Linux

Administration
Tome 3
Scuriser un serveur Linux

Jean-Franois Bouchaudy

2e dition

Groupe Eyrolles, 2008, 2012, ISBN : 978-2-212-13462-9

faux-titre_linux_t_3_2012.indd 2

14/02/12 10:15

Avant-propos

Prsentation de louvrage
Aujourdhui, il nest plus besoin de prsenter Linux, mme les non-informaticiens le
connaissent, et certains lutilisent titre personnel. Dans les entreprises et les
administrations, il est encore peu prsent sur le poste de travail mais il envahit de plus en
plus de serveurs Et les serveurs doivent tre protgs.
Ce livre traite de leur scurisation. Il fait suite aux deux tomes prcdents, qui abordent
respectivement les tches lmentaires et avances de ladministration systme Linux.
Lobjectif principal de ce troisime tome est la scurisation dun serveur Linux. Ce sujet
prcis fait dailleurs lobjet de deux modules spcifiques (scurisation des applications et
scurisation du serveur) mais il reste sous-jacent lensemble du texte. Lensemble des
techniques de scurisation est abord : les protocoles rseaux qui scurisent les transferts
(SSH, SSL, Kerberos, IPSec, OpenVPN), les techniques pare-feu (Iptables, Wrappers,
Squid ), lutilisation de techniques daudit (HIDS, NIDS). La scurit locale et la
scurit de connexion ne sont pas oublies (PAM, SELinux).
Du fait quun vaste panel de mthodes est tudi ainsi que des concepts fondamentaux
(cryptologie, pare-feu, techniques dattaques et de scurisation), louvrage dispense aussi la
culture gnrale autour de la scurit que doit possder tout administrateur systme Linux ou
tout administrateur dapplication fonctionnant sous Linux. Cette culture lui permet de
dialoguer sereinement avec le responsable de la scurit globale de lentreprise. Elle
lautorise galement assurer cette fonction de responsable dans une petite structure.
Il existe de nombreux ouvrages sur la scurisation de Linux, en quoi ce livre est-il original ?
Dabord, il se veut manuel de formation. ce titre, chaque module est divis en deux
parties : une partie cours et une partie ateliers . La partie cours se divise elle-mme
en thorie et savoir pratique (commandes, fichiers). Les ateliers ne sont pas une
accumulation dexercices mais plutt une squence cohrente dactions que le lecteur doit
effectuer. Non seulement ils illustrent le cours, mais ils reprsentent un savoir concret en ce
sens que la plupart des ateliers peuvent tre considrs comme des recettes pratiques
dadministration . Les ateliers sont regroups en tches . Le lecteur nest pas oblig de
les raliser toutes. Il doit privilgier celles qui correspondent des concepts fondateurs ou
des sujets qui rpondent un besoin immdiat.
Volontairement, ce livre privilgie le mode commande. Le systme Windows a habitu
lutilisateur et ladministrateur tout rsoudre par des clics dans un environnement
graphique. Ce mode existe sous Linux, mais nest pas celui utilis par lexpert. Le mode
commande en mode texte est plbiscit par lensemble des administrateurs Linux. Pourquoi ?
Tout simplement parce quil est plus puissant, intemporel et mme, lusage, plus simple.
Ce mode permet ladministration complte dun systme Linux distance avec une liaison
Tsoft/Eyrolles - Linux : Scuriser un serveur Linux

Avant-propos
infrieure 9 600 bauds (dbit pris en charge par un tlphone portable) ! Le mode
commande est primordial dans lapproche automatise de ladministration grce lcriture
de scripts shell. Il permet galement une administration indpendante des distributions.
Ce livre ne se limite pas une distribution particulire. Certes, pour les ateliers, il a bien
fallu en choisir une. Nous avons opt pour CentOS, qui est un clone de la distribution
RedHat, la plus utilise dans les entreprises. Elle est binaire compatible avec elle. Dans les
parties cours , la rubrique Les particularits des distributions indique les commandes,
les fichiers ou les aspects propres une distribution particulire. Il a fallu faire un choix :
seules les distributions RedHat, Debian et Ubuntu sont mentionnes.
Ce livre se veut le plus intemporel possible. Si de nouvelles commandes apparaissent avant
une prochaine dition de cet ouvrage, le lecteur trouvera sur le site www.tsoft.fr (cf. plus
loin) de nouvelles rubriques sur ces sujets.

Public
Le public vis par ce livre est dabord les administrateurs de serveurs Linux. Du fait que les
ateliers forment une sorte de recueil de recettes pratiques dadministration et de
scurisation , il peut tre lu avec profit par tout administrateur, dveloppeur ou utilisateur
dun systme Linux.

Support de formation
Ce support convient des formations sur la scurisation dun systme Linux dune dure
comprise entre deux et six jours. Lidal est de cinq jours. La dure peut tre courte ou
allonge en fonction des modules et ateliers traits ainsi quen fonction du niveau des
participants.
Lditeur Tsoft (www.tsoft.fr) peut fournir aux organismes de formation et aux formateurs
des diapositives instructeur complmentaires destins aider le personnel enseignant.

Guide dautoformation
Ce livre peut tre galement utilis en tant que support dautoformation. Llve doit
disposer dun ordinateur qui sera ddi Linux (on le reformate compltement). Plusieurs
modules, dont Kerberos, ncessitent lutilisation de deux serveurs. Il est possible dutiliser
des serveurs virtuels sous Windows ou Linux.

Certifications
La certification LPI (Linux Professional Institute), indpendante des distributions, est prise
en charge, parmi dautres, par SuSe et IBM. Louvrage est une bonne prparation aux deux
premiers niveaux du programme LPIC. Nous invitons les lecteurs se renseigner auprs du
LPI : http://www.lpi.org.

Un livre dynamique grce Internet

Le noyau Linux, les distributions Linux vont peut-tre voluer plus rapidement que cet
ouvrage. Les sites www.tsoft.fr et www.editions-eyrolles.com proposeront sur la page de
prsentation du prsent ouvrage des liens ddis des complments sur ces volutions.
- sur le site www.tsoft.fr, dans la zone <Recherche> saisissez TS0101 et validez par
<Entre>, puis cliquez sur le lien vers la page de louvrage ;
- sur le site www.editions-eyrolles.com, dans la zone <Recherche> saisissez G13462 et
validez par <Entre>.

Tsoft/Eyrolles - Linux : Scuriser un serveur Linux