemple: cat /etc/passwd | more

Affichez le contenu de votre fichier.

Un fichier s’efface avec la commande rm (remove). Le caractère * est un joker. Il remplace tous les noms. Si vous entrez rm * , tous les fichiers à partir du répertoire courant seront effacés. La commande rm * –r efface récursivement (c’est à dire tout les sous-répertoires et leur contenu aussi.

Effacez votre fichier.

La commande mkdir [nom du répertoire] permet de créer un répertoire.

Dans votre répertoire personnel, créez un répertoire essai.

La commande rmdir [nom du répertoire] permet de détruire un répertoire.

Effacez votre répertoire essai.

Vous êtes perdu dans le système de fichier : pwd vous affiche le nom du répertoire où vous êtes.
Vous cherchez un fichier. find [chemin de départ de la recherche] | grep [nom à chercher] trouvera votre fichier.
Vous pouvez être plus précis dans votre recherche à savoir:
Vous souhaitez trouver les noms qui commencent par r dans le fichier passwd grep “^r” /etc/passwd
Vous souhaitez trouver les noms qui se terminent par toto , entrez toto$ pour le nom à chercher.

A partir de /etc cherchez avec ce type de commande le fichier sources.list

Une astuce lorsque vous commencez à entrer une commande en ligne, la touche TAB permet de finir une saisie incomplète.

Retournez dans votre répertoire personnel (cd ). Créez un sous-répertoire appelé ilestlonglenomdurepertoire (si si faites le!). Ensuite vous allez entrer dans ce sous-répertoire avec cd et, rappelez vous du rôle de la touche TAB.

Une autre astuce, les flèche vers le haut/vers le bas du pavé de 4 flèches permet de se déplacer dans l’historique des commandes.

Déplacez vous dans l’historique des commandes.

On se demande souvent où sont stockées les commandes il suffit d’entrer which [nom de la commande] .

Dans quel répertoire se trouvent les commandes ls, cd, rm, mkdir, rmdir ?

Il est parfois utile de rediriger la sortie d’une commande vers autre chose que l’écran. Le caractère > permet de rediriger en mode écrasement. Les deux caractères >> redirigent en mode ajout. Exemple: cat /etc/passwd > lesmdp.txt

Faites un ls –l /etc . Vous obtenez normalement le contenu détaillé du répertoire /etc. Redirigez le résultat du ls vers un fichier appelé rapport.txt. Vérifiez le contenu de rapport.txt.

Quelques petites notions de SHELL suppl:

Essayez chaque ligne séparement

which ls
which cd
which cp
uname -r

Essayez Chaque ligne séparement

echo pwd
echo `pwd`
echo "il ya `ls | wc -l` fichiers dans `pwd`"
echo "`whoami`, nous sommes le `date '+%d/%m/%y'`"
echo "$(whoami), nous sommes le $(date) "

Pour départager les meilleurs,expliquer le code .

tail -5 /etc/passwd | cut -d: -f1,3,7
grep -w "^r" /etc/passwd

regarde en dessous tu as le TP Piscine ..

Télécharger (DOC, 128KB)

Intro Shell RISR2021 “La piscine”

Posted on 11 décembre 202111 décembre 2021 by tontonfred

La piscine est peu profonde si on y pénètre par le bon côté.. A vrai dire c’est même une pataugeoire.
Par contre pour aller là où vous n’avez pas pied il faut savoir flotter, nager, ou être équipé..

EXO 1.1

Ouvrez une session en mode terminal. Tapez votre nom et votre mot de passe
Quel est le prompt utilisé ?
Affichez le nom de votre shell à l’aide d’une variable
Ouvrez une deuxième session en mode terminal.. Connectez vous en tant que root
Afficher le shell de root à l’aide d’une variable

EXO 1.2

Affichez la liste des utilsateurs qui utilise comme shell de connexion le : /bin/bash
Affichez leurs nombres
Revenez sur la première console et optez pour le shell “sh” que se passe t’il ?
Répétez l’étape précédent avec ksh. Que remarquez-vous ?
Revenez à votre shell de départ
Affichez le shell de connexion de root tout en restant sous votre identité
En tant que root créez un utilisateur user2 et affectez-lui le /bin/sh comme shell de connexion
Ouvrez une console et connectez-vous en tant que user2

EXO 1.3

Affichez la liste des fichiers de votre répertoire courant sans explorer les sous répertoires
Affichez les fichiers cachés de votre répertoire courant
Affichez de maniére récursive, les caractéristiques de tous les fichiers de votre répertoire courant.
Créez un répertoire nommé : Repertoire
Copiez le fichier /etc/passwd dans Repertoire
Renommez le fichier passwd en password
Supprimez le fichier password
Supprimez le dossier Repertoire
Affichez le contenu du fichier /etc/group
Afichez le nombre de lignes du fichier /etc/passwd
Triez le fichier /etc/passwd et stockez le résultat dans un fichier nommé password dans votre répertoire courant.
Affichez les 5 premières lignes du fichier /etc/group

Exo 1.4

Affichez la liste des utilisateurs connectés sur le système
Changez temporairement d’identité et devenez root
Recherchez la chaine de caractères root dans le fichier /etc/passwd.récupérez le résultat dans un fichier tout en l’affichant sur l’écran
Recherchez dans le répertoire / tous les fichiers dont le nom contient la chaine sh
Affichez en Ko la taille totale des fichiers de votre répertoire courant
Affichez des informations sur l’utilisation de l’espace disque de votre système de fichier /.
Affichez des informations sur le contenu des fichiers suivants:

/etc/passwd
/etc/init.d
/bin/bash
/bin/sh
/etc/init.d/crond

EXO 1.5

Sur une fenêtre console, lancez l’environnement sh
Lancez les commandes suivantes: alias, history, logout
Relancez les commandes précédentes en ksh puis en bash
Essayez de rappeler ces commandes dans les trois environnements shell. Que constatez-vous ?

Alors vous êtes-vous noyé dans la pataugeoire ?

Les bases de la programmation shell #Bigboss

Posted on 9 décembre 20215 décembre 2022 by tontonfred

Les Conditions :le if (Si)

if [ test ] #####Si test de la variable
then        ######Alors 
        echo "C'est vrai"  ####Renvoi si c'est Vrai
 fi     #### Il délimite la fin du Si seulement si le Vrai est vérifié

ATTENTION au espaces a l’intérieur des crochets …

Petit test :

#!/bin/bash

nom="RAREC3"

if [ $nom = "RAREC3" ]
then
        echo "Les meilleurs sont les RARE C3!"
fi

Avec 2 variables

#!/bin/bash

nom1="RAREC3"
nom2="RAREC3"

if [ $nom1 = $nom2 ]
then
        echo "Vive les RARE !"
fi

Quand la condition n’est pas remplie on fait comme ceci :

if [ test ]                  ###SI
then                         ####Alors
        echo "C'est vrai"    
else                         ####Sinon
        echo "C'est faux"
fi

#!/bin/bash

nom="RAREC3"

if [ $nom = "RAREC3" ]
then
        echo "Vive les RAREC3!"
else
        echo "Dégages t'es pas un RAREC3 !"
fi

On peut charger la variable comme ca pour tester… :

#!/bin/bash

if [ $1 = "RAREC3" ]
then
        echo "Vive les RAREC3!"
else
        echo "Dégages t'es pas un RAREC3 !"
fi

./monscript RAREC3      ###### pour tester

./monscript autre chose    ###### la il fera le sinon

On peut ensuite faire comme ca :

#!/bin/bash

if [ $1 = "RAREC3" ]
then
        echo "Vive les RAREC3!"
elif [ $1 = "Tontonfred" ]
then
        echo "Hello Tontonfred"
elif [ $1 = "RAREC4" ]
then
        echo "Alors les nouveaux ca va ?"
else
        echo "Z'êtes pas du CESI bye!"
fi

Utilisons maintenant les TESTS

Il est possible d’effectuer trois types de tests différents en bash :

des tests sur des chaînes de caractères ;
des tests sur des nombres ;
des tests sur des fichiers.

Tests sur les Chaines de caractères:

Condition	Signification
$chaine1 = $chaine2	Vérifie si les deux chaînes sont identiques. Notez que bash est sensible à la casse : « b » est donc différent de « B ». Il est aussi possible d’écrire « == » pour les habitués du langage C.
$chaine1 != $chaine2	Vérifie si les deux chaînes sont différentes.
-z $chaine	Vérifie si la chaîne est vide.
-n $chaine	Vérifie si la chaîne est non vide.

#!/bin/bash

if [ -z $1 ]
then
        echo "Pas de paramètre"
else
        echo "Paramètre présent"
fi

Test sur les Nombres:

Condition	Signification
$num1 -eq $num2	Vérifie si les nombres sont égaux (equal). À ne pas confondre avec le « = » qui, lui, compare deux chaînes de caractères.
$num1 -ne $num2	Vérifie si les nombres sont différents (non equal). Encore une fois, ne confondez pas avec « != » qui est censé être utilisé sur des chaînes de caractères.
$num1 -lt $num2	Vérifie si num1 est inférieur ( < ) à num2 (lower than).
$num1 -le $num2	Vérifie si num1 est inférieur ou égal ( <= ) à num2 (lower or equal).
$num1 -gt $num2	Vérifie si num1 est supérieur ( > ) à num2 (greater than).
$num1 -ge $num2	Vérifie si num1 est supérieur ou égal ( >= ) à num2 (greater or equal).

#!/bin/bash

if [ $1 -ge 20 ]
then
        echo "Vous avez envoyé 20 ou plus"
else
        echo "Vous avez envoyé moins de 20"
fi

Test sur les fichiers:

-e $nomfichier	Vérifie si le fichier existe.
-d $nomfichier	Vérifie si le fichier est un répertoire. N’oubliez pas que sous Linux, tout est considéré comme un fichier, même un répertoire !
-f $nomfichier	Vérifie si le fichier est un… fichier. Un vrai fichier cette fois, pas un dossier.
-L $nomfichier	Vérifie si le fichier est un lien symbolique (raccourci).
-r $nomfichier	Vérifie si le fichier est lisible (r).
-w $nomfichier	Vérifie si le fichier est modifiable (w).
-x $nomfichier	Vérifie si le fichier est exécutable (x).
$fichier1 -nt $fichier2	Vérifie si fichier1 est plus récent que fichier2 (newer than).
$fichier1 -ot $fichier2	Vérifie si fichier1 est plus vieux que fichier2 (older than).

#!/bin/bash

read -p 'Entrez un répertoire : ' repertoire

if [ -d $repertoire ]
then
        echo "Bien, vous avez compris ce que j'ai dit !"
else
        echo "Vous n'avez rien compris..."
fi

Recap plus infos complémentaires:

Tests sur les fichiers/répertoires

Voici une liste des tests possibles sur les fichiers et/ou répertoires :

“-e fichier” : vrai si le fichier/répertoire existe.
“-s fichier” : vrai si le fichier à une taille supérieure à 0.
“-r fichier” : vrai si le fichier/répertoire est accessible en lecture.
“-w fichier” : vrai si le fichier/répertoire est accessible en écriture.
“-x fichier” : vrai si le fichier est exécutable ou si le répertoire est accessible.
“-O fichier” : vrai si le fichier/répertoire appartient à l’utilisateur.
“-G fichier” : vrai si le fichier/répertoire appartient au groupe de l’utilisateur.
“-b nom” : vrai si nom représente un périphérique (pseudo-fichier) de type bloc (disques et partitions de disques généralement).
“-c nom” : vrai si nom représente un périphérique (pseudo-fichier) de type caractère (terminaux, modems et port parallèles par exemple).
“-d nom” : vrai si nom représente un répertoire.
“-f nom” : vrai si nom représente un fichier.
“-L nom” : vrai si nom représente un lien symbolique.
“-p nom” : vrai si nom représente un tube nommé.
“fichier1 -nt fichier2” : vrai si les deux fichiers existent et si fichier1 est plus récent que fichier2.
“fichier1 -ot fichier2” : vrai si les deux fichiers existent et si fichier1 est plus ancien que fichier2.
“fichier1 -ef fichier2” : vrai si les deux fichiers représentent un seul et même fichier.

Tests sur les entiers

“entier1 -eq entier2” : vrai si entier1 est égal à entier2.
“entier1 -ge entier2” : vrai si entier1 est supérieur ou égal à entier2.
“entier1 -gt entier2” : vrai si entier1 est strictement supérieur à entier2.
“entier1 -le entier2” : vrai si entier1 est inférieur ou égal à entier2.
“entier1 -lt entier2” : vrai si entier1 est strictement inférieur à entier2.
“entier1 -ne entier2” : vrai si entier1 est différent de entier2.

Tests sur les chaines de caractères

Les chaines doivent être entourées par des guillemets.

“-n “chaîne”” : vrai si la chaîne n’est pas vide.
“-z “chaîne”” : vrai si la chaîne est vide.
“”chaine1” = “chaine2″” : vrai si les deux chaînes sont identiques.
“”chaine1” != “chaine2″” : vrai si les deux chaînes sont différentes.

Les combinaisons de tests

Les combinaisons de tests sont utilisées quand on doit faire plusieurs tests simultanément, c’est à dire, quand on doit répondre à plusieurs conditions.

On utilise les opérateurs && et || comme dans les commandes composées. L’opérateur ! sert à inverser la condition.

SI test ALORS commandes FIN : exécute les commandes si test est VRAI
SI ! test ALORS commandes FIN : exécute les commandes si test est FAUX
SI test1 && test2 ALORS commandes FIN : exécute les commandes si test1 ET test2 sont vrais tous les deux
SI test1 -a test2 ALORS commandes FIN : pareil de précédemment, avec une autre notation
SI test1 && ! test2 ALORS commandes FIN : exécute les commandes si test1 est VRAI ET test2 est FAUX
SI test1 || test2 ALORS commandes FIN : exécute les commandes si test1 OU test2 sont VRAIS
SI test1 -o test2 ALORS commandes FIN : pareil de précédemment, avec une autre notation
SI ! { test1 || test2 } ALORS commandes FIN : exécute les commandes si NI test1 NI test2 sont VRAIS

EXERCICES

Le script demande une note ,et il renvoi ceci :

“Autiste” si la note est entre 16 et 20
“A” lorsqu’elle est entre 14 et 16
“B” si la note est entre 12 et 14
“C” si la note est entre 10 et 12
“D” si la note est inférieur à 10

Les variables utilisateur

Ce chapitre présente les fonctionnalités qui composent les bases de la programmation shell.

Le shell permet de définir ou redéfinir des variables qui conditionnent l’environnement de travail de l’utilisateur. Il est également possible de définir d’autres variables, dites variables utilisateur, qui vont permettre de stocker des informations qui seront nécessaires durant l’exécution d’un script.

1. Nommer une variable

Voici les règles à utiliser pour attribuer un nom à une variable :

le premier caractère fait partie de l’ensemble [a-zA-Z_] ;
les caractères suivants sont pris dans l’ensemble [a-zA-Z0-9_].

2. Définir une variable

Une variable est définie dès qu’elle est initialisée. Le contenu d’une variable est considéré par le shell comme une suite de caractères.

a. Affecter une chaîne de caractères à une variable

Exemples

$ var1=mot1
$ echo $var1
mot1
$

Il ne faut pas mettre d’espace autour du symbole d’affectation : dans l’exemple suivant, le shell interprète var1 comme la commande à lancer, = et mot1 comme les deux arguments de la commande var1. Autrement dit, il n’interprète pas le signe = comme symbole d’affectation.

b. Affecter une chaîne de caractères contenant au moins un espace

L’espace doit être protégé car c’est un caractère spécial du shell (séparateur de mots sur la ligne de commande).

Exemples

$ var2=’mot1 mot2 mot3’ #CORRECT
$ echo $var2
mot1 mot2 mot3
$ var2=mot1 mot2 mot3 #INCORRECT 
ksh: mot2:  not found
$

c. Variable indéfinie

Une variable qui n’a jamais été initialisée est vide.

L’utilisation d’une variable vide n’est pas considérée comme une erreur en shell.

Exemple

$ echo $vide

$

d. Retirer la définition d’une variable

La commande interne unset permet de retirer la définition d’une variable.

Exemple

Définition d’une variable var :

$ var=12
$ echo $var
12

Elle apparaît dans la liste des variables définies au niveau du shell :

$ set | grep var
var=12

La définition de la variable est retirée :

$ unset var

La variable est indéfinie :

$ echo $var

$ set | grep var
$

e. Isoler le nom d’une variable

Il faut faire attention en concaténant le contenu d’une variable et d’une chaîne de caractères à ce que le shell interprète correctement le nom de la variable.

Exemple

Pour le shell, le caractère _ fait partie du nom de la première variable :

$ fic=resu
$ datejour=20110117
$ newfic=$fic_$datejour
$ echo $newfic
20110117

Pour le shell, la première variable se nomme fic_ (puisque le caractère souligné est autorisé à l’intérieur d’un nom de variable !). Celle-ci est donc substituée par sa valeur (donc vide !), puis concaténée avec le contenu de la variable datejour.

Pour faire comprendre au shell quels sont les caractères qui font partie du nom de la variable, il faut entourer le nom de cette dernière avec des {}.

Exemple

$ fic=resu
$ datejour=20110117
$ newfic=${fic}_$datejour
$ echo $newfic
resu_20110117

3. Substitution de variables

Le shell offre la possibilité d’attribuer une valeur par défaut aux variables non initialisées, ou au contraire, initialisées.

Expression ${variable:-valeur}

Si la variable n’est pas vide, l’expression est substituée par le contenu de celle-ci.
Si la variable est vide, l’expression est substituée par valeur.

Exemple

$ fic=/tmp/christie.log
$ echo "Le fichier traite sera: ${fic:-/tmp/default.log}"
Le fichier traite sera: /tmp/christie.log
$ unset fic
$ echo "Le fichier traite sera: ${fic:-/tmp/default.log}"
Le fichier traite sera: /tmp/default.log
$ echo $fic

$

Expression ${variable:=valeur}

Si la variable n’est pas vide, l’expression est substituée par $variable.
Si la variable est vide, variable est affectée avec valeur et l’expression est substituée par valeur.

Exemple

$ fic=/tmp/christie.log
$ echo "Le fichier traite sera: ${fic:=/tmp/default.log}"
Le fichier traite sera: /tmp/christie.log
$ echo $fic
/tmp/christie.log
$ unset fic
$ echo "Le fichier traite sera: ${fic:=/tmp/default.log}"
Le fichier traite sera: /tmp/default.log
$ echo $fic
/tmp/default.log
$

Expression ${variable:+valeur}

Si la variable n’est pas vide, l’expression est substituée par valeur.
Si la variable est vide, l’expression est substituée par $variable, donc vide.

Exemple

$ a=1
$ echo "Expression : ${a:+99}"
Expression : 99
$ unset a
$ echo "Expression : ${a:+99}"
Expression :
$

${variable:?message}

Si la variable n’est pas vide, l’expression est substituée par $variable.
Si la variable est vide, le shell affiche le nom de la variable suivie de la chaîne de caractères message.

Si la variable est vide et que cette commande est placée dans un script shell, celui-ci affiche le message et se termine immédiatement.

Exemple

La variable var est vide :

$ echo $var

$ echo ${var:?"var non definie"}
bash: var: var non definie

Message par défaut :

$ echo ${var:?}
bash: var: parameter null or not set

Définition de la variable var :

$ var=definie
$ echo ${var:?"var non definie"}
definie
$

Sources :Eni .Site du Zéro

IPTABLES / NETFILTER / FAIL2BAN GMSI21 R

Posted on 18 novembre 202119 novembre 2021 by tontonfred

Mise en place d’un Firewall (source alsacreations)

vi /etc/init.d/firewall

#!/bin/sh

# Vider les tables actuelles
iptables -t filter -F

# Vider les règles personnelles
iptables -t filter -X

# Interdire toute connexion entrante et sortante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

# ---

# Ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

# ICMP (Ping)
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT

# ---

# SSH In
iptables -t filter -A INPUT -p tcp --dport 2222 -j ACCEPT

# SSH Out
iptables -t filter -A OUTPUT -p tcp --dport 2222 -j ACCEPT

# DNS In/Out
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT

# NTP Out
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT

Si vous hébergez un sevreur web (Apache) :

# HTTP + HTTPS Out
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT

# HTTP + HTTPS In
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT

Si vous hébergez un serveur FTP :

# FTP Out
iptables -t filter -A OUTPUT -p tcp --dport 20:21 -j ACCEPT

# FTP In
modprobe ip_conntrack_ftp # ligne facultative avec les serveurs OVH
iptables -t filter -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Si vous hébergez un serveur de mail avec SMTP, POP3 et IMAP :

# Mail SMTP:25
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT

# Mail POP3:110
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT

# Mail IMAP:143
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT

# Mail POP3S:995
iptables -t filter -A INPUT -p tcp --dport 995 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 995 -j ACCEPT

N’oubliez pas de tester vos régles !!! Exemples, elles pourraient vous empêcher d’accéder à votre accés ssh si elles sont trop restrictives.

N’oubliez pas non plus de redémarrer le sevice firewall aprés les modifs..

######################################################################

IPtables / Netfilter

IPtables (associé à Netfilter) est un des meilleurs firewalls pour Linux, et certainement le plus répandu. Vous pourrez trouver de nombreux scripts de configuration à son sujet. En voici un, à adapter à votre configuration. A tout instant, utilisez la commande iptables -L -v pour lister les règles en place.

Celles-ci portent sur 3 chaînes : INPUT (en entrée), FORWARD (dans le cas d’un routage réseau) et OUPUT (en sortie). Les actions à entreprendre sont ACCEPT (accepter le paquet), DROP (le jeter), QUEUE et RETURN.

Arguments utilisés :

i : interface d’entrée (input)
i : interface de sortie (output)
t : table (par défaut filter contenant les chaînes INPUT, FORWARD, OUTPUT)
j : règle à appliquer (Jump)
A : ajoute la règle à la fin de la chaîne (Append)
I : insère la règle au début de la chaîne (Insert)
R : remplace une règle dans la chaîne (Replace)
D : efface une règle (Delete)
F : efface toutes les règles (Flush)
X : efface la chaîne
P : règle par défaut (Policy)
lo : localhost (ou 127.0.0.1, machine locale)

######################################################################

Fail2ban

Fail2ban est un script surveillant les accès réseau grâce aux logs des serveurs. Lorsqu’il détecte des erreurs d’authentification répétées, il prend des contre-mesures en bannissant l’adresse IP grâce à iptables. Cela permet d’éviter nombre d’attaques bruteforce et/ou par dictionnaire.

Installation

apt-get install fail2ban

Configuration

vi /etc/fail2ban/fail2ban.conf

loglevel: Niveau de détail des logs (défaut 3)
logtarget = /var/log/fail2ban.log: Chemin vers le fichier de log (description des actions entreprises par fail2ban)

Les services à monitorer sont stockés dans jail.conf. Il est recommandé d’en effectuer une copie nommée jail.local qui sera automatiquement utilisée à la place du fichier exemple.

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

vi /etc/fail2ban/jail.local

Quelques paramètres globaux :

ignoreip = 127.0.0.1: Liste des adresses IP de confiance à ignorer par fail2ban
bantime = 600: Temps de ban en secondes
maxretry = 3: Nombre d’essais autorisés pour une connexion avant d’être banni
destmail monitoring@test.com: Adresse e-mail destinataire des notifications
action: Action à entreprendre en cas de détection positive (voir dans /etc/fail2ban/action.d/)

Chaque section possède ses propres paramètres qui prennent le pas sur les globaux s’ils sont mentionnés :

enabled: Monitoring activé (true) ou non (false)
maxretry, bantime, ignoreip, destmail: Voir ci-dessus
port: Port IP concerné
logpath: Fichier de log à analyser pour détecter des anomalies
filter: Filtre utilisé pour l’analyser du log

Les filtres par défaut sont stockés dans /etc/fail2ban/filter.d. Ils contiennent en général une instruction failregex suivie d’une expression régulière matchant la détection d’une authentification erronée. Par exemple pour le service Courier :

failregex = LOGIN FAILED, ip=[<HOST>]$

Note : Celle-ci peut être précisée directement dans jail.local à la section appropriée pour prendre le pas sur la directive filter.

Modifiez les ports le cas échéant dans la section ssh si vous avez suivi la recommandation ci-dessus…

enabled = true
port    = 2222

Après modification de la configuration, n’oubliez pas de redémarrer fail2ban : /etc/init.d/fail2ban restart

Relation d’approbation Active Directory

Posted on 22 octobre 202122 octobre 2021 by tontonfred

Quand mettre en place une relation d’approbation?

Entité avec des domaines/forêts différents
Filiale – Fusion domaine enfant
Segmentation du Service Informatique

Type de relation d’approbation

Unidirectionnelle : l’accès aux ressources n’est disponible que dans un sens (DOMAINEA) -> (DOMAINEB)
Bidirectionnelle : l’accès aux ressources est disponible dans les deux sens (DomaineA) <-> (DomaineB).
Transitive : si (DomaineA) et (DomaineB) ont une relation d’approbation transitive, si par exemple (DomaineB) approuve un autre domaine (Domaine C) celui-ci sera automatiquement approuvé dans (DomaineA).

Avant de se lancer dans le paramétrage de la relation d’approbation, il faut d’abord mettre en place une redirection conditionnelle sur les serveurs DNS concernées

Mise en place du redirecteur conditionnel

Domaines et approbations Active Directory

Domaine et Approbation Active Directory

Sources.list Debian 10

Posted on 17 janvier 202017 janvier 2020 by tontonfred

deb http://deb.debian.org/debian buster main
deb-src http://deb.debian.org/debian buster main

deb http://deb.debian.org/debian-security/ buster/updates main
deb-src http://deb.debian.org/debian-security/ buster/updates main

deb http://deb.debian.org/debian buster-updates main
deb-src http://deb.debian.org/debian buster-updates main

Commande Rsync

Posted on 3 octobre 20193 octobre 2019 by tontonfred

apt-get update && apt-get install rsync

rsync [option] /source /destination

rsync -av /source /destination

-r 	visite récursive des répertoires
-l 	copie les liens symboliques comme liens symboliques
-p 	préserve les permissions
-t 	préserve les dates
-g 	préserve le groupe
-o 	préserve le propriétaire (root uniquement)
-D 	préserve les périphériques (root uniquement)
-a 	mode archivage
-v 	De nombreuses informations sont affichées lors du transfert.
-z 	Compresse le fichier pour un meilleur transfert par le reseau.
–delete 	ATTENTION ! Si le fichier (ou son contenu) n'existe plus dans “source”, il sera supprimé dans “destination”.

Partage NFS sous Debian #GMSI19

Posted on 26 septembre 20181 octobre 2019 by tontonfred

-- Download Partage NFS sous Debian #GMSI19 as PDF --

Le protocole NFS (Network File System) permet de partager des fichiers dans les réseaux Unix. A ne pas confondre avec : 😉

Configuration côté Serveur

On commence par installer NFS sur le serveur

apt-get install nfs-kernel-server

Pour partager un répertoire:

Editez le fichier /etc/exports et rajoutez la ligne suivante pour partager le répertoire /home/test/ à la nomdelamachinecliente ou ipcliente :

/home/partage 192.168.169.169(rw,root_squash)

On relance le service

/etc/init.d/nfs-kernel-server reload (attention faire un restart la première fois)

secure : cette option impose l’utilisation d’un port réservé (inférieur à 1024) comme origine de la requête.
rw : exporte le répertoire en lecture / écriture
ro : exporte le répertoire en lecture seule
async : le serveur NFS va pouvoir répondre que le fichier a été écrit sur le support de stockage, même si cela n’a pas encore été fait. Améliore les performances du serveur.
sync : le serveur NFS va écrire physiquement les fichiers sur le support de stockage avant de répondre. Réduit les performances du serveur.
root_squash : option par défaut. transforme les requètes provenant de l’UID 0 / GID 0 vers le UID et GID du compte anonyme.
no_root_squash : ne transforme pas les requètes provenant de l’UID 0 / GID 0. A utiliser avec précaution.
all_squash : transforme tous les UID/GID vers le UID/GID de l’utilisateur anonyme
anonuid : permet de spécifier le UID de l’utilisateur anonyme.
anongid : permet de spécifier le GID de l’utilisateur anonyme.

Configuration côté Client

apt-get install nfs-common

mount -t nfs <nom ou adresse IP du serveur NFS>:<répertoire partagé> <point de montage>

mount -t nfs tontonserveur:/home/partage /mnt/dossier1

Si on veut remonter le dossier à chaque boot du client :

on edite le fichier /etc/fstab

Et on rajoute :

tontonserveur:/home/partage /mnt/dossier1 nfs defaults 0 0

Sources :Alexis de Lattre ;Debian.org

Système de fichiers, Arborescence, périphériques sous LINUX #C25

Posted on 15 mars 201814 juin 2018 by tontonfred

-- Download Système de fichiers, Arborescence, périphériques sous LINUX #C25 as PDF --

Système de Fichiers

Les données sont normalement présentées à l’utilisateur et aux programmes selon une organisation structurée, sous la forme de répertoires et de fichiers. Pour pouvoir stocker ces données structurées sur un périphérique, il faut utiliser un format qui les représente sous la forme d’une succession de blocs de données : c’est ce qu’on appelle un système de fichiers.

Les systèmes de fichiers les plus courants sont la fat (disquettes et clefs usb), ntfs (Windows), Ext2, Ext3 et Ext4 (Linux), iso 9660 (cd) et udf (dvd).

Pour votre info:

Le nombre de répertoires d’un répertoire est illimité en ext4. Il était de 32000 en ext3.

Système de fichier	Taille maximum d’un fichier	Taille maximum du système de fichier
Ext4	16 To	1024 Po
Ext3	2 To	16 To
ReiserFS 3	8 To	16 To
XFS	8192 Po	8192 Po
ZFS (Solaris)	16384 Po	16384 Po

L’arborescence

Contrairement au système de fichiers Windows, il n’existe pas de lecteurs A:, C:, etc.

L’entrée du système de fichiers se situe à la racine, notée /.

Ensuite, il existe un certain nombre de répertoires présents par défaut. Le Tableau 10.1 explique les fonctions des plus importants d’entre eux (pour plus de détails, vous pourrez regarder le manuel man hier une fois votre installation effectuée).

Les périphériques

Une des originalités des systèmes Unix est leur manière d’accéder aux périphériques. Chaque périphérique du système (souris, disque dur, lecteur de cd, carte son, etc.) est représenté par un fichier spécial (Tableau 10.2). Écrire dans un tel fichier va envoyer des commandes au périphérique. Lire un tel fichier permet d’en recevoir des données. C’est une méthode très simple qui a fait ses preuves !

Les partitions

Pour connaître la position de vos disques durs ide ou sata et de vos lecteurs de cd (primary master, primary slave, secondary master ou secondary slave), le plus simple est de regarder dans le bios.

Vous pouvez aussi le savoir à partir des branchements des nappes ide et des cavaliers sur les disques durs ou les lecteurs de cd : primary correspond à la première nappe ide, et secondary à la seconde ; sur chaque nappe, on peut brancher au plus deux périphériques, un master et un slave (cela se règle avec un cavalier sur le périphérique).

Sur un disque dur ide ou sata, les partitions sont numérotées de la façon suivante :

primaires	apparition sur le disque	de 1 à 4
lecteurs logiques	apparition dans la partition étendue	de 5 à 20

Exemples :

Si vous avez 4 partitions primaires, elles sont numérotées dans l’ordre hda1/sda1 (hda1 pour un disque ide / sda1 pour un disque sata), hda2/sda2, hda3/sda3 et hda4/sda4.

Si vous avez dans l’ordre : 2 partitions primaires, 1 partition étendue avec 3 lecteurs logiques dedans, et 1 dernière partition primaire à la fin, ça donne :

Les deux premières partitions primaires sont hda1/sda1 et hda2/sda2,
La partition étendue est hda3/sda3,
Les lecteurs logiques de la partition étendue sont, dans l’ordre, hda5/sda5, hda6/sda6 et hda7/sda7,
La dernière partition primaire est hda4/sda4.

Extrait Doc officiel Debian

Groupware C24

Posted on 20 février 201814 juin 2018 by tontonfred

Prérequis pour Installation AD #RAN N5

Posted on 5 janvier 201815 juillet 2021 by tontonfred

ATTENTION toutes les installations se réalisent sur des partitions NTFS et il est recommandé de faire au moins 2 partitions (volumes logiques)

Fuseau horaire réglé

Le nom du serveur doit être défini sérieusement pendent l’installation car il est définitif.

IP fixe et masque configuré.

La passerelle pour un accès aux mises à jour doit être configurée au préalable.

La DNS Cliente préféré sera défini sur l’IP de votre Serveur ou sa Boucle Locale

L’installation du service DNS est prise en charge par Active Directory (AD)

Pré-requis Matériel Install AD ?

Mettre le dossier « Sysvol » sur la 2eme partition, car ce dossier va contenir les GPO, scripts.. et la totalité des programmes déployés à partir de votre serveur et le dossier NTDS sur une troisième partition pour le stockage de l’AD et ses journaux

1Go de disponible sur son disque dur est conseillé.

Pré-requis Logiciel ?

Le Protocole TCP/IP doit être parfaitement opérationnel sur le système car tout AD repose sur DNS.

Autres ?

Un second compte « Administrateur »dédié à la gestion d’AD est aussi fortement conseillé.

Protégé : QCM EXCHANGE

Posted on 3 avril 201721 juin 2018 by tontonfred

Introduction à Apache et Sécurisation de votre accés Web #GMSI19 R

Posted on 1 février 201717 décembre 2021 by tontonfred

-- Download Introduction à Apache et Sécurisation de votre accés Web #GMSI19 R as PDF --

Pour notre TD : Attention (Adapter en fonction de la version du Debian)

Pour une version 9.X de Debian prendre la ISO du DVD1 pour avoir l’interface graphique de base afin de pouvoir paramétrer le navigateur et pouvoir traverser le proxy du Cesi.

Installer nano

apt-get install nano

Sources.list a modifier pour une 9.X

deb http://deb.debian.org/debian stretch main
deb-src http://deb.debian.org/debian stretch main

deb http://deb.debian.org/debian-security/ stretch/updates main
deb-src http://deb.debian.org/debian-security/ stretch/updates main

deb http://deb.debian.org/debian stretch-updates main
deb-src http://deb.debian.org/debian stretch-updates main
deb http://deb.debian.org/debian stretch main contrib non-free
deb-src http://deb.debian.org/debian stretch main contrib non-free

deb http://deb.debian.org/debian-security/ stretch/updates main contrib non-free
deb-src http://deb.debian.org/debian-security/ stretch/updates main contrib non-free

deb http://deb.debian.org/debian stretch-updates main contrib non-free
deb-src http://deb.debian.org/debian stretch-updates main contrib non-free

Charger les modifs du sources.list

apt-get update

Mise en place EtcKeeper

apt-get install etckeeper

Outils pour surveiller votre serveur WEB

Installez htop (plus sympa que top)

apt-get install htop

install pour la suite des différents TD

apt-get install mysql-client mysql-server openssl rkhunter binutils clamav

Install pour la suite des différents TD

apt-get install apache2 apache2.2-common apache2-doc apache2-mpm-worker libapache2-mod-fastcgi php5-fpm php-apc apache2-utils libexpat1 ssl-cert php5 php5-common php5-gd php5-mysql php5-imap php5-cli php5-cgi libapache2-mod-fcgid apache2-suexec php-pear php-auth php5-mcrypt mcrypt php5-imagick imagemagick libapache2-mod-python php5-curl php5-intl  php5-pspell php5-recode php5-snmp php5-sqlite php5-tidy php5-xmlrpc php5-xsl

Installer Glances

apt-get install glances

####pour lancer glances#####
glances

Apache est un serveur http libre, c’est un des serveurs http les plus utilisé sur Internet

Apache est conçu pour prendre en charge de nombreux modules lui donnant des fonctionnalités supplémentaires : interprétation du langage Perl, PHP, Python et Ruby, serveur proxy, Common Gateway Interface, Server Side Includes, réécriture d’URL, négociation de contenu, protocoles de communication additionnels, etc. Néanmoins, il est à noter que l’existence de nombreux modules Apache complexifie la configuration du serveur web. En effet, les bonnes pratiques recommandent de ne charger que les modules utiles : de nombreuses failles de sécurité affectant uniquement les modules d’Apache sont régulièrement découvertes.

On trouvera une documentation complète sur apache (en anglais) sur le site suivant :
http://httpd.apache.org/docs/.

Redémarrer Apache

 service apache2 restart
#######ou##############
/etc/init.d/apache2 restart

Tester la syntaxe pour éviter de planter Apache

apache2ctl -t
#en prod évite de planter Apache si erreur de Syntaxe

Redémarre Apache en Prod sans perturber les visiteurs

apache2ctl graceful

Vérifier que apache tourne

ps -ef|grep apache

INFO IMPORTANTE

Pour simuler des noms de domaine pensez à modifier le fichier hosts de votre poste client

La conﬁguration globale d’apache s’eﬀectue par modiﬁcation du ﬁchier de conﬁguration /etc/apache2/apache2.conf.

Hôtes Virtuels

Cette méthode est la plus utilisée et la plus conseillée. Elle tend même à devenir un standard. Il s’agit simplement d’associer plusieurs noms DNS à une seule adresse IP.

dans /etc/apache2/sites-available se trouve un fichier nommé default…

il ressemble a ceci:

Exemple de Virtualhost

<VirtualHost *:80>
	ServerAdmin votre-mail@monsite1.fr
	ServerName monsite1.fr
	ServerAlias www.monsite1.fr
	
	DocumentRoot /var/www/monsite1
	<Directory />
		Options FollowSymLinks
		AllowOverride None
	</Directory>
	<Directory /var/www/monsite1>
		Options Indexes FollowSymLinks MultiViews
		AllowOverride None
		Order allow,deny
		allow from all
	</Directory>

	ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
	<Directory "/usr/lib/cgi-bin">
		AllowOverride None
		Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
		Order allow,deny
		Allow from all
	</Directory>

	ErrorLog /var/log/apache2/error.log

	# Possible values include: debug, info, notice, warn, error, crit,
	# alert, emerg.
	LogLevel warn

	CustomLog /var/log/apache2/access.log combined

    Alias /doc/ "/usr/share/doc/"
    <Directory "/usr/share/doc/">
        Options Indexes MultiViews FollowSymLinks
        AllowOverride None
        Order deny,allow
        Deny from all
        Allow from 127.0.0.0/255.0.0.0 ::1/128
    </Directory>

</VirtualHost>

Ceci fait, enregistrez le fichier sous le nom monsite1.conf puis modifiez-le en mettant cette fois monsite2 à la place de monsite1, puis ré-enregistrez sous le nom de monsite2.conf.

Pour terminer, il vous suffit de créer des liens des deux fichiers nouvellement créés dans le sites-available à l’aide d’un script des fichiers créés auparavant dans le dossier /etc/apache2/sites-enabled. Pour ce faire, une commande a été faite spécialement :

créer les liens dans sites-available

a2ensite monsite1.conf
a2ensite monsite2.conf

etc..

Rédémarrer ensuite les services comme vu au dessus ..

Par exemple pour vérifier les dernières IP qui ont visité votre site web vous pouvez faire un petit tail

Et Voila !!!!!!!!!

Un version plus user friendly ici avec Webmin

Installation de Webmin

Install de Webmin


dpkg -i webmin_de la version que tu as_all.deb
######ensuite#######
#####Corrigez les erreurs avec####
apt-get install -f

Apache dans Webmin

Pour aller plus loin :

Sécuriser Apache et son serveur

Tout d’abord Retour sur SSH qui va permettre d’accéder à votre serveur pour l’administrer. Merci a Alsacreation pour la personnalisation des scripts..

Configuration SSH

Afin de sécuriser l’accès SSH au serveur, éditons le fichier /etc/ssh/sshd_config. Nous allons changer le port de connexion par défaut pour éviter quelques attaques par bruteforce sur le port 22, qui est bien connu pour héberger ce service. N’oubliez pas de préciser ce nouveau port (dans Putty ou en ligne de commande ssh sous Linux) à la prochaine connexion.

vi /etc/ssh/sshd_config

Port 2222                  # Changer le port par défaut
PermitRootLogin no         # Ne pas permettre de login en root
Protocol 2                 # Protocole v2
AllowUsers dew             # N'autoriser qu'un utilisateur précis

Redémarrez le service SSH après ces modifications :

/etc/init.d/ssh restart

Alerte login Root

Vous pouvez éditer le fichier /root/.bashrc qui est exécuté au démarrage d’une sesion root pour envoyer un e-mail de notification. De cette façon, vous serez prévenu lorsqu’un login est effectué.

vi /root/.bashrc

Ajoutez la ligne (en modifiant l’adresse e-mail de destination) :

echo 'Accès Shell Root le ' `date` `who` | mail -s `hostname` Shell Root de `who | cut -d"(" -f2 | cut -d")" -f1` monitoring@test.com

Profitons-en pour un peu de personnalisation esthétique avec ces lignes :

alias ls='ls $LS_OPTIONS --color=auto'
alias ll='ls $LS_OPTIONS -al --color=auto'
alias vi='vim'

Mise en place d’un Firewall (source alsacreations)

vi /etc/init.d/firewall

#!/bin/sh

# Vider les tables actuelles
iptables -t filter -F

# Vider les règles personnelles
iptables -t filter -X

# Interdire toute connexion entrante et sortante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

# ---

# Ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

# ICMP (Ping)
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT

# ---

# SSH In
iptables -t filter -A INPUT -p tcp --dport 2222 -j ACCEPT

# SSH Out
iptables -t filter -A OUTPUT -p tcp --dport 2222 -j ACCEPT

# DNS In/Out
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT

# NTP Out
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT

Si vous hébergez un sevreur web (Apache) :

# HTTP + HTTPS Out
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT

# HTTP + HTTPS In
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT

Si vous hébergez un serveur FTP :

# FTP Out
iptables -t filter -A OUTPUT -p tcp --dport 20:21 -j ACCEPT

# FTP In
modprobe ip_conntrack_ftp # ligne facultative avec les serveurs OVH
iptables -t filter -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Si vous hébergez un serveur de mail avec SMTP, POP3 et IMAP :

# Mail SMTP:25
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT

# Mail POP3:110
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT

# Mail IMAP:143
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT

# Mail POP3S:995
iptables -t filter -A INPUT -p tcp --dport 995 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 995 -j ACCEPT

N’oubliez pas de tester vos régles !!! Exemples, elles pourraient vous empêcher d’accéder à votre accés ssh si elles sont trop restrictives.

N’oubliez pas non plus de redémarrer le sevice firewall aprés les modifs..

######################################################################

IPtables / Netfilter

Arguments utilisés :

i : interface d’entrée (input)
i : interface de sortie (output)
t : table (par défaut filter contenant les chaînes INPUT, FORWARD, OUTPUT)
j : règle à appliquer (Jump)
A : ajoute la règle à la fin de la chaîne (Append)
I : insère la règle au début de la chaîne (Insert)
R : remplace une règle dans la chaîne (Replace)
D : efface une règle (Delete)
F : efface toutes les règles (Flush)
X : efface la chaîne
P : règle par défaut (Policy)
lo : localhost (ou 127.0.0.1, machine locale)

######################################################################

Fail2ban

Installation

apt-get install fail2ban

Configuration

vi /etc/fail2ban/fail2ban.conf

loglevel: Niveau de détail des logs (défaut 3)
logtarget = /var/log/fail2ban.log: Chemin vers le fichier de log (description des actions entreprises par fail2ban)

Les services à monitorer sont stockés dans jail.conf. Il est recommandé d’en effectuer une copie nommée jail.local qui sera automatiquement utilisée à la place du fichier exemple.

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

vi /etc/fail2ban/jail.local

Quelques paramètres globaux :

ignoreip = 127.0.0.1: Liste des adresses IP de confiance à ignorer par fail2ban
bantime = 600: Temps de ban en secondes
maxretry = 3: Nombre d’essais autorisés pour une connexion avant d’être banni
destmail monitoring@test.com: Adresse e-mail destinataire des notifications
action: Action à entreprendre en cas de détection positive (voir dans /etc/fail2ban/action.d/)

Chaque section possède ses propres paramètres qui prennent le pas sur les globaux s’ils sont mentionnés :

enabled: Monitoring activé (true) ou non (false)
maxretry, bantime, ignoreip, destmail: Voir ci-dessus
port: Port IP concerné
logpath: Fichier de log à analyser pour détecter des anomalies
filter: Filtre utilisé pour l’analyser du log

failregex = LOGIN FAILED, ip=[<HOST>]$

Note : Celle-ci peut être précisée directement dans jail.local à la section appropriée pour prendre le pas sur la directive filter.

Modifiez les ports le cas échéant dans la section ssh si vous avez suivi la recommandation ci-dessus…

enabled = true
port    = 2222

Après modification de la configuration, n’oubliez pas de redémarrer fail2ban : /etc/init.d/fail2ban restart

Rkhunter

Rootkit Hunter est un programme de détection de rootkits. Vous pouvez l’installer grâce à :

apt-get install rkhunter

Il procédera à des détections journalières anti-rootkits et enverra des notifications par e-mail si nécessaire. Il est conseillé de l’installer très tôt car il calcule l’empreinte MD5 des programmes installés afin de détecter d’éventuels changements. Editez /etc/default/rkhunter pour indiquer l’adresse de notification et l’exécution journalière :

vi /etc/default/rkhunter

REPORT_EMAIL="monitoring@test.com"
CRON_DAILY_RUN="yes"

En cas de fausses détections positives sur des répertoires ou fichiers existants et sains, éditez /etc/rkhunter.conf pour les ajouter à la liste des éléments autorisés.

vi /etc/rkhunter.conf

ALLOWHIDDENDIR=/dev/.udev
ALLOWHIDDENDIR=/dev/.static

Vous pouvez également utiliser chkrootkit qui est un équivalent.

Empêcher l’accès aux sous dossiers

Bloquer l’accès à PhpMyAdmin par exemple.

Sur un reverse proxy

/etc/apache2/apache2.conf
RewriteCond %{THE_REQUEST} /phpmyadmin/
RewriteRule ^.*$ - [G,L]

Via le .htaccess

Renvoie un code 403.

RewriteRule ^phpMyAdmin - [F]

Empêcher l’accès à la racine de apache

/etc/apache2/sites-available/default
et /etc/apache2/sites-available/default-ssl
<Directory /var/www/>
                Options -Indexes FollowSymLinks MultiViews
                AllowOverride All
                Order allow,deny
                deny from all
</Directory>

Désactiver le listage des répertoires

Changer « Indexes » en « -Indexes ».

/etc/apache2/sites-available/default
/etc/apache2/sites-available/default-ssl
et les configurations des vhosts

Attribuer les permissions correctement

cd /var/www
chown www-monsite:www-monsite -R *
find . -type f -exec chmod 644 {} \;
find . -type d -exec chmod 755 {} \;

installer wordpress

apt-get install wordpress curl mysql-server

Créer le site

# nano /etc/apache2/sites-available/wp

Ajouter ceci au fichier wp

Alias /wp/wp-content /var/lib/wordpress/wp-content
        Alias /wp /usr/share/wordpress
        <Directory /usr/share/wordpress>
            Options FollowSymLinks
            AllowOverride Limit Options FileInfo
            DirectoryIndex index.php
            Order allow,deny
            Allow from all
        </Directory>
        <Directory /var/lib/wordpress/wp-content>
            Options FollowSymLinks
            Order allow,deny
            Allow from all
        </Directory>

rendre actif le site

a2ensite wp

relancer le service

service apache2 reload
#####ou#####@
service apache2 restart

creer le fichier config-dev.php

nano /etc/wordpress/config-dev.php

ajouter ce code au fichier

<?php
define('DB_NAME', 'wordpress');
define('DB_USER', 'wordpress');
define('DB_PASSWORD', 'password');
define('DB_HOST', 'localhost');
define('WP_CONTENT_DIR', '/var/lib/wordpress/wp-content');
?>

creer un fichier de config pour sql

nano ~/wp.sql

adapter pour le fichier

CREATE DATABASE wordpress;
GRANT SELECT,INSERT,UPDATE,DELETE,CREATE,DROP,ALTER
ON wordpress.*
TO wordpress@localhost
IDENTIFIED BY 'password';
FLUSH PRIVILEGES;

créer la base

cat ~/wp.sql | mysql --defaults-extra-file=/etc/mysql/debian.cnf

Migration Serveur de Fichier avec ROBOCOPY #2012

Posted on 20 décembre 201614 juin 2018 by tontonfred

TD RISR C8 TD Maquettage Wood

Migration de serveur de fichier avec Robocopy

Le principe consiste à faire un miroir de l’arborescence afin de déplacer le service de fichiers à d’un serveur à un autre. En environnement de production, il est préférable de respecter les étapes ci-dessous.

Pour réaliser cette migration, il est nécessaire d’utiliser la commande robocopy.

Pour les versions plus récentes (Windows Server 2003 R2 / 2008 / 2008 R2 / 2012 et 2012 R2), Robocopy est déjà intégré.

Etape 1:

Le répertoire partagé est actuellement sur le serveur A. Il faut le migrer vers le serveur B. L’objectif est de ne pas stopper l’environnement de production pour les utilisateurs.

Ce premier script permettra de copier l’intégralité des données actuelles du volume vers le serveur B. Les permissions NTFS sont prises en compte.

Pour celà, la migration du serveur A vers le serveur B va s’effectuer via un script bat. Le script va copier l’arborescence sur le serveur B dans un partage de fichiers opérationnel. Le partage du serveur A est toujours celui utilisé par les utilisateurs.

robocopy "\\serveursource\share" "\\serveurcible\share" /mir /sec

La commande robocopy prend pour paramètre la cible source et la cible destinataire.

/MIR : La commande permet de copier les nouveaux fichiers du serveur actuel vers le nouveau. Les fichiers supprimés sur l’actuel sont aussi supprimés vers le nouveau.

/SEC : La commande sec permet de prendre en compte le changement des permissions NTFS appliqués aux différents fichiers / répertoires.

Etape 2:

L’exécution du 2e script a pour objectif de copier toutes les modifications qui seront apportées entre la date à laquelle la copie principale cf.Etape 1) a été effectuée ET la date à laquelle la migration finale sera effective.

Comme de nouveaux fichiers seront crées (ou supprimés), il est nécessaire de les copier avant mise en production. La commande suivante va permettre d’appliquer la copie de façon récursive toutes les x minutes.

robocopy "\\serveursource\share" "\\serveurcible\share" /mir /sec /mot:x

x permet de choisir l’intervalle de temps entre chaque synchronisation.

ATTENTION : Les droits NTFS ne sont pas mis à jour. Seuls les attributs principaux des fichiers sont pris en compte. C’est la raison pour laquelle il faut exécuter un script dans l’étape 3.

Etape 3:

Enfin, le script suivant sera exécuté lors de la migration définitive du partage de fichiers. Cette opération peut s’exécuter durant une période hors production.

robocopy "\\serveursource\share" "\\serveurcible\share" /mir /sec

Le script ci-dessus va effectuer la migration du serveur A vers le serveur B en prenant en compte les droits utilisateurs et les permissions NTFS.

Article réalisé par :

Briquet Romain (RISRC8)

Chamou Abdel-Malik (RISRC8)

Lambert Jérémy (RISRC8)

N’hésitez pas à laisser vos commentaires ou remarques au sujet de cet article.

Diplômés 2016 CESI REIMS

Posted on 16 décembre 201614 juin 2018 by tontonfred

Sécuriser son SSH un minimum #CRC16

Posted on 9 décembre 201614 juin 2018 by tontonfred

Tout d’abord Retour sur SSH qui va permettre d’accéder à votre serveur pour l’administrer. Merci a Alsacreation pour la personnalisation des scripts..

Configuration SSH

nano /etc/ssh/sshd_config

Port 2222                  # Changer le port par défaut
PermitRootLogin no         # Ne pas permettre de login en root
Protocol 2                 # Protocole v2
AllowUsers dew             # N'autoriser qu'un utilisateur précis

Redémarrez le service SSH après ces modifications :

Alerte login Root

nano /root/.bashrc

Ajoutez la ligne (en modifiant l’adresse e-mail de destination) :

echo 'Accès Shell Root le ' `date` `who` | mail -s `hostname` Shell Root de `who | cut -d"(" -f2 | cut -d")" -f1` monitoring@test.com

Un peu de coloration syntaxique avec ces lignes :

alias ls='ls $LS_OPTIONS --color=auto'
alias ll='ls $LS_OPTIONS -al --color=auto'
alias vi='vim'

Configuration d’un Serveur DHCP sous Debian #C24 #CRC16

Posted on 8 décembre 201614 juin 2018 by tontonfred

-- Download Configuration d'un Serveur DHCP sous Debian #C24 #CRC16 as PDF --

Installation

root# apt-get install isc-dhcp-server

Avant de commencer un serveur DHCP doit toujours avoir une adresse Fixe

# L'interface réseau « loopback » (toujours requise)
auto lo
iface lo inet loopback

# Assigner une adresse IP statique pour ce serveur DHCP avec eth0 :
auto eth0
iface eth0 inet static
    address 192.168.1.100
    netmask 255.255.255.0
    broadcast 192.168.1.255
    gateway 192.168.1.1

Par défaut le serveur DHCP écoutera sur eth0. Pour modifier cette interface, il est possible de faire « dpkg-reconfigure dhcp3-server » ou de modifier le fichier « /etc/default/dhcp3-server »

Le fichier de configuration du serveur dhcp est « /etc/dhcp/dhcpd.conf»

Exemple de Config simple:

option domain-name "mydebian";
# Utilisation du serveur DNS public de Google (ou bien utilisez l'adresse du serveur DNS fournie par votre fournisseur d'accès):
option domain-name-servers 8.8.8.8, 8.8.4.4;
# Configuration de votre sous-réseau (subnet) souhaité :
subnet 192.168.1.0 netmask 255.255.255.0 {
    range 192.168.1.101 192.168.1.254;
    option subnet-mask 255.255.255.0;
    option broadcast-address 192.168.1.255;
    option routers 192.168.1.100;
    option domain-name-servers home;
}
default-lease-time 600;
max-lease-time 7200;
# Indique que nous voulons être le seul serveur DHCP de ce réseau :
authoritative;

Une fois la configuration terminée, il faut démarrer ou redémarrer le service (Daemon) pour prendre en compte les modifications.

root# /etc/init.d/isc-dhcp-server restart # version nouvelle

Pour inclure une IP Fixe

host postfred {
  hardware ethernet 00:0D:87:B3:AE:A6;
  fixed-address 192.168.1.5;
}

Pour piloter son serveur DHCP

ps ax | grep dhcpd

N’oubliez pas le restart du service.

Sources.list Debian 8.X #CRC16 #C24

Posted on 7 décembre 201614 juin 2018 by tontonfred

Avant de débuter vos TD’s avec Debian Jessie

sources.list

deb http://httpredir.debian.org/debian jessie main
deb-src http://httpredir.debian.org/debian jessie main

deb http://httpredir.debian.org/debian jessie-updates main
deb-src http://httpredir.debian.org/debian jessie-updates main

deb http://security.debian.org/ jessie/updates main
deb-src http://security.debian.org/ jessie/updates main
deb http://httpredir.debian.org/debian jessie main contrib non-free
deb-src http://httpredir.debian.org/debian jessie main contrib non-free

deb http://httpredir.debian.org/debian jessie-updates main contrib non-free
deb-src http://httpredir.debian.org/debian jessie-updates main contrib non-free

deb http://security.debian.org/ jessie/updates main contrib non-free
deb-src http://security.debian.org/ jessie/updates main contrib non-free

Promo CRC16

Posted on 18 novembre 201614 juin 2018 by tontonfred

Office 365 vs Echange 2013

Posted on 2 mai 201614 juin 2018 by tontonfred

Un article Exchange 2013 vs Office 365

Google du jour

Posted on 29 avril 201614 juin 2018 by tontonfred

fred2

Dimensionnement Serveur Exchange 2013

Posted on 29 avril 201614 juin 2018 by tontonfred

Dixit Technet : Exchange 2013 utilise plus de ressources système que les versions antérieures d’Exchange. En dimensionnant correctement votre infrastructure Exchange 2013, puis en vérifiant certaines configurations recommandées pour les composants liés à Exchange dans cette infrastructure, vous pouvez créer les conditions d’un déploiement aux performances optimales.

un outil de dimensionnement :

ExchangeCalcv7.8

Exemple sources.list Debian Jessie

Posted on 1 février 201614 juin 2018 by tontonfred

Sources.list

deb ftp://ftp.fr.debian.org/debian/ jessie main contrib non-free
deb http://security.debian.org/ jessie/updates main contrib non-free
deb ftp://ftp.fr.debian.org/debian/ jessie-updates main contrib non-free
deb ftp://ftp.fr.debian.org/debian/ jessie-backports main contrib non-free

deb http://httpredir.debian.org/debian jessie-updates main
deb-src http://httpredir.debian.org/debian jessie-updates main

deb http://security.debian.org/ jessie/updates main
deb-src http://security.debian.org/ jessie/updates main

Les indispensables de l’Admin système sous Debian #Rappels

Posted on 19 janvier 201622 janvier 2016 by tontonfred

-- Download Les indispensables de l'Admin système sous Debian #Rappels as PDF --

Ceci n’est pas un cours mais un petit “TIPS” pour vous aider à vous remettre dans le bain..

Créer un fichier vide

touch le-nom-du-fichier

touch -t le-nom-du-fichier (-t utilise la date indiquée plutôt que la date actuelle)

Modifier la permission d’un fichier ou dossier

chmod 755 le-nom-du-dossier-ou-fichier

chmod -R 755 le-nom-du-dossier (Modifie récursivement les autorisations des dossiers et leurs contenus)

Modifier le propriétaire d’un fichier ou Dossier

chown proprietaire le-nom-du-dossier-ou-fichier

chown -R proprietaire le-nom-du-dossier (Modifie récursivement l’appartenance des répertoires et leurs contenus)

Gestion des comptes utilisateurs

su
sudo
adduser
useradd

Redémarrer un service sous Debian

/etc/init.d/lenomduservice start , stop

Editer un fichier sous debian

Sous Unix, et en particulier sous Linux, la configuration du système et des programmes se fait très souvent en éditant des fichiers textes qui contiennent des paramètres de configuration. Ces paramètres de configuration suivent une certaine syntaxe, différente pour chaque programme, et que l’utilisateur doit connaître. Généralement, il y a une instruction de configuration par ligne de texte. Le système ou le programme va alors lire son ou ses fichier(s) de configuration et s’adapter à la configuration demandée.

Presque tous les programmes et systèmes Unix sont conçus avec une règle qui dit qu’il ne tient pas compte des lignes du fichier de configuration qui commencent par un certain caractère (souvent #). L’utilisateur peut alors mettre des lignes de commentaires dans le fichier de configuration en commençant ces lignes par le caractère particulier. Il peut aussi facilement activer ou désactiver une ligne du fichier de configuration en enlevant ou en ajoutant le caractère particulier au début de la ligne. Le fait de désactiver ainsi une ligne de configuration se dit « commenter une ligne » et le fait d’activer ainsi une ligne de configuration se dit « décommenter une ligne ». Ces expressions seront régulièrement utilisées dans la suite de cette formation.

vi /etc/nom-du-fichier-a-editer (Editeur incontournable sur un système unix/linux)

gedit /etc/nom-du-fichier-a-editer (Editeur sous Gnome)

kedit /etc/nom-du-fichier-a-editer (Editeur sous KDE)

vim /etc/nom-du-fichier-a-editer (Version améliorer de vi mais à installer)

emacs /etc/nom-du-fichier-a-editer (Pour les puristes)

Changer son ip sous Debian

gedit /etc/network/interfaces

En statique :
auto eth0
iface eth0 inet static
address 192.168.0.7
netmask 255.255.255.0
gateway 192.168.0.254

En client DHCP :
auto eth0
allow-hotplug eth0
iface eth0 inet dhcp

Redémarrer les services réseau :
/etc/init.d/networking restart

Vider le cache DNS (Client)

Il suffit simplement de relancer le deamon NSCD :

/etc/init.d/nscd restart

Si cela ne marche pas, vous devez installer le paquet « nscd »

apt-get install nscd

Changer le nom d’hôte de votre Debian

Editez le fichier /etc/hostname

gedit /etc/hostname

Redémarrer le service hostname

/etc/init.d/hostname.sh

Testez votre modification en utilisant les commandes

hostname

hostname -f

Affiche l’état de tout les processus en cours

ps -e

Affiche les informations mise à jour périodiquement sur les processus, l’utilisation de la mémoire, du CPU.

top

Plus complet regardez ceci : http://www.tontonfred.net/blog/?p=865

Déport d’affichage par SSH

SSH possède une fonction de déport d’affichage. Il faut que le serveur SSH distant ait autorisé cette fonction.

ssh -X login@serveur.exemple.org

La programmation de tâches

Exécuter un commande périodiquement

La cron est un programme (installé par défaut) qui est chargé de lancer d’autres programmes de manière périodique et automatique. Chaque utilisateur peut définir avec sa crontab les programmes qu’il veut lancer périodiquement. Il lui suffit d’éditer sa cron et de définir la commande et sa périodicité d’exécution.

Par exemple, je veux que mon ordinateur me réveille tous les matins à 7h12 en jouant un mp3. J’édite ma crontab :

% crontab -e

Je me retrouve alors dans vim avec un fichier vide. J’ajoute la ligne :

12 7 * * * music123 ~/music/fichier.mp3

J’enregistre et je quitte ; les changements sont alors automatiquement pris en compte par le système.

Explications :

Les 5 premiers ensembles de caractères séparés par des espaces (ici, 12 7 * * *) définissent la fréquence. Dans l’ordre, on trouve :
- les minutes,
- les heures,
- le jour du mois,
- le mois,
- le jour de la semaine (sachant que Lundi vaut 1, Mardi vaut 2, etc.).
Pour exécuter une commande chaque jour à 7h12, on fixe donc le champ minute à 12, le champ heure à 7, puis on met des étoiles dans les autres champs pour dire qu’il faut que ce soit exécuté tous les jours dans le mois, tous les mois et tous les jours de la semaine.
Enfin, on trouve la commande à exécuter : (ici, music123 ~/music/fichier.mp3).

Quand la cron lance un programme, elle envoie par mail à l’utilisateur le texte que ce programme écrirait sur la console s’il était lancé à la main ; sauf si le programme n’a rien écrit. Pour éviter de recevoir un mail tous les matins qui me dit qu’il a bien joué mon fichier mp3, je modifie l’entrée dans la cron en renvoyant la sortie texte du programme vers /dev/null :

12 7 * * * music123 ~/music/fichier.mp3 1>/dev/null 2>&1

Autre exemple : j’ai une connexion permanente à Internet et je veux aussi que fetchmail aille chercher mes mails tous les quarts d’heure. J’édite ma cron et je rajoute la ligne suivante :

*/15 * * * * fetchmail –silent

Explications :

Les 5 premiers ensembles de caractères */15 * * * * définissent la fréquence « toutes les quinze minutes ».
J’exécute fetchmail avec l’option –silent qui n’écrit dans sa sortie que les messages d’erreur ; comme ça, je ne recevrais un mail que quand le rappatriement des mails se passe mal.

Exécuter une commande à une date donnée

Par exemple, pour exécuter les commandes date puis df -h le 28 septembre 2008 à midi 42, tapez :

% at 12:42 28.09.2008

Vous voyez alors apparaître le prompt du programme at pour taper les commandes :

at> date

at> df -h

Une fois que vous avez fini de taper les commandes, utilisez la combinaison de touches Ctrl+d. Le résultat de la série de commandes, appelée job, vous sera envoyé par mail juste après leur exécution.

Pour voir la liste des jobs en attente, utilisez la commande atq. Pour annuler un job, tapez atrm numéro_du_job.

Surveiller les connexions réseau du serveur “Humour”

netstat -laeptu
netstat -taupe
netstat -nao

Configuration VM TD 2008 R2 #CRC15

Posted on 22 novembre 201524 novembre 2015 by tontonfred

Les grandes lignes du TD:

On monte le premier Serveur 2008 R2
On laisse en dhcp pour les mises à jour
Installer les tools VM
On règle l’heure et nom de machine
On le place ensuite en ip fixe avec en dns les dns FAI (il fera le redirecteur auto voir avec Fred)
On effectue un full clone dans VM

On lance l’installation de AD DS

On lance le Dcpromo
Analyser le rôle AD

On corrige les warnings
Analyser le rôle DNS

On corrige les warnings
Mise en place de la structure active directory
On monte le windows 7
On effectue les mises à jour
On le joint au domaine
On vérifie sa présence dans Active directory
On compare et teste les GPO testées sous 2003
On monte le deuxième serveur 2008 R2 avec le clone
A cause du clone, effectuer un sysprep pour générer un SID

On règle l’heure et le nom de machine
On fixe directement les bons paramètres IP

Exemple

Installer les tools VM
On lance l’installation de AD DS
Dcpromo en contrôleur supplémentaire

On vérifie sa présence dans Active directory
On vérifie la recopie de la structure Active directory
Analyser le rôle AD
On corrige les warnings
Analyser le rôle DNS
On corrige les warnings
Vous êtes prêts pour le TD DFS de domaine

STRUCTURE POUR LE TD DFS de Domaine

Créer les répertoires sur les 2 serveurs
Partager les répertoires sur les 2 serveurs
Ajouter la fonctionnalités DFS dans Serveur de fichier (1er Serveur)
Créer une nouvelle racine sur le premier serveur
Créer 3 liens pointant sur chaque partage du premier serveur
Créer 3 cibles pointant sur chaque partage du second serveur
Paramétrer la bande passante de la réplication
Monter un lecteur réseau vers la racine via une GPO
Publier la racine dans Active Directory

Edit du 3 Janvier Méthode DFS de domaine by Sylvain

Créer les répertoires sur les 2 serveurs : compta, commun et buro sur serveur 1, repcompta, repcommun et repburo sur serveur 2.
Partager les répertoires sur les 2 serveurs
Ajouter la fonctionnalité DFS dans Serveur de fichier (1er Serveur) : Sur les Roles, faire un clic droit sur Services de fichiers puis Ajouter des services de rôle. Cocher Système de fichiers distribués. Donner un nom d’espace qui sera la nouvelle racine (par exemple : racine ou monEspace)
Créer 3 liens pointant sur chaque partage du premier serveur àOutils d’administration, Gestion du système distrib. DFS. Bouton droit sur \\<nom du domaine>\<nom de la racine> (exple : \\mon_domaine\MonEspace) puis Nouveau dossier et lui donner un nom de lien (exple liencompta) et aller rechercher le répertoire du 1^er serveur (exple compta).
Créer 3 cibles pointant sur chaque partage du second serveur à Faire bouton droit sur le lien puis ajouter une cible de dossier. Aller chercher le réplica du dossier sur le 2^nd serveur (exple repcompta). Pour l’option Membre principal, choisir Serveur principal (= serveur 1). Pour les autres options, choisir Maille pleine, bande passante complète (parce que l’on travaille en VM sinon choisir la bande passante en conséquence)
Monter un lecteur réseau vers la racine via une GPO à il faut d’abord publier la racine dans Active Directory (pour tolérance de panne). Pour cela, on va créer un dossier partagé : dans serveur DNS / Service de domaine AD/Utilisateur et ordi/dans le domaine/sur UO-GENE/bouton droit Nouveau / dossier partagé. Donner un nom et le chemin réseau (exple \\mon_domaine.local\MonEspace). Puis dans les Fonctionnalités / Gestion de stratégie de groupe / UO-GENE, faire bouton droit et créer un objet GPO dans ce domaine et le lien. Bouton droit sur l’objet créé et Modifier. Dans la fenêtre ouverte “Editeur de gestion de stratégie”, dans config. Utilisateur / Préférences/ParamètresWindows /Mappage de lecteur. Faire bouton droit / Nouveau lecteur mappé. Dans la fenêtre, à Emplacement, on retrouve la racine créé précédemment. Choisir une lettre réseau pour ce lecteur.

Edit du 3 Janvier by Jojo:

Correction tp en .doc

RSAT pour SAMBA 4 #RIR

Posted on 15 novembre 201515 novembre 2015 by tontonfred

Remote Server Administration Tools

un outil d’admin pour vérifier la structure et les objets de Samba 4 à partir d’un client Microsoft

(Sans délégation de contrôle)

Par Stéphane Adnot

Télécharger (PDF, 385KB)

Réplication Sysvol entre 2 SAMBA 4

Posted on 13 novembre 201513 novembre 2015 by tontonfred

Samba officiel

Répliquer automatiquement le dossier sysvol entre 2 DC Samba 4

https://wiki.samba.org/index.php/Bidirectional_Rsync/Unison_based_SysVol_replication_workaround

Audit de sécurité de votre serveur Linux avec Lynis

Posted on 5 novembre 201512 novembre 2015 by tontonfred

Lynis est un outil qui est très complet et il peut être utile aux administrateurs système.

il effectue plusieurs dizaines de vérifications sur votre système et fabrique un rapport final avec des suggestions sur la sécurisation du système.

Pour installer Lynis sur Centos
yum install lynis

Pour installer Lynis sur Debian apt-get install lynis

Attention aux versions sur les dépots.

Lancement de Lynis:

Vérification des mises à jour

Install depuis l’éditeur : https://cisofy.com/documentation/lynis/#installation-package

Quelques exemples de vérification :

A la fin de l’audit Lynis montrera les failles réelles référencées et non corrigées :

Il est possible de “crontaber” Lynis biensur avec l’option “-cronjob” qui permettra l’exécution de l’audit sans intervention de l’utilisateur à chaque étape..

Vous allez donc pouvoir signer et horodater votre Audit

Afficher les infos matériel sous Linux #RIR#TIPS

Posted on 2 novembre 201512 novembre 2015 by tontonfred

linux22

Questions de Olivier C : Comment obtenir les infos matériel en ligne de commande sous linux ?

infos sur le ou les processeurs : cat /proc/cpuinfo

infos carte mère et bios : dmidecode et lspci et lsusb

infos sur les périphériques montés : mount

Sinon il ya le fameux:

apt-get install lshw

root@home:~# lshw

Informations sur la machine

– La marque de mon PC
– Son numéro de série
– Le modèle du PC

Informations concernant la carte mère

lshw me donne pour la carte mère :
– La référence de la carte mère
– Le constructeur de la carte mère
– Le numéro de série

Informations sur le bios

J’obtiens comme informations sur le bios :
– La version du bios
– Le fabriquant du bios

Caractéristiques du processeur

Pour le cpu la liste des informations que j’ai retenue est :
– La fréquence du processeur
– La marque du processeur
– Le socket du cpu
– La liste des instructions et des fonctionnalités supportées
– La fréquence du bus
– Les niveaux de cache du cpu et leurs tailles
– Le nombre de coeur
– La taille des instructions supportées (processeur 32bits ou 64 bits).

Informations sur la mémoire du pc

Concernant la mémoire vive du pc je retiens :
– La capacité totale de mémoire de la machine
– Le nombre de slot occupés et surtout le nombre de slot vides (utile pour prévoir un upgrade matériel sans démonter sa machine).
– La référence des barettes de ram
– La taille des barettes de mémoire
– La fréquence de la mémoire et même son temps de latence si vous avez de la chance

Autres informations intéréssantes

– Modèle, taille, et partitionnement des disques durs
– Liste du matériel pci et pci express (carte réseau, carte graphique, carte son …) avec les modèles et les constructeurs.

Installer et Configurer 2012 Server

Posted on 18 juin 201525 juin 2015 by tontonfred

VERSIONS : Les informations essentielles

Edition Standard
Edition Datacenter
Edition Foundation
Edition Essential

Edition Standard

4 To de Ram Max
Inclus 2 licences Hyper-V
La plupart des rôles

Edition Datacenter

Jusqu’a 640 Coeurs
4 To de Ram Max
Nombre Illimité de Machines Hyper-V
Fonctionnalités de Cluster

Edition Foundation

Ne peut être jointe à un Domaine
Un seul processeur
32 Go de Ram Max
Petite Entreprise
Nombre limité de Rôles

Edition Essential (Remplacante des Versions SBS)

25 Utilisateurs Max
64 Go de Ram Max
Pas de Hyper-V
Pas de Cluster

Les Nouveautés marquantes dans les rôles de 2012 Server:

Nouveau Gestionnaire de Serveur => Soit gérer un serveur, soit plusieurs Serveurs.
Fonctionnalité : Expérience Windows Server Essential
Fonctionnalité :WDS amélioré ==> Déploiement Windows (RIS)
Fonctionnalité :WSUS amélioré et intégré d’origine

Les Nouveautés marquantes dans les Fonctionnalités de 2012 Server (42 Fonctionnalités)

Clustering avec basculement
Equilibrage de Charge

Rappels des prérequis pour l’installation d’un AD:

Serveur Windows supportant ADDS
IP Fixe
Nom de Domaine valide
Formatage NTFS

Rappels Fondamentaux AD

Rappels sur les Maîtres D’opérations (FSMO)

Capture d’écran 2015-06-16 à 10.55.27 — Source Microsoft

Rappels sur les Stratégies de groupe (GPO)

Introduction à Samba sous Gnu/Linux #C22

Posted on 21 mai 201527 mai 2015 by tontonfred

-- Download Introduction à Samba sous Gnu/Linux #C22 as PDF --

Samba est un logiciel libre qui supporte le protocole CIFS (Common Internet File System), anciennement appelé SMB (Server Message Block), sous licence GNU GPL 3, il est utilisé pour partager des ressources (fichiers, imprimantes …) à travers un réseau entre des postes Microsoft Windows et un serveur de fichier sous Linux.

À partir de la version 3, on peut intégrer un serveur Samba à un domaine Microsoft Windows Server, soit en tant que contrôleur de domaine principal (PDC) ou en tant que membre d’un domaine. On peut également le joindre à un domaine Active Directory. Il fonctionne sur la plupart des systèmes Unix, comme GNU/Linux, Sun Solaris, AIX et les variantes de BSD, y compris MacOSx Server (qui a été ajouté au client Mac OS X en version 10.2). Samba fait partie intégrante de presque toutes les distributions GNU/Linux.

Voici la liste des ports TCP et UDP utilisés par les protocoles SMB et CIFS pour le partage de fichiers et d’imprimantes.

Port	Protocole	Nom du service
135	TCP et UDP	Localisateur de services RPC
137	TCP et UDP	NetBIOS Name Service (nbname)
138	UDP	NetBIOS Datagram Service (nbdatagram)
139	TCP	NetBIOS Session Service (nbsession)
445	TCP et UDP	Services de dossiers partagés Windows

Installation de Samba pour quelques grandes familles de distribs :

Si vous êtes sous Mandriva la famille Mandrake :

# urpmi samba samba-common samba-client

Sous Fedora et la famille Red-hat :

# yum install samba samba-common samba-client

Sous Debian, Ubuntu, linuxmint… :

# apt-get install samba samba-common smbclient smbfs samba-doc

Sous Slackware :

Samba est déjà présent sur le CD-ROM, l’installez en faisant :

# installpkg /chemin_du_fichier/samba-xxx.tgz

ATTENTION AUX DIFFERENCES EN FONCTION DES DISTRIBUTIONS
ATTENTION AUX DIFFERENTES VERSIONS DE SAMBA

Une fois SAMBA installé il faut se rendre à l’endroit ou se trouve le fichier de configuration.

Dans /etc ,dans /etc/samba en fonction de la distribution.

Le fichier de configuration principale est: smb.conf

Il suffit ensuite d’utiliser un éditeur de fichier pour éditer, modifier, compléter celui-ci.

ex: vi /etc/samba/smb.conf

La commande « testparm », sert à vérifier que le fichier de configuration de samba ne comporte pas d’erreurs. Elle sert également à connaitre le rôle de son serveur de fichier Samba. Vous pouvez lancer cette commande de n’importe ou.

La section [global] contient les options communes à tous les répertoires partagés.

Voici quelques options utilisables :

workgroup: Le nom du groupe de travail.
server string: La description du serveur, qui apparaitra à coté de son nom dans l’explorateur Windows. Si la description contient la variable %h, il sera remplacé par le nom d’hôte de la machine.
encrypt passwords Attention aux soucis en fonction des versions: Détermine si les mots de passe doivent être cryptés avant d’être transmis. C’est fortement recommandé et tous les systèmes Windows à partir de 98 et NT4 SP3 utilisent cette fonctionnalité par défaut.
log file: Le nom du fichier qui contiendra le journal des activités du serveur. On peut avoir un journal par machine client en utilisant %m dans le nom du fichier. Le %m sera remplacé par le nom de la machine client.
max log size: Taille maximale du fichier journal, en Ko.; Ensuite on retrouve les partages sous cette forme:[<nom du partage>]

Les paramètres principaux sont les suivantes :

comment: La description du répertoire partagé.
path: Le chemin du répertoire partagé. C’est le contenu du répertoire indiqué qui sera partagé.
read only: Détermine si les clients pourront écrire ou non dans le répertoire partagé.
public: Autoriser ou non les connexions sans mot de passe.
valid users: Liste des seuls utilisateurs autorisés à se connecter séparés par des espaces. Si on veut autoriser tous les utilisateurs il ne faut pas mettre cette option.
browseable: Détermine si le partage apparaitra dans la liste des partages du serveur.

De nombreuses autres options sont disponibles. Elles sont détaillées dans la page de man de smb.conf

EXEMPLE

[global]
workgroup = CRC12
server string = Serveur Samba sur %h
encrypt passwords = true
log file = /var/log/samba/log.%m
max log size = 1000
socket options = TCP_NODELAY

[cdrom]
comment = Samba server's CD-ROM
read only = yes
locking = no
path = /cdrom
guest ok = yes

[partage]
path = /media/d/partage
available = yes
browsable = yes
public = yes
writable = yes

[tontonfred]
comment = Site web
path = /var/www/tontonfred.net
read only = no

Si vous décidez de rendre privé un partage :(Commande pour créer un user Samba)

smbpasswd -a <nom de l’utilisateur>

Pour accéder aux partage sous Windows, il suffit d’ouvrir le voisinage réseaux d’une station Windows et de vérifier si la machine y est.

Attention dans Authentification :

security = share =========>Accès sans mot de passe

security = user ==========>Accès avec demande de mot de passe

Cas particulier: accéder à un dossier partagé par Windows 7 (Source Ubuntu-fr)

Il est possible que vous ayez de la difficulté à accéder à des dossiers partagés par un ordinateur fonctionnant avec Windows 7, même en saisissant correctement vos informations d’identification du poste distant. Ceci est dû apparemment à une incompatibilité entre les modes departage de Windows 7 et ceux des précédentes versions de Windows (sur lesquels se base Samba). Pour corriger la situation, vous devez modifier certains paramètres concernant la gestion des partages par Windows 7.

Dans votre ordinateur fonctionnant sous Windows 7, ouvrez une session à l’aide d’un compte d’administrateur;
Ouvrez l’éditeur de base de registre. Appuyez sur le bouton Démarrer, puis dans le champ Rechercher les programmes ou fichiers, inscrivez regedit et appuyez sur la touche [Entrée] de votre clavier;
Développez l’arborescence jusqu’à la clé de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\ puis:
- Modifiez la valeur de la clé everyoneincludesanonymous de 0 vers 1;
- Modifiez la valeur de la clé NoLmHash de 1 vers 0;
Développez l’arborescence jusqu’à la clé de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters, puis:
- Modifiez la valeur de la clé restrictnullsessaccess de 1 vers 0;
Redémarrez votre ordinateur.

Pour se connecter en ligne de commande à un partage à partir de Linux, on peut utiliser la commande:

smbclient //<nom du serveur>/<nom du partage> -U <utilisateur>

Il est également possible de monter un partage Samba avec

smbmount //<nom du serveur>/<nom du partage> <répertoire local>

Différentes options sont disponibles. On peut les consulter dans man smbclient et man smbmount.

Par exemple, pour monter un répertoire “public” il faut préciser qu’il faut se connecter en guest :

smbmount //serveur/partage /point_de_montage -o guest

Même chose à partir d’un Windows Client

net use z: \\10.0.0.10\monrepertoire monpassword /user:toto /persistent:no

Le fonctionnement de Samba repose principalement sur trois services (daemons): smbd , nmbd et winbindd.

smbd
Ce service est celui qui permet le partage des fichiers et des imprimantes. Son paramètrage se fait par l’intermédiaire du fichier deconfiguration /etc/samba/smb.conf. smbd vérifie toutes les trois minutes ce fichier pour prendre en compte les modifications ; pour une application immédiate des changements, relancez ce service
nmbd
Ce service sert à l’envoi et la découverte des noms NetBIOS (nom des machines) dans le réseau local. Il est également utilisé pour la résolution de noms et la fonction WINS, lorsque votre serveur Samba est le serveur d’un réseau NetBIOS. Ses paramètres sont aussi renseignés dans le fichier de configuration /etc/samba/smb.conf.
winbindd
Ce service n’est utilisé que lorsqu’un serveur Samba intègre un domaine NT ou pour gérer les relations d’approbation entre le serveur Samba et un domaine Windows / Active Directory.

Quand vous effectuez une modification dans le fichier smb.conf, il faut redémarrer le service Samba en relation avec la modification.

/etc/init.d/samba restart

service samba restart

/etc/init.d/smbd restart

Pour optimiser le fonctionnement de Samba on peut utiliser des variables d’environnement:

Variables du client
%a	Architecture du client Exemple: Win95, WfWg, WinNT, Samba …
%I	Adresse IP du client
%m	Nom NetBios du client
%M	Nom DNS du client
Variables utilisateur
%g	Groupe primaire de l’utilisateur %u
%H	Répertoire home de l’utilisateur %u
%u	Nom de l’utilisateur Unix courant
Variables de partage
%P	Racine du partage actuel
%S	Nom du partage actuel
Variables du serveur
%h	Nom DNS du serveur Samba
%L	Nom NetBios du serveur Samba
%v	Version de Samba
Variables diverses
%T	La date et l’heure courantes

Pour configurer Samba il existe des interfaces graphique, soit propre à la distribution soit des outils tiers que l’on rajoute.Comme Webmin et Swat

Samba Contrôleur de Domaine

Modifier les paramètres important du smb.conf :

[global]
# Nom du groupe de travail ou du domaine
workgroup = tontonfred.net

# Nom qui apparait lors du parcours reseau (%h = hostname)
server string = %h

# Configuration des logs du serveur
log file = /var/log/samba/%m.log

# Taille maximal des logs (en kb)
max log size = 1000

# Mode d'authentification
# - share = ok pour tous
# - user = oblige d'avoir un compte sur le serveur samba
# - domain = pour joindre un domaine
security = user

# Activation du cryptage des mots de passe
encrypt passwords = yes

#Emplacement du fichier des utilisateurs samba
smb passwd file = /etc/samba/smbpasswd

# L'option ci-dessous definit Samba comme le Controleur de domaine principal (maitre).
domain master = true

# Le niveau d'OS indique l'importance de ce serveur en tant que candidat au role de controleur principal lorsqu'une élection est provoquée
os level = 255

# Permettre d'utiliser les profils errants sur le serveur samba
domain logons = Yes

# Gestion de l'authentification sur le domaine
wins support = no

Redémarrer le service Samba et tester le rôle avec testparm pour avoir :

Le plus important est ROLE_DOMAIN_PDC

Pour joindre un client Xp ou Seven, il faut tout d’abord avoir créer un compte samba à l’utilisateur root, soit: smbpasswd -a root

ensuite il faut créer des comptes machines pour les pc sous Seven/xp, cad :
adduser –force-badname nomduclientwindows$
smbpasswd -a -m nomduclientwindows (sans le $)

Ensuite il faut joindre le domaine avec le client Windows avec l’utilisateur root comme vous avez l’habitude de le faire avec un Domaine Windows.

N’oubliez pas de modifier le registre de Seven

Si problème avec Xp modifier le registre comme ceci :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\parameters
“RequireSignOrSeal”=dword:00000000

Pour les visiteurs lisant ce billet, attention on ne gére pas dans cette exemple les partages administratifs de Windows pour les profils itinérants .Ils seront vus ici dans un autre billet ultérieurement.

Sources:

http://fr.wikibooks.org/wiki/Administration_r%C3%A9seau_sous_Linux/
http://www.samba.org/
http://doc.ubuntu-fr.org/samba

Stop motion and light painting

Posted on 25 avril 201518 juin 2015 by tontonfred

Stop motion and light painting

Hexanet Datacenter

Voici la video de ‪#‎stopmotion‬ en ‪#‎lightpainting‬ que j’ai réalisé pour célébrer l’inauguration du ‪#‎Datacenter‬ de ‪#‎Hexanet‬ . Elle est composée de 800 images en longue exposition non retouchées.
Merci au PDG d’HEXANET, Jean-François Collard, de m’avoir fait confiance et d’avoir mis en avant notre Art Visuel devant ses clients, et les élus de la région.
Merci aux personnels d’astreinte de Hexanet de m’avoir permis des horaires décalées..
Merci à Thomas Grivet qui m’a assisté lors de toutes les prises de vue.
N’hésitez pas à la partager sa musique est libre de droit.

Solutions “Groupware” #RARE

Posted on 19 mars 201518 juin 2015 by tontonfred

-- Download Solutions "Groupware" #RARE as PDF --

Solutions “Groupware” #RARE

Un “Groupware”, en Français “logiciel de travail collaboratif”, “collecticiel”…

“C’est un type de logiciel qui permet à un groupe de personnes de partager des documents à distance pour favoriser le travail collaboratif” dixit wikipédia

La premiére question est : Pour mon entreprise puis-je me tourner vers une solution Opensource et délaisser la grosse artillerie comme Microsoft Exchange ?
La réponse n’est pas aussi simple… Il faut déjà commencer par bien cerner les besoins et faire le tour des solutions.

Et se poser des questions comme:

Quel client de messagerie utiliser ?
Vais-je implémenter les fonctionnalités complètes de Serveur de messagerie ?
Est-ce que j’héberge le groupware ou fonctionnera t’il dans le “cloud” ?

En gros dans un Groupware on retrouve:

des mails
des contacts
des groupes
des calendriers
des documents

Ensuite autour de chacune de ces parties on peut retrouver de multiples déclinaisons de fonctionnalités comme par exemple une messagerie instantané, de la gestion de projet, de la gestion de temps, un système de votes, un système de pense-bête, bloc-note…

Pour nos journées de cours nous allons nous tourner vers une solution incourtournable à étudier : Microsoft exchange server

Puis nous essayerons de maquetter une autre solution avec un produit open source.

D’abord : MICROSOFT EXCHANGE SERVER

Pour commencer, étudiez précisément les prés-requis de Microsoft : http://technet.microsoft.com/fr-fr/library/aa996719%28EXCHG.140%29.aspx

Mailbox

Héberge boîtes aux lettres / dossiers publics
Haute disponibilité
Ne fait pas le transport de messages. (l’envoie / réception de mail échoue si pas de serveur transport HUB)
Serveur membre du domaine

Transport Hub

Catégorisation (résolution des destinataires) / conversion format de mails / routage des messages / règles de transport/ journalisation / taille maximum message envoyé et/ou reçu.
Anti-spam (désactivé par défaut).
Serveur membre du domaine

ClientAccessServer

Accès boîtes aux lettres via protocole (ExchangeActiveSync, OWA, etc.)
Les services WEB (Auto-Discover) / Distribution OfflineAdressBook
Serveur membre du domaine
En Exchange 2010, les clients Outlook se connectent sur le serveur CAS pas sur le serveur MAILBOX

Transport EDGE

Joue le rôle d’une passerelle SMTP
Antispam
Analyse antivirus (nécessite une solution tiers)
Serveur NON membre du domaine et dans la DMZ

Messagerie Unifiée (UM)

Réponse aux appels
Réception de télécopie
Accès à ces mails à distance via Outlook Voice Access (consulter ses messages et son calendrier via module vocale, accepter ou annuler des demandes de rendez vous).
Machine membre du domaine.
Non supporté en machine virtuelle.
Nécessite IP-BPX / passerelle VOIP.

Afin de pouvoir tenter l’installation d’une maquette faisable, tester exchange, et faire le tour de sa configuration; nous installerons d’abord celui-ci dans une architecture minimaliste à 2 serveurs. En effet, en parcourant la documentation officielle on s’aperçoit qu’il faudrait un minimum de 2 à XX serveurs en fonction du niveau de haute disponibilité et de la redondance souhaitée sur les différents rôles de Exchange et de Active Directory.

Avant de se lancer dans l’installation de Exchange server il faut déjà préparer les serveur 2008 R2 et l’Active directory.

Ensuite pour l’installation et la configuration de base de Exchange Server, on peut soit utiliser les assistants d’install de 2008 et Exchange soit passer par des scripts en ligne de commande.

Pour le TD nous mettrons en place une structure virtuelle avec 2 serveurs 2008 R2 et un client Windows 7.

Les grandes lignes de l’installation:

On monte le premier Serveur 2008 R2
On laisse en dhcp pour les mises à jour
Installer les tools VM
On règle l’heure et nom de machine
On le place ensuite en ip fixe avec en dns les dns FAI (il fera le redirecteur auto)
On lance l’installation de AD DS
On lance le Dcpromo
Analyser le rôle AD
Analyser le rôle DNS
Mise en place de la structure active directory
On monte le deuxième serveur
On règle l’heure et le nom de machine
On fixe directement les bons paramètres IP
Installer les tools VM
A cause du clone, effectuer un sysprep pour générer un SID
On lance l’installation de AD DS
Dcpromo en contrôleur supplémentaire
installation des prérequis exchange en powershell
On fait le tour des mises à jour
Installation de Exchange depuis l’Iso
On règle les warnings et erreurs de l’installation
On configure chaque partie de Exchange à l’aide du Tuto de Mr Michaël Todorovic
On teste l’accès Webmail à partir du client.(OWA)
On teste Outlook à partir du client.

Pour vous faire une petite idée, voici quelques exemples de solutions open source

La démo de Horde

La démo de OpenXchange

La démo de Zimbra

La démo de OBM

La démo de Sogo

Sources : technet Microsoft, Devellopez.com,

Calligraphie Lumineuse

Posted on 5 mars 201518 juin 2015 by tontonfred

Afficher les services Actifs sous Linux #CRC14

Posted on 2 février 20152 février 2015 by tontonfred

service --status-all|grep -i pid

Sinon après un peu de recherche sous debian il ya:

apt-get install chkconfig

# chkconfig -l

# chkconfig -l

acpid                     0:off  1:off  2:on   3:on   4:on   5:on   6:off
alsa-utils                0:off  1:off  2:off  3:off  4:off  5:off  6:off  S:on
atd                       0:off  1:off  2:on   3:on   4:on   5:on   6:off
bluetooth                 0:off  1:off  2:on   3:on   4:on   5:on   6:off
bootlogd                  0:off  1:off  2:off  3:off  4:off  5:off  6:off  S:on
bootlogs                  0:off  1:on   2:on   3:on   4:on   5:on   6:off
bootmisc.sh               0:off  1:off  2:off  3:off  4:off  5:off  6:off  S:on
checkfs.sh                0:off  1:off  2:off  3:off  4:off  5:off  6:off  S:on
checkroot.sh              0:off  1:off  2:off  3:off  4:off  5:off  6:off  S:on
console-setup             0:off  1:off  2:off  3:off  4:off  5:off  6:off  S:on
cpufrequtils              0:off  1:off  2:on   3:on   4:on   5:on   6:off
cron                      0:off  1:off  2:on   3:on   4:on   5:on   6:off
dbus                      0:off  1:off  2:on   3:on   4:on   5:on   6:off
...

Significations:

* 0 System Halt * 1 Single user * 2 Full multi-user mode (Default) * 3-5 Same as 2 * 6 System Reboot

…

Posted on 8 janvier 2015 by tontonfred

FLX_5630

Clichés instantanés #2008

Posted on 7 janvier 20157 janvier 2015 by tontonfred

clichés 1 clichés2

Les clichés instantanés Windows 2008 R2 #C22 #CRC14

Posted on 7 janvier 20157 janvier 2015 by tontonfred

Les clichés instantanés permettent de disposer de plusieurs versions d’un fichier sur un volume donné et aussi de les rendre accessibles aux utilisateurs par le biais de répertoires partagés. Un utilisateur aura donc la possibilité de restaurer simplement et de façon autonome différentes versions d’un fichier ou d’un dossier.

Pour activer les clichés instantanés il faut impérativement disposer d’un volume NTFS

On active les clichés instantanés par volume. Et ils seront uniquement actifs sur les répertoires partagés.

il est biensûr possible de plannifier ceux-ci :

Quand un utilisateur voudra consulter, restaurer une version de fichier il suffira pour lui de passer par un clic-droit version précédente sur le fichier ou dossier.

Clichés sur Active Directory:

Pour réaliser un cliché instantané de Active Directory, il faudra passer par ntdsutil depuis un contrôleur de domaine sous Windows Server 2008. Lancer depuis une invite de commandes « ntdsutil » et saisir la commande « snapshot ».

Une fois dans le menu « snapshot » de ntdsutil saisir la commande « activate instance ntds », puis create

Il est maintenant possible de lister les clichés avec la commande list all

Ensuite pour pouvoir consulter les clichés instantanés de NTDS.DIT à partir du disque dur du serveur il faut monter ceux-ci.

Pour des raisons x si vous avez besoin de les supprimer:

Happy New Year !!!

Posted on 5 janvier 2015 by tontonfred

FLX_5478-2_1

Remise Diplômes CESI EXIA REIMS 2014

Posted on 13 décembre 2014 by tontonfred

Diplomés 2014 !!!

Posted on 12 décembre 201412 décembre 2014 by tontonfred

FLX_1909-2

TD UNIX/LINUX Commandes utilisateur suppl C22

Posted on 6 décembre 20145 décembre 2022 by tontonfred

Ciquez sur le lien et commencez le TP à la page 3
a partir de : TP2 Rappels et nouvelles Commandes de base Unix/Linux.
allez le plus loin possible !!

TD GMSI LINUX/UNIX

Dimensionner un serveur Terminal Server 2008 (RDS) #CRC14

Posted on 28 novembre 201425 juin 2015 by tontonfred

Windows_Server_2008_R2

Il revient souvent les mêmes questions au sujet du dimensionnement d’un Serveur RDS 2008 R2.

Combien de sessions par serveur ?
Même question en fonction de la version de RDP ?
Même question dans un environnement Hyper-V ?
Combien de RAM par sessions ?
Combien de RAM en fonction du mode d’affichage ?

On peut ainsi se poser de nombreuses questions…

Il existe une documentation officielle : http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=23236
et également : http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=17190

Pour le maquettage il existe également des outils de monter en charge pour similer une utilisation intensive des serveurs RDS : http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=2218

Tutos Windows System Server,AD #CRC14

Posted on 27 novembre 201428 novembre 2014 by tontonfred

Liens vidéo pour les Td’s d’intro à Windows 2003, Active directory.

Install Active Directory

Structure Active Directory

D’autres à suivre …(GPO, DFS, DHCP, DNS, TSE, DFS de domaine …)(Suite des TD’s sous 2008 R2)

Tutos Machine Virtuelle et Installation Windows 2008 R2 By Olivier

Posted on 24 novembre 201424 novembre 2014 by tontonfred

Vous trouverez ci-dessous 2 tutos fabriqués par un stagiaire en GMSI fin de cycle.(Cliquez sur les images)

Merci de me dire ce que vous en pensez afin de conseiller notre contributeur..

Man in light is a Dancer ? light Painting only ..

Posted on 14 octobre 201414 octobre 2014 by tontonfred

Intro manipulation Shell #RARE

Posted on 7 juillet 20147 juillet 2014 by tontonfred

Exo 1 Déplacements dans une arborescence de répertoires et listage du contenu

Quel est votre répertoire courant ? Placez-vous dans votre répertoire principal ou bien la racine (si ce n’est pas déjà le cas) Affichez le contenu de votre répertoire principal

Utilisation de l’aide en ligne :
consultez le manuel en ligne pour voir les différentes options de la commande ls

Regardez le contenu du premier niveau de l’arborescence Unix

Exo 2 Création et manipulation de répertoires

Replacez-vous dans votre répertoire principal
Créez un répertoire d’exercice de nom ex_unix
Descendez dans ce répertoire
créez-y deux sous-répertoires dir1 et dir2
Déplacez-vous dans le répertoire dir2 Créer le fichier fich
Déplacez-vous dans le répertoire dir2
créé précédemment, déplacez le fichier dans le répertoire dir1
Détruisez le répertoire dir2. Opération qui se fait en deux étapes (à moins d’utiliser la commande rm -r) : destruction des fichiers se trouvant dans le répertoire destruction du répertoire proprement dit

Exo3 Manipulation et visualisation de fichiers

Créer un fichier 1.txt
Expérimentez les différentes commandes de visualisation de fichiers-texte que sont : cat, more, head et tail
Concaténez tous vos fichiers texte sur un seul fichier de nom visu.txt Vérifiez le résultat en affichant le fichier ainsi créé
Faites une copie du fichier visu.txt sous le nom vis2.txt
La commande ln permet de réaliser un lien avec un autre fichier ou répertoire.
Créez un lien pour le fichier fichier1

Prés-requis Révision CCNA #TRT #CRC3

Posted on 26 mars 201426 mars 2014 by tontonfred

Exo1 Faites correspondre les modes du routeur à leurs invites respectives

1. Mode utilisateur

2. Mode privilégié

3. Mode de configuration globale

4. Mode de configuration du routeur

5. Mode de configuration d’interface

A.nom-routeur #

B.nom-routeur >

C.nom-routeur (config-if) #

D.nom-routeur (config-router) #

E.nom-routeur (config) #

Exo2 :Faites correspondre les différents modes du routeur à leurs fonctions

1. Mode utilisateur

2. Mode privilégié

3. Mode de configuration globale

4. Mode de configuration du routeur

5. Mode de configuration d’interface

A. Examen détaillé du routeur, débogage et essai. Accès à distance.

B. Définition des adresses IP et des masques de sous-réseau.

C. Commandes de configuration simples.

D. Examen limité du routeur. Accès à distance.

E. Protocoles de routage.

Exo 3 :Dites que font les commandes IOS suivantes

enable

config t

hostname

enable secret

line console 0

password

line vty 0 4

password

interface serial 0

clock rate 56000

no shut

interface To0

ip address @IP mask

router rip

network @réseaux

ip host :

copy run start

sh ip int brief

sh ip route

REVISION IOS CISCO #TRT #CRC3

Posted on 26 mars 2014 by tontonfred

Commandes d’informations

La commande show

show running-config Affiche la conguration courante
show startup-config Affiche la conguration en memoire
show interface nomInterface Affiche la conguration de l’interface
show ip interface brief Affiche une vue d’ensemble des interfaces
show ip protocols Affiche les protocoles de routage
show ip route Affiche la tables de routage
show ip access-lists Affiche les ACLs
show ip nat Affiche les translations NAT
show ip dhcp binding Affiche les reservations DHCP
show version Affiche la version d’IOS

Bonne Année !!!!!

Posted on 2 janvier 2014 by tontonfred

I40B2462

Formation Photo “Light Painting” chez HL STUDIO à Reims

Posted on 26 décembre 2013 by tontonfred

Le light painting Créatif

Peindre avec la lumière

Objectifs : Apprendre à contrôler le techniques nécessaires pour peindre avec la lumière

GPO redirection de dossiers #CRC13 #C21

Posted on 17 décembre 201317 décembre 2013 by tontonfred

EDITO du 19/12/2012

Correctifs pour les problèmes de fonctionnement des redirections de dossiers

http://support.microsoft.com/kb/2610379/fr

Extrait du Technet officiel

La redirection de dossiers comprend maintenant les fonctionnalités suivantes :

La possibilité de rediriger davantage de dossiers dans les dossiers du profil utilisateur que dans les systèmes d’exploitation Windows antérieurs. Ceci inclut les dossiers Contacts, Téléchargements, Favoris, Liens, Musique, Parties enregistrées, Recherches etVidéos.

Dossiers pouvant être redirigés

Vous pouvez utiliser la console GPMC pour rediriger les dossiers.

Dossier dans Windows 7 et Windows Vista	Dossier équivalent dans les systèmes d’exploitation Windows antérieurs
AppData/Roaming	Données d’application
Contacts	Non applicable
Bureau	Bureau
Documents	Mes documents
Téléchargements	Non applicable
Favoris	Non applicable
Liens	Non applicable
Musique	Non applicable
Images	Mes images
Parties enregistrées	Non applicable
Recherches	Non applicable
Menu Démarrer	Menu Démarrer
Vidéos	Non applicable

Le dossier AppData/Roaming (qui s’appelait Application Data dans les systèmes d’exploitation Windows antérieurs) de Windows Vista contient maintenant plusieurs dossiers qui se trouvaient précédemment sous le dossier racine du dossier Profil utilisateur dans les systèmes d’exploitation Windows antérieurs. Par exemple, dans les systèmes d’exploitation Windows antérieurs, le dossier Menu Démarrerne se trouvait pas sous le dossier Application Data. Il peut ne pas être logique de rediriger tous les dossiers qui se trouvent sousApplication Data quand vous activez le paramètre Appliquer aussi la stratégie de redirection aux systèmes d’exploitation Windows 2000, Windows 2000 Server, Windows XP et Windows Server 2003. Par conséquent, si vous choisissez d’activer ce paramètre, Windows 7 et Windows Vista ne redirigent pas automatiquement les dossiers suivants : Menu Démarrer, Raccourcis du réseau, Raccourcis des imprimantes, Modèles, Cookies, Envoyé à. Si vous ne choisissez pas ce paramètre, Windows 7 et Windows Vistaredirigeront automatiquement tous les dossiers sous le dossier Application Data.

Rediriger vers l’emplacement suivant. Cette option utilise un chemin explicite pour l’emplacement de redirection. Plusieurs utilisateurs peuvent alors partager le même chemin d’accès pour le dossier redirigé.
Rediriger vers l’emplacement du profil utilisateur local. Cette option déplace l’emplacement du dossier vers le profil utilisateur local sous le dossier Utilisateurs.

Avancé – Spécifier les emplacements pour des groupes utilisateurs variés. Cette option vous permet de spécifier le comportement de redirection pour le dossier sur la base de l’appartenance aux groupes de sécurité de l’objet de stratégie de groupe.
Suivre le dossier Documents. Cette option est disponible seulement pour les dossiers Musique, Images et Vidéos. Cette option résout tous les problèmes relatifs aux différences de nommage et de structure de dossiers entre Windows 7 et Windows Vista, et les précédents systèmes d’exploitation Windows. Si vous choisissez cette option, vous ne pouvez configurer aucune option supplémentaire de redirection ou de suppression de stratégie pour ces dossiers, et les paramètres sont hérités du dossier Documents.

Avantages de la redirection des dossiers

Même si les utilisateurs se connectent à différents ordinateurs sur le réseau, leurs données sont toujours disponibles.
La technologie des fichiers hors connexion (qui est activée par défaut) donne aux utilisateurs l’accès au dossier même s’ils ne sont pas connectés au réseau. Ceci s’avère particulièrement utile pour les utilisateurs d’ordinateurs portables.
Les données qui sont stockées dans un dossier réseau peuvent être sauvegardées dans le cadre de l’administration système courante. Cette solution est plus sûre, car aucune intervention de l’utilisateur n’est requise.
Si vous utilisez des profils itinérants, vous pouvez utiliser la redirection de dossiers pour réduire la taille totale du profil itinérant et rendre plus efficaces les processus d’ouverture et de fermeture de session pour l’utilisateur final. Quand vous déployez la redirection de dossiers avec des profils itinérants, les données synchronisées grâce à la redirection de dossiers ne font pas partie du profil itinérant et elles sont synchronisées en arrière-plan au moyen de fichiers hors connexion après l’ouverture de session par l’utilisateur. Par conséquent, l’utilisateur n’est pas obligé d’attendre que ces données soient synchronisées au moment de l’ouverture ou de la fermeture de session, comme cela est le cas avec les profils itinérants.
Les données propres à un utilisateur peuvent être redirigées vers un autre disque dur de l’ordinateur local de l’utilisateur à partir du disque dur contenant les fichiers du système d’exploitation. Cette solution permet de mettre les données de l’utilisateur en sécurité au cas où le système d’exploitation devrait être réinstallé.
En tant qu’administrateur, vous pouvez utiliser la stratégie de groupe pour définir des quotas de disque et ainsi limiter la quantité d’espace occupé par les dossiers de profil utilisateur.

Ajouter des modèles de GPO pour Office 2010 #CRC13

Posted on 17 décembre 201317 décembre 2013 by tontonfred

Si vous voulez optimiser aux petits oignons vos office 2010 vous avez la possibilité de faire descendre des gpo’s en téléchargeant un modèle de gpo supplémentaire pour office 2010.

Voila donc comment récupérer quelques centaines de GPO’s supplémentaires 😉

télécharger le modèle ici:

Ensuite décompresser pour obtenir le dossier ADM

et se rendre dans les stratégies ..Dans modèle d’amin faire clic/droit ajouter un modéle..

Sélectionner votre fichier adm

Vous voila l’heureux propriétaire de plusieurs centaines de GPO pour office 2010..

TD 2008 R2 et Active Directory en dur #CRC13

Posted on 17 décembre 201317 décembre 2013 by tontonfred

CESI REIMS Millésime 2012/2013

Posted on 12 décembre 2013 by tontonfred

Introduction à Active Directory et Famille Microsoft Server #GMSICRC13

Posted on 4 décembre 20135 décembre 2013 by tontonfred

A la demande de certains et certaines la version PPT du Keynote “Introduction à Active Directory et Famille Microsoft Server”..

presentation_AD (Le Powerpoint)

BGinfo Afficher des infos utiles sur un bureau Windows #GMSICRC13

Posted on 4 décembre 20135 décembre 2013 by tontonfred

Certains d’entre vous ne connaissent peut-être pas :BGinfo

Pour récupérer l’outil allez sur sur http://technet.microsoft.com/en-us/sysinternals/bb897557.aspx ou directement depuis http://live.sysinternals.com/Bginfo.exe

Pour vous et pour les Td’s et le maquettage il peut être très utile d’avoir sous les yeux en permanence des infos comme les noms des serveurs ip ,gateway dns etc……Ca fonctionne sur tout les Windows y compris 2008 R2.

Choisissez les paramètres à afficher :

Pour le mettre en oeuvre il existe différentes possibilités :

– en utilisant le démarrage de Windows
– en utilisant la base de registre
– en scriptant le lancement
– en utilisant les GPO

Formation Light Painting à partir de 49 euros

Posted on 30 novembre 20133 décembre 2013 by tontonfred

Télécharger (PDF, 7.02Mo)

Conditions:
Se munir de son appareil photo (Reflex et Bridge capable de faire un temps de pause d’au moins 15 secondes) et si possible d’un pied si vous en avez un .

N’hésitez à en parler à vos amis et contactez-moi si vous voulez plus d’explications ou de détails
Pour vos amis : tontonfred@me.com
Enjoy !!

Scénario 1 #RARE

Posted on 26 novembre 201327 novembre 2013 by tontonfred

Une entreprise est dans l’obligation de migrer 2 serveurs 2003 R2 vers 2008 R2

Il ya un contrôleur de domaine et un contrôleur de domaine supplémentaire .Le contrôleur de domaine catalogue globale est conservé car sa configuration matériel supporte 2008 R2 .Celui-ci deviendra contrôleur de domaine supplémentaire. Et un nouveau serveur deviendra contrôleur de domaine (catalogue globale).

Le réseau est mono domaine
Ne pas oublier de maquetter un client Windows 7
Les serveurs sont également serveurs de fichiers avec ou sans tolérances de pannes
Ils n’ont pas de rôles WINS , DHCP

Il existe différentes méthodes pour migrer ceux ci..Par exemple avec ou sans rupture de production .etc…

Vous allez effectuer un travail d’analyse et de recherche pour décrire à vos yeux la meilleure solution de migration pour ce cas…

Pour jeudi j’attends de vous une méthode de migration sur papier ou électronique en décrivant chaque étape dans le détail et en vous disant que cette méthode pourra être utilisée par des collaborateurs ( n’oubliez pas de prendre le recul nécessaire d’un responsable administrateur ..)

Même si les serveurs sont déclarés “compatibles” dans le scénario ne pas omettre la partie teste de compatibilité matériel. Pour fabriquer cette méthode de migration vous devez tenir compte de tous les aspects, comme par exemple l’aspect technique , l’aspect méthodologie, l’aspect organisationnel et surtout les répercutions sur l’entreprise au moment de cette migration.

L’intérêt de cet exercice et de mettre en place une méthodologie de travail qui doit couvrir tous les aspects de votre futur métier .. Vous serez évalué sur l’ensemble des aspects à prendre en compte. Pour atteindre la notation maximale il faudra couvrir tous les aspects.

Configuration DNS Serveurs Microsoft #rappels #RARC5

Posted on 25 novembre 201325 novembre 2013 by tontonfred

#RARE

dns4

Concernant les différentes conversations avec certaines personnes au niveau de DNS , je confirme bien que Microsoft préconise de configurer les serveurs comme étudié en cours.C’est à dire avec le croisement, et la seconde position …Ceci permet d’avoir 0 problème au niveau de l’analyse de rôles ..De plus aucun phénomène de ralentissement n’est constaté sur nos serveurs de clients au niveau des requêtes DNS…

Toutefois dans la formation officielle de Microsoft sur les Serveurs 2012 la boucle locale refait son apparition dans les configurations. Le fait de mettre cette adresse fonctionne aussi biensûr sur 2008 mais génère des warnings dans l’analyse de rôle … (A tester sur 2012)

Attention Rien a voir avec les paramètres de redirecteur ..

A bon entendeur bisouxxx bye bye ..

Fondamentaux Active Directory #RARE #RAPPELS

Posted on 24 novembre 201324 novembre 2013 by tontonfred

activedirectory

RAPPELS:

Active Directory est le service d’annuaire de Microsoft intégré aux versions serveur de Windows.

Historiquement, Microsoft n’avait pas de service d’annuaire et beaucoup d’entreprises utilisaient le NDS de Novell.

Ce service d’annuaire est basé sur le protocole le plus connu du domaine : LDAP.

Ce protocole fonctionnant en TCP/IP, Microsoft a du utiliser cette pile de protocoles en standard et faire reculer au second plan ses protocoles historiques : Netbios, Wins, etc.

LDAP:

L’annuaire LDAP regroupe tous les objets dans un arbre.

– La racine de cet arbre est le domaine (DNS).
– Les branches sont des unités d’organisations (pas des objets).
– Les feuilles sont des objets (utilisateurs, groupes, ordinateurs, …).

adtecharbre Ca c’est la structure historique de LDAP

Voir Slides Fred Structure Logique et physique de l’AD

Rôles FSM0 : (Flexible single master operation)

Maître d’attribution de noms de domaines : Responsable de l’ajout/suppression des noms de domaines. Unique au sein de la forêt
Maître de schéma : Responsable du schéma d’annuaire LDAP. Unique au sein de la forêt
Maitre RID : Distribue les identifiants uniques aux objets de l’annuaire .Unique au sein d’un domaine
Maitre d’infrastructure : Gère les liens entre les utilisateurs et leurs groupes.Unique au sein d’un domaine
Emulateur CPD : Permet d’émuler le rôle de PDC et réplique les changements de mots de passe utilisateurs.Unique au sein d’un domaine

Catalogue Global:

Dans un parc contenant plusieurs contrôleurs de domaines, les serveurs de catalogue global ont une copie complète des informations de tous les contrôleurs de domaine.

Il y a toujours au moins un CG dans une forêt. Le premier serveur à être installé dans une forêt est forcément un CG.

Ainsi, si un utilisateur de nancy.cesi.fr veut se connecter sur le site de Reims (reims.cesi.fr) et que le serveur de Reims n’est pas un CG, il devra contacter son CG pour obtenir les informations du compte utilisateur.

Protégé : Shell “La piscine” #CRC13 #INTROSHELL #RAPPELS

Posted on 18 novembre 201318 novembre 2013 by tontonfred

Rappels dates des supports “OS Serveur” Microsoft

Posted on 18 octobre 2013 by tontonfred

Cliquez sur L’image.. 😉

Ouverture Imminente de Reims HIFI

Posted on 23 juillet 2013 by tontonfred

Si vous voulez découvrir de la hifi très haut de gamme et design demandez moi …Démos possible à la rentrée ..En attendant n’hésitez pas à visiter le site pour découvrir les produits …

OVH PIRATÉ ….

Posted on 23 juillet 2013 by tontonfred

Sympa le petit mail de ce matin …Ca rassure …

ovh

http://www.weblife.fr/actus/ovh-victime-dun-piratage-critique

Failles du 9/07/2013

Posted on 11 juillet 2013 by tontonfred

TD Cisco du 20/06 #TRT #RARE #CPI

Posted on 21 juin 2013 by tontonfred

tpcisco

Enfin ……

Posted on 21 juin 201321 juin 2013 by tontonfred

oneandone

Failles Microsoft et Adobe du 11/06/2013

Posted on 12 juin 2013 by tontonfred

On ne change pas une équipe qui gagne … 😉

Failles Microsoft Windows ,Office, Internet Explorer et Adobe Flashplayer…

Plusieurs nouveaux défauts de sécurité ont été identifiés dans le système Microsoft Windows et ses composants (noyau Windows, pilotes en mode noyau, spouleur d’impression). L’exploitation de la faille la plus sévère peut permettre à un individu malveillant disposant d’un accès local à un ordinateur d’élever ses privilèges et d’agir en tant qu’administrateur, pour installer des programmes ou créer de nouveaux comptes.

Un nouveau défaut de sécurité a été identifié dans certains logiciels Office de Microsoft. Son exploitation peut permettre à un individu malveillant ou à un virus d’exécuter à distance du code malicieux sur l’ordinateur de sa victime à l’ouverture d’un fichier Office piégé.

Plusieurs nouveaux défauts de sécurité ont été identifiés dans le navigateur Internet Explorer. Leur exploitation peut permettre à un individu malveillant ou à un virus d’exécuter à distance du code malicieux sur l’ordinateur de sa victime à l’ouverture d’une page web piégée dans le navigateur.

Plusieurs nouveaux défauts de sécurité ont été identifiés dans le lecteur Flash, un plug-in intégré à la plupart des navigateurs web qui permet de visualiser les animations et vidéos du même nom. L’exploitation des failles les plus sévères peut permettre à un individu malveillant ou à un virus d’exécuter à distance du code malicieux sur l’ordinateur de sa victime à l’ouverture d’une page web ou d’une animation Flash piégée.

Sécurisation d’un SI nomade #TRT #VEILLETECHNO

Posted on 31 mai 201331 mai 2013 by tontonfred

640-PX-ARTICLE

Le nomadisme consiste à permettre à un collaborateur de travailler et d’accéder à ses mails, à internet ou à certains documents et applications métier de l’entreprise, quel que soit le lieu où il se trouve (dans la voiture, à l’hôtel, chez-lui, chez un client ou fournisseur etc…).

On parle aussi de “Mobilité connectée” et il peut en découler de la “mobilité virtuelle“.

Quels sont les équipements informatique liés au “Nomadisme” ?

# Téléphone cellulaire

# Clé USB

# PORTABLE

> fourni par l’entreprise

> PERSO

# PC

> MAISON

> Entreprise perso

# Matériel d’interconnexion

> modem

> routeur

> clé 3G

# Tablettes

La pratique du nomadisme présente des avantages et des inconvénients. Quels sont-ils ?

# AVANTAGES

– flexibilité de l’utilisation du SI (système d’information)

– amélioration des performances de l’entreprise

– amélioration du #TCO (Total Cost of Ownership)

– amélioration de la sécurité

– amélioration de la communication

# INCONVÉNIENTS

– sécurité du SI

– nuisances physiologiques et psychologiques

– parc hétérogène > compétence

Établir la liste des problèmes de sécurité liés au “Nomadisme” ?

# authentification

# problème de sécurité autour de la connexion

# vol de matériel

# vol de données

# usurpation d’identité

# attaque

# utilisation perso

# virus, ver, trojan, …

# sauvegarde des données

# synchronisation

Établir la liste des mécanismes de sécurité à mettre en place dans le SI ?

# mettre en place un système d’authentification chiffré

# firewall / proxy

> boitier (NETGEAR, ZyXEL, Cisco PIX, NetASQ, …)

# VPN

# jeton “unique” par session

# cadenas, système de câble, formation des utilisateurs au risque de vol de matériel

# système de chiffrement et d’authentification sur une partition, un disque dur, une clé usb, …

# pas de stockage de données sur le matériel nomade

# mise en place d’un système de verrouillage de session automatisé

# éviter les connexions Wi-Fi, préférer les connexions par câble

# stratégie de mot de passe

# système de détection d’intrusion (IDS)

# stratégies (GPO)

# formation des utilisateurs

# antivirus avec stratégie (abonnement, remise en question, …)

# mise en place d’une stratégie de sauvegarde digne de ce nom

> externalisation

> protection contre les risques d’incendie

> coffre fort (ex. : Fichet-Bauche)

> stratégie dimensionnée à la hauteur du risque

La sécurité des réseaux #Partie1 #TRT

Posted on 29 mai 201331 janvier 2014 by tontonfred

La recherche et découverte d’informations : le scan de ports

dixit wikipédia:

En informatique, le balayage de port (port scanning en anglais) est une technique servant à rechercher les ports ouverts sur un serveur de réseau.

Cette technique est utilisée par les administrateurs des systèmes informatiques pour contrôler la sécurité des serveurs de leurs réseaux. La même technique est aussi utilisée par les pirates informatiques pour tenter de trouver des failles dans des systèmes informatiques. Un balayage de port (port scan ou portscan en anglais) effectué sur un système tiers est généralement considéré comme une tentative d’intrusion, car un balayage de port sert souvent à préparer une intrusion.

Le balayage de ports est une des activités considérées comme suspectes par un système de détection d’intrusion. Un système de détection d’intrusion peut être réglé à différents niveaux de sensibilité. Un niveau de sensibilité élevé génèrera plus de fausses alertes, un niveau de sensibilité bas risque de laisser passer les balayages effectués par des systèmes sophistiqués comme Nmap qui disposent de diverses options pour camoufler leurs balayages.

Pour tromper la vigilance des systèmes de détection et des pare-feu, les balayages peuvent se faire dans un ordre aléatoire, avec une vitesse excessivement lente (par exemple sur plusieurs jours), ou à partir de plusieurs adresses IP.

Les balayages de ports se font habituellement sur le protocole TCP ; néanmoins, certains logiciels permettent aussi d’effectuer des balayages UDP. Cette dernière fonctionnalité est beaucoup moins fiable, UDP étant orienté sans connexion, le service ne répondra que si la requête correspond à un modèle précis variant selon le logiciel serveur utilisé.

Commencons d’abord à regarder ses ports en local :

netstat1

En état LISTENING, l’application est en écoute et en attente de requêtes de la part de clients.
En état ESTABLISHED, l’application a établi la communication suite à une demande de requête et on considère donc la connexion comme établie.

Quand quelqu’un se connecte à un port (une application web sur un serveur par exemple) l’application va passer de l’état LISTENING à l’état ESTABLISHED.

TIME WAIT: Apparait après le temps d’attente d’un port en état : LISTENING, à savoir ouvert mais pas de communication établie, il s’est donc refermé, car le temps d’attente pour une connexion TCP ou UDP est dépassée.

PS: Attention la commande netstat propose des commutateurs différents en fonction de l’OS sur lequel elle est utlisée.

Ainsi lors d’un scan de ports, nous ne verrons que les ports en état LISTENING. Ceux en état ESTABLISHED n’apparaîtront pas.

Voila pour le local c’est maintenant que peut intervenir le scan de ports afin d’obtenir plus d’information et de ne pas être forcément sur l’hôte à auditer..

Nous prendrons en exemple nmap (puissant et léger) de préférence sous Linux

nmap

Sources :nmap.org

la base : on teste les ports TCP d’un hôte :

nmap1

Possible aussi avec une URL :

nmap2

-sS qui précise que nous faisons un scan avec des segments SYN, je ne scanne donc que les ports TCP

La table des ports (les résultats) présentent plusieurs états des ports possible :

Open (Ouvert)
Filtered (Filtré)
Closed (Fermé)
Unfiltered (non-filtré)

Ouvert indique que l’application de la machine cible est en écoute de paquet/connexion sur le port en question.

Filtré indique qu’un parefeu, un dispositif de filtrage ou un autre mécanisme réseau bloque ce port. Il empêche donc Nmap de savoir si le port est ouvert ou fermé.

Fermé indique qu’il n’y a pas d’applications en écoute sur ce port.Toutefois il peut s’ouvrir n’importe quand.

Non-filtré indique qu’il ya une réponse aux paquets de test mais nmap n’est pas capable de dire si les ports sont fermés ou ouvert.

Un scan de port peut apporter beaucoup plus d’informations que simplement savoir si un port est ouvert ou fermé.
Vous pourrez notamment trouver :

Les versions des services qui tournent
Les types de systèmes d’exploitation et leurs versions
La présence d’un firewall
Les ports ouverts sur le firewall
La politique de filtrage en fonction d’adresses IP spécifiques
Et bien d’autres choses

Autres captures et exemple de Nmap:

nmap3 nmap4

nmap5 nmap6

Grossiste , Dragées, chocolats, Médicis #REIMS #BOUTIQUE

Posted on 24 mai 2013 by tontonfred

Une contre-histoire de l’internet #ARTE #LESINTERNETS

Posted on 15 mai 2013 by tontonfred

Vous avez loupé #Lesinternets

Une contre histoire de L’internet …Cliquez sur l’image pour le replay

Failles !!! la totale … du 14/05/2013

Posted on 15 mai 2013 by tontonfred

Failles et mises à jour critique pour : Windows, les lecteurs Flash Player et
Adobe Reader, les navigateurs Internet Explorer et Firefox, ainsi que dans
les logiciels Acrobat, Thunderbid, Publisher, Word, Visio et Office

Mémento Commandes Commutateur Cisco #TRT

Posted on 10 mai 2013 by tontonfred

cisco

Gérer les vlans.

En créer
Exemple : vlan 10 toto

conf t vlan 10 name toto

Vérifier les vlans existants show vlan brief Supprimer un vlan
conf t

no vlan 10
Effacer tous les vlans d’un commutateur : del flash:vlan.dat

Gérer les ports physiques d’un commutateur

Passer un port en mode trunk (et désactiver dynamic auto).

conf t
int fa 0/24
switchport mode trunk

Passer un port en mode access et le placer dans un vlan.

conf t
int fa 0/1
switchport mode access switchport access vlan 10

Sur un commutateur de niveau 3, pour passer un port en mode trunk, ne pas oublier avant :

conf t
int fa 0/24
switchport trunk encapsulation dot1q

Si vous ne voulez laisser passer que certains vlans (ici le 10) dans un lien trunk

conf t
int fa 0/24
switchport trunk allowed vlan 10

Si vous voulez changer le native vlan dans un lien trunk (a faire des deux côtés)

conf t
int fa 0/24
switchport trunk native vlan 10

Propager la base de donnée des vlans avec vtp.

Sur le switch « serveur », choisir un nom de domaine vtp et de préférence mettre un password (vtp version 2).

conf t
vtp domain CESI vtp password cisco

Attention VTP ne fonctionne que sur un lien trunk. Vérifier l’état de vtp avec un show vtp statut

Faites attention au numéro de révision d’un commutateur sorti de l’infra pour du maquettage et remis dans une infra. On ré-initialise le num en changeant de nom.

Gérer spanning-tree.

Choisir le mode de spanning tree (par défaut pvst)

conf t
spanning-tree mode pvst

Définir la priorité de spanning-tree pour le vlan 10

conf t
spanning-tree vlan 10 priority 0 (par pas de 4096, par défaut:32768)

Les ports sont étiquetés de la façon suivante :

DESG chemin descendant dans l’arbre ROOT chemin remontant vers la racine ALTN chemin de secours

Un port est soit actif FWD, soit bloqué BLK (et au début en mode écoute : LSN).
On vérifie avec show spanning-tree, ou juste pour un vlan show spanning-tree vlan 10

Créer une interface de niveau 3 (IP) et la placer dans un VLAN

Exemple : 192.168.1.254/24 placée dans le vlan 10

conf t
interface vlan 10
ip address 192.168.1.254 255.255.255.0

Si vous voulez activer le routage sur un switch de niveau 3, ip routing

Configurer des sous-interfaces 802.1q sur un routeur

Exemple :

conf t
int fa 0/0.10
encapsulation dot1q 10
ip address 192.168.10.254 255.255.255.0

int fa0/0
no shutdown

by Michel Melcior

Bouton switch Catalyst 2960 #CISCO #TRT

Posted on 6 mai 20136 mai 2013 by tontonfred

Pour les personnes qui s’interrogeaient sur le bouton “mode” en façade des nouveaux catalyst pour les TD’s

cisco13

Pour connaitre les couleurs et le fonctionnement de chaque mode :

http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/hardware/installation/guide/higover.html#wp1211865

Debian 7 “Wheezy” est sortie !!!!!!!!

Posted on 5 mai 20135 mai 2013 by tontonfred

Cette version contient de nombreux logiciels mis à jour, comme :

Apache 2.2.22 ;
- Asterisk 1.8.13.1 ;
- GIMP 2.8.2 ;
- une version mise à jour de l’environnement de bureau GNOME 3.4 ;
- la collection de compilateurs GNU 4.7.2 ;
- Icedove 10 (une version démarquée de Mozilla Thunderbird) ;
- Iceweasel 10 (une version démarquée de Mozilla Firefox) ;
- l’espace de travail Plasma avec les applications KDE 4.8.4 ;
- les noyaux kFreeBSD 8.3 et 9.0 ;
- LibreOffice 3.5.4 ;
- Linux 3.2 ;
- MySQL 5.5.30 ;
- Nagios 3.4.1 ;
- OpenJDK 6b27 et 7u3 ;
- Perl 5.14.2 ;
- PHP 5.4.4 ;
- PostgreSQL 9.1 ;
- Python 2.7.3 et 3.2.3 ;
- Samba 3.6.6 ;
- Tomcat 6.0.35 et 7.0.28 ;
- l’hyperviseur Xen 4.1.4 ;
- l’environnement de bureau Xfce 4.8 ;
- X.Org 7.7 ;
- plus de 36 000 autres paquets prêts à l’emploi, construits à partir de plus de 17 500 paquets sources.

Le blog Viacesi Netacad #TRT

Posted on 19 avril 201319 avril 2013 by tontonfred

Là où vous allez passer vos exams … (Cliquez sur l’image)

“La préparation de la CCNA demande beaucoup d’investissement personnel. C’est une période assez difficile que ce soit physiquement ou moralement. Le plus gênant pour moi a été le stress engendré par l’idée de l’examen, se sentir prêt ou non. De plus, garder sa concentration est très important durant l’examen, il faut essayer de rester le plus serein afin de perdre le moins de temps possible. Finalement, s’entrainer sur des examens blancs est un plus à ne pas négliger afin d’appréhender le moteur de test.”

Nouveau tableau de certifications Cisco (Cliquez sur l’image)

Nouveaux Contenus Certifications :(cliquez sur l’image)

certifs

TD Cisco Live #TRT

Posted on 15 avril 2013 by tontonfred

20130415_151135 cisco1

Des nouvelles de “Glances” ..

Posted on 15 avril 2013 by tontonfred

Il y’a environ 2 ans j’avais testé un outil se nommant : “glances”

by nicolargo : “Glances est un logiciel libre (distribué sous licence LGPL) permettant de surveiller votre système d’exploitation GNU/Linux ou BSD à partir d’une interface texte. Glances utilise la librairie libstatgrab pour récupérer les informations de votre système. Il est développé en langage Python.”

Il remplace de nombreuses commandes et s’avère très pratique.

Depuis le monde de glances s’agrandit et on voit apparaitre les prémices d’un système de surpervision plus complet..

Et ce week J’ai pu tester non sans mal l’installation de celui-ci sur un mac (avec brew) et l’utilisation d’un mode client serveur avec une toute nouvelle application android .Trop cool et plutôt pratique…

Capture du mac:

glances2

Capture Android :

glances3

Je vous invite vivement à l’utiliser lors de vos TD et TP il vous aidera à résoudre certain problème..

Vous pourrez le trouver ici

Pourquoi choisir linux / Why linux is better

Posted on 12 avril 201312 avril 2013 by tontonfred

Vous souvenez vous du site : Why linux is better ?

Avec un collègue nous lui avons donné un petit coup de jeune et avons fait “mumuse” avec du CSS3 ..on en a profité pour déposer : pouquoichoisirlinux.net

La structure est en place et les liens sont en cours ..

Il ne faut pas oublier l’auteur original “Manu Cornet” …Les arguments avancés sont toujours pour la plupart d’actualité…

Il est plus sympa pour les yeux avec Firefox ou Chrome …

Spéciale dédicace #Louis #TRT

Posted on 12 avril 201312 avril 2013 by tontonfred

tracert

En relisant le slide “Quels problèmes PEUT présenter la table de routage …..”

Bonne journée et bon courage aux TRT..

Distance Administrative par défaut #TRT #CCNA2

Posted on 10 avril 2013 by tontonfred

RIP routing internet protocole #TRT

Posted on 10 avril 201310 avril 2013 by tontonfred

lab_03

Les commandes évoquées hier

Verifier la version de RIP : En tapant un “show run ” la version apparait si il est en V2 si vous n’avez pas de version sous router rip c’est qu’il est en Version 1

Activer RIP V2 :

MONROUTER(config)#router rip

MONROUTER(config-router)#version 2

MONROUTER(config-router)#exit

Failles Windows, IE, Flashplayer du 10/04/2013

Posted on 10 avril 2013 by tontonfred

On ne change pas une équipe qui gagne !!! 😉

Apache vs IIS Points forts / Points Faibles #RARE

Posted on 5 avril 20138 avril 2013 by tontonfred

Points Forts

Gratuité
Peu gourmand en ressources matérielles
Excellente stabilité
Facile à sécuriser nativement
Excellent intégration des CMS dominant

Points Faibles

Installation et administration plus laborieuses (pas d’interface graphique)
Pas de support technique (Officiel)

Points forts

Grande simplicité d’installation et d’utilisation
Il faut reconnaitre que d’années en années IIS gagne en performance

Points faibles

Coût du support technique
Plus gourmand en ressources matérielles
Pas de solution native pour le sécuriser correctement au niveau réseau (Firewall)
Difficile d’intégrer les CMS dominants

Installation

http://technet.microsoft.com/fr-fr/library/cc771209.aspx

Si l’on souhaite confier à IIS un grand site Web ou un grand Intranet, la facture pour l’achat du matériel adéquat monte beaucoup plus vite que celle d’Apache et de plus la stabilité n’est pas assurée…

Apache quant à lui consomme des ressources matérielles très modestes, et il est irréprochable en termes de fiabilité. De plus, à charge égale il consomme beaucoup moins de ressources matérielles qu’IIS.

Fonctionnalité Rôle RDS #Connection Broker #RARE #CPI

Posted on 3 avril 201325 juin 2015 by tontonfred

Après le petit billet sur RemoteApp une autre fonctionnalité dans le rôle RDS :

Connection Broker

Sous 2003 on parlait de Session Directory, sous 2008 de TS Session Broker avec 2008 R2, on parle désormais de Conection Broker.

Le but de Connection Broker est de répartir la charge au sein d’une ferme TSE en redirigeant au besoin les nouvelles connexions vers le serveur le moins chargés.
On distingue 2 parties pour le fonctionnement de Connexion Broker:

La partie équilibrage de charge avec (NLB, le tourniquet DNS, où des produits tiers)
L’orientation de la session utilisateur en fonction de la charge des serveurs où si c’est une session déconnectée

Regardons par exemple le paramétrage du Tourniquet DNS avec 2 serveurs RDS,2 serveurs Active Directory et un serveur de doc qui héberge la fonctionnalité de rôle Connection broker

La partie GPO :

Les propriétés de RDS:

http://technet.microsoft.com/fr-fr/library/cc753630.aspx

IOS, ANDROID, WINDOWS PHONE et les autres .. by @notor99

Posted on 24 mars 2013 by tontonfred

Comparaison “objective” entre iOS, Android et Windows phone

deb

Lassé de cet éternel et infructueux débat entre les Fanboys Apple (dont je fais partie), les pro-Android et les autres, j’ai décidé de tenter une approche, la plus objective possible, pour comparer les différents systèmes afin de faire le point sur leurs forces et leurs faiblesses.

Ayant les 3 principaux OS sous la main (grâce à mon travail) quasiment depuis leurs créations, j’ai également suivi les évolutions (dans les grandes lignes).

Je n’aborderai pas l’aspect matériel (iOS n’ayant qu’un seul « fabriquant », alors que Android et Windows Phone sont portés par plusieurs ; Samsung, HTC et bien d’autres).

J’évoquerai les aspects suivants : Ergonomie (qualité, esthétique et prise en main de l’OS), Evolution (de la création à la dernière mise à jour) et pleins d’autres sous forme de points forts et points faibles.

notor2

NOTOR3

JE COMMENCERAI DONC PAR….

iOS-61

Inutile de présenter ce système qui a surement révolutionné le monde des smartphones. Bien évidemment, il ne saurait être aussi célèbre sans son unique terminal, l’iPhone et son unique tablette, l’iPad.

Les points forts :

Stabilité : Le système a fait ses preuves depuis la sortie de la première version en juin 2007. Les instabilités du système sont provoquées par certaines applications (validées mais pas conçues par Apple). Si l’on imagine une utilisation de base d’iOS, le système est stable à 99% (aucun système n’est parfait). La stabilité du système vient aussi de l’écosystème Apple, qui permet un contrôle quasi-total de bout à bout (de la création à la vente).

Ergonomie et prise en main : En étant le plus objectif possible, un néophyte sera à l’aise dans l’interface (utilisation et paramétrage de base), mais seulement après quelques explications. Les utilisateurs familiers des interfaces tactiles, se débrouilleront très rapidement et facilement.

Store : Apple possède à l’heure actuelle, l’un des plus grand catalogue de musique et d’applications mobiles. En ce qui concerne les livres et le magasin d’applications Mac, le contenu se densifie de jour en jour.

Les points faibles :

Système : L’un des plus grands points forts d’iOS est également son plus gros point faible (au niveau du système). L’écosystème Apple rend hermétique iOS. Il est jugé beaucoup trop fermé par les utilisateurs, et, pour permettre des fonctionnalités supplémentaires, il faut en passer par le Jailbreak. Or, ceci entraine des instabilités et des failles de sécurité.
Interface : Depuis la sortie d’iOS 1 en juin 2007, jusqu’à iOS 6.1 sortie en février 2013, l’interface graphique n’a pratiquement pas évoluée. Seulement quelques modifications d’icônes, l’ajout du centre de notifications (que certains dirons « volé à Android »), et quelques petits effets d’animations, ont permis une relative petite évolution d’iOS. Les ajouts que la concurrence incorpore à son système (et qui semble ravir les utilisateurs) sont toujours absents d’iOS (tels que les widgets, les gestures avancés, etc).

Le market Apple : Précurseur parmi les markets (applications, musique, livres, etc), la pomme impose ses règles, comme le sandboxing obligatoire pour les applications. On reproche également le faible nombre de freemium, mais aussi le prix de certaines applications (comme par exemple « Final fantasy IV » à 14.49€).

Autonomie : Apple étant son propre fabricant de terminaux, il devrait y avoir une certaine synergie entre iOS et le matériel. On peut dire que c’est globalement le cas, sauf au niveau de la batterie. Et il n’est pas surprenant de voir Apple sortir une mise à jour mineure suite à sa mise à jour majeure, car beaucoup d’utilisateur se plaignent de soucis d’autonomie.

Il me parait également très aberrant d’être obligé de couper certaines fonctions d’iOS afin d’économiser de la batterie (localisation, notifications, etc).

Pour résumer, Apple vit encore et toujours sur les innovations lancées avec l’iPhone, puis l’iPad. Ces dernières ont très certainement « révolutionnées » le monde des systèmes mobiles, mais la concurrence prouve qu’elle sait combler ses retards et même, par certains côtés, prendre le pas sur Apple.

Si Apple ne réagit pas vite avec de réelles innovations majeures, je pense que les parts de marchés continueront de baisser.

JE CONTINUERAI PAR….

Windows Mobile (dans sa version 6 par exemple) fut très célèbre avec les pockets pc et les 1^er téléphones tactiles.

Windows Phone (version 7 ou 8) n’a plus rien à voir avec. Exit le menu démarrer, les croix de fermeture d’applications, adieu les similitudes avec Windows pc.

Les points forts :

Stabilité : on peut parler d’un système « relativement » stable. A cause du nombre multiple de constructeur, la stabilité est variable selon les terminaux (par expérience, Windows 7.5 sera plus stable sur un Samsung Omnia 7 que Windows 7.8 sur un Nokia Lumia 510).

Ergonomie et prise en main : La prise en main peut être un peu déroute au début à cause du système de tuile. Certaines sont évolutives (la tuile message peut afficher le dernier sms reçu, la tuile Facebook affichera les dernières notifications, etc). L’ergonomie reste simple d’utilisation avec son écran principal et l’écran listant l’intégralité des applications du terminal.

Evolution : Malgré la jeunesse de l’OS, Microsoft a su faire évoluer son système pour correspondre au mieux aux attentes utilisateurs (par exemple : le redimensionnement des tuiles). Malgré un sérieux retard sur la concurrence, Windows Phone continue son évolution pour tenter d’égaliser les systèmes Apple ou Google.

Market : le Windows Store est le dernier arrivé des market. Outre les classiques qui ont cartonnés sur l’AppStore ou sur le Playstore, on va retrouver quelques exclusivités à Microsoft.

Les points faibles :

Ecosystème Microsoft : A l’image d’Apple, un système trop fermé, représente le plus gros des points faibles. Même si la politique de validation d’application semble plus souple que chez la pomme, il faut néanmoins avoir « envie » de développer pour Windows Phone. Il existe des centaines d’applications ou de jeux qui auraient être utilisées mais Microsoft a décidé de limiter les utilisateurs au contenu du Windows Store.

Ergonomie et prise en main : Si l’écran d’accueil pars d’un bon esprit (tuiles évolutives que l’on dispose et dimensionne comme on le souhaite), l’écran secondaire de l’interface est nettement moins accueillant. Il se contente de lister tout le contenu du terminal (applications de base et téléchargé). Pas de catégorie, pas de possibilité d’en créer ni de faire des dossiers.

Evolution : Quelle ne fut pas la surprise des utilisateurs de découvrir un Windows phone 7 sans copier-coller, ni multitâches le jour de sa sortie ! Il fallut attendre la sortie de Windows 7.5. Actuellement Windows Phone 8 reste encore très en retard par rapport à la concurrence.

Market : Les prix et le contenu du Windows Store mobile sont très discutables. Si l’on prend l’exemple du jeu GeoDefense Swarm : il existe à 0.89€ sur l’appStore et à 2.99€ sur le Windows Store. Le prix moyen d’une application se situe largement aux alentours de 2€.

Microsoft souffre de la jeunesse de son OS, mais également d’un retard sur la concurrence qui sera très compliqué à remonter. Windows phone reste cependant un bonne alternative OS pour les néophytes qui désire du tactile en toute simplicité, et qui ne comptent pas forcement utiliser des fonctionnalités avancées.

JE FINIRAI PAR….

BugdroïdMan

Issu d’une startup, rachetée par Google, Android fut lancé en novembre 2007 en réponse à iOS lancé par Apple en Juin de la même année.

Cet OS a très vite rencontré un soutien de la part d’une communauté grandissante grâce à l’open source.

Basé sur le noyau linux, Android est actuellement dans sa 4^ème version majeure.

Les points forts :

(Je commence volontairement par un point fort que je n’ai pas cité pour les 2 OS précédents. Il est vrai qu’il existe une communauté iOS, mais plutôt basé autour du jailbreak, du désimlock et des tweaks cydia. Quand à Windows phone, il existe une petite communauté limité)

Communauté : Le point fort d’un système open source, c’est qu’il bénéficie très vite, d’une communauté de passionnés souhaitant apporter leur petite pierre à l’énorme édifice Android. On trouvera notamment des personnes débordant d’imagination pour proposer des applications exclusives à l’OS Google, mais également des gens proposant des améliorations au système lui-même (par le principe de ROM spécifiques qui permettent, suite à l’installation sur votre terminal, de bénéficier de fonctionnalités supplémentaires). On trouvera également des ROM proposant la mise à jour majeure, pour des terminaux n’en bénéficiant pas, par l’intermédiaire du constructeur (c’est assez fréquent).

Stabilité : Le système de base est relativement assez stable. Contrairement à Windows Phone, même sur des terminaux de constructeurs différents, la stabilité reste quasiment la même. Quand j’évoque le système de base, je veux dire que l’utilisateur ne se lance pas dans de la « bidouille » (qui peut vite entrainer des grosses instabilités lorsque l’on fait n’importe quoi). Sur les fonctions classiques, le système a fait ses preuves et s’améliore encore (on note une amélioration de stabilité entre la version 2 et la version 4, Android 3 n’ayant pas, à ma connaissance, été porté sur terminal mobile, mais sur tablette uniquement).

Ergonomie et prise en main : La prise en main de l’OS peut être compliquée pour un grand néophyte qui n’est pas habitué aux terminaux tactiles (Android propose un excellent didacticiel au 1^er démarrage de certains terminaux). Cependant, par expérience, les personnes ayant déjà pratiqué le tactile (sur Bada, Symbian ou autres) trouveront facilement leurs marques. Quelqu’un n’ayant jamais pratiqué de tactile aura « peut-être » une phase d’adaptation un peu plus longue.

Si l’on devait comparer les 3 ergonomies des OS (iOS, Windows Phone et Android), il est évident que, à l’heure actuelle, seul Google propose une interface Next-gen.

Evolution : Si vous avez l’occasion, prenez entre les mains un terminal en version 1.5 et un terminal en version 4.1, il n’y a aucune comparaison à faire ! On passe d’une interface « un peu » configurable (widget, icones et multi-bureaux) à une interface modifiable à notre guise (soit par les surcouches des constructeurs, soit par certaines applications du playstore). La qualité des écrans s’améliorant, les équipes de Google ont exploitées cet avantage pour améliorer le rendu des icônes, rajouter des effets graphiques (le cube de bureau), etc.., afin de pouvoir réaliser l’interface que l’on souhaite réellement (je m’avancerai même à dire « sans limite » sauf matérielles).

Encore une fois, sur ce point, Android devance largement ses 2 principaux concurrents.

Market : La grande force du PlayStore (ex Android Market) réside sur 2 points principaux ; le freemium et le free-to-play. Beaucoup d’applications seront donc gratuites (Angry Birds ne coute rien sur le playstore alors que chaque version coute 0.89€ sur l’Appstore et 0.99€ sur le Windows Store), mais elles seront pourvues d’un bandeau publicitaire (même si il existe un moyen d’enlever les bandeaux….).

D’autres applications seront gratuites elles-aussi, même nécessiteront un paiement en jeu (in-app purchase) pour obtenir des items plus rapidement par exemple. Le joueur est donc libre de payer ou non. Dans ce dernier cas, il progressera moins vite que celui qui met la main au portefeuille.

On trouvera également des applications payantes, dans une moyenne de prix située aux environs de 1,30€.

Les points faibles :

Stabilité : le point fort d’Android, qui est également un point faible, c’est l’open source. Si l’on rentre trop dans la « bidouille » du système (légale pour l’OS Google, illégale chez Apple et Microsoft), on peut vite obtenir un système très instable (fermeture inopiné d’applications, reboot du système ou même certaines fonctionnalités inaccessibles). Je tiens à préciser que si l’on bidouille en sachant ce qu’on l’on fait, ou en suivant scrupuleusement des tutoriels sérieux, le système restera stable. Mais n’est pas bon bidouilleur qui veut…… Il ne faut pas hésiter à interroger la communauté.

Ergonomie et prise en main : Comme énoncé plus haut, le point faible d’Android sera son interface qui peut dérouter les néophytes.

Market : Sur le playstore, on trouve tout et n’importe quoi (autant dire les choses franchement). Le nombre de malware est en augmentation.

Dans certaines applications, les bandeaux de pub peuvent afficher des publicités qui ne sont pas tout public. Attention donc à l’âge de la personne utilisant le terminal ou la tablette au moment de la pub.

Le système de Google trouve de plus en plus d’adeptes (des anti-Apple, des déçus de la pomme, des Anti-Microsoft, des Geeks, des bidouilleurs, des pro-linux et bien entendu du public plus classique). L’OS est très suivi et évolue sans cesse.

deb

CONCLUSION

Je finirai cet article par un mot sur le fractionnement, car c’est un reproche que je fais à iOS, windows Phone mais également à Android.

Chez Apple, le fractionnement est commercial. On fait en sorte de rendre une application incompatible avec l’iPhone 3GS (par exemple) pour obliger les gens à acheter l’iPhone 4. Un cas très célèbre sur l’iPad, fut la sortie du jeu « Machinarium ». Il n’était compatible qu’avec l’iPad 2 (à l’époque) et pas avec le 1^er modèle, soit disant pour une histoire de configuration matérielle. Or, dans le monde du jailbreak, on a réussi à utiliser à 100% ce jeu, sur un iPad 1.

Chez microsoft ainsi que chez Google, le fractionnement est provoqué par le nombre de fabriquant. Chacun souhaite sortir son entrée/moyenne/haute gamme. Avec plusieurs terminaux par catégories. Si l’on multiplie cela par 3, 4 voire 5 constructeurs, on arrive vite à des dizaines de terminaux avec des versions d’OS différentes, des résolutions d’écrans variées ainsi que des configurations matérielles hétérogènes.

Le fractionnement est un calvaire pour les développeurs.

MON AVIS PERSONNEL :

Ayant eu chaque OS sur des terminaux de différents constructeurs (Nokia, Samsung, LG, Sony, Apple), je peux dire que jusque très récemment, iOS était celui qui me convenait le mieux (en tant que Fan boy Apple). Mais la lassitude prend l’avantage sur le fan. J’attends avec impatience de réelles innovations chez la pomme.

Windows phone me parait prometteur et est, comme chez Apple, assez bon lorsque l’on possède l’ensemble des produits (pc et tablette en windows 8 et téléphone en Windows Phone) (ceci est un avis très personnel).

Android ne m’a pas laissé de bon souvenir sur mon LG Optimus One (android 2.2), ni sur le Sony Xperia play (en même temps le téléphone était une bouze sans nom). Cependant, la Samsung galaxy tab 7 pouces (android 2.3) marche parfaitement bien (surtout flash player ^^) ainsi que Android 4.2 sur le Samsung Galaxy S3.

J’espère cependant que mon analyse permettra de se faire un avis objectif lors du choix d’un OS mobile.

by notor99

Edit de tontonfred : “Notor99 est un lecteur assidu du blog , comme beaucoup d’entre nous il est aussi un technophile averti avec des convictions . Ce que vous venez de lire est l’analyse que lui en fait et sa propre conclusion .. il en a sans doute marre (comme beaucoup d’entre nous) des gens qui critiquent tout et n’importe quoi sans se poser forcément les bonnes questions .. Lui l’a fait et a donné son avis ..”

REVISION TRT #CCNA

Posted on 22 mars 2013 by tontonfred

Hello ,Bon courage pour votre Week-end de révision !!!!!!!!

Quelqu’un a t’il noté scrupuleusement l’ensemble des slides à réviser ?

Si c’est le cas pouvez-vous me les communiquer par mail ?

Merci

Corrigé TD 1 ROUTAGE STATIQUE #TRT

Posted on 20 mars 201322 mars 2013 by tontonfred

zinzin

Voici 2 exemples :

Un routeur en lan to lan

2 routeurs en lan wan lan (corrigé du 14/11)

Et comme je suis un gars sympa en lien vous trouverez la correction Packet Tracer:

corrigé TD Routage Statique le pkt

IOS CISCO #TRT

Posted on 18 mars 201318 mars 2013 by tontonfred

Etude de l’IOS (Introduction)

On distingue 3 modes de configurations :

Le mode utilisateur prompt=Routeur>
Le mode privilégié prompt=Routeur# taper enable ou en pour passer à ce mode
Le mode configuration du routeur prompt=Router(config)# taper configure terminal ou conf t pour passer a ce mode.

Nom du routeur

hostname nom_du_routeur : établit le nom du routeur, également visible dans le prompt

Résolution de nom

ip host nom_du_routeur ip_e0 ip_S0 ip_f0 : Pour chaque routeur il faut taper cette commande pour chaque patte..et dans chaque routeur il faut renseigner tout les routeurs..

Paramétrage des interfaces Ethernet:

taper enable pour passer en mode privilégié
taper conf t pour passer en mode configuration du routeur
taper int e0 pour accéder à l’interface ethernetO
taper ip address 172.16.10.1 255.255.255.0
taper no shut pour activer l’interface
taper exit pour sortir

Paramétrage des interfaces Token ring:

taper enable pour passer en mode privilégié
taper conf t pour passer en mode configuration du routeur
taper int to0 pour accéder à l’interface token ring O
taper ip address 172.16.15.1 255.255.255.0
taper ring-speed 16 pour paramétrer la vitesse de l’anneau
taper no shut pour activer l’interface
taper exit pour sortir

Paramétrage des interfaces Serie:

taper enable pour passer en mode privilégié
taper conf t pour passer en mode configuration du routeur
taper int S0 pour accéder à l’interface serialO
taper ip address 172.16.20.1 255.255.255.0
taper clock rate 56000 pour régler l’horloge ,seulement pour les routeurs maitre DCE
taper bandwidth 56000 pour régler la bande passante
taper no shut pour activer l’interface
taper exit pour sortir

Commandes générales indispensable autour de l’IOS

copy run start : Permet de sauvegarder les paramétres en cours

show run :Affiche le fichier de la configuration active

show start : Affiche le fichier de la configuration de sauvegarde

show flash : Affiche les informations sur la mémoire flash

copy flash tftp : Permet de saugarder la config sur le serveur TFTP

copy tftp flash : Permet de restaurer L’IOS

show ver : Affiche la configuration matérielle système, la version de l’IOS

show protocols : Affiche le nom et l’état de tous les protocoles configurés

show interface : Affiche les informations de configurations et des statistiques de trafic pour chaque interface

show ip route : Affiche la table de routage IP

Mot de passe de validation lors du passage en mode privilégié

enable password mot_de_passe : établit le mot de passe en mode privilégié

Cryptage des mots de passe

service password-encryption : Permet d’activer le chiffrement des mots de passe

no service password-encryption : Annule l’opération

Mise en place du routage statique

ip route ip_rezo_du reseau a atteindre suivi de son masque vers ip de la patte du prochain routeur directement connecté:

ip route 192.168.1.0 255.255.255.0 192.168.50.2

autre possibilité:

ip route ip_rezo_du reseau a atteindre vers le nom de la patte de mon routeur :ip route 200.150.75.0 255.255.255.0 serial 0/0

no ip route ….. : Permet d’annuler cette route

Pour un routage optimal dans les 2 sens dans le cas d’un routeur central en lan to lan a 2 pattes on aura 2 route statique,a 3 pattes on aura 6 routes statique

Routage dynamique avec RIP

router rip : Lance le routage RIP sur le routeur

network_ip_rezo_interface : Définit les interfaces sur lesquelles le rip sera diffusé

router rip
network 172.16.11.0
network 172.16.15.0
network 172.16.20.0

On aurait pu remplacer les 3 network par : network 172.16.0.0 mais attention a la sécurité

Windows Server 2012 #LIVRESBLANC #CRC12 #RARE #C20

Posted on 16 mars 201316 mars 2013 by tontonfred

Pour ceux et celles que ça intéresse Microsoft a publié il ya quelques mois des livres blanc concernant Microsoft Windows Server 2012. Et pour ceux qui voudraient y voir un peu plus clair dans le système de Licences, je pense que vous pouvez ici trouver quelques explications officielles ..

Et le 28 Mars à Reims :

Anecdote de cours pour les #geeks #RAREC4

Posted on 15 mars 201315 mars 2013 by tontonfred

usb_rds

Cet après-midi en plein TD avec une promo fort sympathique #RAREC4 nous étions en train de monter une structure AD avec 2 serveurs DC puis des serveurs RDS et des clients en vue d’exo sur Remote App et connectionbroker …..

Un stagiaire “@ML” 😉 me dit je vais faire une remote app avec libre office …

Comment faire pour brancher sa clé USB sachant que :

Il travaille sur un Linux
Dans le linux il ya un vmplayer avec Seven
Sur le Seven il a installé Vsphere
le Vsphere pilote un esxi basé chez “ovh”
dans l’esxi il a 4 serveurs et un client
Et à partir du client il est en RDP vers le serveur RDS ..
Tout çà depuis le Cesi 😉

Et ben sans prétention il branche la clé USB qui se mappe après quelques longues secondes sur la machine en VM …. pfffff des #geeks

Moralité :VMware ça déchire et merci les tools !!!!!!

Et merci @ MCA pour le visio 😉