Table des matières

Installation au Stift

Le Stift est un foyer d'étudiants du centre-ville de Strasbourg. Le LUG de Strasbourg installe bénévolement sa salle informatique en libre-service, en remplaçant l'ancien parc sous Windows par des machines sous Linux.

Yannick a grâcieusement offert au Stift un commutateur multiports qui a permis de mettre la salle en réseau local.

En signe de reconnaissance, le Stift vient de proposer de nous offrir les anciens postes de travail.

Déjà fait

Système d'exploitation du serveur

Système en Debian 3.1 (Sarge). Comme on n'avait pas d'accès au réseau on a tout installé depuis deux DVD dont nous avons fait cadeau au Stift. Depuis, nous avons accès au réseau extérieur et nous en avons profité pour appliquer les mises à jour de sécurité.

Tous les fichiers de configuration (pour le moment, dans /boot et /etc) ont été mis sous le contrôle de CVS. Si quelqu'un met à jour un fichier de configuration, qu'il pense à mettre ce fichier sous le contrôle de CVS !!! Cela permet d'une part de retracer l'historique des modifications à la configuration et d'autre part de faire des mini-sauvegardes de ces changements. Le référentiel CVS est dans /var/lib/cvs/config.

Mode graphique

/etc/inittab a été modifié pour que X-Window et KDM se lancent. Cela permettra par exemple à un administrateur peu expérimenté ne sachant pas utiliser le mode console d'utiliser Webmin en local pour administrer le serveur ainsi que l'interface web de CUPS pour administrer la file d'attente d'impression.

Partitionnement du serveur

On a monté deux disques durs IDE de 120 Go. Chacun d'eux dispose de deux partitions primaires :

Ces partitions primaires sont répliquées sur les deux disques en RAID 1 sous les noms md0 et md1. Le secteur d'amorçage de GRUB a été copié à la main sur le second disque pour qu'il soit tout à fait identique au premier.

Le groupe de volumes LVM se nomme grstift. Il est à son tour partitionné ainsi :

Données des utilisateurs

Sur le serveur, /home a la structure suivante :

Il est prévu de supprimer les vieux fichiers de /home/recup et de /home/zombies au bout de deux ans, si personne n'est venu les réclamer. Le script /home/admin/bin/vieilleries.sh permet d'en faire la liste.

Les noms de fichiers de /home qui comportent des caractères accentués sont encodés en UTF-8, par compatibilité avec les clients sous SUSE et aussi à cause du nombre d'étudiants étrangers (alphabets cyrilliques, arabe, hébreu, japonais…).

DHCP

Le serveur est connecté aux postes clients au moyen de l'interface eth0. Il a été nommé stift01.le-stift.org. L'adresse 10.0.0.1 (en classe A) est affectée en fixe à cette interface.

Le serveur attribue des adresses IP aux postes client dans deux plages d'adresses :

On demande à tous les portables des étudiants d'être référencés dans les tables DHCP, pour des raisons de sécurité. arpwatch prévient “admin chez le tiret stift point org” si une machine inconnue tente de se connecter.

Les journaux de DHCP sont stockés à part dans /var/log/dhcp pour ne pas encombrer les autres fichiers journaux.

Accès à Internet

Le modem-routeur ADSL CBOX est connecté directement à l'interface eth1 du serveur (pour le moment au moyen du câble bleu livré avec le modem, mais ce câble est un peu court). Le modem possède l'adresse 192.168.30.1 (en classe C) et l'interface eth1 du serveur possède l'adresse 192.168.30.2.

On accède à l'interface d'administration du modem à l'adresse http://192.168.30.1. C'est lui qui gère le protocole PPP, du point de vue du serveur il fonctionne comme un routeur. Vu de l'extérieur, il a l'adresse IP fixe 213.223.116.171.

Le serveur fait de la mascarade (tout comme le modem-routeur, c'est un peu du double emploi) et toute la salle a donc accès à Internet.

Le modem-routeur filtre pratiquement tout : chaque fois qu'on veut mettre en place un service ouvert vers l'extérieur, il faut penser à ouvrir le port correspondant dans la CBOX, depuis son interface web, dans le menu Avancé - > Serveurs LAN. Pour l'instant, seul les ports suivants sont ouverts sur l'extérieur :

Mandataire filtrant

On a accéléré l'accès aux sites fréquemment consultés avec Squid. Le mandataire n'a pas besoin d'être déclaré sur tous les navigateurs clients car une règle iptables redirige le port 80 du Web sur le port 3128 de Squid. C'est précieux pour les ordinateurs portables.

On a coupé l'accès aux sites indésirables avec SquidGuard. On utilise pour cela la liste noire de l'université de Toulouse. On filtre pour le moment les catégories adult, dangerous_material, drugs et violence. On filtre de plus l'interface web du modem-routeur.

Courrier électronique

Les étudiants n'ont pas de compte de courrier en réception. Ils sont censés travailler pour le moment en webmail. Les administrateurs peuvent recevoir du courrier au moyen d'alias vers des boites aux lettres existantes, comme l'alias “admin”.

En émission, on intercepte au moyen d'une règle iptables les courriers émis depuis des portables. Ainsi, même s'ils sont configurés pour le serveur SMTP de leur fournisseur d'accès habituel (Orange, Deutsche Telekom…), le serveur Postfix local se charge de faire partir le courrier.

CUPS

L'imprimante est une imprimante réseau+parallèle HP Laserjet 5. Il semblerait que cette imprimante ne peut pas se configurer en DHCP. Nous lui avons donné (via son interface Telnet) l'adresse 10.0.0.2 en dur et nous l'avons passée en classe A. Elle est déclarée dans /etc/hosts sur le serveur sous le nom hplj5.le-stift.org.

Le serveur envoie ses données à l'imprimante en raw socket. Les portables peuvent éventuellement passer par son port parallèle (mais on préfère qu'ils impriment en réseau).

Les postes clients impriment via la file d'impression HPLJ5 du serveur. On a réussi à imprimer depuis un portable sous Windows XP en déclarant une “Imprimante réseau” à l'adresse http://10.0.0.1:631/printers/hplj5 (attention au pare-feu de XP). On accède à l'interface d'administration du serveur CUPS à l'adresse http://10.0.0.1:631/.

SSH

On a interdit l'accès direct au serveur en tant que root.

NFS

Le répertoire /home du serveur est monté en /home2 sur les postes clients.

Sur chaque poste client, on dispose d'un compte administrateur nommé “stift”, mot de passe identique sur tous les postes) et alors on utilise le répertoire local /home/stift/. Ce système permet de pouvoir continuer à administrer les postes clients si le serveur tombe en panne.

Les pensionnaires se connectent sous leur nom d'utilisateur, ils arrivent alors dans leur répertoire personnel en réseau /home2/nom_utilisateur/. Ils retrouvent ainsi leurs données, quel que soit le poste client qu'ils utilisent.

NIS

Tous les utilisateurs ont un compte et un mot de passe. Ils doivent s'identifier dans KDM sur les postes clients. Les étudiants peuvent choisir leur mot de passe eux-mêmes au moment de l'inscription.

Le domaine NIS s'appelle “lestift”.

Tous les utilisateurs sont dans un seul groupe (“users”) pour leur permettre de travailler ensemble sur leurs projets scolaires plus facilement. S'ils veulent des données vraiment privées, il faut qu'ils règlent (par exemple dans konqueror) les droits d'accès à leurs fichiers de façon plus restrictive.

L'utilisateur “admin” est réservé à l'administrateur pour qu'il puisse se connecter en tant qu'utilisateur ordinaire. L'utilisateur “admin” est sous le contrôle de NIS, au contraire de “stift” qui est défini localement sur chaque poste.

Webmin est installé sur le serveur pour permettre d'administrer plus facilement la création ou la suppression d'utilisateurs.

HTTP

Le serveur web du Stift, sous Apache 2, ne comporte pour le moment qu'une seule page. Comme un serveur web devrait être fourni par la fondation Saint-Thomas, ce contenu devrait consister essentiellement en un renvoi vers le serveur web principal. Le LUG ne s'implique pas dans la réalisation de ce contenu.

DNS

On utilise bind. Le domaine le-stift.org a été acquis auprès de Gandi. Ce domaine, dédié aux étudiants, est disjoint du domaine lestift.org (sans tiret) qui sert pour le moment à l'administration.

On a créé les alias “ns”, “www” et “foyer” pour désigner le serveur.

NTP

On utilise openntpd sur le serveur. Le serveur récupère l'heure sur une des machines de pool.ntp.org, les postes clients récupèrent ensuite l'heure sur le serveur.

Onduleur

Un onduleur de marque Belkin est connecté au port série /dev/ttyS1 (COM2:) du serveur. Il bipe, puis éteint le serveur proprement au bout d'un certain délai en cas de panne de courant. En principe il prévient aussi “admin chez le tiret stift point org” en cas de panne de courant (pas encore testé).

Pour gérer l'onduleur depuis le serveur, on a écrit un petit script /etc/init.d/ups, à appeler avec l'argument “status”, “start” ou “stop”.

Configuration logicielle des clients

SuSE 10.1 (téléchargé) sur tous les postes clients (en version 64 bits sur la machine blanche).

OpenOffice.org 2.0 et Firefox ont été installés partout. Kopete et Gaim servent de client de messagerie instantanée multi-protocole. Il y a beaucoup d'utilisateurs de MSN :-(, on leur a expliqué comment faire.

FlashPlayer a aussi été installé partout (nécessaire pour le site de la CTS !).

Les clients sont installés en français, allemand, italien, espagnol et coréen. Chaque utilisateur choisit dans le centre de contrôle de KDE sa langue de travail.


Pas encore fait ou à améliorer

Très important

  1. Un des postes clients ne fonctionne plus (une réinstallation qui a raté).
  2. Journaliser toutes les connexions avec une règle iptables du genre :
    1. A FORWARD -i eth1 -o eth0 -m state –state NEW \
    2. j LOG –log-prefix “NEW: ” –log-level 6
  3. Raccorder par VPN à l'annexe du Quartier des XV ?

Important

  1. Définir quels équipements exactement sont protégés par l'onduleur. Les postes clients sont prévus pour être mis sur onduleur (prises électriques rouges), mais la puissance de celui-ci suffit-elle ? Dans tous les cas, adapter le délai avant que le serveur ne soit éteint, qui n'est actuellement que de cinq minutes.
  2. Bloquer par pare-feu les ports P2P.
  3. Régler le son sur la nouvelle machine cliente (blanche).
  4. Java ne fonctionne pas correctement sur certaines machines.
  5. Comptes de courrier locaux en reception ?

Sujet encore en discussion.

  1. Mettre en place une solution de sauvegarde simple sur DVD.

Secondaire

  1. Installer le module Webmin consacré au filtrage (SquidGuard) sur le serveur.
  2. Remonter /usr en Read Only sur le serveur une fois que l'on a fini d'y installer des logiciels.
  3. Lancer la commande vgcfgbackup pour avoir une trace dans un fichier de la configuration LVM.
  4. Installer RealPlayer partout.
  5. Installer compiz sur la nouvelle machine (blanche).
  6. À la prochaine rentrée, passer tous les postes clients sous KUbuntu. Penser aussi à mettre les listes de SquidGuard à jour.

Achats restants

  1. Rallonges USB - entre 2 et 8 - pour amener le connecteur devant la machine. Affiner la technique pour savoir comment fixer tout en évitant le vol.
  2. Boîtier pour isoler le serveur des doigts des étudiants distraits.