Memo Redhat Ent Server 5

id information sur l User en cours

gedit editeur graphique
vim editeur vi avancé
gvim version graphique de vim
nano editeur en cmd
cal calendrier en cmd
whatis courte description des commandes
info description des commandes
history historique des commandes passées
evince pdf viewer
man 7 signal liste complete des signaux « kill »
ps -o comm,nice niveau de prioritée des processus
renice 5 vnc abaisse la prioritée du processus
nice -n 5 vnc abaisse la prioritée du processus
echo "test email" | mail -s "test" user@mail.com envoi mail
echo "test print" | lpr -P printer_name envoi impression
tr 'A-Z' 'a-z' < .bash_profile convertion ‘Maj’ vers ‘Min’
mail -s "Please Call" jane@example.com <<END envoi mail
cut -d: -f1 /etc/passwd affiche la colonne 1 du fichier

echo $? affiche résultat cmd précédente, 0 si OK, 1-255 si erreur

wc –l fichier compte le nbre de lignes du fichier
sort fichier | uniq -c tri le fichier, n affiche pas les double
diff foo.conf-broken foo.conf-works comparaison de fichiers
diff –r /test /test1 comparaison du contenu des répertoires
aspell check fichier correction orthographe du fichier
sed -e 's/dog/cat/' fichier remplace dog par cat

MEMO LINUX RHCE SERE 1

locate -i file recherche ds les noms de fichiers, sans casse
 updatedb pour recharger la base (/etc/uptadedb.conf)
find -iname file recherche le fichier sans respecter la casse
find / -user root -not -group root user root non group root
find -size +1000 -ok gzip {} \ ; fichier > 1Mo et les zip
find -name ‘*.conf’ -exec cp {} {}.orig \ ; copie de sauvegarde
wget drc ftp://ftp.gnu.org/RPM/bit* download le fichier
fuser -k -m /media/usb/ kill tous les processus accedant au montage
c : répertoire courant.
e : programme en cours d'exécution.
f : fichier ouvert. f est omis par défaut.
r : répertoire racine
m : fichier projeté en mémoire, ou bibliothèque partagée.

fuser /data affiche les processus accedant au répertoire

lsof /dev/sda1 Liste les processus et user accedant au montage
mutt consulter mail en cli
logwatch –print affiche une analyse des logs
whois google.fr affiche les infos proprietaire du site
host google.fr affiche les IPs correspondantes
dig google.fr affiche les infos et IPs du site
grep -E -v '^#' httpd.conf n affiche pas les commentaires
elinks 20.10.0.3 broswer en ligne de CMD

netstat –s stats detailée par protocole

last information sur les derniers reboot…
w information sur les login en cours
du –h taille des fichiers d’un répertoire
dh –a taille des fichiers d’un répertoire (détaillé)
pup Package Update
pirut Package Manager
(') inhibit all expansion
* - matches zero or more characters (") inhibit all, except : $ ` \ !
? - matches any single character (\) makes the next character litteral
[0-9] - matches a range of numbers
[abc] - matches any of the character in the list
[^abc] - matches all except the characters in the list > Redirect STDOUT to file
~ - user's home directory 2> Redirect STDERR to file
$(hostname)- hostname
&> Redirect all output to file

MEMO LINUX RHCE SERE 2

crontab

mm hh jj MMM JJJ tâche > log

* : à chaque unité de temps
2-5 : les unités de temps de 2 à 5 (2, 3, 4, 5)
*/3 : toutes les 3 unités de temps (0, 3, 6, 9...)
5,8 : les unités de temps 5 et 8

Tous les lundis à 22h28:

28 22 * * 1 df >>/tmp/log_df.txt
Du 2 au 5 de chaque mois à 10h12
12 10 2-5 * * df >>/tmp/log_df.txt
Tous les jours pairs du mois à 23h59
59 23 */2 * * df >>/tmp/log_df.txt
Toutes les 5 minutes
*/5 * * * * df >>/tmp/log_df.txt

cron

#/etc/cron.deny et cron.allow si cron.deny, root + ts users sauf ceux-ci

si cron.allow, root + ts users indiqués
#/etc/crontab fichier conf du systeme crontab
#/etc/cron.d/ contient fichier de taches
* * * * * root echo ‘salut’
#/etc/cron.daily … contient programmes a executer
#/etc/logrotate.conf fichier conf des rotations de fic de logs
#/etc/anacrontab fichier conf anacron
*depuis (mn) *dans (mn) *executer *tache
1 65 cron.daily run-parts /etc/cron.daily

MEMO LINUX RHCE SERE 3

processus et ressources

#pmap –d 2183 Liste ressources memoire utilisées

#swapon -s infos sur le swap
#vmstat 5 instantanée mémoire toutes les 5 s (r doit etre a 0)

system config X

#system-config-date date, heure, ntp (/etc/ntp.conf)

#system-config-keyboard clavier
#system-config-printer imprimante, queue d impression
#system-config-authentification config nss et pam
#authconfig-tui en mode txt
#system-config-securitylevel changer de mode / desactiver SElinux

X11

#service xfs status xfs necessaire au demarrage X11

#cat /var/log/Xorg.0.log log du service Xorg
#vi /etc/X11/xorg.conf fichier de conf xorg
#/usr/X11R6/bin/xinit et startx démarrage en init3
#system-config-date date, heure, ntp

cups

#/etc/cups.conf fichier de conf service cups

#/etc/printers.conf fichier de conf des queued impression

MEMO LINUX RHCE SERE 4

user / group

#useradd, userdel, usermod gestion utilisateur

#usermod –G group1 user ajoute user au group1 (retire les autres)
#id root information sur le compte

#groupadd , groupdel, groupmod gestion des groupes

#groupmod –n group1 group2 change le nom du groupe

#/etc/login.defs politique d expiration de MDP

#chage user pour changer politique MDP du user

#vipw ouvre /etc/passwd avec vi

#pwconv sync /etc/shadow avec /etc/passwd

nis

Installer RPM ypbind et portmap

 #authconfig-tui indiquer nom de serveur et domaine NIS

- ecrit NISDOMAIN sous /etc/sysconfig/network

- /etc/yp.conf indique quel server utiliser
- /etc/nsswitch.conf indique utilisation de NIS pour MDP, Mask et Grp
- /etc/sysconfig/authconfig USENIS=yes
- /etc/pam.d/system-auth-ac chgt MDP par rpc.yppasswdd

ldap

Installer RPM nss-ldap et openldap

 #authconfig-tui indiquer le serveur DN et base de recherche TLS

- /etc/ldap.conf indique quel server utiliser

- /etc/openldap/ldap.conf information consulté pr les cmd (automounter)
- /etc/nsswitch.conf indique utilisation LDAP
- /etc/sysconfig/authconfig USELDAPAUTH=yes ou USELDAP=yes
- /etc/pam.d/system-auth-ac acces LDAP pour authenfication

SUID SGID StickyBit Umask

MEMO LINUX RHCE SERE 5
#chmod u+s programme permettra a un user d’executer ce programme
avec les droits du propriétaire (+ g pour droit du groupe)

#chmod g+s répertoire tout fichier crée ds ce repertoire appartiendra au

groupe defini sur le repertoire avec le SGID (chmod 2770 rep)

#chmod o+t répertoire tout fichier crée ds ce repertoire ne pourra etre

supprimé que par son proprietaire (apparaît « T » si pas de « x » pour other

#umask 002 défini le mask par défaut (non permanant).

#vi /etc/skell/.bashr
umask 002 rend le mask par defaut permanent

ACL (symbole +)

#mount –o remount,acl /home remonte la partition /home avec la

prise en charge des ACLs. Indiquer le champ « defaults,acl » sous /etc/fstab

#getfacl toto visualiser les acl du fichier

#setfacl -m u:user:rwx /home/fic rwx au user sur fic

#setfacl -m g:grp:rwx /home/fic rwx au groupe grp sur fic
#setfacl -x g:grp /home/fic supression des acl sur le fichier

#tar -vcf--acls test.tar test sauvegarde avec les ACLs

MEMO LINUX RHCE SERE 6

selinux

#ls -Z fichier visualiser le contexte de securite du fichier

[root@localhost share]# ls -Z /root/anaconda-ks.cfg /var/log/messages

-rw------- root root system_u:object_r:user_home_t /root/anaconda-ks.cfg
-rw------- root root system_u:object_r:var_log_t /var/log/messages
 User Role Type

#ps -efZ visualiser le contexte des securite des processus

#ps –ZC syslogd bash visualiser le contexte des securite des processus
LABEL PID TTY TIME CMD
root:system_r:syslogd_t 23049 ? 00:00:00 syslogd
root:system_r:unconfined_t:SystemLow-SystemHigh 3876 tty1 00:00:00 bash
 Si le type est unconfined_t,le processus n’est pas restreint par SELINUX

#chcon –t tmp_t /etc/hosts restaure le contexte tmp_t a ts les fichiers

#restorecon /etc/hosts restaure le contexte par défaut (-R pr rep.)
#chcon - -reference /etc/shadow fic applique le contexte au fic

#cat /etc/sysconfig/selinux fichier de conf SELINUX

# disabled - SELinux is fully disabled.
SELINUX=enforcing

#getenforce affiche le mode de politique

enforcing
permissive (log,mais autorise)

#setenforce 0 (enforcing) 1 (permissive) change le niveau

#system-config-securitylevel changer de mode / desactiver SElinux

#system-config-selinux configuration SElinux

#/usr/share/doc/selinux-policy/html/service.html services pris en

compte par SELINUX

# semodule -i /usr/share/selinux/refpolicy-targeted/apache.pp
ajout policy pour apache

# semodule -l liste des services gerés par selinux

MEMO LINUX RHCE SERE 7
# fixfiles relabel les labels du système de fichier à partir des informations des
modules

# getsebool -a
allow_ftpd_anon_write --> off
# setsebool –P allow_ftpd_anon_write 1
 activer le booléen permettant utilisateurs anonymes de créer des fichiers via FTP

# semanage fcontext -a -t httpd_sys_content_t /home/www

 utiliser /home/www comme répertoire racine pour apache

# semanage port -a -t httpd_t -p tcp 81

 utiliser le port 81 pour apache

ps -Z
L'option -Z permet d'afficher le contexte de sécurité en plus des informations habituelles
affichées avec ps.
ls -Z
L'option -Z permet d'afficher les droits classique et le contexte de sécurité des fichiers.
id -Z
Affiche le contexte de sécurité de l'utilisateur courant.
newrole
Permet de changer de rôle et/ou de type
sestatus
Affiche les informations d'état de SELinux (actif, mode de fonctionnement, etc)
semodule
Permet de gérer les modules de sécurité, les "policy package".
fixfiles
Permet de vérifier et de restaurer les labels du système de fichier
restorecon
Permet de restaurer les labels d'une partie du système de fichier
chcon
Permet de spécifier manuellement les informations de sécurité des fichiers
getenforce
Retourne le mode de fonctionnement courant de SELinux (permissive, enforcing).
setenforce
Change le mode de fonctionnement de SELinux
semanage
Permet de configurer les règles actives pour personnaliser certains paramètres de sécurités
getsebool
Retourne la liste des booléens utilisables pour personnaliser la sécurité des services.
setsebool
Permet de fixer la valeur des booléens utilisé pour personnaliser la sécurité des services
audit2allow
Utiliser les logs des permissions refusées pour écrire des politiques de sécurité appropriées
et ne plus générer ces erreurs.
checkmodule et semodule_package
Ces deux commandes sont utilisées pour compiler des règles de sécurité pour faire un
"policy package" qui est ensuite chargé avec semodule.
MEMO LINUX RHCE SERE 8
nfs
#system-config-nfs outil config nfs
#service nfs status visualiser si le service nfs est bien démarré

Sur serveur distant

#vi /etc/exports fichier de conf, des partages
/data (rw)
Sur serveur client
#showmount –e 192.160.0.244 visualiser les partages du serveur
#mount –t nfs 192.168.0.244:/data /mnt/data montage du lecteur
#vi /etc/fstab pour montage des partages au demarrage
proc /proc proc defaults 00
192.168.0.244:/data /mnt/server1 nfs defaults 00

#mount.cifs //192.168.0.244/data /mnt –o root%mdp

#umount.cifs /mnt

automounter
#service autofs status visualiser si le service autofs est bien démarré

Sur serveur distant

#vi /etc/exports fichier de conf, des partages
/data

Sur serveur client

#vi /etc/auto.master visualiser les partages du serveur
/misc /etc/auto.misc
/net -hosts

#vi /etc/auto.misc fichier concernant le dossier /misc

cd -fstype=iso9660,ro,nosuid,nodev :/dev/cdrom
* -rw 192.168.0.244:/data

#vi /etc/sysconfig/autofs fichier de conf autofs

DEFAULT_BROWSE_MODE="yes"

#/etc/auto.net execute le fichier (x)

affiche les partages disponibles
MEMO LINUX RHCE SERE 9
quota

#vi /etc/fstab pour activer la prise en compte des quotas

proc /proc proc defaults 00
/dev/sda1 /data ext3 defaults,usrquota 00

#mount –o remount /home prise en compte des quotas

#quotacheck -cug /home prise en compte des quotas

#quotaon /home active les quotas (quotaoff pour arreter)

#setquota user 4000 5000 40 50 /home creation quota

Minalerte Maxbloc Imin Imax /rep
#edquota user creation quota par utilisation d’un modele
#edquota –p user1 user2 clone des quotas

#quota seb informations sur les quotas du user

#repquota –a informations sur les quotas de tous les users

snapshots LVM

# lvcreate -L 512M -s -n databackup /dev/vg0/data création snapshots

# lvdisplay informations sur les volumes
# lvextend -L +64 /dev/vg0/databackup extension du snapshots

network
# ethtool eth0 parametre vitesse et duplex
# ethtool –s eth0 autoneg off speed 100 duplex full parametrage de la carte
pour rendre permanant : /etc/sysconfig/network-scripts/ifcfg-eth0
ETHTOOL_OPTS :
ETHTOOL_OPTS= «autoneg off speed 100 duplex full”

NOZEROCON=yes , pour desactiver l adressage auto

pour attribuer plusieurs IP : /etc/sysconfig/network-scripts/ifcfg-eth0:1 (0 :2)

# ip route add 192 .168.0.0/24 via 192.168.0.1 ajout de route (/route-eth1)

# service network restart restart des params reseaux
MEMO LINUX RHCE SERE 10
dns

# etc/hosts resolution de nom local

# etc/resolv.conf nom de domaine et serveur DNS
# etc/nsswitchesolv.conf priorité de recherche (/etc/hosts /etc/resolv.conf)
#hosts: db files nisplus nis dns
hosts: files dns

# host 192.168.0.1 resolution du nom

ipv6

pour desactiver ipv6

# vi /etc/modprobe.conf
alias net-pf-10 off
alias ipv6 off

pour activer ipv6, ajouter

# vi /etc/sysconfig/network
NETWORKING_IPV6=yes
IPV6_DEFAULTGW=2001 :db8 :100 :1: :ffff

# vi /etc/sysconfig/network-scripts/ifcfg-eth0
IPV6INIT=yes
IPV6ADDR=2001 :db8 :100 :0 ::1/64
IPV6ADDR_SECONDARIES=2001 :db8 :100 :0 :1::1/64 2001 :db8 :100 :0 :2::1/64

# ip -6 addr show montrer @ ipv6

# ip -6 route add route statique @ ipv6 (/etc/sysconfig/network-scripts/route6-ethx)

# ping6
# traceroute6

MEMO LINUX RHCE SERE 11

debuggage , monitoring

# strace cmd trace l’execution de la cmd

--debug option in application
# logwatch –print affiche une analyse des logs

# nmap 192.168.0.1 analyse des ports ouverts

# cat /etc /services liste des numéros de ports
# tcpdump liste des numéros de ports
# netstat –ntaupe listes des connections actives

# find / \( -nouser -o -nogroup \) liste fic/rep, non reconnu ds /etc/passwd

# find / -type f -perm -002 liste fic/rep, avec perm “w” sur “other”
find / -type d -perm -2

pam
# /etc/pam.d/ fichiers de conf PAM des services (Pluggable Authentication Modules)

# cat /etc/pam.d/crond

# The PAM configuration file for the cron daemon

auth sufficient pam_rootok.so
auth required pam_env.so
auth include system-auth
account required pam_access.so
account include system-auth
session required pam_loginuid.so
session include system-auth

Auth : Authentification Account : Gestion de compt Session : Gestion de session Password : Gestion des Mdp

binding : Si le module réussit et qu'aucun module précédent de la chaîne n'a échoué, la chaîne s'interrompt immédiatement et
la requête est autorisée. Si le module échoue le reste de la chaîne est exécuté, mais la requête est rejetée au final.

Required : Si le module réussit, le reste de la chaîne est exécuté, et la requête est autorisée si aucun des autres modules
n'échoue. Si le module échoue, le reste de la chaîne est exécuté, mais au final la requête est rejetée.

Requisite : Si le module réussit le reste de la chaîne est exécuté, et la requête est autorisée sauf si d'autres modules échoués.
Si le module échoue la chaîne est immédiatement terminée et la requête est rejetée.

Sufficient : Si le module réussit et qu'aucun des modules précédent n'a échoué la chaîne est immédiatement terminée et la
requête est allouée. Si le module échoue il est ignore et le reste de la chaîne est exécuté.

Optional : Le module est exécuté mais le résultat est ignoré. Si tout les modules de la chaîne sont marqués optional, toutes les
requêtes seront toujours acceptées.

/usr/share/doc/pam-versionnumber/ docs sur pam

MEMO LINUX RHCE SERE 12
xinetd
# /etc/xinetd.conf fichier de conf xinetd
instances = 60  nbre de requettes max
log_type = SYSLOG authpriv  type pour syslog (ici authpriv)
log_on_success = HOST PID  format des log pour success
log_on_failure = HOST format des log pour failure
cps = 50 10  connexion max/s par service (50) , tmps de retrait du service si dep (10)

includedir /etc/xinetd.d  repertoire contenant les conf des services geres par xinetd

# /etc/xinetd.d/ dossier conf des services xinetd

disable = off  service activé (on desactive)
flags = REUSE
socket_type = stream  type de socket reseau
wait = no  single-threaded (yes) multi-threaded (no).
user = root  ID the process user
server = /usr/sbin/in.telnetd  executable a executer
log_on_failure += USERID  info sup pour les logs

no_access = 10.0.1.0/24
access_times = 09:45-16:15 Acces Control
only_from = 10.0.1.67

 tous les acces (allow ou fall) sont logués sous /var/log/secure

bind = 123.123.123.123
redirect = 10.0.1.13 21 23 bind and redirect Options, redirection vers second NIC int

tcp_wrappers
# /etc/host.deny fichier de conf tcp_wrappers

<liste_démons>: <liste_clients>[: <commande_shell> ]

ALL : .domaine.fr : DENY pour tous les services, autorisé seulement le domaine.fr et refusé tous les autres.
in.telnetd : ALL EXCEPT 134.157.55., LOCAL : twist = echo "Telnet de %u@%h - %c le `date` " >> /var/adm/telnet.log

exemple /etc/host.allow
in.telnetd : .astech.fr, 194.206.124.2, 194.208.175. EXCEPT diable.astech.fr
in.fingerd : LOCAL

ALL - Correspond à chaque client lié à ce service précis ou même chaque service utilisant le contrôle d'accès.applicable aux démons.
LOCAL - Correspond à tous les hôtes sans le symbole " ."
KNOWN - Correspond à tous les hôtes dont le nom d'hôte, l'adresse hôte ou l'utilisateur est connu.
UNKNOWN - Correspond à tous les hôtes dont le nom d'hôte, l'adresse hôte ou l'utilisateur est inconnu.
PARANOID - Correspond à tout hôte dont le nom ne correspond pas à l'adresse d'hôte.

Fichiers type :

# hosts.allow
ALL : LOCAL
in.ftpd : 192.168.0.,10.194.168.0/255.255.255.0, 192.168.1.1
in.telnetd : .iut.u-clermont1.fr

#hosts.deny
ALL:ALL

MEMO LINUX RHCE SERE 13

netfilter
Table FILTER
Chaîne INPUT.
Cette chaîne décidera du sort des paquets entrant localement sur l'hôte ;
Chaîne OUTPUT.
Ici, ce ne sont que les paquets émis par l'hôte local qui seront filtrés ;
Chaîne FORWARD.
Enfin, les paquets qui traversent l'hôte, suivant les routes implantées, seront filtrés ici

Table NAT
Chaîne PREROUTING.
Translation d'adresse de destination. Simulation serveur WEB sur le port 80 hébergé par un hôte du
réseau privé, sur le port 8080.
Chaîne POSTROUTING.
Translation d'adresse de la source, comme du masquage d'adresse, méthode classique pour connecter
un réseau privé comme client de l'Internet, avec une seule adresse IP publique.
Chaîne OUTPUT.
Modifier la destination de paquets générés localement

Table MANGLE
Marquage des paquets entrants (PREROUTING) et générés localement (OUTPUT). Le marquage de
paquets va permettre un traitement des paquets marqués dans les tables de routage avec IPROUTE 2.

ACCEPT
Les paquets qui satisfont aux critères sont acceptés, ils continuent leur chemin dans la pile,

DROP
Les paquets qui satisfont aux critères sont rejetés, on les oublie, on n'envoie même pas de message
ICMP . Un trou noir, quoi.

LOG
Cible particulière qui permet de tracer au moyen de syslog les paquets qui satisfont aux critères.

# iptables -L --line liste les regles « FILTER » en cours avec n° de ligne

# iptables –t nat -L liste les regles « NAT » en cours
# iptables –t mangle -L liste les regles « MANGLE » en cours
# iptables -F
# iptables –X restaure les chaines défaut et la règle ACCEPT
# iptables -t nat -F
# iptables -t nat -X
# iptables -D INPUT 2 supprime le filtre 3 de INPUT
# iptables -I RH-Firewall-1-INPUT -p tcp --dport 5901 -j ACCEPT
# service iptables save
# iptables –t nat –A POSTROUTING –s 192.168.0.0/24 –o eth1 –j MASQUERADE

MEMO LINUX RHCE SERE 14

apache

# system-config-httpd
# /etc/httpd/conf/httpd.conf fichier de conf principal de Httpd

Directive Description

ServerTokens Specifies the response code at the bottom of error pages; if you're interested,
see what happens when you change the values between OS, Prod, Major,
Minor, Min, and Full.
ServerRoot Sets the default directory; other directives are subdirectorie (/etc/httpd/ .
PidFile Names the file with the Process ID (and locks the service).
Timeout Limits access time for both sent and received messages.
KeepAlive Supports persistent connections.
KeepAliveTimeout Sets a time limit, in seconds, before a connection is closed.
StartServers Adds child Apache processes; normally set to 8, which means 9 Apache
processes run upon startup.

MinSpareServers Specifies a minimum number of idle child servers.

MaxSpareServers Specifies a maximum number of idle child servers; always at least +1 greater
than MinSpareServers.

MaxClients Limits the number of simultaneous requests; other requests to the server just
have to wait.

MaxRequestsPerChild Limits the requests per child server process.

ThreadsPerChild Sets the number of threads per child server process.
Listen Specifies a port and possibly an IP address (for multihomed systems) to listen
for requests.

LoadModule Loads various modular components, such as authentication, user tracking,

executable files, and more.

Include Adds the content of other configuration files.

User Specifies the username run by Apache on the local system.
Group Specifies the group name run by Apache on the local system.

# /etc/httpd/conf.d/ fichier de conf principal de Httpd

http://www.linux-kheops.com/doc/redhat72/rhl-rg-fr-7.2/s1-apache-config.html#S2-APACHE-OPTIONS

http://apache.developpez.com/faq/?page=fichiers_htaccess#interdire_listing

MEMO LINUX RHCE SERE 15

Protection de répertoire, interdire de le lister

# /etc/httpd/conf/httpd.conf
<Directory "/var/www/html">
Options FollowSymLinks  Supprimer Indexes
AllowOverride None
Order allow,deny
Allow from all
</Directory>

# /var/www/html/test/.htaccess
Options –Indexes

Protection de répertoire par MDP

# /etc/httpd/conf/httpd.conf
<Directory "/var/www/html">
Options FollowSymLinks
AllowOverride AuthConfig
Order allow,deny
Allow from all
</Directory>

# /var/www/html/test/.htaccess
AuthUserFile "/tmp/sec/.htpwd"
AuthName Authentification
AuthType Basic
Require valid-user

# htpasswd –cs /tmp/sec/.htpwd supervisor

# chcon -t httpd_config_t .htpwd

Protection par @IP

# /etc/httpd/conf/httpd.conf
<Directory "/var/www/html">
Options FollowSymLinks
AllowOverride none
Order allow,deny  Acces est refusé par défaut
Allow from 20.10.0.0/24
</Directory>

MEMO LINUX RHCE SERE 16

squid
# vi /etc/squid/squid.conf
visible_hostname RHEL5B
http_access allow lan_net
acl lan_net src 20.10.0.3/24
# service squid stop
# squid -z
# service squid start

vftp
# yum install vsftpd
# setsebool –P ftp_home_dir 1
# getsebool –a
# vi /etc/vsftpd/vsftpd.conf
anonymous_enable=YES
local_enable=YES
write_enable=YES
local_umask=022
chroot_list_enable=YES
connect_from_port_20=YES
tcp_wrappers=YES  utilisation /etc/hosts.allow et /etc/hosts.deny
pam_service_name=YES

samba
# setsebool –P samba_enable_home_dirs 1
# vi /etc/samba/smb.conf
[global]
workgroup = DOCS
netbios name = DOCS_SRV
security = user  share pour activer acces anonyme avec guest only = Yes sous [data]
printcap name = cups
disable spools = Yes
show add printer wizard = No
printing = cups

[data]
comment = Data
path = /data
force user = docsbot
force group = users
guest ok = Yes

[printers] [printers]
comment = All Printers comment = Fred’s Printer
path = /var/spool/samba valid users = fred
printer admin = john, ed, @admins path = /home/fred
create mask = 0600 printer = freds_printer
guest ok = Yes public = no
printable = Yes writable = no
use client driver = Yes printable = yes
browseable = Yes

 hosts allow = 192.168.1. 192.168.2. 127. adresses autorisée

#mount.cifs //192.168.0.244/data /mnt –o root%mdp

MEMO LINUX RHCE SERE 17

#umount.cifs /mnt
#smbpasswd –a newuser

named
# /etc/nsswitch.conf ordre de recherche « files,dns »
# /etc/hosts fichier dns local
# /etc/resolv.conf adresse des serveurs DNS
# setsebool –P named_write_master_zones 1

# system-config-bind

# /etc/named.caching-nameserver.conf fichier Caching-only Name Server

options {
listen-on port 53 { 127.0.0.1; 192.168.2.222; };
// listen-on-v6 port 53 { ::1; };
directory "/var/named";  emplacement des fichiers data (/var/named/chroot si bind-chroot installé)
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
query-source port 53;
// query-source-v6 port 53;
allow-query { localhost; 192.168.0.0/24; };  plage autorisée a accecer au serveur DNS
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
view localhost_resolver {
match-clients { localhost; };
match-destinations { localhost; };
recursion yes;
include "/etc/named.rfc1912.zones";
};

# /etc/named.conf serveur esclave

Zone “example.org” IN {
type slave;
file “slave/example.com.org";
Masters {
192.168.30.5
};
};

# /var/named/named.ca serveur DNS root

# /var/named/chroot/var/named/exemple.org.zone exemple server master

MEMO LINUX RHCE SERE 18
mail

 dovecot
# /etc/dovecot.conf reception Pop ou Imap

protocols = imap pop3

listen = 192.168.0.22:10110
ssl listen = 192.168.0.23:10943
ssl disable = no

# /usr/share/doc/dovecot-versionnum/exemples/mkcert.sh
Script a executer pour Secure Certificat

 sendmail

# /etc/mail/sendmail.cf fichier de conf (non modifiable, utiliser le .mc)

+ /etc/mail/submit.cf au demarrage de sendmail

# /etc/mail/access relay autorisé

Connect:localhost.localdomain RELAY  REJECT, DISCARD
Connect:localhost RELAY
Connect:127.0.0.1 RELAY

# /etc/mail/domaintable routage de nom de domaine

Osborne.com Mcgraw-hill.com

Autoriser les autres reseaux a utiliser Sendmail

# /etc/mail/sendmail.mc
dnl DAEMON_OPTIONS(`Port=smtp,Addr=127.0.0.1, Name=MTA') dnl
FEATURE(`accept_unresolvable_domains')dnl

# /etc/mail/access
192.168.0.30 RELAY

# make –C /etc/mail/

# system-switch-mail changer de MTA

dhcpd
# /etc/dhcpd.conf
subnet 192.168.0.0 netmask 255.255.255.0
option routers

MEMO LINUX RHCE SERE 19

X Windows

# xterm –display localhost :0 :0 &

# startx &
# startx -- :1 & lance un 2 eme GUI (Ctrl-Alt-F8)

# /etc/X11/xorg.conf
Option « DontVTSwitch » « on » empeche Ctrl-Alt-FX
Option « DontZap » « on » empeche Ctrl-Alt-Bck

# /etc/X11/prefdm
# Run preferred X display manager
preferred=kdm  ou gdm

# /etc/sysconfig/desktop
# export DISPLAY=localhost:0.0

MEMO LINUX RHCE SERE 20