Vous êtes ici : Formations en Ligne Gratuites » Catalogue » workbooks » CentOS » CentOS 8 » LCF500 - Présentation de la Formation » LCF513 - Gestion du Réseau

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

--- elearning:workbooks:centos:8:junior:l119 [2021/12/18 09:55] – admin
+++ elearning:workbooks:centos:8:junior:l119 [2024/10/16 14:41] (Version actuelle) – admin
@@ Ligne 1: / Ligne 1: @@
 ~~PDF:LANDSCAPE~~
+Version : **2024.01**
 Dernière mise-à-jour : ~~LASTMOD~~
-======LCF513 - Gestion du Réseau, le Pare-feu et SELinux======
+======LCF513 - Gestion du Réseau======
 =====Contenu du Module=====
-  * **LCF513 - Gestion du Réseau, le Pare-feu et SELinux**
+  * **LCF513 - Gestion du Réseau**
     * Contenu du Module
-    * Présentation
+    * Comprendre les Réseaux
+      * Présentation des Réseaux
+        * Classification des Réseaux
+          * Classification par Mode de Transmission
+          * Classification par Topologie
+          * Classification par Étendue
+          * Les Types de LAN
+        * Le Modèle Client/Serveur
+        * Modèles de Communication
+          * Le modèle OSI
+          * Spécification NDIS et le Modèle ODI
+          * Le modèle TCP/IP
+        * Les Raccordements
+          * Les Modes de Transmission
+          * Les Câbles
+          * Les Réseaux sans Fils
+          * Le Courant Porteur en Ligne
+        * Technologies
+          * Ethernet
+          * Token-Ring
+        * Périphériques Réseaux Spéciaux
+          * Les Concentrateurs
+          * Les Répéteurs
+          * Les Ponts
+          * Les Commutateurs
+          * Les Routeurs
+          * Les Passerelles
+      * Comprendre le Chiffrement
+        * Introduction à la cryptologie
+          * Définitions
+            * La Cryptographie
+            * Le Chiffrement par Substitution
+        * Algorithmes à clé secrète
+          * Le Chiffrement Symétrique
+        * Algorithmes à clef publique
+          * Le Chiffrement Asymétrique
+          * La Clef de Session
+        * Fonctions de Hachage
+        * Signature Numérique
+        * Utilisation de GnuPG
+          * Présentation
+          * Installation
+          * Configuration
+          * Signer un message
+          * Chiffrer un message
+        * PKI
+          * Certificats X509
+    * Comprendre IPv4
+      * En-tête TCP
+      * En-tête UDP
+      * Fragmentation et Ré-encapsulation
+      * Adressage
+      * Masques de sous-réseaux
+      * VLSM
+      * Ports et sockets
+      * /etc/services
+      * Résolution d'adresses Ethernet
+    * Comprendre IPv6
+      * Présentation
+      * Adresses IPv6
+      * Masque de Sous-réseau
+      * Adresses IPv6 Réservées
+      * L'Adresse Link-local
+      * DHCPv6
+    * Configuration
       * La Commande nmcli
     * LAB #1 - Configuration du Réseau
@@ Ligne 42: / Ligne 108: @@
         * Utilisation
       * 3.6 - Mise en Place des Clefs Asymétriques
-    * LAB #4 - La Configuration de firewalld
-      * 4.1 - Présentation
-      * 4.2 - La Configuration de Base de firewalld
-      * 4.3 - L'Utilisation de Base de Firewalld
-      * 4.4 - La Configuration Avancée de firewalld
-      * 4.5 - Le mode Panic de firewalld
-    * LAB #5 - L'Utilisation de SELinux
-      * 5.1 - Introducton
-        * Security Context
-        * Domains et Types
-        * Roles
-        * Politiques de Sécurité
-        * Langage des Politiques
-          * allow
-          * type
-        * type_transition
-        * Décisions de SELinux
-          * Décisions d'Accès
-          * Décisions de Transition
-        * Commandes SELinux
-        * Les Etats de SELinux
-        * Booléens
-      * 5.2 - Copier et Déplacer des Fichiers
-      * 5.3 - Vérifier les SC des Processus
-      * 5.4 - Visualiser la SC d'un Utilisateur
-      * 5.5 - Vérifier la SC d'un fichier
-      * 5.6 - La commande chcon
-      * 5.7 - La commande restorecon
-      * 5.8 - Le fichier /.autorelabel
-      * 5.9 - La commande semanage
-      * 5.10 - La commande audit2allow
-=====Présentation=====
+=====Comprendre les Réseaux=====
+====Présentation des Réseaux====
+La définition d'un réseau peut être résumé ainsi :
+  * un ensemble d'**Equipements** (systèmes et périphériques) communiquant entre eux,
+  * une entité destinée au transport de données dans différents environnements.
+Pour que la communication soit efficace, elle doit respecter les critères suivants :
+  * présenter des informations compréhensibles par tous les participants,
+  * être compatible avec un maximum d'interlocuteurs différents (dans le cas d'un réseau, les interlocuteurs sont des équipements : imprimantes, ordinateurs, clients, serveurs, téléphones...),
+  * si l'interlocuteur n'est pas disponible, les informations ne doivent pas se perdre,
+  * permettre une réduction des coûts (par ex. interconnexion à bas coût),
+  * permettre une productivité accrue (par ex. interconnexion à haut débit),
+  * être sécurisée si les informations à transmettre sont dites sensibles,
+  * garantir l'**unicité** et de l'**universalité** de l'**accès à l'information**.
+On peut distinguer deux familles d'**Equipements** - les **Eléments Passifs** et les **Eléments Actifs**.
+Les **Eléments Passifs** transmettent le signal d'un point à un autre :
+  * **Les Infrastructures ou Supports** - des câbles, de l'atmosphère ou des fibres optiques permettant de relier **physiquement** des équipements,
+  * **La Topologie** - l'architecture d'un réseau définissant les connexions entre les **Equipements** et, éventuellement, la hiérarchie entre eux.
+Les **Eléments Actifs** sont des équipements qui consomment de l'énergie en traitant ou en interprétant le signal. Les **Equipements** sont classés selon leurs fonctions :
+  * **Equipement de Distribution Interne au Réseau** - Répartiteur (Hub, Switch, Commutateur etc.), Borne d'accès (Hotspot), Convertisseur de signal (Transciever), Amplificateur (Répéteur) ...,
+  * **Equipement d'Interconnexion de Réseaux** - Routeurs, Ponts ...,
+  * **Nœuds** et **Interfaces Réseaux** - postes informatiques, équipements en réseau ....
+Un **Nœud** est une extrémité de connexion qui peut être une intersection de plusieurs connexions ou de plusieurs **Equipements**.
+Une **Interface Réseau** est une prise ou élément d'un **Equipement Actif** faisant la connexion vers d'autres **Equipements** réseaux et qui reçoit et émet des données.
+<WRAP center round important 60%>
+**Important** - Dans le cas d'un mélange d'**Equipements** non-homogènes en termes de performances au sein du même réseau, c'est la loi du plus faible qui emporte.
+</WRAP>
+Tous les **Equipements** connectés au même support doivent respecter un ensemble de règles appelé une **Protocole de Communication**.
+Les **Protocoles de Communication** définissent de façon formelle et interopérable la manière dont les informations sont échangées entre les **Equipements**.
+Des **Logiciels**, dédiés à la gestion de ces **Protocoles de Communication**, sont installés sur des **Equipements d'Interconnexion** afin de fournir des fonctions de contrôle permettant une communication entre les **Equipements**.
+Se basant sur des **Protocoles de Communication**, des **Services** fournissent des fonctionnalités accessibles aux utilisateurs ou d'autres programmes.
+L'ensemble des **Equipements**, **Logiciels** et **Protocoles de Communication** constitue l'**Architecture Réseau**.
+===Classification des Réseaux===
+Les réseaux peuvent être classifiés de trois façon différentes :
+  * par **Mode de Transmission**,
+  * par **Topologie**,
+  * par **Étendue**.
+==Classification par Mode de Transmission==
+Il existe deux **Classes** de réseaux dans cette classification :
+  * les **Réseaux en Mode de Diffusion**,
+    * utilise un seul support de transmission,
+    * le message est envoyé sur tout le réseau à l'adresse d'**un** destinataire,
+  * les **Réseaux en Mode Point à Point**,
+    * une seule liaison entre deux équipements,
+    * les nœuds permettent de choisir la route en fonction de l'adresse du destinataire,
+    * quand deux nœuds non directement connectés entre eux veulent communiquer ils le font par l'intermédiaire des autres nœuds du réseau.
+==Classification par Topologie==
+<WRAP center round important 60%>
+**Important** - La **Topologie Physique** d'un réseau décrit l'organisation de ce dernier en termes de câblage. La **Topologie Logique** d'un réseau décrit comment les données circulent sur le réseau. En effet c'est le choix des concentrateurs ainsi que les connections des câbles qui déterminent la topologie logique.
+</WRAP>
+**La Topologie Physique**
+Il existe 6 topologies physiques de réseau :
+  * La Topologie en Ligne,
+  * La Topologie en Bus,
+  * La Topologie en Etoile,
+  * La Topologie en Anneau,
+  * La Topologie en Arbre,
+  * La Topologie Maillée.
+**La Topologie en Ligne**
+Tous les nœuds sont connectés à un seul support. L'inconvénient de cette topologie est que dans le cas d'une défaillance d'une station, le réseau se trouve coupé en deux sous-réseaux.
+**La Topologie en Bus**
+Tous les nœuds sont connectés à un seul support (un câble BNC en T) avec des bouchons à chaque extrémité. La longueur du bus est limitée à **185m**. Le nombre de stations de travail est limité à **30**. Les Stations sont reliées au Bus par des 'T'. Les bouchons sont des terminateurs qui sont des résistances de **50 Ohms**.
+Quand le support tombe en panne, le réseau ne fonctionne plus. Quand une station tombe en panne, elle ne perturbe pas le fonctionnement de l'ensemble du réseau. Les Stations étant reliés à un suel support, ce type de topologie nécessite un **Protocole d'Accès** pour gérer le tour de parole des Stations afin d'éviter des conflits.
+{{:solaris:sol2:bus.png|}}
+**La Topologie en Étoile**
+Chaque nœud est connecté à un périphérique central appelé un **Hub** (**Concentrateur**) ou un **Switch** (**Commutateur**). Un Hub ou un Switch est prévu pour 4, 8, 16, 32 ... stations. En cas d'un réseau d'un plus grand nombre de stations, plusieurs Hubs ou Switches sont connectés ensemble. Quand une station tombe en panne, elle ne perturbe pas le fonctionnement de l'ensemble du réseau. Le point faible de cette topologie est l'équipement central.
+{{:solaris:sol2:etoile.png|}}
+**La Topologie en Anneau**
+Chaque nœud est relié directement à ses deux voisins dans une topologie logique de cercle ininterrompu et une topologie physique en étoile car les stations sont reliées à un type de hub spécial, appelé un **Multistation Access Unit** (MAU).
+{{:solaris:sol2:ring.png|}}
+Les stations sont reliées à la MAU par un câble 'IBM' munie d'une prise **AUI** du côté de la carte et une prise **Hermaphrodite** du coté de la MAU. Les données sont échangées dans un sens unidirectionnel. Une trame, appelée un **jeton**, circule en permanence. Si l'anneau est brisé, l'ensemble du réseau s'arrête. Pour cette raison, il est courant de voir deux anneaux contre-rotatifs.
+**La Topologie en Arbre**
+La Topologie en Arbre est utilisée dans un réseau hiérarchique où le sommet, aussi appelé la **racine**, est connecté à plusieurs nœuds de niveau inférieur. Ces nœuds peuvent à leur tour être connectés à d'autres nœuds inférieurs. L'ensemble forme une arborescence. Le point faible de cette topologie est sa racine. En cas de défaillance, le réseau est coupé en deux.
+**La Topologie Maillée**
+Cette Topologie est utilisée pour des grands réseaux de distribution tels Internet ou le WIFI. Chaque nœud est connecté à tous les autres via des liaisons point à point. Le nombre de liaisons devient très rapidement important en cas d'un grand nombre de nœuds. Par exemple dans le cas de 100 Stations (N), le nombre de liaisons est obtenu par la formule suivante :
+  N(N-1)/2 = 100(100-1)/2 = 4 950
+<WRAP center round important 60%>
+**Important** - La **Topologie Physique** la plus répandue est la **Topologie en Etoile**.
+</WRAP>
+==Classification par Étendue==
+La classification par étendue nous fournit 4 réseaux principaux :
+^ Nom ^ Description ^ Traduction ^ Taille Approximative (M) |
+| PAN | Personal Area Network | Réseau Personnel | 1 -10 |
+| LAN | Local Area Network | Réseau Local Entreprise (RLE) | 5 - 1 200 |
+| MAN | Métropolitain Area Network | Réseau Urbain | 900 - 100 000 |
+| WAN | Wide Area Network | Réseau Long Distance (RLD) | 50 000 et au delà |
+Cependant, d'autres classification existent :
+| CAN | Campus Area Network | Réseau de Campus |
+| GAN | Global Area Network | Réseau Global |
+| TAN | Tiny Area Network | Réseau Minuscule |
+| FAN | Family Area Network | Réseau Familial |
+| SAN | Storage Area Network | Réseau de Stockage |
+<WRAP center round important 60%>
+**Important** - Etant donné que les WANs sont gérés par des opérateurs de télécommunications qui doivent demander une licence à l'état mais que les LANs ont été historiquement mis en oeuvre dans les entreprises, ces derniers sont en majorité issus du monde informatique.
+</WRAP>
+==Les Types de LAN==
+Il existe deux types de LAN :
+  * le réseau à serveur dédié,
+  * le réseau poste à poste.
+**Réseau à Serveur Dédié**
+Le réseau à serveur dédié est caractérisé par le fait que toutes les ressources ( imprimantes, applications, lecteurs etc. ) sont gérées par le serveur. Les autres micro-ordinateurs ne jouent le rôle de client.
+Des exemples des systèmes d'exploitation du réseau à serveur dédié sont :
+  * Windows NT Server,
+  * Windows 2000 Server,
+  * Windows 2003 Server,
+  * Windows 2008 Server,
+  * Linux,
+  * Unix.
+{{:solaris:sol2:serveur_dedie.png|}}
+**Réseau Poste-à-Poste**
+Le réseau poste à poste est caractérisé par le fait que tous les ordinateurs peuvent jouer le rôle de client et de serveur :
+  * Windows 95,
+  * Windows 98,
+  * Windows NT Workstation.
+{{:solaris:sol2:poste_a_poste.png|}}
+===Le Modèle Client/Serveur===
+Le modèle Client/Serveur est une des modalités des architectures informatiques distribuées. Dans ce modèle un serveur est tout **Logiciel** fournissant un **Service**.
+Le serveur est aussi :
+  * passif, c'est-à-dire en attente permanente d'une demande, appelée une requête d'un client,
+  * capable de traiter plusieurs requêtes simultanément en utilisant le **multi-threading**,
+  * garant de l'intégrité globale.
+Le client est, par contre **actif**, étant à l'origine des requêtes.
+Il existe trois types de modèle client/serveur :
+  * **Plat** - tous les clients communiques avec un seul serveur,
+  * **Hiérarchique** - les clients n'ont de contact qu'avec les serveurs de plus haut niveau qu'eux,
+  * **Peer-to-Peer** - les équipements sont à la fois client **et** serveur en même temps.
+===Modèles de Communication===
+Les réseaux sont bâtis sur des technologies et des modèles. Le modèle **théorique** le plus important est le modèle **O**pen **S**ystem **Interconnection** créé par l'**I**nternational **O**rganization for **S**tandardization tandis que le modèle pratique le plus important est le modèle **TCP/IP**.
+== Le modèle OSI ==
+Le modèle OSI qui a été proposé par l'ISO est devenu le standard en termes de modèle pour décrire l'échange de données entre ordinateurs. Cette norme se repose sur sept couches, de la une - la Couche Physique, à la sept - la Couche d'Application, appelés des services. La communication entre les différentes couches est synchronisée entre le poste émetteur et le poste récepteur grâce à ce que l'on appelle un protocole.
+Ce modèle repose sur trois termes :
+  * Les **Couches**,
+  * Les **Protocoles**,
+  * Les **Interfaces**.
+**Les Couches**
+Des sept couches :
+  * Les couches 1 à 3 sont les **Couches Basses** orientées **Transmission**,
+  * La couche 4 est la **Couche Charnière** entre les **Couches Basses** et les **Couches Hautes**,
+  * Les couches 5 à 7 sont les **Couches Hautes** orientées **Traitement**.
+La couche du même niveau du système **A** parle avec son homologue du système **B**.
+  * **La Couche Physique** ( Couche 1 ) est responsable :
+    * du transfert de données binaires sur le câble physique ou virtuel
+    * de la définition de tout aspect physique allant du connecteur jusqu'au câble en passant par la carte réseau, y compris l'organisation même du réseau
+    * de la définition des tensions électriques sur le câble pour obtenir le 0 et le 1 binaires
+  * **La Couche de Liaison** ( Couche 2 ) est responsable :
+    * de la réception des données de la couche physique
+    * de l'organisation des données en fragments, appelés des trames qui ont un format différent selon s'il s'agit d'un réseau basé sur la technologie Ethernet ou la technologie Token-Ring
+    * de la préparation, émission et réception des trames
+    * de la gestion de l'accès au réseau
+    * de la communication nœud à nœud
+    * de la gestion des erreurs
+      * avant la transmission, le nœud émetteur calcule un code appelé un CRC et l'incorpore dans les données envoyées
+      * le nœud récepteur recalcule un CRC en fonction du contenu de la trame reçue et le compare à celui incorporé avec l'envoi
+      * en cas de deux CRC identique, le nœud récepteur envoie un accusé de réception au nœud émetteur
+    * de la réception de l'accusé de réception
+    * éventuellement de le ré-émission des données
+    * En prenant ce modèle, l'IEEE ( Institute of Electrical and Eletronics Engineers ) l'a étendu avec le Modèle IEEE ( 802 ).
+        *Dans ce modèle la Couche de Liaison est divisée en deux sous-couches importantes :
+           * La **Sous-Couche LLC** ( Logical Link Control ) qui :
+             * gère les accusés de réception
+             * gère le flux de trames
+           * La **Sous-Couche MAC** ( Media Access Control ) qui :
+             * gère la méthode d'accès au réseau
+             * le CSMA/CD dans un réseau basé sur la technologie Ethernet
+             * l'accès au jeton dans un réseau basé sur la technologie Token-Ring
+             * gère les erreurs
+    * **La Couche de Réseau** ( Couche 3 ) est responsable de la gestion de la bonne distribution des différentes informations aux bonnes adresses en :
+      * identifiant le chemin à emprunter d'un nœud donné à un autre
+      * appliquant une conversion des adresses logiques ( des noms ) en adresses physiques
+      * ajoutant des information adressage aux envois
+      * détectant des paquets trop volumineux avant l'envoi et en les divisant en trames de données de tailles autorisées
+    * **La Couche de Transport** ( Couche 4 ) est responsable de veiller à ce que les données soient envoyées correctement en :
+      * constituant des paquets de données corrects
+      * les envoyant dans le bon ordre
+      * vérifiant que les données sont traités dans le même ordre que l'ordre d'émission
+      * permettant à un processus sur un nœud de communiquer avec un autre nœud et d'échanger des messages avec lui
+    * **La Couche de Session** ( Couche 5 ) est responsable :
+      * de l'établissement, du maintien, et de la mise à fin de la communication entre deux nœuds distants, c'est-à-dire, de la session
+      * de la conversation entre deux processus de vérification de la réception des messages envoyés en séquences, c'est-à-dire, le point de contrôle
+      * de la sécurité lors de l'ouverture de la session, c'est-à-dire, les droits d'utilisateurs etc.
+    * **La Couche de Présentation** ( Couche 6 ) est responsable :
+      * du formatage et de la mise en forme des données
+      * des conversions de données telles le cryptage/décryptage
+    * **La Couche d'Application** ( Couche 7 ) est responsable :
+      * du dialogue homme/machine via des messages affichés
+      * du partage des ressources
+      * de la messagerie
+**Les Protocoles**
+Un **protocole** est un langage commun utilisé par deux entités en communication pour pouvoir se comprendre. La nature du Protocole dépends directement de la nature de la communication. Cette nature dépend du **paradigme** de communication que l'application nécessite. Le paradigme est un modèle abstrait d'un problème ou d'une situation. Dans le paradigme de la diffusion, l'émetteur envoie dans informations au récepteur sans se soucier de ce que le récepteur va en faire. C'est la responsabilité du récepteur de comprendre et d'utiliser les informations.
+**Les Interfaces**
+Chaque couche rend des **services** à la couche immédiatement supérieure et utilise les services de la couche immédiatement inférieure. L'ensemble des services s'appelle une **Interface**. Les services sont composés de **S**ervice **D**ata **U**nits et sont disponibles par un **S**ervice **A**ccess **P**oint.
+**Protocol Data Units**
+ L'**Unité de Données** ou //Protocol Data Unit// pour chaque couche comporte un nom spécifique :
+  * **Application Protocol Data Units** pour la couche **Application**,
+  * **Présentation Protocol Data Units** pour la couche **Présentation**,
+  * **Session Protocol Data Units** pour la couche **Session**,
+  * **Transport Protocol Data Units** pour la couche **Transport**.
+Or, pour les **Couches Basses** on parle de :
+  * **Paquets** pour la couche **Réseau**,
+  * **Trames** pour la couche **Liaison**,
+  * **Bits** pour la couche **Physique**.
+**Encapsulation et Désencapsulation**
+Lorsque les données sont communiquées par le système A au système B, celles-ci commencent au niveau de la couche d'Application. Le couche d'Application ajoute une en-tête à l'unité de données qui contient des **informations de contrôle du protocole**. Au passage de chaque couche, celle-ci ajoute sa propre en-tête. De cette façon, lors de sa descente vers la couche physique, les données et l'entête de la couche supérieure sont encapsulées :
+^ Couche Système A ^ Encapsulation ^
+| Application | Application Header (AH) + Unité de Données (UD) |
+| Présentation | Présentation Header (PH) + AH + UD |
+| Session | Session Header (SH) + PH + AH + UD |
+| Transport | Transport Header (TH) + SH + PH + AH + UD |
+| Réseau | Network Header (NH) + TH + SH + PH + AH + UD |
+| Liaison | Liaison Header (DH) + NH + TH + SH + PH + AH + UD |
+Lors de son voyage de la couche Physique vers la couche Application dans le système B, les en-têtes sont supprimées par chaque couche correspondante. On parle alors de **désencapsulation** :
+^ Couche Système B ^ Encapsulation ^
+| Liaison | Liaison Header (DH) + NH + TH + SH + PH + AH + UD |
+| Réseau | Network Header (NH) + TH + SH + PH + AH + UD |
+| Transport | Transport Header (TH) + SH + PH + AH + UD |
+| Session | Session Header (SH) + PH + AH + UD |
+| Présentation | Présentation Header (PH) + AH + UD |
+| Application | Application Header (AH) + Unité de Données (UD) |
+== Spécification NDIS et le Modèle ODI ==
+La spécification NDIS ( Network Driver Interface Specification ) a été introduite conjointement par les sociétés Microsoft et 3Com.
+Cette spécification ainsi que son homologue, le modèle ODI ( Open Datalink Interface ) introduit conjointement par les sociétés Novell et Apple à la même époque, définit des standards pour les pilotes de cartes réseau afin qu'ils puissent être indépendants des protocoles utilisées et les systèmes d'exploitation sur les machines. Des deux 'standards', la spécification NDIS est le plus répandu, intervenant a niveau de la sous-couche MAC et l a couche de liaison. Elle spécifie :
+        * l'interface pilote-matériel
+        * l'interface pilote-protocole
+        * l'interface pilote - système d'exploitation
+== Le modèle TCP/IP ==
+La suite des protocoles TCP/IP ( Transmission Control Protocol / Internet Protocol ) est issu de la DOD ( Dept. Américain de la Défense ) et le travail de l'ARPA ( Advanced Research Project Agency ).
+    * La suite des protocoles TCP/IP
+      * a été introduite en 1974
+      * a été utilisée dans l'ARPAnet en 1975
+      * permet la communication entre des réseaux à base de systèmes d'exploitation, architectures et technologies différents
+      * est très proche du modèle OSI en termes d'architecture et se place au niveau de la couche d'Application jusqu'à la couche Réseau.
+      * est, en réalité, une suite de protocoles et de services :
+        * **IP** ( Internet Protocol )
+          * le protocole IP s'intègre dans la couche Réseau du modèle OSI en assurant la communication entre les systèmes. Bien qu'il puisse découper des messages en fragments ou datagrammes et les reconstituer dans le bon ordre à l'arrivée, il ne garantit pas la réception.
+        * **ICMP** ( Internet Control Message Protocol )
+          * le protocole ICMP produit des messages de contrôle aidant à synchroniser le réseau. Un exemple de ceci est la commande ping.
+        * **TCP** ( Transmission Control Protocol )
+          * le protocole TCP se trouve au niveau de la couche de Transport du modèle OSI et s'occupe de la transmission des données entre noeuds.
+        * **UDP** ( User Datagram Protocol )
+          * le protocole UDP n'est pas orienté connexion. Il est utilisé pour la transmission rapide de messages entre nœuds sans garantir leur acheminement.
+        * **Telnet**
+          * le protocole Telnet est utilisé pour établir une connexion de terminal à distance. Il se trouve dans la couche d'Application du modèle OSI.
+        * **Ftp** ( File Transfer Protocol )
+          * le protocole ftp est utilisé pour le transfert de fichiers. Il se trouve dans la couche d'Application du modèle OSI.
+        * **SMTP** ( Simple Message Transfer Protocol )
+          * le service SMTP est utilisé pour le transfert de courrier électronique. Il se trouve dans la couche d'Application du modèle OSI.
+        * **DNS** ( Domain Name Service )
+          * le service DNS est utilisé pour le résolution de noms en adresses IP. Il se trouve dans la couche d'Application du modèle OSI.
+        * **SNMP** ( Simple Network Management Protocol )
+          * le protocole SNMP est composé d'un agent et un gestionnaire. L'agent SNMP collecte des informations sur les périphériques, les configurations et les performances tandis que le gestionnaire SNMP reçois ses informations et réagit en conséquence.
+        * **NFS** ( Network File System )
+          * le NFS a été mis au point par Sun Microsystems
+          * le NFS génère un lien virtuel entre les lecteurs et les disques durs permettant de monter dans un disque virtuel local un disque distant
+        * et aussi POP3, NNTP, IMAP etc ...
+Le modèle TCP/IP est composé de 4 couches :
+  * La couche d'Accès Réseau
+    * Cette couche spécifie la forme sous laquelle les données doivent être acheminées, quelque soit le type de réseau utilisé.
+  * La couche Internet
+    * Cette couche est chargée de fournir le paquet de données.
+  * La couche de Transport
+    * Cette couche assure l'acheminement des données et se charge des mécanismes permettant de connaître l'état de la transmission.
+  * La couche d'Application
+    * Cette couche englobe les applications standards de réseau telles ftp, telnet, ssh, etc..
+Les noms des Unités de Données sont différents selon le protocole utilisé et la couche du modèle TCP/IP :
+^ Couche  ^ TCP ^ UDP ^
+| Application | Stream | Message |
+| Transport | Segment | Packet|
+| Internet | Datagram| Datagram |
+| Réseau | Frame | Frame |
+===Les Raccordements===
+==Les Modes de Transmission==
+On peut distinguer 3 modes de transmission :
+  * La **Liaison Simplex**,
+    * Les données ne circulent que dans un **seul** sens de l'émetteur ver le récepteur,
+    * La liaison nécessite deux canaux de transmissions,
+  * La **Liaison Half-Duplex** aussi appelée la **Liaison à l'Alternat** ou encore la **Liaison Semi-Duplex**,
+    * Les données circulent dans un sens ou l'autre mais jamais dans les deux sens en même temps. Chaque extrémité émet donc à son tour,
+    * La liaison permet d'avoir une liaison bi-directionnelle qui utilise la totalité de la banse passante,
+  * La **Liaison Full-Duplex** dans les deux sens en **même** temps. Chaque extrémité peut émettre et recevoir simultanément,
+    * La liaison est caractérisée par une bande passante divisée par deux pour chaque sens des émissions.
+==Les Câbles==
+**Le Câble Coaxial**
+En partant de l'extérieur, le câble coaxial est composé :
+  * d'une **Gaine** en caoutchouc, PVC ou Téflon pour protéger le câble,
+  * d'un **Blindage** en métal pour diminuer le bruit du aux parasites,
+  * d'un **Isolant** (diélectrique) pour éviter le contact entre le blindage et l'âme et ainsi éviter des courts-circuits,
+  * d'un **Âme** en cuivre ou torsadés pour transporter les données.
+Avantages :
+  * **Peux coûteux**,
+  * Facilement **manipulable**,
+  * Peut être utilisé pour de **longues distances**,
+  * A un débit de 10 Mbit/s dans un LAN et 100 Mbit/s dans un WAN.
+Inconvénients :
+  * Fragile,
+  * Instable,
+  * Vulnérable aux interférences,
+  * Half-Duplex.
+**Le Câble Paire Torsadée**
+Ce câble existe sous deux formes selon son utilisation :
+  * **Monobrin** pour du câblage **horizontal** (**Capillaire**),
+    * chaque fil est composé d'un seul conducteur en cuivre,
+    * la distance ne doit pas dépassée 90m.
+  * **Multibrin** pour des **cordons de brassage** :
+    * chaque fil est composé de plusieurs brins en cuivre,
+    * câble souple.
+Avantages :
+  * Un débit de 10 Mbit/s à 10 GBit/s,
+  * A une bande passante plus large,
+  * Pas d'interruption par coupure du câble,
+  * Permet le **câblage universel** (téléphonie, fax, données ...),
+  * Full-Duplex.
+Inconvénients :
+  * Nombre de câbles > câble coaxial,
+  * Plus cher,
+  * Plus encombrant dans les gaines techniques.
+** Catégories de Blindage**
+Il existe trois catégories de blindage :
+  * **Twisted** ou Torsadé,
+  * **Foiled** ou Entouré,
+  * **Shielded** ou Avec Ecran.
+De ce fait, il existe 5 catégories de câbles Paire Torsadée :
+^ Nom anglais ^ Appelation Ancienne ^ Nouvelle Appelation ^
+|  Unshielded Twisted Pair | UTP | U/UTP |
+|  Foiled Twisted Pair | FTP | F/UTP |
+|  Shield Twisted Pair | STP | S/UTP |
+|  Shield Foiled Twisted Pair | SFTP | SF/UTP |
+|  Shield Shield Twisted Pair | S/STP | SS/STP3 |
+Ces catégories donnent lieu à des **Classes** :
+^ Classe ^ Débit ^ Nombre de Paires Torsadées ^ Connecteur ^ Commentaires ^
+| 3 | 10 Mbit/s | 4 | RJ11 | | Téléphonie Analogique et Numérique
+| 4 | 16 Mbit/s | 4 | S/O | Non-utilisée de nos jours |
+| 5 | 100 Mbit/s | 4 | RJ45 | Obsolète |
+| 5e/D | 1 Gbit/s sur 100m | 4 | RJ45 | S/O |
+| 6/E | 2.5 Gbit/s sur 100m ou 10 Gbit/s sur 25m à 55m | 4 | Idéal pour PoE |
+| 7/F | 10 Gbit/s sur 100m | 4 | GG45 ou Tera | Paires individuellement et collectivement blindées. Problème de compatibilité avec les classes précédentes due au connecteur. |
+**La Prise RJ45**
+Une prise RJ45 comporte 8 broches. Un câble peut être **droit** quand la broche 1 d'une extrémité est connectée à la broche 1 de la prise RJ45 à l'autre extrémité, la broche 2 d'une extrémité est connectée à la broche 2 de la prise RJ45 à l'autre extrémité et ainsi de suite ou bien **croisé** quand le brochage est inversé.
+Les câbles croisés sont utilisés lors du branchement de deux équipements identiques (PC à PC, Hub à Hub, Routeur à Routeur).
+**Channel Link et Basic Link**
+Le **Channel Link** ou **Canal** est l'ensemble du **Basic Link** ou **Lien de base** et les cordons de brassage et de raccordement des équipements qui sont limités en distance à 10m.
+Le **Basic Link** est le lien entre la prise RJ45 murale et la baie de brassage. Il est limité à 90m en classe 5D.
+==La Fibre Optique==
+La **Fibre Optique** est un fil de **Silice** permettant le transfert de la lumière. De ce fait elle est caractérisée par :
+  * des meilleures performances que le cuivre,
+  * de plus de communications simultanément,
+  * de la capacité de relier de plus grandes distances,
+  * une insensibilité aux perturbations,
+  * une résistance à la corrosion.
+Qui plus est, elle ne produit aucune perturbation.
+Elle est composée :
+  * d'un coeur de 10, de 50/125 ou de 62.50 micron,
+  * d'une gaine de 125 micron,
+  * d'une protection de 230 micron.
+Il existe deux types de fibres, la **Fibre Monomode** et la **Fibre Multimodes**.
+La Fibre Monomode :
+  * a un cœur de 8 à 10 Microns,
+  * est divisée en sous-catégories de distance,
+    * 10 Km,
+    * 15 Km,
+    * 20 Km,
+    * 50 Km,
+    * 80 Km,
+    * 100 Km.
+La Fibre Multimode :
+  * a un cœur de 62,50 micron ou de 50/125 micron avec une gaine orange,
+  * permet plusieurs trajets lumineux appelés **modes** en même temps en Full Duplex,
+  * est utilisée pour de bas débits ou de courtes distances,
+    * 2 Km pour 100 Mbit/s,
+    * 500 m pour 1 Gbit/s.
+==Les Réseaux sans Fils==
+Les réseaux sans fils sans basés sur une liaison qui utilise des ondes radio-électriques (radio et infra-rouges).
+Il existe des technologies différentes en fonction de la fréquence utilisée et de la portée des transmissions :
+  * Réseaux Personnels sans Fils - Bluetooth, HomeRF,
+  * Réseaux Locaux sans Fils - LiFI, WiFI,
+  * Réseaux Métropolitains sans Fil - wImax,
+  * Réseaux Etendus sans Fils - GSM, GPRS, UMTS.
+Les principales ondes utilisées pour la transmission des données sont :
+  * Ondes GSM  - Ondes Hertziennes reposant sur des micro-ondes à basse fréquence avec une portée d'une dizaine de kilomètres,
+  * Ondes Wi-Fi - Ondes Hertziennes reposant sur des micro-ondes à haute fréquence avec une portée de 20 à 50 mètres,
+  * Ondes Satellitaires - Ondes Hertziennes longues portées.
+==Le Courant Porteur en Ligne==
+Le CPL utilise le réseau électrique domestique, le réseau moyenne et basse tension pour transmettre des informations numériques.
+Le CPL superpose un signal à plus haute fréquence au signal électrique.
+Seuls donc, les fils conducteurs transportent les signaux CPL.
+Le coupleur intégré en entrée des boîtiers CPL élimine les composants basses fréquences pour isoler le signal CPL.
+Le CPL utilise la phase électrique et le neutre. De ce fait, une installation triphasée fournit 3 réseaux CPL différents.
+Le signal CPL ne s'arrête pas nécessairement aux limites de l'installation électrique. En effet en cas de compteurs non-numériques le signal les traversent.
+Les normes CPL sont :
+^ Norme ^ Débit Théorique ^ Débit Pratique ^ Temps pour copier 1 Go ^
+| Homeplug 1.01 | 14 Mbps | 5.4 Mbps | 25m 20s |
+| Homeplug 1.1 | 85 Mbps | 12 Mbps | 11m 20s |
+| PréUPA 200 | 200 Mbps | 30 Mbps | 4m 30s |
+==Technologies==
+Il existe plusieurs technologies de réseau :
+  * Ethernet,
+  * Token-Ring,
+  * ARCnet,
+  * etc..
+Nous détaillerons ici les deux technologies les plus répandues, à savoir Ethernet et Token-Ring.
+**Ethernet**
+La technologie Ethernet se repose sur :
+  * une topologie logique de bus,
+  * une topologie physique de bus ou étoile.
+L'accès au bus utilise le **CSMA/CD**, Carrier Sense Multiple Access / Collision Detection (Accès Multiple à Détection de Porteuse / Détection de Collisions).
+Il faut noter que :
+  * les données sont transmises à chaque nœud - c'est la méthode d'**accès multiple**,
+  * chaque nœud qui veut émettre écoute le réseau - c'est la **détection de porteuse**,
+  * quand le réseau est silencieux une trame est émise dans laquelle se trouvent les données ainsi que l'adresse du destinataire,
+  * le système est dit donc **aléatoire** ou **non-déterministe**,
+  * quand deux nœuds émettent en même temps, il y a **collision de données**,
+  * les deux nœuds vont donc cesser d'émettre, se mettant en attente jusqu'à ce qu'ils commencent à émettre de nouveau.
+**Token-Ring**
+La technologie Token-Ring se repose sur :
+  * une topologie logique en anneau,
+  * une topologie physique en étoile.
+Token-Ring se traduit par **Anneau à Jeton**. Il n'est pas aussi répandu que l'Ethernet pour des raisons de coûts. En effet le rajout d'un nœud en Token-Ring peut coûter jusqu'à **4 fois plus cher qu'en Ethernet**.
+Il faut noter que :
+  * les données sont transmises dans le réseau par un système appelé **méthode de passage de jeton**,
+  * le jeton est une **trame numérique vide** de données qui tourne en permanence dans l'anneau,
+  * quand un nœud souhaite émettre, il saisit le jeton, y dépose des données avec l'adresse du destinataire et ensuite laisse poursuivre son chemin jusqu'à sa destination,
+  * pendant son voyage, aucun autre nœud ne peut émettre,
+  * une fois arrivé à sa destination, le jeton dépose ses données et retourne à l'émetteur pour confirmer la livraison,
+  * ce système est appelé **déterministe**.
+L'intérêt de la technologie Token-Ring se trouve dans le fait :
+  * qu'il **évite des collisions**,
+  * qu'il est **possible de déterminer avec exactitude le temps que prenne l'acheminement des données**.
+La technologie Token-Ring est donc idéale, voire obligatoire, dans des installations où chaque nœud doit disposer d'une opportunité à intervalle fixe d'émettre des données.
+===Périphériques Réseaux Spéciaux===
+En plus du câblage, les périphériques de réseau spéciaux sont des éléments primordiaux tant au niveau de la topologie physique que la topologie logique.
+Les périphériques de réseau spéciaux sont :
+  * les Concentrateurs ou //Hubs//,
+  * les Répéteurs ou //Repeaters//,
+  * les Ponts ou //Bridges//,
+  * les Commutateurs ou //Switches//,
+  * les Routeurs ou //Routers//,
+  * les Passerelles ou //Gateways//.
+L'objectif ici est de vous permettre de comprendre le rôle de chaque périphérique.
+==Les Concentrateurs==
+Les Concentrateurs permettent une connectivité entre les nœuds en topologie en étoile. Selon leur configuration, la topologie logique peut être en étoile, en bus ou en anneau. Il existe de multiples types de Concentrateurs allant du plus simple au Concentrateur intelligent.
+  * **Le Concentrateur Simple**
+    * est une boîte de raccordement centrale,
+    * joue le rôle de récepteur et du réémetteur des signaux sans accélération ni gestion de ceux-ci,
+    * est un périphérique utilisé pour des groupes de travail.
+  * **Le Concentrateur Évolué**
+    * est un Concentrateur simple qui offre en plus l'amplification des signaux, la gestion du type de topologie logique grâce à des capacités d'être configurés à l'aide d'un logiciel ainsi que l'homogénéisation du réseau en offrant des ports pour un câblage différent. Par exemple, 8 ports en paire torsadée non-blindée et un port BNC.
+  * **Le Concentrateur Intelligent**
+    * est un Concentrateur évolué qui offre en plus la détection automatique des pannes, la connectique avec un Pont ou un Routeur ainsi que le diagnostic et la génération de rapports.
+==Les Répéteurs==
+Un Répéteur est un périphérique réseau simple. Il est utilisé pour amplifier le signal quand :
+  * la longueur du câble dépasse la limite autorisée,
+  * le câble passe par une zone ou les interférences sont importantes.
+Éventuellement, et uniquement dans le cas où le Répéteur serait muni d'une telle fonction, celui-ci peut être utiliser pour connecter deux réseaux ayant un câblage différent.
+==Les Ponts==
+Un Pont est **Répéteur intelligent**. Outre sa capacité d'amplifier les signaux, le Pont analyse le trafic qui passe par lui et met à jour une liste d'adresses des cartes réseau, appelée **une table de routage**, n'autorisant que les transmissions destinées à d'autres segments du réseau.
+Les **diffusions** sont néanmoins autorisées.
+Comme un Pont doit être intelligent, on utilise souvent un micro-ordinateur comme Pont. Forcément équipé de 2 cartes réseau, le Pont peut également jouer le rôle de serveur de fichiers.
+Le Pont sert donc à isoler des segments du réseau pour des raisons de :
+  * **sécurité** afin d'éviter à ce que des données sensibles soient propagées sur tout le réseau,
+  * **performance** afin qu'une partie du réseau trop chargée ralentisse le réseau entier,
+  * **fiabilité** afin par exemple qu'une carte en panne ne gène pas le reste du réseau avec une diffusion.
+Il existe trois types de configuration de Ponts
+**Le Pont de Base**
+Le Pont de Base est utilisé très rarement pour isoler deux segments.
+{{:solaris:sol2:pont1.png|}}
+**Le Pont en Cascade**
+Le Pont en Cascade est à éviter car les données en provenance d'un segment doivent passer par plusieurs Ponts. Ceci a pour conséquence de ralentir la transmission des données, voire même de créer un trafic superflu en cas de rémission par le nœud
+{{:solaris:sol2:pont2.png|}}
+**Le Pont en Dorsale**
+Le Pont en Dorsale coûte plus chère que la configuration précédente car il faut un nombre de Ponts équivalent au nombre de segments + 1. Par contre elle réduit les problèmes précédemment cités puisque les données ne transitent que par deux Ponts.
+{{:solaris:sol2:pont3.png|}}
+==Les Commutateurs==
+Un Commutateur peut être considéré comme un Concentrateur intelligent et un Pont. Ils sont gérés souvent par des logiciels. La topologie physique d'un réseau commuté est en étoile. Par contre la topologie logique est spéciale, elle s'appelle une topologie commutée.
+Lors de la communication de données entre deux nœuds, le Commutateur ouvre une connexion temporaire virtuelle en fermant les autres ports. De cette façon la bande passante totale est disponible pour cette transmission et les risques de collision sont minimisés.
+Certains Commutateurs haut de gamme sont équipés d'un système anti-catastrophe qui leur permet d'isoler une partie d'un réseau en panne afin que les autres parties puissent continuer à fonctionner sans problème.
+==Les Routeurs==
+Un Routeur est un Pont sophistiqué capable :
+  * d'assurer l'interconnexion entre des segments,
+  * de filtrer le trafic,
+  * d’isoler une partie du réseau,
+  * d’ explorer les informations d'adressage pour trouver le chemin le plus approprié et le plus rentable pour la transmission des données.
+Les Routeurs utilisent une table de routage pour stocker les informations sur :
+  * les adresses du réseau,
+  * les solutions de connexion vers d'autres réseaux,
+  * l'efficacité des différentes routes.
+Il existe deux types de Routeur :
+  * le **Routeur Statique**
+    * la table de routage est éditer manuellement,
+    * les routes empruntées pour la transmission des données sont toujours les mêmes,
+    * il n'y a pas de recherche d'efficacité.
+  * le **Routeur Dynamique**
+    * découvre automatiquement les routes à emprunter dans un réseau.
+==Les Passerelles==
+Ce périphérique, souvent un logiciel, sert à faire une conversion de données :
+  * entre deux technologies différentes ( Ethernet - Token-Ring ),
+  * entre deux protocoles différents,
+  * entre des formats de données différents.
+=====Comprendre le Chiffrement=====
+====Introduction à la cryptologie====
+===Définitions===
+  * **La Cryptologie**
+    * La science qui étudie les aspects scientifiques de ces techniques, c'est-à-dire qu'elle englobe la cryptographie et la cryptanalyse.
+  * **La Cryptanalyse**
+    * Lorsque la clef de déchiffrement n'est pas connue de l'attaquant on parle alors de cryptanalyse ou cryptoanalyse (on entend souvent aussi le terme plus familier de cassage).
+  * **La Cryptographie**
+    * Un terme générique désignant l'ensemble des techniques permettant de chiffrer des messages, c'est-à-dire permettant de les rendre inintelligibles sans une action spécifique. Les verbes crypter et chiffrer sont utilisés.
+  * **Le Décryptement ou Décryptage**
+    * Est le fait d'essayer de déchiffrer illégitimement le message (que la clé de déchiffrement soit connue ou non de l'attaquant).
+{{ :redhat:lx04:crypto1.gif|Cette image issue de Comment Ça Marche (www.commentcamarche.net) est mise à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de l'image, dans les conditions fixées par la licence, tant que cette note apparaît clairement. }}
+==La Cryptographie==
+La cryptographie apporte quatre points clefs:
+  * La confidentialité
+    * consiste à rendre l'information inintelligible à d'autres personnes que les acteurs de la transaction.
+  * L'intégrité
+    * consiste à déterminer si les données n'ont pas été altérées durant la communication (de manière fortuite ou intentionnelle).
+  * L'authentification
+    * consiste à assurer l'identité d'un utilisateur.
+  * La non-répudiation
+    * est la garantie qu'aucun des correspondants ne pourra nier la transaction.
+La cryptographie est basée sur l'arithmétique. Il s'agit, dans le cas d'un texte, de transformer les lettres qui composent le message en une succession de chiffres (sous forme de bits dans le cas de l'informatique), puis ensuite de faire des calculs sur ces chiffres pour:
+  * Procéder au chiffrement
+    * Le résultat de cette modification (le message chiffré) est appelé cryptogramme (Ciphertext) par opposition au message initial, appelé message en clair (Plaintext)
+  * Procéder au déchiffrement
+Le chiffrement se fait à l'aide d'une clef de chiffrement. Le déchiffrement nécessite  une clef de déchiffrement.
+On distingue deux types de clefs:
+  * Les clés symétriques:
+    * des clés utilisées pour le chiffrement ainsi que pour le déchiffrement. On parle alors de chiffrement symétrique ou de chiffrement à clé secrète.
+  * Les clés asymétriques:
+    * des clés utilisées dans le cas du chiffrement asymétrique (aussi appelé chiffrement à clé publique). Dans ce cas, une clé différente est utilisée pour le chiffrement et pour le déchiffrement.
+==Le Chiffrement par Substitution==
+Le chiffrement par substitution consiste à remplacer dans un message une ou plusieurs entités (généralement des lettres) par une ou plusieurs autres entités. On distingue généralement plusieurs types de cryptosystèmes par substitution :
+  * La substitution **monoalphabétique**
+    * consiste à remplacer chaque lettre du message par une autre lettre de l'alphabet
+  * La substitution **polyalphabétique**
+    * consiste à utiliser une suite de chiffres monoalphabétique réutilisée périodiquement
+  * La substitution **homophonique**
+    * permet de faire correspondre à chaque lettre du message en clair un ensemble possible d'autres caractères
+  * La substitution de **polygrammes**
+    * consiste à substituer un groupe de caractères (polygramme) dans le message par un autre groupe de caractères
+====Algorithmes à clé secrète====
+===Le Chiffrement Symétrique===
+Ce système est aussi appelé le système à **Clef Secrète** ou à **clef privée**.
+Ce système consiste à effectuer une opération de chiffrement par algorithme mais comporte un inconvénient, à savoir qu'il nécessite un canal sécurisé pour la transmission de la clef de chiffrement/déchiffrement.
+{{:redhat:lx04:crypto2.gif|Cette image issue de Comment Ça Marche (www.commentcamarche.net) est mise à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de l'image, dans les conditions fixées par la licence, tant que cette note apparaît clairement.}}
+<WRAP center round important 60%>
+**Important** - Le système de Méthode du Masque Jetable (One Time Pad) fût mis au point dans les années 1920. Il utilisait une clef générée aléatoirement à usage unique.
+</WRAP>
+Les algorithmes de chiffrement symétrique couramment utilisés en informatique sont:
+  * **[[wpfr>Data_Encryption_Standard|Data Encryption Standard]]** (DES),
+  * **[[wpfr>Triple_DES|Triple DES]]** (3DES),
+  * **[[wpfr>RC2]]**,
+  * **[[wpfr>Blowfish|Blowfish]]**,
+  * **[[wpfr>International_Data_Encryption_Algorithm|International Data Encryption Algorithm]]** (IDEA),
+  * **[[wpfr>Standard_de_chiffrement_avancé|Advanced Encryption Standard]]** (AES).
+====Algorithmes à clef publique====
+===Le Chiffrement Asymétrique===
+Ce système est aussi appelé **Système à Clef Publique**.
+Ce système consiste à avoir deux clefs appelées des **bi-clefs**:
+  * Une clef **publique** pour le chiffrement
+  * Une clef **secrète** ou **privée** pour le déchiffrement
+{{:redhat:lx04:crypto3.gif|Cette image issue de Comment Ça Marche (www.commentcamarche.net) est mise à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de l'image, dans les conditions fixées par la licence, tant que cette note apparaît clairement.}}
+  * L'utilisateur A (celui qui déchiffre) choisit une clef privée.
+  * A partir de cette clef il génère plusieurs clefs publiques grâce à un algorithme.
+  * L'utilisateur B (celui qui chiffre) choisit une des clefs publiques à travers un canal non-sécurisé pour chiffrer les données à l'attention de l'utilisateur A.
+Ce système est basé sur ce que l'on appelle une **fonction à trappe à sens unique** ou **one-way trap door**.
+Il existe toutefois un problème – s'assurer que la clef publique récupérée est bien celle qui correspond au destinataire !
+Les algorithmes de chiffrement asymétrique couramment utilisés en informatique sont:
+  * **[[wpfr>Digital_Signature_Algorithm|Digital Signature Algorithm]]** (DSA)
+  * **[[wpfr>Rivest_Shamir_Adleman|Rivest, Shamir, Adleman]]** (RSA)
+===La Clef de Session===
+Ce système est un compromis entre le système symétrique et le système asymétrique. Il permet l'envoie de données chiffrées à l'aide d'un algorithme de chiffrement symétrique par un canal non-sécurisé et a été mis au point pour palier au problème de lenteur de déchiffrement du système asymétrique.
+{{:redhat:lx04:crypto4.gif|Cette image issue de Comment Ça Marche (www.commentcamarche.net) est mise à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de l'image, dans les conditions fixées par la licence, tant que cette note apparaît clairement.}}
+Ce système fonctionne de la façon suivante :
+  * L'utilisateur A chiffre une clef privée générée aléatoirement, appelée une « clef de session », en utilisant une des clefs publiques de l'utilisateur B.
+  * L'utilisateur A chiffre les données avec la clef de session.
+  * L'utilisateur B déchiffre la clef de session en utilisant sa propre clef privée.
+  * L'utilisateur B déchiffre les données en utilisant la clef de session.
+====Fonctions de Hachage====
+La fonction de **hachage**, aussi appelée une fonction de **condensation**, est à **sens unique** (one way function). Il « condense » un message en clair et produit un haché unique.
+{{:redhat:lx04:crypto5.gif|Cette image issue de Comment Ça Marche (www.commentcamarche.net) est mise à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de l'image, dans les conditions fixées par la licence, tant que cette note apparaît clairement.}}
+Les deux algorithmes de hachage utilisés sont:
+  * **[[wpfr>MD5|Message Digest 5]]** (MD5)
+  * **[[wpfr>SHA-1|Secure Hash Algorithm]]** (SHA)
+Lors de son envoie, le message est accompagné de son haché et il est donc possible de garantir son intégrité:
+{{:redhat:lx04:crypto6.gif|Cette image issue de Comment Ça Marche (www.commentcamarche.net) est mise à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de l'image, dans les conditions fixées par la licence, tant que cette note apparaît clairement.}}
+  * A la réception du message, le destinataire ou l’utilisateur B calcule le haché du message reçu et le compare avec le haché accompagnant le document.
+  * Si le message ou le haché a été falsifié durant la communication, les deux empreintes ne correspondront pas.
+<WRAP center round important 60%>
+**Important** - Ce système permet de vérifier que l'empreinte correspond bien au message reçu, mais ne permet pas de prouver que le message a bien été envoyé par l’utilisateur A.
+</WRAP>
+====Signature Numérique====
+Pour garantir l'authentification du message l‘utilisateur A va chiffrer ou **signer** le haché à l'aide de sa clé privée. Le haché signé est appelé un **sceau**.
+{{:redhat:lx04:crypto7.gif|Cette image issue de Comment Ça Marche (www.commentcamarche.net) est mise à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de l'image, dans les conditions fixées par la licence, tant que cette note apparaît clairement.}}
+  * L’utilisateur A envoie le sceau au destinataire.
+  * A la réception du message L’utilisateur B déchiffre le sceau avec la clé publique de l’utilisateur A.
+  * Il compare le haché obtenu au haché reçu en pièce jointe.
+Ce mécanisme de création de sceau est appelé **scellement**.
+Ce mécanisme est identique au procédé utilisé par SSH lors d'une connexion
+====Utilisation de GnuPG====
+===Présentation===
+**GNU Privacy Guard** permet aux utilisateurs de transférer des messages chiffrés et/ou signés.
+===Installation===
+Sous CentOS 8, le paquet gnupg est installé par défaut :
+<code>
+[root@centos8 ~]# whereis gpg
+gpg: /usr/bin/gpg /usr/share/man/man1/gpg.1.gz
+</code>
+===Configuration===
+Pour initialiser %%GnuPG%%, saisissez la commande suivante :
+<code>
+[root@centos8 ~]# gpg
+gpg: directory '/root/.gnupg' created
+gpg: keybox '/root/.gnupg/pubring.kbx' created
+gpg: WARNING: no command supplied.  Trying to guess what you mean ...
+gpg: Go ahead and type your message ...
+^C
+gpg: signal Interrupt caught ... exiting
+</code>
+Pour générer les clefs, saisissez la commande suivante :
+<code>
+[root@centos8 ~]# gpg --full-generate-key
+gpg (GnuPG) 2.2.20; Copyright (C) 2020 Free Software Foundation, Inc.
+This is free software: you are free to change and redistribute it.
+There is NO WARRANTY, to the extent permitted by law.
+Please select what kind of key you want:
+   (1) RSA and RSA (default)
+   (2) DSA and Elgamal
+   (3) DSA (sign only)
+   (4) RSA (sign only)
+  (14) Existing key from card
+Your selection? 1
+RSA keys may be between 1024 and 4096 bits long.
+What keysize do you want? (2048)
+Requested keysize is 2048 bits
+Please specify how long the key should be valid.
+= key does not expire
+      <n>  = key expires in n days
+      <n>w = key expires in n weeks
+      <n>m = key expires in n months
+      <n>y = key expires in n years
+Key is valid for? (0)
+Key does not expire at all
+Is this correct? (y/N) y
+GnuPG needs to construct a user ID to identify your key.
+Real name: I2TCH
+Email address: infos@i2tch.co.uk
+Comment: Test Key
+You selected this USER-ID:
+    "I2TCH (Test Key) <infos@i2tch.co.uk>"
+Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O
+We need to generate a lot of random bytes. It is a good idea to perform
+some other action (type on the keyboard, move the mouse, utilize the
+disks) during the prime generation; this gives the random number
+generator a better chance to gain enough entropy.
+We need to generate a lot of random bytes. It is a good idea to perform
+some other action (type on the keyboard, move the mouse, utilize the
+disks) during the prime generation; this gives the random number
+generator a better chance to gain enough entropy.
+gpg: /root/.gnupg/trustdb.gpg: trustdb created
+gpg: key 8B4DEC5CC2B2AC5A marked as ultimately trusted
+gpg: directory '/root/.gnupg/openpgp-revocs.d' created
+gpg: revocation certificate stored as '/root/.gnupg/openpgp-revocs.d/9666229B8B43D80C1832BE0D8B4DEC5CC2B2AC5A.rev'
+public and secret key created and signed.
+pub   rsa2048 2021-08-24 [SC]
+      9666229B8B43D80C1832BE0D8B4DEC5CC2B2AC5A
+uid                      I2TCH (Test Key) <infos@i2tch.co.uk>
+sub   rsa2048 2021-08-24 [E]
+</code>
+<WRAP center round important 60%>
+**Important** - Lorsque le système vous la demande, entrez la passphrase **fenestros**.
+</WRAP>
+La liste de clefs peut être visualisée avec la commande suivante :
+<code>
+[root@centos8 ~]# gpg --list-keys
+gpg: checking the trustdb
+gpg: marginals needed: 3  completes needed: 1  trust model: pgp
+gpg: depth: 0  valid:   1  signed:   0  trust: 0-, 0q, 0n, 0m, 0f, 1u
+/root/.gnupg/pubring.kbx
+------------------------
+pub   rsa2048 2021-08-24 [SC]
+      9666229B8B43D80C1832BE0D8B4DEC5CC2B2AC5A
+uid           [ultimate] I2TCH (Test Key) <infos@i2tch.co.uk>
+sub   rsa2048 2021-08-24 [E]
+</code>
+<WRAP center round important 60%>
+**Important** - Pour importer la clef d'un correspondant dans sa trousse de clefs il convient d'utiliser la commande suivante :
+  # gpg --import la-clef.asc
+</WRAP>
+Pour exporter sa clef publique, il convient d'utiliser la commande suivante :
+<code>
+[root@centos8 ~]# gpg --export --armor I2TCH > ~/I2TCH.asc
+[root@centos8 ~]# cat I2TCH.asc
+-----BEGIN PGP PUBLIC KEY BLOCK-----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+=0TAN
+-----END PGP PUBLIC KEY BLOCK-----
+</code>
+Cette clef peut ensuite être jointe à des messages électroniques ou bien être déposée sur un serveur de clefs tel que http://www.keyserver.net.
+===Signer un message===
+Créez maintenant un message à signer :
+<code>
+[root@centos8 ~]# vi ~/message.txt
+[root@centos8 ~]# cat ~/message.txt
+This is a test message for gpg
+</code>
+Pour signer ce message en format binaire, il convient d'utiliser la commande suivante :
+<code>
+[root@centos8 ~]# gpg --default-key I2TCH --detach-sign message.txt
+gpg: using "I2TCH" as default secret key for signing
+[root@centos8 ~]# ls -l | grep message
+-rw-r--r--. 1 root root   31 Aug 24 11:22 message.txt
+-rw-r--r--. 1 root root  329 Aug 24 11:23 message.txt.sig
+[root@centos8 ~]# cat message.txt.sig
+!f"C
+M\²Za%infos@i2tch.co.uk
+        M\²ZT2oh@<E=n)\jED$kFvѧ`@ՂL/4XYO?49U*cje?sh
+-p&̨Za2i?qUuQ悐                                     غ<![l
+٨B|RA?Rk#b2V65mt"vC,:n
+/H4&                   krZ
+a+ 6%6O%<z+(qsv[root@centos8 ~]#
+</code>
+Pour signer ce message en format ASCII, il convient d'utiliser la commande suivante :
+<code>
+[root@centos8 ~]# gpg --default-key I2TCH --armor --detach-sign message.txt
+gpg: using "I2TCH" as default secret key for signing
+[root@centos8 ~]# ls -l | grep message
+-rw-r--r--. 1 root root   31 Aug 24 11:22 message.txt
+-rw-r--r--. 1 root root  512 Aug 24 11:24 message.txt.asc
+-rw-r--r--. 1 root root  329 Aug 24 11:23 message.txt.sig
+[root@centos8 ~]# cat message.txt.asc
+-----BEGIN PGP SIGNATURE-----
+iQFGBAABCAAwFiEElmYim4tD2AwYMr4Ni03sXMKyrFoFAmElDywSHGluZm9zQGky
+dGNoLmNvLnVrAAoJEItN7FzCsqxac1YIAIohAPQ8x2G60HW8yhJKIJxCLrM+gvKz
+GsTB/l+vPDEP6fToBnvMkvQwJqqQ7C0m7WkE4M2VWte6RxcpnUVcdwSlkpTKT4ww
+Dbwlt7kgwX0MNPr4qOQfAG8azJB40UCRd9aq3nwstdZWmLiQ48zraR/h50WOFN/H
+muyB4khwk2lonE/z7T09BNb8kMajK0CC+ZTSb2eOHb4U2C1jfzUybfR2v2+ApmC
+Dmj4vu2jM5YnElP5Kbz4me/JY5zZbYIFhTb8TMq7kVIuibaB4keERVdd+fk0FY1Z
+WFggEvw1tSuoC3rZ0y1c0Rj59HoZ9QxaKX8n+wq5+A4k8slt6WzuAu8=
+=//z2
+-----END PGP SIGNATURE-----
+</code>
+Pour vérifier la signature d'un message signé en mode ASCII, il convient d'utiliser la commande :
+<code>
+[root@centos8 ~]# gpg --verify message.txt.asc
+gpg: assuming signed data in 'message.txt'
+gpg: Signature made Tue 24 Aug 2021 11:24:28 EDT
+gpg:                using RSA key 9666229B8B43D80C1832BE0D8B4DEC5CC2B2AC5A
+gpg:                issuer "infos@i2tch.co.uk"
+gpg: Good signature from "I2TCH (Test Key) <infos@i2tch.co.uk>" [ultimate]
+</code>
+Pour vérifier la signature d'un message signé en mode ASCII et produit en dehors du message lui-même, il convient d'utiliser la commande :
+<code>
+[root@centos8 ~]# gpg --verify message.txt.asc message.txt
+gpg: Signature made Tue 24 Aug 2021 11:24:28 EDT
+gpg:                using RSA key 9666229B8B43D80C1832BE0D8B4DEC5CC2B2AC5A
+gpg:                issuer "infos@i2tch.co.uk"
+gpg: Good signature from "I2TCH (Test Key) <infos@i2tch.co.uk>" [ultimate]
+</code>
+Pour signer ce message **dans le message lui-même** en format ASCII, il convient d'utiliser la commande suivante :
+<code>
+[root@centos8 ~]# gpg --default-key I2TCH --clearsign message.txt
+gpg: using "I2TCH" as default secret key for signing
+File 'message.txt.asc' exists. Overwrite? (y/N) y
+[root@centos8 ~]# ls -l | grep message
+-rw-r--r--. 1 root root   31 Aug 24 11:22 message.txt
+-rw-r--r--. 1 root root  592 Aug 24 11:28 message.txt.asc
+-rw-r--r--. 1 root root  329 Aug 24 11:23 message.txt.sig
+[root@centos8 ~]# cat message.txt.asc
+-----BEGIN PGP SIGNED MESSAGE-----
+Hash: SHA256
+This is a test message for gpg
+-----BEGIN PGP SIGNATURE-----
+iQFGBAEBCAAwFiEElmYim4tD2AwYMr4Ni03sXMKyrFoFAmElEBMSHGluZm9zQGky
+dGNoLmNvLnVrAAoJEItN7FzCsqxaQa0H+gLxI8PTEJtbg6q+PmhlsQq2PkITRDFB
+bC5vW8CQzXUNA08aqkBEOgA1OvX9gJG0Q/aJO7fPrQFWP9g7IYPax/GvmgHCmS7B
+Hc5uULOawGvulctflk7xCmhgtaFndwCUN685xCPDOdhUMs0rX9Zqj8pKhbwh4Xpz
+Q7vY5gPJTn2aj4PL5GkXN/ZzGclFTVN9o5BQuxYnTCB694WzZepf48dMPaIdlDxJ
+l2yHf/jZGt2ZE2hoVllvjMN81LhjaqMxIoSTLwUAn+WBtrwNreQdERxtQv0waIA7
+NNFzGPdi0HGdJhjYJ/v4eFbi5X4gvHVVazzOpY5p48yVgCRAwZHJh/0=
+=C3OQ
+-----END PGP SIGNATURE-----
+</code>
+===Chiffrer un message===
+Pour chiffrer un message, il faut disposer de la clef publique du destinataire du message. Ce dernier utilisera ensuite sa clef privée pour déchiffrer le message. Il convient de préciser le destinataire du message, ou plus précisément la clef publique à utiliser, lors d'un chiffrement :
+    gpg --recipient <destinataire> --encrypt <message>
+  * //<destinataire>// représente toute information permettant de distinguer sans ambiguïté une clef publique dans votre trousseau. Cette information peut-être le nom ou l'adresse email associé à la clef publique que vous voulez utiliser,
+  * //<message>// représente le message à chiffrer.
+Par exemple pour chiffrer un message en mode binaire, il convient de saisir la commande suivante :
+<code>
+[root@centos8 ~]# gpg --recipient I2TCH --encrypt message.txt
+[root@centos8 ~]# ls -l | grep message
+-rw-r--r--. 1 root root   31 Aug 24 11:22 message.txt
+-rw-r--r--. 1 root root  592 Aug 24 11:28 message.txt.asc
+-rw-r--r--. 1 root root  367 Aug 24 11:30 message.txt.gpg
+-rw-r--r--. 1 root root  329 Aug 24 11:23 message.txt.sig
+[root@centos8 ~]# cat message.txt.gpg
+EeJ վ
+     pqa=w_wZI)0,G@"s"+i:(AVG;@GX)[㏤ba9hh%7
+                                            Wg7X
+                                                o#U>g̖ɉHEre8K\R*4u0n@"{SIlgt6gy]܄Z{t0'ҏ@k{%I~}puO-#făt^S)[Ŝ)Xq=#94t;fMҥC|UVoɜ,H|+.!4:DmZlO]bI{H[root@centos8 ~]#
+</code>
+Et pour chiffrer un message en mode ASCII, il convient de saisir la commande suivante :
+<code>
+[root@centos8 ~]# gpg --recipient I2TCH --armor --encrypt message.txt
+File 'message.txt.asc' exists. Overwrite? (y/N) y
+[root@centos8 ~]# ls -l | grep message
+-rw-r--r--. 1 root root   31 Aug 24 11:22 message.txt
+-rw-r--r--. 1 root root  561 Aug 24 11:32 message.txt.asc
+-rw-r--r--. 1 root root  367 Aug 24 11:30 message.txt.gpg
+-rw-r--r--. 1 root root  329 Aug 24 11:23 message.txt.sig
+[root@centos8 ~]# cat message.txt.asc
+-----BEGIN PGP MESSAGE-----
+hQEMA0XsZUog1b4LAQf7BgGL8LMcMbLdD4nSOwc45FLNyj9MXkr0ru01jBRb3UP/
+MW6VxWekLrWOXRBvFo/dS1Y/KIAYiZ9kDVSYwbbrQxOql/F4sWBagWAOs/gzeWt6
+MrKuOK6pgPdgO57AcImOeUjPL42RHh6enGRdud+GWiZNQKAvPiCNikfhJUza+o1Z
+GyAcq5RMSuohOp2weai5CwcVqZddrTvKzjkoUrMCwnMxGKjdbNRC3+DKEI9B4L3j
+Dno9DseQcebD3NYEICSt2oJr+xazejiLj4X8nerBrCqV7nK9v7mvxTKCIL5iOBR
+duBPFvgJuSVnSJZ+XzBeEQ8q24L3FLV9B5yJnF+e8tJeASweIXfqWaeWNObfAHC3
+dkMtvNUNs6jkmFUGdONYosNlHW9jFWllpe2Q5Ra13kdZob3o1eevU2iGBAx0Gi0Z
+yEB3HjqYFKxFj+lCj4KP59O55sEpePgAo2qhPhfeMw==
+=UDxQ
+-----END PGP MESSAGE-----
+</code>
+Pour décrypter un message il convient d'utiliser la commande suivante :
+<code>
+[root@centos8 ~]# gpg --decrypt message.txt.asc
+gpg: encrypted with 2048-bit RSA key, ID 45EC654A20D5BE0B, created 2021-08-24
+      "I2TCH (Test Key) <infos@i2tch.co.uk>"
+This is a test message for gpg
+</code>
+====PKI====
+On appelle **[[wpfr>Public_Key_Infrastructure|PKI]]** (Public Key Infrastucture, ou en français **infrastructure à clé publique (ICP)**, parfois **infrastructure de gestion de clés (IGC)**) l’ensemble des solutions techniques basées sur la cryptographie à clé publique.
+Les cryptosystèmes à clés publiques permettent de s'affranchir de la nécessité d'avoir recours systématiquement à un canal sécurisé pour s'échanger les clés. En revanche, la publication de la clé publique à grande échelle doit se faire en toute confiance pour assurer que :
+    * La clé publique est bien celle de son propriétaire ;
+    * Le propriétaire de la clé est digne de confiance ;
+    * La clé est toujours valide.
+Ainsi, il est nécessaire d'associer au bi-clé (ensemble clé publique / clé privée) un certificat délivré par un **tiers de confiance** : l'infrastructure de gestion de clés.
+Le tiers de confiance est une entité appelée communément autorité de certification (ou en anglais Certification authority, abrégé CA) chargée d'assurer la véracité des informations contenues dans le certificat de clé publique et de sa validité.
+Pour ce faire, l'autorité signe le certificat de clé publique à l'aide de sa propre clé en utilisant le principe de signature numérique.
+Le rôle de l'infrastructure de clés publiques est multiple et couvre notamment les champs suivants :
+    * enregistrer des demandes de clés en vérifiant l'identité des demandeurs ;
+    * générer les paires de clés (clé privée / clé publique) ;
+    * garantir la confidentialité des clés privées correspondant aux clés publiques ;
+    * certifier l'association entre chaque utilisateurs et sa clé publique ;
+    * révoquer des clés (en cas de perte par son propriétaire, d'expiration de sa date de validité ou de compromission).
+Une infrastructure à clé publique est en règle générale composée de trois entités distinctes :
+    * L'autorité d'enregistrement (AE ou RA pour Recording authority), chargée des formalité administratives telles que la vérification de l'identité des demandeurs, le suivi et la gestion des demandes, etc.) ;
+    * L'autorité de certification (AC ou CA pour Certification Authority), chargée des tâches techniques de création de certificats. L'autorité de certification est ainsi chargée de la signature des demandes de certificat (CSR pour Certificate Signing Request, parfois appelées PKCS#10, nom du format correspondant). L'autorité de certification a également pour mission la signature des listes de révocations (CRL pour Certificate Revocation List) ;
+    * L'Autorité de dépôt (Repository) dont la mission est de conserver en sécurité les certificats.
+===Certificats X509===
+Pour palier aux problèmes liés à des clefs publiques piratées, un système de certificats a été mis en place.
+Le certificat permet d’associer la clef publique à une entité ou une personne. Les certificats sont délivrés par des Organismes de Certification.
+Les certificats sont des fichiers divisés en deux parties :
+  * La partie contenant les informations
+  * La partie contenant la signature de l'autorité de certification
+La structure des certificats est normalisée par le standard **[[wpfr>X.509|X.509]]** de l’**[[wpfr>UIT|Union internationale des télécommunications]]**.
+Elle contient :
+  * Le nom de l'autorité de certification
+  * Le nom du propriétaire du certificat
+  * La date de validité du certificat
+  * L'algorithme de chiffrement utilisé
+  * La clé publique du propriétaire
+Le Certificat est signé par l'autorité de certification:
+{{:redhat:lx04:crypto8.gif|Cette image issue de Comment Ça Marche (www.commentcamarche.net) est mise à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de l'image, dans les conditions fixées par la licence, tant que cette note apparaît clairement.}}
+La vérification se passe ainsi:
+{{:redhat:lx04:crypto9.gif|Cette image issue de Comment Ça Marche (www.commentcamarche.net) est mise à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de l'image, dans les conditions fixées par la licence, tant que cette note apparaît clairement.}}
+=====Comprendre IPv4=====
+==== En-tête TCP ====
+L'en-tête TCP est codée sur 4 octets soit 32 bits :
+^ 1er octet ^ 2ème octet ^ 3ème octet ^ 4 ème octet ^
+|   Port source   ||   Port destination   ||
+|   Numéro de séquence   ||||
+|   Numéro d'acquittement   ||||
+|   Offset  |  Flags  |  Fenêtre   ||
+|  Checksum  ||  Pointeur Urgent  ||
+|  Options  |||  Padding  |
+|  Données  ||||
+Vous noterez que les numéros de ports sont codés sur 16 bits. Cette information nous permet de calculer le nombres de ports maximum en IPv4, soit 2<sup>16</sup> ports ou 65 535.
+L'**Offset** contient la taille de l'en-tête.
+Les **Flags** sont :
+  * URG - Si la valeur est 1 le pointeur urgent est utilisé. Le numéro de séquence et le pointeur urgent indique un octet spécifique.
+  * ACK - Si la valeur est 1, le paquet est un accusé de réception
+  * PSH - Si la valeur est 1, les données sont immédiatement présentées à l'application
+  * RST - Si la valeur est 1, la communication comporte un problème et la connexion est réinitialisée
+  * SYN - Si la valeur est 1, le paquet est un paquet de synchronisation
+  * FIN - Si la valeur est 1, le paquet indique la fin de la connexion
+La **Fenêtre** est codée sur 16 bits. La Fenêtre est une donnée liée au fonctionnement d'expédition de données appelé le **sliding window** ou la **fenêtre glissante**. Puisque il serait impossible, pour des raisons de performance, d'attendre l'accusé de réception de chaque paquet envoyé, l'expéditeur envoie des paquets par groupe. La taille de cette groupe s'appelle la Fenêtre. Dans le cas d'un problème de réception d'une partie de la Fenêtre, toute la Fenêtre est ré-expédiée.
+Le **Checksum** est une façon de calculer si le paquet est complet.
+Le **Padding** est un champ pouvant être rempli de valeurs nulles de façon à ce que la taille de l'en-tête soit un multiple de 32
+==== En-tête UDP ====
+L'en-tête UDP est codée sur 4 octets soit 32 bits :
+^ 1er octet ^ 2ème octet ^ 3ème octet ^ 4 ème octet ^
+|   Port source   ||   Port destination   ||
+|   longueur   ||   Checksum   ||
+|  Données  ||||
+L'en-tête UDP a une longueur de 8 octets.
+==== Fragmentation et Ré-encapsulation ====
+La taille limite d'un paquet TCP, l'en-tête comprise, ne peut pas dépasser **65 535 octets**. Cependant chaque réseau est qualifié par son MTU ( Maximum Tranfer Unit ). Cette valeur est la taille maximum d'un paquet autorisée. L'unité est en **octets**. Pour un réseau Ethernet sa valeur est de 1 500. Quand un paquet doit être expédié sur un réseau ayant un MTU inférieur à sa propre taille, le paquet doit être **fractionné**. A la sortie du réseau, le paquet est reconstitué. Cette reconstitution s'appelle **ré-encapsulation**.
+==== Adressage ====
+L'adressage IP requière que chaque périphérique sur le réseau possède une adresse IP unique de 4 octets, soit 32 bits au format XXX.XXX.XXX.XXX De cette façon le nombre total d'adresses est de 2<sup>32</sup> = 4.3 Milliards.
+Les adresses IP sont divisées en 5 classes, de A à E. Les 4 octets des classes A à C sont divisés en deux, une partie qui s'appelle le **Net ID** qui identifie le réseau et une partie qui s'appelle le **Host ID** qui identifie le hôte  :
+^     ^ 1er octet ^ 2ème octet ^ 3ème octet ^ 4 ème octet ^
+|  A  |   Net ID   |   Host ID   |||
+|  B  |   Net ID    ||   Host ID   ||
+|  C  |   Net ID    |||   Host ID   |
+|  D  |   Multicast  ||||
+|  E  |   Réservé  ||||
+L'attribution d'une classe dépend du nombre de hôtes à connecter. Chaque classe est identifié par un **Class ID** composé de 1 à 3 bits :
+^  Classe  ^  Bits ID Classe  ^  Valeur ID Classe  ^  Bits ID Réseau  ^  Nb. de Réseaux  ^  Bits ID hôtes  ^  Nb. d'adresses  ^  Octet de Départ  ^
+|  A  |  1  |  0  |  7  |  2<sup>7</sup>=128  |  24  |  2<sup>24</sup>=16 777 216  |  1 - 126  |
+|  B  |  2  |  10  |  14  |  2<sup>14</sup>=16 834  |  16  |  2<sup>16</sup>=65 535  |  128 - 191  |
+|  C  |  3  |  110  |  21  |  2<sup>21</sup>=2 097 152  |  8  |  2<sup>8</sup>=256  |  192 - 223  |
+Le réseau 127. est réservé. Il s'appelle le **loopback** et identifie la machine locale.
+Dans chaque classe, certaines adresses sont réservées pour un usage privé :
+^  Classe  ^  IP de Départ  ^  IP de Fin  ^
+|  A  |  10.0.0.0  |  10.255.255.255  |
+|  B  |  172.16.0.0  |  172.31.255.255  |
+|  C  |  192.168.0.0  |  192.168.255.255  |
+Il existe des adresses particulières ne pouvant pas être utilisées pour identifier un hôte :
+^  Adresse Particulière  ^  Description  ^
+|  169.254.0.0 à 169.254.255.255  |  Automatic Private IP Addressing de Microsoft  |
+|  Hôte du réseau courant  |  Tous les bits du Net ID sont à 0  |
+|  Adresse de réseau  |  Tous les bits du Host ID sont à 0  |
+|  Adresse de diffusion  |  Tous les bits du Host ID sont à 1  |
+L'adresse de réseau identifie le **segment** du réseau entier tandis que l'adresse de diffusion identifie tous les hôtes sur le segment de réseau.
+Afin de mieux comprendre l'adresse de réseau et l'adresse de diffusion, prenons le cas de l'adresse 192.168.10.1 en classe C :
+^    ^ 1er octet ^ 2ème octet ^ 3ème octet ^ 4 ème octet ^
+^    ^  Net ID  ^^^  Host ID  ^
+|  Adresse IP  |   192   |   168   |  10  |  1  |
+|  Binaire  |   11000000   |   10101000   |  000001010  |  00000001  |
+|  Calcul de l'adresse de réseau  |||||
+|  Binaire  |   11000000   |   10101000   |  000001010  |  **00000000**  |
+|  Adresse réseau  |   192   |   168   |  10  |  0  |
+|  Calcul de l'adresse de diffusion  |||||
+|  Binaire  |   11000000   |   10101000   |  000001010  |  **11111111**  |
+|  Adresse de diffusion |   192   |   168   |  10  |  255  |
+==== Masques de sous-réseaux ====
+Tout comme l'adresse IP, le masque de sous-réseau compte 4 octets ou 32 bits. Les masques de sous-réseaux permettent d’identifier le Net ID et le Host ID :
+^  Classe  ^  Masque  ^  Notation CIDR  ^
+|  A  |  255.0.0.0  |  /8  |
+|  B  |  255.255.0.0  |  /16  |
+|  C  |  255.255.255.0  |  /24  |
+Le terme **CIDR** veut dire **Classless %%InterDomain%% Routing**. Le terme Notation CIDR correspond au nombre de bits d'une valeur de 1 dans le masque de sous-réseau.
+Quand un hôte souhaite émettre il procède d'abord à l'identification de sa propre adresse réseau par un calcul AND (ET) appliqué à sa propre adresse et son masque de sous-réseau qui stipule :
+  * 1 x 1 = 1
+  * 0 x 1 = 0
+  * 1 x 0 = 0
+  * 0 x 0 = 0
+Prenons le cas de l'adresse IP 192.168.10.1 ayant un masque de 255.255.255.0 :
+^    ^ 1er octet ^ 2ème octet ^ 3ème octet ^ 4 ème octet ^
+|  Adresse IP  |   192   |   168   |  10  |  1  |
+|  Binaire  |   11000000   |   10101000   |  00001010  |  00000001  |
+|  Masque de sous-réseau  |||||
+|  Binaire  |   11111111   |   11111111   |  11111111 |  00000000  |
+|  Calcul AND  |   11000000   |   10101000   |  00001010 |  00000000  |
+|  Adresse réseau  |   192   |   168   |  10  |  0  |
+Cet hôte essaie de communiquer avec un hôte ayant une adresse IP de 192.168.10.10. Il procède donc au même calcul en appliquant **son propre masque de sous-réseau** à l'adresse IP de l'hôte destinataire :
+^    ^ 1er octet ^ 2ème octet ^ 3ème octet ^ 4 ème octet ^
+|  Adresse IP  |   192   |   168   |  10  |  10  |
+|  Binaire  |   11000000   |   10101000   |  00001010  |  00001010  |
+|  Masque de sous-réseau  |||||
+|  Binaire  |   11111111   |   11111111   |  11111111 |  00000000  |
+|  Calcul AND  |   11000000   |   10101000   |  00001010 |  00000000  |
+|  Adresse réseau  |   192   |   168   |  10  |  0  |
+Puisque l'adresse réseau est identique dans les deux cas, l'hôte émetteur présume que l'hôte de destination se trouve sur son réseau et envoie les paquets directement sur le réseau sans s'adresser à sa passerelle par défaut.
+L'hôte émetteur essaie maintenant de communiquer avec avec un hôte ayant une adresse IP de 192.168.2.1. Il procède donc au même calcul en appliquant **son propre masque de sous-réseau** à l'adresse IP de l'hôte destinataire :
+^    ^ 1er octet ^ 2ème octet ^ 3ème octet ^ 4 ème octet ^
+|  Adresse IP  |   192   |   168   |  2  |  1  |
+|  Binaire  |   11000000   |   10101000   |  00000010  |  00000001  |
+|  Masque de sous-réseau  |||||
+|  Binaire  |   11111111   |   11111111   |  11111111 |  00000000  |
+|  Calcul AND  |   11000000   |   10101000   |  00000010 |  00000000  |
+|  Adresse réseau  |   192   |   168   |  2  |  0  |
+Dans ce cas, l'hôte émetteur constate que le réseau de destination 192.168.2.0 n'est pas identique à son propre réseau 192.168.10.0. Il adresse donc les paquets à la passerelle par défaut.
+==== VLSM ====
+Puisque le stock de réseaux disponibles sous IPv4 est presque épuisé, une solution a du être trouvée pour créer des sous-réseaux en attendant l'introduction de l'IPv6. Cette solution s'appelle le VLSM ou Variable Length Subnet Masks. Le VLSM exprime les masques de sous-réseaux au format CIDR.
+Son principe est simple. Afin de créer des réseaux différents à partir d'une adresse réseau d'une classe donnée, il convient de réduire le nombre d'hôtes. De cette façon les bits 'libérés' du Host ID peuvent être utilisés pour identifier les sous-réseaux.
+Pour illustrer ceci, prenons l'exemple d'un réseau 192.168.1.0. Sur ce réseau, nous pouvons mettre 2<sup>8</sup>-2 soit 254 hôtes entre 192.168.1.1 au 192.168.1.254.
+Supposons que nous souhaiterions diviser notre réseau en 2 sous-réseaux. Pour coder 2 sous-réseaux, il faut que l'on libère 2 bits du Host ID. Les deux bits libérés auront les valeurs binaires suivantes :
+  * 00
+  * 01
+  * 10
+  * 11
+Les valeurs binaires du quatrième octet de nos adresses de sous-réseaux seront donc :
+  * 192.168.1.00XXXXXX
+  * 192.168.1.01XXXXXX
+  * 192.168.1.10XXXXXX
+  * 192.168.1.11XXXXXX
+où les XXXXXX représentent les bits que nous réservons pour décrire les hôtes dans chacun des sous-réseaux.
+Nous ne pouvons pas utiliser les deux sous-réseaux suivants :
+  * 192.168.1.00XXXXXX
+  * 192.168.1.11XXXXXX
+car ceux-ci correspondent aux débuts de l'adresse réseau 192.168.1.0 et de l'adresse de diffusion 192.168.1.255.
+Nous pouvons utiliser les deux sous-réseaux suivants :
+  * 192.168.1.01XXXXXX
+  * 192.168.1.10XXXXXX
+Pour le premier sous-réseau l'adresse réseau et l'adresse de diffusion sont :
+|  Sous-réseau #1  |   192   |   168   |  1 |  01XXXXXX  |
+|  Calcul de l'adresse de réseau  |||||
+|  Binaire  |   11000000   |   10101000   |  00000001  |  01**000000** |
+|  Adresse réseau  |   192   |   168   |  1  |  **64**  |
+|  Calcul de l'adresse de diffusion  |||||
+|  Binaire  |   11000000   |   10101000   |  00000001  |  01**111111**  |
+|  Adresse de diffusion |   192   |   168   |  1  |  **127**  |
+  * L'adresse CIDR du réseau est donc 192.168.1.64/26 car le Net ID est codé sur 24+2 bits.
+  * Le masque de sous-réseau est donc le 11111111.11111111.11111111.11000000 ou le 255.255.255.192
+  * Nous pouvons avoir 2<sup>6</sup>-2 soit 62 hôtes.
+  * La plage valide d'adresses IP est de 192.168.1.65 à 192.168.1.126
+Pour le deuxième sous-réseau l'adresse réseau et l'adresse de diffusion sont :
+|  Sous-réseau #2  |   192   |   168   |  1 |  10XXXXXX  |
+|  Calcul de l'adresse de réseau  |||||
+|  Binaire  |   11000000   |   10101000   |  00000001  |  10**000000** |
+|  Adresse réseau  |   192   |   168   |  1  |  **128**  |
+|  Calcul de l'adresse de diffusion  |||||
+|  Binaire  |   11000000   |   10101000   |  00000001  |  10**111111**  |
+|  Adresse de diffusion |   192   |   168   |  1  |  **191**  |
+  * L'adresse CIDR du réseau est donc 192.168.1.128/26 car le Net ID est codé sur 24+2 bits.
+  * Le masque de sous-réseau est donc le 11111111.11111111.11111111.11000000 ou le 255.255.255.192
+  * Nous pouvons avoir 2<sup>6</sup>-2 soit 62 hôtes.
+  * La plage valide d'adresses IP est de 192.168.1.129 à 192.168.1.190
+La valeur qui sépare les sous-réseaux est 64. Cette valeur comporte le nom **incrément**.
+==== Ports et sockets ====
+Afin que les données arrivent aux applications que les attendent, TCP utilise des numéros de ports sur la couche transport. Le numéros de ports sont divisés en trois groupes :
+  * **Well Known Ports**
+    * De 1 à 1023
+  * **Registered Ports**
+    * De 1024 à 49151
+  * **Dynamic** et/ou **Private Ports**
+    * De 49152 à 65535
+Le couple **numéro IP:numéro de port** s'appelle un **socket**.
+==== /etc/services ====
+Les ports les plus utilisés sont détaillés dans le fichier **/etc/services** :
+<code>
+[root@centos8 ~]# more /etc/services
+# /etc/services:
+# $Id: services,v 1.49 2017/08/18 12:43:23 ovasik Exp $
+#
+# Network services, Internet style
+# IANA services version: last updated 2016-07-08
+#
+# Note that it is presently the policy of IANA to assign a single well-known
+# port number for both TCP and UDP; hence, most entries here have two entries
+# even if the protocol doesn't support UDP operations.
+# Updated from RFC 1700, ``Assigned Numbers'' (October 1994).  Not all ports
+# are included, only the more common ones.
+#
+# The latest IANA port assignments can be gotten from
+#       http://www.iana.org/assignments/port-numbers
+# The Well Known Ports are those from 0 through 1023.
+# The Registered Ports are those from 1024 through 49151
+# The Dynamic and/or Private Ports are those from 49152 through 65535
+#
+# Each line describes one service, and is of the form:
+#
+# service-name  port/protocol  [aliases ...]   [# comment]
+tcpmux          1/tcp                           # TCP port service multiplexer
+tcpmux          1/udp                           # TCP port service multiplexer
+rje             5/tcp                           # Remote Job Entry
+rje             5/udp                           # Remote Job Entry
+echo            7/tcp
+echo            7/udp
+discard         9/tcp           sink null
+discard         9/udp           sink null
+systat          11/tcp          users
+systat          11/udp          users
+daytime         13/tcp
+daytime         13/udp
+qotd            17/tcp          quote
+qotd            17/udp          quote
+chargen         19/tcp          ttytst source
+chargen         19/udp          ttytst source
+ftp-data        20/tcp
+ftp-data        20/udp
+# 21 is registered to ftp, but also used by fsp
+ftp             21/tcp
+ftp             21/udp          fsp fspd
+--More--(0%)
+</code>
+Notez que les ports sont listés par deux :
+  * le port TCP
+  * le port UDP
+La liste la plus complète peut être consultée à l'adresse suivante **https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml**.
+Pour connaitre la liste des sockets ouverts sur l'ordinateur, saisissez la commande suivante :
+<code>
+[root@centos8 ~]# netstat -an | more
+Active Internet connections (servers and established)
+Proto Recv-Q Send-Q Local Address           Foreign Address         State
+tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN
+tcp        0      0 192.168.122.1:53        0.0.0.0:*               LISTEN
+tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN
+tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN
+tcp        0      0 0.0.0.0:8888            0.0.0.0:*               LISTEN
+tcp        0      0 0.0.0.0:5901            0.0.0.0:*               LISTEN
+tcp        0      0 10.0.2.45:22            10.0.2.1:50574          ESTABLISHED
+tcp       32      0 10.0.2.45:50280         8.43.85.29:443          CLOSE_WAIT
+tcp       32      0 10.0.2.45:50278         8.43.85.29:443          CLOSE_WAIT
+tcp        0      0 10.0.2.45:36844         44.238.3.246:443        ESTABLISHED
+tcp6       0      0 :::111                  :::*                    LISTEN
+tcp6       0      0 :::22                   :::*                    LISTEN
+tcp6       0      0 ::1:631                 :::*                    LISTEN
+tcp6       0      0 :::5901                 :::*                    LISTEN
+udp        0      0 0.0.0.0:25826           0.0.0.0:*
+udp        0      0 0.0.0.0:5353            0.0.0.0:*
+udp        0      0 0.0.0.0:36264           0.0.0.0:*
+udp        0      0 192.168.122.1:53        0.0.0.0:*
+udp        0      0 0.0.0.0:67              0.0.0.0:*
+udp        0      0 0.0.0.0:111             0.0.0.0:*
+udp        0      0 127.0.0.1:323           0.0.0.0:*
+udp6       0      0 :::5353                 :::*
+udp6       0      0 :::42631                :::*
+udp6       0      0 :::111                  :::*
+udp6       0      0 ::1:323                 :::*
+raw6       0      0 :::58                   :::*                    7
+Active UNIX domain sockets (servers and established)
+Proto RefCnt Flags       Type       State         I-Node   Path
+unix  2      [ ACC ]     STREAM     LISTENING     37076    @/tmp/.ICE-unix/1873
+unix  2      [ ACC ]     STREAM     LISTENING     25881    @irqbalance907.sock
+unix  2      [ ACC ]     STREAM     LISTENING     37130    /run/user/1000/keyring/cont
+rol
+unix  2      [ ACC ]     STREAM     LISTENING     37132    /run/user/1000/keyring/ssh
+unix  2      [ ACC ]     STREAM     LISTENING     32014    /run/gssproxy.sock
+unix  2      [ ACC ]     STREAM     LISTENING     30479    /run/user/42/bus
+unix  2      [ ACC ]     STREAM     LISTENING     30481    /run/user/42/pulse/native
+unix  2      [ ACC ]     STREAM     LISTENING     5617     @/org/kernel/linux/storage/
+multipathd
+unix  2      [ ACC ]     STREAM     LISTENING     1811     /var/run/.heim_org.h5l.kcm-
+socket
+unix  2      [ ACC ]     STREAM     LISTENING     30484    /run/user/42/pipewire-0
+--More--
+</code>
+Pour connaitre la liste des applications ayant ouvert un port sur l'ordinateur, saisissez la commande suivante :
+<code>
+[root@centos8 ~]# netstat -anp | more
+Active Internet connections (servers and established)
+Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
+tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      1/systemd
+tcp        0      0 192.168.122.1:53        0.0.0.0:*               LISTEN      1859/dnsmasq
+tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1027/sshd
+tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1030/cupsd
+tcp        0      0 0.0.0.0:8888            0.0.0.0:*               LISTEN      804664/python2
+tcp        0      0 0.0.0.0:5901            0.0.0.0:*               LISTEN      1797/Xvnc
+tcp        0      0 10.0.2.45:22            10.0.2.1:50574          ESTABLISHED 841191/sshd: traine
+tcp       32      0 10.0.2.45:50280         8.43.85.29:443          CLOSE_WAIT  2071/gnome-shell
+tcp       32      0 10.0.2.45:50278         8.43.85.29:443          CLOSE_WAIT  1903/gnome-shell
+tcp        0      0 10.0.2.45:36844         44.238.3.246:443        ESTABLISHED 2903/firefox
+tcp6       0      0 :::111                  :::*                    LISTEN      1/systemd
+tcp6       0      0 :::22                   :::*                    LISTEN      1027/sshd
+tcp6       0      0 ::1:631                 :::*                    LISTEN      1030/cupsd
+tcp6       0      0 :::5901                 :::*                    LISTEN      1797/Xvnc
+udp        0      0 0.0.0.0:25826           0.0.0.0:*                           804615/collectd
+udp        0      0 0.0.0.0:5353            0.0.0.0:*                           905/avahi-daemon: r
+udp        0      0 0.0.0.0:36264           0.0.0.0:*                           905/avahi-daemon: r
+udp        0      0 192.168.122.1:53        0.0.0.0:*                           1859/dnsmasq
+udp        0      0 0.0.0.0:67              0.0.0.0:*                           1859/dnsmasq
+udp        0      0 0.0.0.0:111             0.0.0.0:*                           1/systemd
+udp        0      0 127.0.0.1:323           0.0.0.0:*                           909/chronyd
+udp6       0      0 :::5353                 :::*                                905/avahi-daemon: r
+udp6       0      0 :::42631                :::*                                905/avahi-daemon: r
+udp6       0      0 :::111                  :::*                                1/systemd
+udp6       0      0 ::1:323                 :::*                                909/chronyd
+raw6       0      0 :::58                   :::*                    7           1002/NetworkManager
+Active UNIX domain sockets (servers and established)
+Proto RefCnt Flags       Type       State         I-Node   PID/Program name     Path
+unix  2      [ ACC ]     STREAM     LISTENING     37076    1873/gnome-session-  @/tmp/.ICE-unix/1873
+unix  2      [ ACC ]     STREAM     LISTENING     25881    907/irqbalance       @irqbalance907.sock
+unix  2      [ ACC ]     STREAM     LISTENING     37130    2063/gnome-keyring-  /run/user/1000/keyring/control
+unix  2      [ ACC ]     STREAM     LISTENING     37132    2063/gnome-keyring-  /run/user/1000/keyring/ssh
+unix  2      [ ACC ]     STREAM     LISTENING     32014    1040/gssproxy        /run/gssproxy.sock
+unix  2      [ ACC ]     STREAM     LISTENING     30479    1439/systemd         /run/user/42/bus
+unix  2      [ ACC ]     STREAM     LISTENING     30481    1439/systemd         /run/user/42/pulse/native
+unix  2      [ ACC ]     STREAM     LISTENING     5617     1/systemd            @/org/kernel/linux/storage/multipathd
+unix  2      [ ACC ]     STREAM     LISTENING     1811     1/systemd            /var/run/.heim_org.h5l.kcm-socket
+unix  2      [ ACC ]     STREAM     LISTENING     30484    1439/systemd         /run/user/42/pipewire-0
+unix  2      [ ACC ]     STREAM     LISTENING     1813     1/systemd            /run/avahi-daemon/socket
+unix  2      [ ACC ]     STREAM     LISTENING     1817     1/systemd            /run/libvirt/virtlockd-sock
+unix  2      [ ACC ]     STREAM     LISTENING     34456    1902/gnome-session-  @/tmp/.ICE-unix/1902
+--More--
+</code>
+La commande **ss** peut aussi être utilisée pour connaître la liste des sockets ouverts :
+<code>
+[root@centos8 ~]# ss -ta
+State                   Recv-Q                  Send-Q                                    Local Address:Port                                         Peer Address:Port                   Process
+LISTEN                  0                       5                                               0.0.0.0:5901                                              0.0.0.0:*
+LISTEN                  0                       128                                             0.0.0.0:sunrpc                                            0.0.0.0:*
+LISTEN                  0                       32                                        192.168.122.1:domain                                            0.0.0.0:*
+LISTEN                  0                       128                                             0.0.0.0:ssh                                               0.0.0.0:*
+LISTEN                  0                       5                                             127.0.0.1:ipp                                               0.0.0.0:*
+ESTAB                   0                       0                                             10.0.2.45:50438                                      151.101.193.91:https
+ESTAB                   0                       0                                             10.0.2.45:ssh                                              10.0.2.1:52744
+ESTAB                   0                       0                                             10.0.2.45:46986                                       35.190.72.216:https
+ESTAB                   0                       0                                             10.0.2.45:50442                                      151.101.193.91:https
+LISTEN                  0                       5                                                  [::]:5901                                                 [::]:*
+LISTEN                  0                       128                                                [::]:sunrpc                                               [::]:*
+LISTEN                  0                       128                                                [::]:ssh                                                  [::]:*
+LISTEN                  0                       5                                                 [::1]:ipp                                                  [::]:*
+</code>
+==== Résolution d'adresses Ethernet ====
+Chaque protocole peut être encapsulé dans une **trame** Ethernet. Lorsque la trame doit être transportée de l'expéditeur au destinataire, ce premier doit connaitre l'adresse Ethernet du dernier. L'adresse Ethernet est aussi appelée l'adresse **Physique** ou l'adresse **MAC**.
+Pour connaître l'adresse Ethernet du destinataire, l'expéditeur fait appel au protocole **ARP**. Les informations reçues sont stockées dans une table. Pour visualiser ces informations, il convient d'utiliser la commande suivante :
+<code>
+[root@centos8 ~]# arp -a
+_gateway (10.0.2.1) at 42:8e:e7:de:a9:b4 [ether] on ens18
+</code>
+===Options de la commande===
+Les options de cette commande sont :
+<code>
+[root@centos8 ~]# arp --help
+Usage:
+  arp [-vn]  [<HW>] [-i <if>] [-a] [<hostname>]             <-Display ARP cache
+  arp [-v]          [-i <if>] -d  <host> [pub]               <-Delete ARP entry
+  arp [-vnD] [<HW>] [-i <if>] -f  [<filename>]            <-Add entry from file
+  arp [-v]   [<HW>] [-i <if>] -s  <host> <hwaddr> [temp]            <-Add entry
+  arp [-v]   [<HW>] [-i <if>] -Ds <host> <if> [netmask <nm>] pub          <-''-
+        -a                       display (all) hosts in alternative (BSD) style
+        -e                       display (all) hosts in default (Linux) style
+        -s, --set                set a new ARP entry
+        -d, --delete             delete a specified entry
+        -v, --verbose            be verbose
+        -n, --numeric            don't resolve names
+        -i, --device             specify network interface (e.g. eth0)
+        -D, --use-device         read <hwaddr> from given device
+        -A, -p, --protocol       specify protocol family
+        -f, --file               read new entries from file or from /etc/ethers
+  <HW>=Use '-H <hw>' to specify hardware address type. Default: ether
+  List of possible hardware types (which support ARP):
+    ash (Ash) ether (Ethernet) ax25 (AMPR AX.25)
+    netrom (AMPR NET/ROM) rose (AMPR ROSE) arcnet (ARCnet)
+    dlci (Frame Relay DLCI) fddi (Fiber Distributed Data Interface) hippi (HIPPI)
+    irda (IrLAP) x25 (generic X.25) infiniband (InfiniBand)
+    eui64 (Generic EUI-64)
+</code>
+=====Comprendre IPv6=====
+====Présentation====
+IPv6 peut être utilisé en parallèle avec IPv4 dans un modèle à double pile. Dans cette configuration, une interface réseau peut avoir une ou plusieurs adresses IPv6 ainsi que des adresses IPv4. CentOS 8 fonctionne par défaut en mode double pile.
+====Adresses IPv6====
+Une adresse IPv6 est un nombre de 128 bits, normalement exprimé sous la forme de huit groupes de quatre **nibbles** (demi-octets) hexadécimaux séparés par deux points. Chaque nibble représente quatre bits de l'adresse IPv6, de sorte que chaque groupe représente 16 bits de l'adresse IPv6.
+:0db8:0000:0010:0000:0000:0000:0001
+Pour faciliter l'écriture des adresses IPv6, il n'est pas nécessaire d'écrire les zéros en tête d'un groupe séparé par deux points. Cependant, au moins un chiffre hexadécimal doit être écrit dans chaque groupe séparé par des deux-points :
+:db8:0:10:0:0:0:1
+En vertu de ces règles, 2001:db8::0010:0:0:0:1 serait une autre façon moins pratique d'écrire l'adresse de l'exemple, mais il s'agit d'une représentation valide de la même adresse
+Le conseils pour rédiger des adresses lisibles de manière cohérente sont :
+  * Supprimer les zéros initiaux dans un groupe.
+  * Utiliser : : pour raccourcir autant que possible.
+  * Si une adresse contient deux groupes de zéros consécutifs de même longueur, il est préférable de raccourcir les groupes de zéros les plus à gauche en : : et les groupes les plus à droite en :0 : pour chaque groupe.
+  * Bien que cela soit autorisé, n'utiliser pas : : pour raccourcir un groupe de zéros. Utiliser plutôt :0 : et conserver : : pour les groupes de zéros consécutifs.
+  * Utiliser toujours des lettres minuscules pour les nombres hexadécimaux de a à f
+Par exemple :
+:db8:0:10::1
+Dernièrement, un socket IPv6 doit comporter les caractères [ ] autour de l'adresse IPv6 :
+  [2001:db8:0:10::1]:80
+Une adresse unicast IPv6 normale est divisée en deux parties :
+  * Le préfixe de réseau,
+    * Le préfixe identifie le sous-réseau.
+  * L'identifiant d'interface,
+    * Deux interfaces réseau sur le même sous-réseau ne peuvent pas avoir le même identifiant,
+    * Un identifiant d'interface identifie une interface particulière sur le sous-réseau.
+====Masque de Sous-réseau====
+Contrairement à l'IPv4, l'IPv6 dispose d'un masque de sous-réseau standard de /64, utilisé pour presque toutes les adresses normales. Cela signifie qu'un seul sous-réseau peut contenir autant d'hôtes que nécessaire. Généralement, le fournisseur de réseau attribue un préfixe plus court à une organisation, par exemple, /48. Cela laisse au reste du réseau la possibilité d'attribuer des sous-réseaux (toujours de longueur /64) à partir du préfixe attribué. Pour un préfixe /48, il reste 16 bits pour les sous-réseaux, soit 65536 sous-réseaux.
+Par exemple, dans le cas de l'adresse **2001:0db8:0000:0001:0000:0000:0000:0001**, exprimée en tant que **2001:0db8:0:1/64**, la partie NetID est **2001:0db8:0000:0001** et la partie HostID est **0000:0000:0000:0001**.
+En regardant le NetID, la partie **2001:0db8:0000**, exprimée en tant que **2001:db8::/48** représente l'allocation fournie, tant que **0001/16** représente le sous-réseau.
+====Adresses IPv6 Réservées====
+Les adresses IPv6 réservés à une utilisation spécifique sont :
+^ Adresse ^ Description ^
+| ::1/128 | L'adresse loopback similaire à l'adresse 127.0.0.1/8 |
+| :: | L'adresse d'écoute global similaire à l'adresse 0.0.0.0 |
+| ::/0 | La route par défaut similaire à l'adresse 0.0.0.0/0 |
+| 2000::/3 | Cet espace d'adressage concerne les adresse réseaux allouées par l'IANA, allons de 2000::/16 à 3fff::/16 |
+| fd00::/8 | Issue de la RFC 4193, ceci est similaire à la RFC 1918, c'est-à-dire une espace d'adressage privé.  |
+| fe80::/10 | Adresses Link-local |
+| ff00::/8 | Adresses Multicast |
+====L'Adresse Link-local====
+Chaque interface sur un réseau est configurée automatiquement avec une adresse Link-local :
+<code>
+[root@centos8 ~]# ifconfig
+ens18: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
+        inet 10.0.2.45  netmask 255.255.255.0  broadcast 10.0.2.255
+        inet6 fe80::8af3:5782:3598:aa0f  prefixlen 64  scopeid 0x20<link>
+        ether 1e:2c:5e:55:02:2b  txqueuelen 1000  (Ethernet)
+        RX packets 175  bytes 30014 (29.3 KiB)
+        RX errors 0  dropped 0  overruns 0  frame 0
+        TX packets 179  bytes 24197 (23.6 KiB)
+        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
+ens19: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
+        ether ee:9d:9e:c3:04:f9  txqueuelen 1000  (Ethernet)
+        RX packets 0  bytes 0 (0.0 B)
+        RX errors 0  dropped 0  overruns 0  frame 0
+        TX packets 0  bytes 0 (0.0 B)
+        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
+lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
+        inet 127.0.0.1  netmask 255.0.0.0
+        inet6 ::1  prefixlen 128  scopeid 0x10<host>
+        loop  txqueuelen 1000  (Local Loopback)
+        RX packets 0  bytes 0 (0.0 B)
+        RX errors 0  dropped 0  overruns 0  frame 0
+        TX packets 0  bytes 0 (0.0 B)
+        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
+virbr0: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500
+        inet 192.168.122.1  netmask 255.255.255.0  broadcast 192.168.122.255
+        ether 52:54:00:79:02:66  txqueuelen 1000  (Ethernet)
+        RX packets 0  bytes 0 (0.0 B)
+        RX errors 0  dropped 0  overruns 0  frame 0
+        TX packets 0  bytes 0 (0.0 B)
+        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
+</code>
+Pour tester la connectivité de l'adresse Link-local, il convient d'utiliser la commande **ping6** :
+<code>
+[root@centos8 ~]# ping6 -c4 fe80::8af3:5782:3598:aa0f%ens18
+PING fe80::8af3:5782:3598:aa0f%ens18(fe80::8af3:5782:3598:aa0f%ens18) 56 data bytes
+bytes from fe80::8af3:5782:3598:aa0f%ens18: icmp_seq=1 ttl=64 time=0.093 ms
+bytes from fe80::8af3:5782:3598:aa0f%ens18: icmp_seq=2 ttl=64 time=0.060 ms
+bytes from fe80::8af3:5782:3598:aa0f%ens18: icmp_seq=3 ttl=64 time=0.115 ms
+bytes from fe80::8af3:5782:3598:aa0f%ens18: icmp_seq=4 ttl=64 time=0.051 ms
+--- fe80::8af3:5782:3598:aa0f%ens18 ping statistics ---
+packets transmitted, 4 received, 0% packet loss, time 3106ms
+rtt min/avg/max/mdev = 0.051/0.079/0.115/0.027 ms
+</code>
+<WRAP center round important 60%>
+**Important** : Notez qu'à la fin de l'adresse, il faut ajouter le **scope** qui est représenté par le caractère **%** suivi par le nom de l'interface.
+</WRAP>
+====DHCPv6====
+DHCPv6 ne fonctionne pas de la même façon que DHCPv4 parce qu'il n'existe pas d'adresses de diffusion sous IPv6.
+En résumé, l'hôte envoie une requête DHCPv6 à l'adresse multicast **all-dhcp-servers**, **ff02::1:2** sur le port **547/udp**. En retour, l'hôte reçoit les informations demandées sur le port **546/udp** de son adresse Link-local.
+=====Configuration=====
 RHEL/CentOS 8 utilise **Network Manager** pour gérer le réseau. Network Manager est composé de deux éléments :
@@ Ligne 169: / Ligne 2059: @@
 </code>
-Notez que la sortie n'indique pas que le profil **ip_fixe** soit associé au periphérique **ens18** car le profil **ip_fixe** n'est pas activé :
+Notez que la sortie n'indique pas que le profil **ip_fixe** soit associé au périphérique **ens18** car le profil **ip_fixe** n'est pas activé :
 <code>
@@ Ligne 237: / Ligne 2127: @@
 <WRAP center round todo 60%>
-**A faire** - Revenez à l'accueil du cloud IT Training et re-connectez-vous à la VM en tant que trainee en utilisant la connexion **CentOS8_SSH_10.0.2.46**.
+**A faire** - Revenez à l'accueil de Guacamole et re-connectez-vous à la VM en tant que trainee en utilisant la connexion **CentOS8_10.0.2.46_SSH**.
 </WRAP>
-Le profil ip_fixe est maintenant activé tandis que le profil enp0s3 a été désactivé :
+Le profil ip_fixe est maintenant activé tandis que le profil ens18 a été désactivé :
 <code>
@@ Ligne 555: / Ligne 2445: @@
 </code>
-Les fichiers de configuration pour le periphérique **ens18** se trouvent dans le répertoire **/etc/sysconfig/network-scripts/** :
+Les fichiers de configuration pour le périphérique **ens18** se trouvent dans le répertoire **/etc/sysconfig/network-scripts/** :
 <code>
@@ Ligne 565: / Ligne 2455: @@
 ====1.2 - Résolution des Noms====
-L'étude du fichier **/etc/sysconfig/network-scripts/ifcfg-ip_fixe** démontre l'abscence de directives concernant les DNS :
+L'étude du fichier **/etc/sysconfig/network-scripts/ifcfg-ip_fixe** démontre l’absence de directives concernant les DNS :
 <code>
@@ Ligne 665: / Ligne 2555: @@
 </code>
-Dernièrement vérifiez la resolution des noms :
+Dernièrement vérifiez la résolution des noms :
 <code>
@@ Ligne 983: / Ligne 2873: @@
 ===Désactiver/Activer le routage sur le serveur===
-Pour désactiver le routage sur le serveur, il convient de désactiver la retransmission des paquets:
+Pour désactiver le routage sur le serveur, il convient de désactiver la retransmission des paquets.
+Pour IPv4 :
 <code>
@@ Ligne 998: / Ligne 2890: @@
 [root@centos8 ~]# echo 1 > /proc/sys/net/ipv4/ip_forward
 [root@centos8 ~]# cat /proc/sys/net/ipv4/ip_forward
+</code>
+Pour IPv6 :
+<code>
+[root@centos8 ~]# cat /proc/sys/net/ipv6/conf/all/forwarding
+[root@centos8 ~]# echo "0" > /proc/sys/net/ipv6/conf/all/forwarding
+[root@centos8 ~]# cat /proc/sys/net/ipv6/conf/all/forwarding
+</code>
+Pour activer le routage sur le serveur, il convient d'activer la retransmission des paquets:
+<code>
+[root@centos8 ~]# echo "1" > /proc/sys/net/ipv6/conf/all/forwarding
+[root@centos8 ~]# cat /proc/sys/net/ipv6/conf/all/forwarding
 </code>
@@ Ligne 1249: / Ligne 3159: @@
 ==== 3.1 - Telnet ====
-WRAP center round important>
+<WRAP center round important>
 **Important** - Si la commande **telnet** n'est pas installée sous CentOS 8, installez-le à l'aide de la commande **dnf install telnet** en tant que root.
 </WRAP>
@@ Ligne 1260: / Ligne 3170: @@
 <WRAP center round important 60%>
-**Important** - Le service telnet revient à une redirection des canaux standards d'entrée et de sortie. Notez que la connexion n'est **pas** sécurisée. Pour fermer la connexion, il faut saisir la commande **exit**. La commande telnet n'offre pas de services de transfert de fichiers. Pour cela, il convient d'utiliser la command **ftp**.
+**Important** - Le service telnet revient à une redirection des canaux standards d'entrée et de sortie. Notez que la connexion n'est **pas** sécurisée. Pour fermer la connexion, il faut saisir la commande **exit**. La commande telnet n'offre pas de services de transfert de fichiers. Pour cela, il convient d'utiliser la commande **ftp**.
 </WRAP>
@@ Ligne 1280: / Ligne 3190: @@
 <code>
-[root@centos8 ~]# wget https://www.dropbox.com/s/lqtl47jpj2qu5od/wget_file.txt
+[root@centos8 ~]# wget https://www.dropbox.com/s/wk79lkfr6f12u9j/wget_file.txt
---2021-08-29 06:22:26--  https://www.dropbox.com/s/lqtl47jpj2qu5od/wget_file.txt
+...
-Resolving www.dropbox.com (www.dropbox.com)... 162.125.67.18, 2620:100:6023:18::a27d:4312
-Connecting to www.dropbox.com (www.dropbox.com)|162.125.67.18|:443... connected.
-HTTP request sent, awaiting response... 301 Moved Permanently
-Location: /s/raw/lqtl47jpj2qu5od/wget_file.txt [following]
---2021-08-29 06:22:27--  https://www.dropbox.com/s/raw/lqtl47jpj2qu5od/wget_file.txt
-Reusing existing connection to www.dropbox.com:443.
-HTTP request sent, awaiting response... 302 Found
-Location: https://uc8a5f475f4a5f849fd1055f560f.dl.dropboxusercontent.com/cd/0/inline/BVLLQHvou_Z6M6ahJQIL0h_F294OM7CU4q_am-_dpLy8Ifk66MQQSSe66akMc1yzJ_gMMBw0rHAsccFgTriPPpRvY9gMEBBB9FP3gyf2eT1b7SeonjZZshyppFw9-KxrWTJN_3bRB4Rx_t6DXaozZVnV/file# [following]
---2021-08-29 06:22:27--  https://uc8a5f475f4a5f849fd1055f560f.dl.dropboxusercontent.com/cd/0/inline/BVLLQHvou_Z6M6ahJQIL0h_F294OM7CU4q_am-_dpLy8Ifk66MQQSSe66akMc1yzJ_gMMBw0rHAsccFgTriPPpRvY9gMEBBB9FP3gyf2eT1b7SeonjZZshyppFw9-KxrWTJN_3bRB4Rx_t6DXaozZVnV/file
-Resolving uc8a5f475f4a5f849fd1055f560f.dl.dropboxusercontent.com (uc8a5f475f4a5f849fd1055f560f.dl.dropboxusercontent.com)... 162.125.67.15, 2620:100:6023:15::a27d:430f
-Connecting to uc8a5f475f4a5f849fd1055f560f.dl.dropboxusercontent.com (uc8a5f475f4a5f849fd1055f560f.dl.dropboxusercontent.com)|162.125.67.15|:443... connected.
-HTTP request sent, awaiting response... 200 OK
-Length: 46 [text/plain]
-Saving to: ‘wget_file.txt’
-wget_file.txt       100%[===================>]      46  --.-KB/s    in 0s
--08-29 06:22:27 (26.9 MB/s) - ‘wget_file.txt’ saved [46/46]
 [root@centos8 ~]# cat wget_file.txt
@@ Ligne 1607: / Ligne 3499: @@
     * **Clef hôte asymétrique et persistante** garantissant l'identité du serveur er qui est conservé sur disque dur
     * **Clef serveur asymétrique et temporaire** utilisée par le protocole SSH1 qui sert au chiffrement de la clé de session,
-    * **Clef de session symétrique qui est générée aléatoirement** et qui permet le chiiffrement de la communication entre le client et le serveur. Elle est détruite en fin de session. SSH-1 utilise une seule clef tandis que SSH-2 utilise une clef par direction de la communication,
+    * **Clef de session symétrique qui est générée aléatoirement** et qui permet le chiffrement de la communication entre le client et le serveur. Elle est détruite en fin de session. SSH-1 utilise une seule clef tandis que SSH-2 utilise une clef par direction de la communication,
   * La **base de données des hôtes connus** qui stocke les clés des connexions précédentes.
@@ Ligne 1906: / Ligne 3798: @@
 HostKey /etc/ssh/ssh_host_ed25519_key
 SyslogFacility AUTHPRIV
-PermitRootLogin yes
 AuthorizedKeysFile      .ssh/authorized_keys
 PasswordAuthentication yes
@@ Ligne 2401: / Ligne 4292: @@
 ssh-dss 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 trainee@centos8.ittraining.loc
 ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIOfFQULLU8IZyKiSU63D2Zz6yGLqyHcBHnCRdSR9JSmc trainee@centos8.ittraining.loc
-</code>
-=====LAB #4 - La Configuration de firewalld=====
-====4.1 - Présentation====
-firewalld utilise **[[https://wiki.nftables.org/wiki-nftables/index.php/Main_Page|nftables]]** en tant que **//backend//**. firewalld utilise des **zones** - des jeux de règles pré-définis dans lesquels sont placés les interfaces :
-  * **trusted** - un réseau fiable. Dans ce cas tous les ports sont autorisés,
-  * **work**, **home**, **internal** - un réseau partiellement fiable. Dans ce cas quelques ports sont autorisés,
-  * **dmz**, **public**, **external** - un réseau non fiable. Dans ce cas peu de ports sont autorisés,
-  * **block**, **drop** - tout est interdit. La zone drop n'envoie pas de messages d'erreurs.
-<WRAP center round important 60%>
-**Important** - Une interface ne peut être que dans une zone à la fois tandis que plusieurs interfaces peuvent être dans la même zone.
-</WRAP>
-Le service firewalld doit toujours être lancé :
-<code>
-[trainee@centos8 .ssh]$ exit
-logout
-Connection to localhost closed.
-[trainee@centos8 ~]$ su -
-Password: fenestros
-[root@centos8 ~]# systemctl status firewalld
-● firewalld.service - firewalld - dynamic firewall daemon
-   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
-   Active: inactive (dead) since Thu 2021-07-22 06:14:27 EDT; 1 months 8 days ago
-     Docs: man:firewalld(1)
- Main PID: 960 (code=exited, status=0/SUCCESS)
-Warning: Journal has been rotated since unit was started. Log output is incomplete or unavailable.
-[root@centos8 ~]# systemctl start firewalld
-[root@centos8 ~]# systemctl status firewalld
-● firewalld.service - firewalld - dynamic firewall daemon
-   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
-   Active: active (running) since Mon 2021-08-30 04:13:51 EDT; 10s ago
-     Docs: man:firewalld(1)
- Main PID: 1045271 (firewalld)
-    Tasks: 2 (limit: 23535)
-   Memory: 28.7M
-   CGroup: /system.slice/firewalld.service
-           └─1045271 /usr/libexec/platform-python -s /usr/sbin/firewalld --nofork --nopid
-Aug 30 04:13:49 centos8.ittraining.loc systemd[1]: Starting firewalld - dynamic firewall daemon...
-Aug 30 04:13:51 centos8.ittraining.loc systemd[1]: Started firewalld - dynamic firewall daemon.
-Aug 30 04:13:51 centos8.ittraining.loc firewalld[1045271]: WARNING: AllowZoneDrifting is enabled. This is considered an insecure configuration optio>
-[q]
-</code>
-====4.2 - La Configuration de Base de firewalld====
-La configuration par défaut de firewalld se trouve dans **/usr/lib/firewalld** :
-<code>
-[root@centos8 ~]# ls -l /usr/lib/firewalld/
-total 16
-drwxr-xr-x. 2 root root  224 Jul 19 10:39 helpers
-drwxr-xr-x. 2 root root 4096 Jul 19 10:39 icmptypes
-drwxr-xr-x. 2 root root   20 Jul 19 10:39 ipsets
-drwxr-xr-x. 2 root root 8192 Jul 19 10:39 services
-drwxr-xr-x. 2 root root  203 Jul 19 10:39 zones
-[root@centos8 ~]# ls -l /usr/lib/firewalld/helpers/
-total 52
--rw-r--r--. 1 root root 125 Jun 29 13:27 amanda.xml
--rw-r--r--. 1 root root 119 Jun 29 13:27 ftp.xml
--rw-r--r--. 1 root root  85 Jun 29 13:27 h323.xml
--rw-r--r--. 1 root root 134 Jun 29 13:27 irc.xml
--rw-r--r--. 1 root root 141 Jun 29 13:27 netbios-ns.xml
--rw-r--r--. 1 root root 136 Jun 29 13:27 pptp.xml
--rw-r--r--. 1 root root  90 Jun 29 13:27 proto-gre.xml
--rw-r--r--. 1 root root 122 Jun 29 13:27 Q.931.xml
--rw-r--r--. 1 root root 122 Jun 29 13:27 RAS.xml
--rw-r--r--. 1 root root 122 Jun 29 13:27 sane.xml
--rw-r--r--. 1 root root 158 Jun 29 13:27 sip.xml
--rw-r--r--. 1 root root 135 Jun 29 13:27 snmp.xml
--rw-r--r--. 1 root root 120 Jun 29 13:27 tftp.xml
-[root@centos8 ~]# ls -l /usr/lib/firewalld/icmptypes/
-total 180
--rw-r--r--. 1 root root 385 Jun 29 13:27 address-unreachable.xml
--rw-r--r--. 1 root root 258 Jun 29 13:27 bad-header.xml
--rw-r--r--. 1 root root 294 Jun 29 13:27 beyond-scope.xml
--rw-r--r--. 1 root root 279 Jun 29 13:27 communication-prohibited.xml
--rw-r--r--. 1 root root 222 Jun 29 13:27 destination-unreachable.xml
--rw-r--r--. 1 root root 173 Jun 29 13:27 echo-reply.xml
--rw-r--r--. 1 root root 210 Jun 29 13:27 echo-request.xml
--rw-r--r--. 1 root root 261 Jun 29 13:27 failed-policy.xml
--rw-r--r--. 1 root root 280 Jun 29 13:27 fragmentation-needed.xml
--rw-r--r--. 1 root root 266 Jun 29 13:27 host-precedence-violation.xml
--rw-r--r--. 1 root root 257 Jun 29 13:27 host-prohibited.xml
--rw-r--r--. 1 root root 242 Jun 29 13:27 host-redirect.xml
--rw-r--r--. 1 root root 239 Jun 29 13:27 host-unknown.xml
--rw-r--r--. 1 root root 247 Jun 29 13:27 host-unreachable.xml
--rw-r--r--. 1 root root 229 Jun 29 13:27 ip-header-bad.xml
--rw-r--r--. 1 root root 355 Jun 29 13:27 neighbour-advertisement.xml
--rw-r--r--. 1 root root 457 Jun 29 13:27 neighbour-solicitation.xml
--rw-r--r--. 1 root root 250 Jun 29 13:27 network-prohibited.xml
--rw-r--r--. 1 root root 248 Jun 29 13:27 network-redirect.xml
--rw-r--r--. 1 root root 239 Jun 29 13:27 network-unknown.xml
--rw-r--r--. 1 root root 247 Jun 29 13:27 network-unreachable.xml
--rw-r--r--. 1 root root 239 Jun 29 13:27 no-route.xml
--rw-r--r--. 1 root root 328 Jun 29 13:27 packet-too-big.xml
--rw-r--r--. 1 root root 225 Jun 29 13:27 parameter-problem.xml
--rw-r--r--. 1 root root 233 Jun 29 13:27 port-unreachable.xml
--rw-r--r--. 1 root root 256 Jun 29 13:27 precedence-cutoff.xml
--rw-r--r--. 1 root root 249 Jun 29 13:27 protocol-unreachable.xml
--rw-r--r--. 1 root root 185 Jun 29 13:27 redirect.xml
--rw-r--r--. 1 root root 244 Jun 29 13:27 reject-route.xml
--rw-r--r--. 1 root root 241 Jun 29 13:27 required-option-missing.xml
--rw-r--r--. 1 root root 227 Jun 29 13:27 router-advertisement.xml
--rw-r--r--. 1 root root 223 Jun 29 13:27 router-solicitation.xml
--rw-r--r--. 1 root root 248 Jun 29 13:27 source-quench.xml
--rw-r--r--. 1 root root 236 Jun 29 13:27 source-route-failed.xml
--rw-r--r--. 1 root root 253 Jun 29 13:27 time-exceeded.xml
--rw-r--r--. 1 root root 233 Jun 29 13:27 timestamp-reply.xml
--rw-r--r--. 1 root root 228 Jun 29 13:27 timestamp-request.xml
--rw-r--r--. 1 root root 258 Jun 29 13:27 tos-host-redirect.xml
--rw-r--r--. 1 root root 257 Jun 29 13:27 tos-host-unreachable.xml
--rw-r--r--. 1 root root 272 Jun 29 13:27 tos-network-redirect.xml
--rw-r--r--. 1 root root 269 Jun 29 13:27 tos-network-unreachable.xml
--rw-r--r--. 1 root root 293 Jun 29 13:27 ttl-zero-during-reassembly.xml
--rw-r--r--. 1 root root 256 Jun 29 13:27 ttl-zero-during-transit.xml
--rw-r--r--. 1 root root 259 Jun 29 13:27 unknown-header-type.xml
--rw-r--r--. 1 root root 249 Jun 29 13:27 unknown-option.xml
-[root@centos8 ~]# ls -l /usr/lib/firewalld/ipsets
-total 4
--rw-r--r--. 1 root root 29 Jun 29 13:27 README
-[root@centos8 ~]# ls -l /usr/lib/firewalld/services/
-total 688
--rw-r--r--. 1 root root  399 Jun 29 13:27 amanda-client.xml
--rw-r--r--. 1 root root  427 Jun 29 13:27 amanda-k5-client.xml
--rw-r--r--. 1 root root  283 Jun 29 13:27 amqps.xml
--rw-r--r--. 1 root root  273 Jun 29 13:27 amqp.xml
--rw-r--r--. 1 root root  285 Jun 29 13:27 apcupsd.xml
--rw-r--r--. 1 root root  301 Jun 29 13:27 audit.xml
--rw-r--r--. 1 root root  320 Jun 29 13:27 bacula-client.xml
--rw-r--r--. 1 root root  346 Jun 29 13:27 bacula.xml
--rw-r--r--. 1 root root  429 Jun 29 13:27 bb.xml
--rw-r--r--. 1 root root  339 Jun 29 13:27 bgp.xml
--rw-r--r--. 1 root root  275 Jun 29 13:27 bitcoin-rpc.xml
--rw-r--r--. 1 root root  307 Jun 29 13:27 bitcoin-testnet-rpc.xml
--rw-r--r--. 1 root root  281 Jun 29 13:27 bitcoin-testnet.xml
--rw-r--r--. 1 root root  244 Jun 29 13:27 bitcoin.xml
--rw-r--r--. 1 root root  410 Jun 29 13:27 bittorrent-lsd.xml
--rw-r--r--. 1 root root  294 Jun 29 13:27 ceph-mon.xml
--rw-r--r--. 1 root root  329 Jun 29 13:27 ceph.xml
--rw-r--r--. 1 root root  168 Jun 29 13:27 cfengine.xml
--rw-r--r--. 1 root root  211 Jun 29 13:27 cockpit.xml
--rw-r--r--. 1 root root  296 Jun 29 13:27 collectd.xml
--rw-r--r--. 1 root root  260 Jun 29 13:27 condor-collector.xml
--rw-r--r--. 1 root root  296 Jun 29 13:27 ctdb.xml
--rw-r--r--. 1 root root  305 Jun 29 13:27 dhcpv6-client.xml
--rw-r--r--. 1 root root  234 Jun 29 13:27 dhcpv6.xml
--rw-r--r--. 1 root root  227 Jun 29 13:27 dhcp.xml
--rw-r--r--. 1 root root  205 Jun 29 13:27 distcc.xml
--rw-r--r--. 1 root root  318 Jun 29 13:27 dns-over-tls.xml
--rw-r--r--. 1 root root  346 Jun 29 13:27 dns.xml
--rw-r--r--. 1 root root  374 Jun 29 13:27 docker-registry.xml
--rw-r--r--. 1 root root  391 Jun 29 13:27 docker-swarm.xml
--rw-r--r--. 1 root root  228 Jun 29 13:27 dropbox-lansync.xml
--rw-r--r--. 1 root root  338 Jun 29 13:27 elasticsearch.xml
--rw-r--r--. 1 root root  304 Jun 29 13:27 etcd-client.xml
--rw-r--r--. 1 root root  304 Jun 29 13:27 etcd-server.xml
--rw-r--r--. 1 root root  224 Jun 29 13:27 finger.xml
--rw-r--r--. 1 root root  709 Jun 29 13:27 freeipa-4.xml
--rw-r--r--. 1 root root  489 Jun 29 13:27 freeipa-ldaps.xml
--rw-r--r--. 1 root root  488 Jun 29 13:27 freeipa-ldap.xml
--rw-r--r--. 1 root root  242 Jun 29 13:27 freeipa-replication.xml
--rw-r--r--. 1 root root  657 Jun 29 13:27 freeipa-trust.xml
--rw-r--r--. 1 root root  361 Jun 29 13:27 ftp.xml
--rw-r--r--. 1 root root  292 Jun 29 13:27 galera.xml
--rw-r--r--. 1 root root  184 Jun 29 13:27 ganglia-client.xml
--rw-r--r--. 1 root root  176 Jun 29 13:27 ganglia-master.xml
--rw-r--r--. 1 root root  212 Jun 29 13:27 git.xml
--rw-r--r--. 1 root root  218 Jun 29 13:27 grafana.xml
--rw-r--r--. 1 root root  119 Jun 29 13:27 gre.xml
--rw-r--r--. 1 root root  608 Jun 29 13:27 high-availability.xml
--rw-r--r--. 1 root root  448 Jun 29 13:27 https.xml
--rw-r--r--. 1 root root  353 Jun 29 13:27 http.xml
--rw-r--r--. 1 root root  372 Jun 29 13:27 imaps.xml
--rw-r--r--. 1 root root  327 Jun 29 13:27 imap.xml
--rw-r--r--. 1 root root  454 Jun 29 13:27 ipp-client.xml
--rw-r--r--. 1 root root  427 Jun 29 13:27 ipp.xml
--rw-r--r--. 1 root root  894 Jun 29 13:27 ipsec.xml
--rw-r--r--. 1 root root  255 Jun 29 13:27 ircs.xml
--rw-r--r--. 1 root root  247 Jun 29 13:27 irc.xml
--rw-r--r--. 1 root root  264 Jun 29 13:27 iscsi-target.xml
--rw-r--r--. 1 root root  358 Jun 29 13:27 isns.xml
--rw-r--r--. 1 root root  213 Jun 29 13:27 jenkins.xml
--rw-r--r--. 1 root root  182 Jun 29 13:27 kadmin.xml
--rw-r--r--. 1 root root  272 Jun 29 13:27 kdeconnect.xml
--rw-r--r--. 1 root root  233 Jun 29 13:27 kerberos.xml
--rw-r--r--. 1 root root  384 Jun 29 13:27 kibana.xml
--rw-r--r--. 1 root root  249 Jun 29 13:27 klogin.xml
--rw-r--r--. 1 root root  221 Jun 29 13:27 kpasswd.xml
--rw-r--r--. 1 root root  182 Jun 29 13:27 kprop.xml
--rw-r--r--. 1 root root  242 Jun 29 13:27 kshell.xml
--rw-r--r--. 1 root root  308 Jun 29 13:27 kube-apiserver.xml
--rw-r--r--. 1 root root  232 Jun 29 13:27 ldaps.xml
--rw-r--r--. 1 root root  199 Jun 29 13:27 ldap.xml
--rw-r--r--. 1 root root  385 Jun 29 13:27 libvirt-tls.xml
--rw-r--r--. 1 root root  389 Jun 29 13:27 libvirt.xml
--rw-r--r--. 1 root root  269 Jun 29 13:27 lightning-network.xml
--rw-r--r--. 1 root root  324 Jun 29 13:27 llmnr.xml
--rw-r--r--. 1 root root  349 Jun 29 13:27 managesieve.xml
--rw-r--r--. 1 root root  432 Jun 29 13:27 matrix.xml
--rw-r--r--. 1 root root  424 Jun 29 13:27 mdns.xml
--rw-r--r--. 1 root root  245 Jun 29 13:27 memcache.xml
--rw-r--r--. 1 root root  343 Jun 29 13:27 minidlna.xml
--rw-r--r--. 1 root root  237 Jun 29 13:27 mongodb.xml
--rw-r--r--. 1 root root  473 Jun 29 13:27 mosh.xml
--rw-r--r--. 1 root root  211 Jun 29 13:27 mountd.xml
--rw-r--r--. 1 root root  296 Jun 29 13:27 mqtt-tls.xml
--rw-r--r--. 1 root root  287 Jun 29 13:27 mqtt.xml
--rw-r--r--. 1 root root  170 Jun 29 13:27 mssql.xml
--rw-r--r--. 1 root root  190 Jun 29 13:27 ms-wbt.xml
--rw-r--r--. 1 root root  242 Jun 29 13:27 murmur.xml
--rw-r--r--. 1 root root  171 Jun 29 13:27 mysql.xml
--rw-r--r--. 1 root root  342 Jun 29 13:27 nfs3.xml
--rw-r--r--. 1 root root  324 Jun 29 13:27 nfs.xml
--rw-r--r--. 1 root root  293 Jun 29 13:27 nmea-0183.xml
--rw-r--r--. 1 root root  247 Jun 29 13:27 nrpe.xml
--rw-r--r--. 1 root root  389 Jun 29 13:27 ntp.xml
--rw-r--r--. 1 root root  368 Jun 29 13:27 nut.xml
--rw-r--r--. 1 root root  335 Jun 29 13:27 openvpn.xml
--rw-r--r--. 1 root root  260 Jun 29 13:27 ovirt-imageio.xml
--rw-r--r--. 1 root root  343 Jun 29 13:27 ovirt-storageconsole.xml
--rw-r--r--. 1 root root  235 Jun 29 13:27 ovirt-vmconsole.xml
--rw-r--r--. 1 root root 1024 Jun 29 13:27 plex.xml
--rw-r--r--. 1 root root  433 Jun 29 13:27 pmcd.xml
--rw-r--r--. 1 root root  474 Jun 29 13:27 pmproxy.xml
--rw-r--r--. 1 root root  544 Jun 29 13:27 pmwebapis.xml
--rw-r--r--. 1 root root  460 Jun 29 13:27 pmwebapi.xml
--rw-r--r--. 1 root root  357 Jun 29 13:27 pop3s.xml
--rw-r--r--. 1 root root  348 Jun 29 13:27 pop3.xml
--rw-r--r--. 1 root root  181 Jun 29 13:27 postgresql.xml
--rw-r--r--. 1 root root  509 Jun 29 13:27 privoxy.xml
--rw-r--r--. 1 root root  213 Jun 29 13:27 prometheus.xml
--rw-r--r--. 1 root root  261 Jun 29 13:27 proxy-dhcp.xml
--rw-r--r--. 1 root root  424 Jun 29 13:27 ptp.xml
--rw-r--r--. 1 root root  414 Jun 29 13:27 pulseaudio.xml
--rw-r--r--. 1 root root  297 Jun 29 13:27 puppetmaster.xml
--rw-r--r--. 1 root root  273 Jun 29 13:27 quassel.xml
--rw-r--r--. 1 root root  520 Jun 29 13:27 radius.xml
--rw-r--r--. 1 root root  183 Jun 29 13:27 rdp.xml
--rw-r--r--. 1 root root  212 Jun 29 13:27 redis-sentinel.xml
--rw-r--r--. 1 root root  268 Jun 29 13:27 redis.xml
--rw-r--r--. 1 root root  737 Jun 29 13:27 RH-Satellite-6.xml
--rw-r--r--. 1 root root  214 Jun 29 13:27 rpc-bind.xml
--rw-r--r--. 1 root root  213 Jun 29 13:27 rquotad.xml
--rw-r--r--. 1 root root  310 Jun 29 13:27 rsh.xml
--rw-r--r--. 1 root root  311 Jun 29 13:27 rsyncd.xml
--rw-r--r--. 1 root root  350 Jun 29 13:27 rtsp.xml
--rw-r--r--. 1 root root  329 Jun 29 13:27 salt-master.xml
--rw-r--r--. 1 root root  371 Jun 29 13:27 samba-client.xml
--rw-r--r--. 1 root root 1298 Jun 29 13:27 samba-dc.xml
--rw-r--r--. 1 root root  448 Jun 29 13:27 samba.xml
--rw-r--r--. 1 root root  324 Jun 29 13:27 sane.xml
--rw-r--r--. 1 root root  283 Jun 29 13:27 sips.xml
--rw-r--r--. 1 root root  496 Jun 29 13:27 sip.xml
--rw-r--r--. 1 root root  299 Jun 29 13:27 slp.xml
--rw-r--r--. 1 root root  231 Jun 29 13:27 smtp-submission.xml
--rw-r--r--. 1 root root  577 Jun 29 13:27 smtps.xml
--rw-r--r--. 1 root root  550 Jun 29 13:27 smtp.xml
--rw-r--r--. 1 root root  308 Jun 29 13:27 snmptrap.xml
--rw-r--r--. 1 root root  342 Jun 29 13:27 snmp.xml
--rw-r--r--. 1 root root  405 Jun 29 13:27 spideroak-lansync.xml
--rw-r--r--. 1 root root  275 Jun 29 13:27 spotify-sync.xml
--rw-r--r--. 1 root root  173 Jun 29 13:27 squid.xml
--rw-r--r--. 1 root root  421 Jun 29 13:27 ssdp.xml
--rw-r--r--. 1 root root  463 Jun 29 13:27 ssh.xml
--rw-r--r--. 1 root root  631 Jun 29 13:27 steam-streaming.xml
--rw-r--r--. 1 root root  287 Jun 29 13:27 svdrp.xml
--rw-r--r--. 1 root root  231 Jun 29 13:27 svn.xml
--rw-r--r--. 1 root root  297 Jun 29 13:27 syncthing-gui.xml
--rw-r--r--. 1 root root  311 Jun 29 13:27 syncthing.xml
--rw-r--r--. 1 root root  496 Jun 29 13:27 synergy.xml
--rw-r--r--. 1 root root  444 Jun 29 13:27 syslog-tls.xml
--rw-r--r--. 1 root root  329 Jun 29 13:27 syslog.xml
--rw-r--r--. 1 root root  393 Jun 29 13:27 telnet.xml
--rw-r--r--. 1 root root  252 Jun 29 13:27 tentacle.xml
--rw-r--r--. 1 root root  288 Jun 29 13:27 tftp-client.xml
--rw-r--r--. 1 root root  424 Jun 29 13:27 tftp.xml
--rw-r--r--. 1 root root  221 Jun 29 13:27 tile38.xml
--rw-r--r--. 1 root root  336 Jun 29 13:27 tinc.xml
--rw-r--r--. 1 root root  771 Jun 29 13:27 tor-socks.xml
--rw-r--r--. 1 root root  244 Jun 29 13:27 transmission-client.xml
--rw-r--r--. 1 root root  264 Jun 29 13:27 upnp-client.xml
--rw-r--r--. 1 root root  593 Jun 29 13:27 vdsm.xml
--rw-r--r--. 1 root root  475 Jun 29 13:27 vnc-server.xml
--rw-r--r--. 1 root root  310 Jun 29 13:27 wbem-https.xml
--rw-r--r--. 1 root root  352 Jun 29 13:27 wbem-http.xml
--rw-r--r--. 1 root root  323 Jun 29 13:27 wsmans.xml
--rw-r--r--. 1 root root  316 Jun 29 13:27 wsman.xml
--rw-r--r--. 1 root root  329 Jun 29 13:27 xdmcp.xml
--rw-r--r--. 1 root root  509 Jun 29 13:27 xmpp-bosh.xml
--rw-r--r--. 1 root root  488 Jun 29 13:27 xmpp-client.xml
--rw-r--r--. 1 root root  264 Jun 29 13:27 xmpp-local.xml
--rw-r--r--. 1 root root  545 Jun 29 13:27 xmpp-server.xml
--rw-r--r--. 1 root root  314 Jun 29 13:27 zabbix-agent.xml
--rw-r--r--. 1 root root  315 Jun 29 13:27 zabbix-server.xml
-[root@centos8 ~]# ls -l /usr/lib/firewalld/zones/
-total 44
--rw-r--r--. 1 root root 299 Jun 29 13:27 block.xml
--rw-r--r--. 1 root root 293 Jun 29 13:27 dmz.xml
--rw-r--r--. 1 root root 291 Jun 29 13:27 drop.xml
--rw-r--r--. 1 root root 304 Jun 29 13:27 external.xml
--rw-r--r--. 1 root root 397 Jun 29 13:27 home.xml
--rw-r--r--. 1 root root 412 Jun 29 13:27 internal.xml
--rw-r--r--. 1 root root 809 Nov 26  2019 libvirt.xml
--rw-r--r--. 1 root root 729 Feb  1  2021 nm-shared.xml
--rw-r--r--. 1 root root 343 Jun 29 13:27 public.xml
--rw-r--r--. 1 root root 162 Jun 29 13:27 trusted.xml
--rw-r--r--. 1 root root 339 Jun 29 13:27 work.xml
-</code>
-Ces fichiers sont au format **xml**, par exemple :
-<code>
-[root@centos8 ~]# cat /usr/lib/firewalld/zones/home.xml
-<?xml version="1.0" encoding="utf-8"?>
-<zone>
-  <short>Home</short>
-  <description>For use in home areas. You mostly trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
-  <service name="ssh"/>
-  <service name="mdns"/>
-  <service name="samba-client"/>
-  <service name="dhcpv6-client"/>
-  <service name="cockpit"/>
-</zone>
-</code>
-La configuration de firewalld ainsi que les définitions et règles personnalisées se trouvent dans **/etc/firewalld** :
-<code>
-[root@centos8 ~]# ls -l /etc/firewalld/
-total 8
--rw-r--r--. 1 root root 2747 Jun 29 13:27 firewalld.conf
-drwxr-x---. 2 root root    6 Jun 29 13:27 helpers
-drwxr-x---. 2 root root    6 Jun 29 13:27 icmptypes
-drwxr-x---. 2 root root    6 Jun 29 13:27 ipsets
--rw-r--r--. 1 root root  283 Jun 29 13:27 lockdown-whitelist.xml
-drwxr-x---. 2 root root    6 Jun 29 13:27 services
-drwxr-x---. 2 root root   46 Jun 29 13:27 zones
-</code>
-Le fichier de configuration de firewalld est **/etc/firewalld/firewalld.conf** :
-<code>
-[root@centos8 ~]# cat /etc/firewalld/firewalld.conf
-# firewalld config file
-# default zone
-# The default zone used if an empty zone string is used.
-# Default: public
-DefaultZone=public
-# Clean up on exit
-# If set to no or false the firewall configuration will not get cleaned up
-# on exit or stop of firewalld
-# Default: yes
-CleanupOnExit=yes
-# Lockdown
-# If set to enabled, firewall changes with the D-Bus interface will be limited
-# to applications that are listed in the lockdown whitelist.
-# The lockdown whitelist file is lockdown-whitelist.xml
-# Default: no
-Lockdown=no
-# IPv6_rpfilter
-# Performs a reverse path filter test on a packet for IPv6. If a reply to the
-# packet would be sent via the same interface that the packet arrived on, the
-# packet will match and be accepted, otherwise dropped.
-# The rp_filter for IPv4 is controlled using sysctl.
-# Default: yes
-IPv6_rpfilter=yes
-# IndividualCalls
-# Do not use combined -restore calls, but individual calls. This increases the
-# time that is needed to apply changes and to start the daemon, but is good for
-# debugging.
-# Default: no
-IndividualCalls=no
-# LogDenied
-# Add logging rules right before reject and drop rules in the INPUT, FORWARD
-# and OUTPUT chains for the default rules and also final reject and drop rules
-# in zones. Possible values are: all, unicast, broadcast, multicast and off.
-# Default: off
-LogDenied=off
-# FirewallBackend
-# Selects the firewall backend implementation.
-# Choices are:
-#       - nftables (default)
-#       - iptables (iptables, ip6tables, ebtables and ipset)
-FirewallBackend=nftables
-# FlushAllOnReload
-# Flush all runtime rules on a reload. In previous releases some runtime
-# configuration was retained during a reload, namely; interface to zone
-# assignment, and direct rules. This was confusing to users. To get the old
-# behavior set this to "no".
-# Default: yes
-FlushAllOnReload=yes
-# RFC3964_IPv4
-# As per RFC 3964, filter IPv6 traffic with 6to4 destination addresses that
-# correspond to IPv4 addresses that should not be routed over the public
-# internet.
-# Defaults to "yes".
-RFC3964_IPv4=yes
-# AllowZoneDrifting
-# Older versions of firewalld had undocumented behavior known as "zone
-# drifting". This allowed packets to ingress multiple zones - this is a
-# violation of zone based firewalls. However, some users rely on this behavior
-# to have a "catch-all" zone, e.g. the default zone. You can enable this if you
-# desire such behavior. It's disabled by default for security reasons.
-# Note: If "yes" packets will only drift from source based zones to interface
-# based zones (including the default zone). Packets never drift from interface
-# based zones to other interfaces based zones (including the default zone).
-# Possible values; "yes", "no". Defaults to "yes".
-AllowZoneDrifting=yes
-</code>
-====4.3 - L'Utilisation de Base de Firewalld====
-firewalld s'appuie sur netfilter. Pour cette raison, l'utilisation de firewall-cmd est incompatible avec l'utilisation des commandes iptables et system-config-firewall.
-<WRAP center round important 60%>
-**Important** - firewall-cmd est le front-end de firewalld en ligne de commande. Il existe aussi la commande **firewall-config** qui lance un outi de configuration graphique.
-</WRAP>
-Pour obtenir la liste de toutes les zones prédéfinies, utilisez la commande suivante :
-<code>
-[root@centos8 ~]# firewall-cmd --get-zones
-block dmz drop external home internal libvirt nm-shared public trusted work
-</code>
-Pour obtenir la liste de toutes les services prédéfinis, utilisez la commande suivante :
-<code>
-[root@centos8 ~]# firewall-cmd --get-services
-RH-Satellite-6 amanda-client amanda-k5-client amqp amqps apcupsd audit bacula bacula-client bb bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc bittorrent-lsd ceph ceph-mon cfengine cockpit collectd condor-collector ctdb dhcp dhcpv6 dhcpv6-client distcc dns dns-over-tls docker-registry docker-swarm dropbox-lansync elasticsearch etcd-client etcd-server finger freeipa-4 freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp galera ganglia-client ganglia-master git grafana gre high-availability http https imap imaps ipp ipp-client ipsec irc ircs iscsi-target isns jenkins kadmin kdeconnect kerberos kibana klogin kpasswd kprop kshell kube-apiserver ldap ldaps libvirt libvirt-tls lightning-network llmnr managesieve matrix mdns memcache minidlna mongodb mosh mountd mqtt mqtt-tls ms-wbt mssql murmur mysql nfs nfs3 nmea-0183 nrpe ntp nut openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole plex pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy prometheus proxy-dhcp ptp pulseaudio puppetmaster quassel radius rdp redis redis-sentinel rpc-bind rquotad rsh rsyncd rtsp salt-master samba samba-client samba-dc sane sip sips slp smtp smtp-submission smtps snmp snmptrap spideroak-lansync spotify-sync squid ssdp ssh steam-streaming svdrp svn syncthing syncthing-gui synergy syslog syslog-tls telnet tentacle tftp tftp-client tile38 tinc tor-socks transmission-client upnp-client vdsm vnc-server wbem-http wbem-https wsman wsmans xdmcp xmpp-bosh xmpp-client xmpp-local xmpp-server zabbix-agent zabbix-server
-</code>
-Pour obtenir la liste de toutes les types ICMP prédéfinis, utilisez la commande suivante :
-<code>
-[root@centos8 ~]# firewall-cmd --get-icmptypes
-address-unreachable bad-header beyond-scope communication-prohibited destination-unreachable echo-reply echo-request failed-policy fragmentation-needed host-precedence-violation host-prohibited host-redirect host-unknown host-unreachable ip-header-bad neighbour-advertisement neighbour-solicitation network-prohibited network-redirect network-unknown network-unreachable no-route packet-too-big parameter-problem port-unreachable precedence-cutoff protocol-unreachable redirect reject-route required-option-missing router-advertisement router-solicitation source-quench source-route-failed time-exceeded timestamp-reply timestamp-request tos-host-redirect tos-host-unreachable tos-network-redirect tos-network-unreachable ttl-zero-during-reassembly ttl-zero-during-transit unknown-header-type unknown-option
-</code>
-Pour obtenir la liste des zones de la configuration courante, utilisez la commande suivante :
-<code>
-[root@centos8 ~]# firewall-cmd --get-active-zones
-public
-  interfaces: ens18
-</code>
-Pour obtenir la liste des zones de la configuration courante pour une interface spécifique, utilisez la commande suivante :
-<code>
-[root@centos8 ~]# firewall-cmd --get-zone-of-interface=ens18
-public
-</code>
-Pour obtenir la liste des services autorisés pour la zone public, utilisez la commande suivante :
-<code>
-[root@centos8 ~]# firewall-cmd --zone=public --list-services
-cockpit dhcpv6-client ssh
-</code>
-Pour obtenir toute la configuration pour la zone public, utilisez la commande suivante :
-<code>
-[root@centos8 ~]# firewall-cmd --zone=public --list-all
-public (active)
-  target: default
-  icmp-block-inversion: no
-  interfaces: ens18
-  sources:
-  services: cockpit dhcpv6-client ssh
-  ports: 5901/tcp
-  protocols:
-  masquerade: no
-  forward-ports:
-  source-ports:
-  icmp-blocks:
-  rich rules:
-</code>
-Pour obtenir la liste complète de toutes les zones et leurs configurations, utilisez la commande suivante :
-<code>
-[root@centos8 ~]# firewall-cmd --list-all-zones
-block
-  target: %%REJECT%%
-  icmp-block-inversion: no
-  interfaces:
-  sources:
-  services:
-  ports:
-  protocols:
-  masquerade: no
-  forward-ports:
-  source-ports:
-  icmp-blocks:
-  rich rules:
-dmz
-  target: default
-  icmp-block-inversion: no
-  interfaces:
-  sources:
-  services: ssh
-  ports:
-  protocols:
-  masquerade: no
-  forward-ports:
-  source-ports:
-  icmp-blocks:
-  rich rules:
-drop
-  target: DROP
-  icmp-block-inversion: no
-  interfaces:
-  sources:
-  services:
-  ports:
-  protocols:
-  masquerade: no
-  forward-ports:
-  source-ports:
-  icmp-blocks:
-  rich rules:
-external
-  target: default
-  icmp-block-inversion: no
-  interfaces:
-  sources:
-  services: ssh
-  ports:
-  protocols:
-  masquerade: yes
-  forward-ports:
-  source-ports:
-  icmp-blocks:
-  rich rules:
-home
-  target: default
-  icmp-block-inversion: no
-  interfaces:
-  sources:
-  services: cockpit dhcpv6-client mdns samba-client ssh
-  ports:
-  protocols:
-  masquerade: no
-  forward-ports:
-  source-ports:
-  icmp-blocks:
-  rich rules:
-internal
-  target: default
-  icmp-block-inversion: no
-  interfaces:
-  sources:
-  services: cockpit dhcpv6-client mdns samba-client ssh
-  ports:
-  protocols:
-  masquerade: no
-  forward-ports:
-  source-ports:
-  icmp-blocks:
-  rich rules:
-libvirt
-  target: ACCEPT
-  icmp-block-inversion: no
-  interfaces:
-  sources:
-  services: dhcp dhcpv6 dns ssh tftp
-  ports:
-  protocols: icmp ipv6-icmp
-  masquerade: no
-  forward-ports:
-  source-ports:
-  icmp-blocks:
-  rich rules:
-        rule priority="32767" reject
-nm-shared
-  target: ACCEPT
-  icmp-block-inversion: no
-  interfaces:
-  sources:
-  services: dhcp dns ssh
-  ports:
-  protocols: icmp ipv6-icmp
-  masquerade: no
-  forward-ports:
-  source-ports:
-  icmp-blocks:
-  rich rules:
-        rule priority="32767" reject
-public (active)
-  target: default
-  icmp-block-inversion: no
-  interfaces: ens18
-  sources:
-  services: cockpit dhcpv6-client ssh
-  ports: 5901/tcp
-  protocols:
-  masquerade: no
-  forward-ports:
-  source-ports:
-  icmp-blocks:
-  rich rules:
-trusted
-  target: ACCEPT
-  icmp-block-inversion: no
-  interfaces:
-  sources:
-  services:
-  ports:
-  protocols:
-  masquerade: no
-  forward-ports:
-  source-ports:
-  icmp-blocks:
-  rich rules:
-work
-  target: default
-  icmp-block-inversion: no
-  interfaces:
-  sources:
-  services: cockpit dhcpv6-client ssh
-  ports:
-  protocols:
-  masquerade: no
-  forward-ports:
-  source-ports:
-  icmp-blocks:
-  rich rules:
-</code>
-Pour changer la zone par défaut de public à work, utilisez la commande suivante :
-<code>
-[root@centos8 ~]# firewall-cmd --set-default-zone=work
-success
-[root@centos8 ~]# firewall-cmd --get-active-zones
-work
-  interfaces: ens18
-</code>
-Pour ajouter l'interface ip_fixe à la zone work, utilisez la commande suivante :
-<code>
-[root@centos8 ~]# firewall-cmd --zone=work --add-interface=ip_fixe
-success
-[root@centos8 ~]# firewall-cmd --get-active-zones
-work
-  interfaces: ens18 ip_fixe
-</code>
-Pour supprimer l'interface ip_fixe à la zone work, utilisez la commande suivante :
-<code>
-[root@centos8 ~]# firewall-cmd --zone=work --remove-interface=ip_fixe
-success
-[root@centos8 ~]# firewall-cmd --get-active-zones
-work
-  interfaces: ens18
-</code>
-Pour ajouter le service **http** à la zone **work**, utilisez la commande suivante :
-<code>
-[root@centos8 ~]# firewall-cmd --zone=work --add-service=http
-success
-[root@centos8 ~]# firewall-cmd --zone=work --list-services
-cockpit dhcpv6-client http ssh
-</code>
-Pour supprimer le service **http** de la zone **work**, utilisez la commande suivante :
-<code>
-[root@centos8 ~]# firewall-cmd --zone=work --remove-service=http
-success
-[root@centos8 ~]# firewall-cmd --zone=work --list-services
-cockpit dhcpv6-client ssh
-</code>
-Pour ajouter un nouveau bloc ICMP, utilisez la commande suivante :
-<code>
-[root@centos8 ~]# firewall-cmd --zone=work --add-icmp-block=echo-reply
-success
-[root@centos8 ~]# firewall-cmd --zone=work --list-icmp-blocks
-echo-reply
-</code>
-Pour supprimer un bloc ICMP, utilisez la commande suivante :
-<code>
-[root@centos8 ~]# firewall-cmd --zone=work --remove-icmp-block=echo-reply
-success
-[root@centos8 ~]# firewall-cmd --zone=work --list-icmp-blocks
-[root@centos8 ~]#
-</code>
-Pour ajouter le port 591/tcp à la zone work, utilisez la commande suivante :
-<code>
-[root@centos8 ~]# firewall-cmd --zone=work --add-port=591/tcp
-success
-[root@centos8 ~]# firewall-cmd --zone=work --list-ports
-/tcp
-</code>
-Pour supprimer le port 591/tcp à la zone work, utilisez la commande suivante :
-<code>
-root@centos8 ~]# firewall-cmd --zone=work --remove-port=591/tcp
-success
-[root@centos8 ~]# firewall-cmd --zone=work --list-ports
-[root@centos8 ~]#
-</code>
-Pour créer un nouveau service, il convient de :
-  * copier un fichier existant se trouvant dans le répertoire **/usr/lib/firewalld/services** vers **/etc/firewalld/services**,
-  * modifier le fichier,
-  * recharger la configuration de firewalld,
-  * vérifier que firewalld voit le nouveau service.
-Par exemple :
-<code>
-[root@centos8 ~]# cp /usr/lib/firewalld/services/http.xml /etc/firewalld/services/filemaker.xml
-[root@centos8 ~]# vi /etc/firewalld/services/filemaker.xml
-[root@centos8 ~]# cat /etc/firewalld/services/filemaker.xml
-<?xml version="1.0" encoding="utf-8"?>
-<service>
-  <short>FileMakerPro</short>
-  <description>Fichier de service firewalld pour FileMaker Pro</description>
-  <port protocol="tcp" port="591"/>
-</service>
-[root@centos8 ~]# firewall-cmd --reload
-success
-[root@centos8 ~]# firewall-cmd --get-services | grep filemaker
-RH-Satellite-6 amanda-client amanda-k5-client amqp amqps apcupsd audit bacula bacula-client bb bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc bittorrent-lsd ceph ceph-mon cfengine cockpit collectd condor-collector ctdb dhcp dhcpv6 dhcpv6-client distcc dns dns-over-tls docker-registry docker-swarm dropbox-lansync elasticsearch etcd-client etcd-server filemaker finger freeipa-4 freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp galera ganglia-client ganglia-master git grafana gre high-availability http https imap imaps ipp ipp-client ipsec irc ircs iscsi-target isns jenkins kadmin kdeconnect kerberos kibana klogin kpasswd kprop kshell kube-apiserver ldap ldaps libvirt libvirt-tls lightning-network llmnr managesieve matrix mdns memcache minidlna mongodb mosh mountd mqtt mqtt-tls ms-wbt mssql murmur mysql nfs nfs3 nmea-0183 nrpe ntp nut openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole plex pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy prometheus proxy-dhcp ptp pulseaudio puppetmaster quassel radius rdp redis redis-sentinel rpc-bind rquotad rsh rsyncd rtsp salt-master samba samba-client samba-dc sane sip sips slp smtp smtp-submission smtps snmp snmptrap spideroak-lansync spotify-sync squid ssdp ssh steam-streaming svdrp svn syncthing syncthing-gui synergy syslog syslog-tls telnet tentacle tftp tftp-client tile38 tinc tor-socks transmission-client upnp-client vdsm vnc-server wbem-http wbem-https wsman wsmans xdmcp xmpp-bosh xmpp-client xmpp-local xmpp-server zabbix-agent zabbix-server
-</code>
-====4.4 - La Configuration Avancée de firewalld====
-La configuration de base de firewalld ne permet que la configuration des zones, services, blocs ICMP et les ports non-standard. Cependant firewalld peut également être configuré avec des **Rich Rules** ou **//Règles Riches//**. Rich Rules ou Règles Riches évaluent des **critères** pour ensuite entreprendre une **action**.
-Les **Critères** sont :
-  * **source address="<adresse_IP>"**
-  * **destination address="<adresse_IP>"**,
-  * **rule port port="<numéro_du_port>"**,
-  * **service name=<nom_d'un_sevice_prédéfini>**.
-Les **Actions** sont :
-  * **accept**,
-  * **reject**,
-    * une Action reject peut être associée avec un message d'erreur spécifique par la clause **type="<type_d'erreur>**,
-  * **drop**.
-Saisissez la commande suivante pour ouvrir le port 80 :
-<code>
-[root@centos8 ~]# firewall-cmd --add-rich-rule='rule port port="80" protocol="tcp" accept'
-success
-[root@centos8 ~]# firewall-cmd --list-all
-work (active)
-  target: default
-  icmp-block-inversion: no
-  interfaces: ens18
-  sources:
-  services: cockpit dhcpv6-client ssh
-  ports:
-  protocols:
-  masquerade: no
-  forward-ports:
-  source-ports:
-  icmp-blocks:
-  rich rules:
-        rule port port="80" protocol="tcp" accept
-</code>
-<WRAP center round important 50%>
-**Important** - Notez que la Rich Rule doit être entourée de caractères **'**.
-</WRAP>
-Saisissez la commande suivante pour visualiser la règle nftables :
-<code>
-[root@centos8 ~]# nft list ruleset | grep 80
-                ip6 daddr fe80::/64 udp dport 546 ct state { new, untracked } accept
-                tcp dport 80 ct state { new, untracked } accept
-</code>
-Cette nouvelle règle est écrite en mémoire mais non pas sur disque :
-<code>
-[root@centos8 ~]# ls -l /etc/firewalld/zones/
-total 12
--rw-r--r--. 1 root root 380 Jun 16 12:02 public.xml
--rw-r--r--. 1 root root 343 Jun 16 06:39 public.xml.old
-</code>
-Pour l'écrire sur disque dans un fichier zone se trouvant dans **/etc/firewalld**, il faut ajouter l'option **--permanent** :
-<code>
-[root@centos7 ~]# firewall-cmd --add-rich-rule='rule port port="80" protocol="tcp" accept' --permanent
-success
-[root@centos8 ~]# ls -l /etc/firewalld/zones/
-total 12
--rw-r--r--. 1 root root 380 Jun 16 12:02 public.xml
--rw-r--r--. 1 root root 343 Jun 16 06:39 public.xml.old
--rw-r--r--. 1 root root 409 Aug 30 06:43 work.xml
-[root@centos8 ~]# cat /etc/firewalld/zones/work.xml
-<?xml version="1.0" encoding="utf-8"?>
-<zone>
-  <short>Work</short>
-  <description>For use in work areas. You mostly trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
-  <service name="ssh"/>
-  <service name="dhcpv6-client"/>
-  <service name="cockpit"/>
-  <rule>
-    <port port="80" protocol="tcp"/>
-    <accept/>
-  </rule>
-</zone>
-</code>
-<WRAP center round important 50%>
-Attention ! La règle ajoutée avec l'option --permanent n'est pas prise en compte imédiatement mais uniquement au prochain redémmarge. Pour qu'une règle soit appliquée immédiatement **et** être écrite sur disque, il faut saisir la commande deux fois dont une avec l'option --permanent et l'autre sans l'option --permanent.
-</WRAP>
-Notez que la Rich Rule est créée dans la Zone par Défaut. Il est possible de créer une Rich Rule dans une autre zone en utilisant l'option **--zone=<zone>** de la commande firewall-cmd :
-<code>
-[root@centos8 ~]# firewall-cmd --zone=public --add-rich-rule='rule port port="80" protocol="tcp" accept'
-success
-[root@centos8 ~]# firewall-cmd --list-all --zone=public
-public
-  target: default
-  icmp-block-inversion: no
-  interfaces:
-  sources:
-  services: cockpit dhcpv6-client ssh
-  ports: 5901/tcp
-  protocols:
-  masquerade: no
-  forward-ports:
-  source-ports:
-  icmp-blocks:
-  rich rules:
-        rule port port="80" protocol="tcp" accept
-</code>
-Pour supprimer une Rich Rule, il faut copier la ligne entière la concernant qui se trouve dans la sortie de la commande **firewall-cmd --list-all-zones** :
-<code>
-[root@centos8 ~]# firewall-cmd --zone=public --remove-rich-rule='rule port port="80" protocol="tcp" accept'
-success
-[root@centos8 ~]# firewall-cmd --list-all --zone=public
-public
-  target: default
-  icmp-block-inversion: no
-  interfaces:
-  sources:
-  services: cockpit dhcpv6-client ssh
-  ports: 5901/tcp
-  protocols:
-  masquerade: no
-  forward-ports:
-  source-ports:
-  icmp-blocks:
-  rich rules:
-</code>
-====4.5 - Le mode Panic de firewalld====
-Le mode Panic de firewalld permet de bloquer tout le trafic avec une seule commande. Pour connaître l'état du mode Panic, utilisez la commande suivante :
-<code>
-[root@centos7 ~]# firewall-cmd --query-panic
-no
-</code>
-Pour activer le mode Panic, il convient de saisir la commande suivante :
-<code>
-# firewall-cmd --panic-on
-</code>
-<WRAP center round warning 60%>
-**Attention** - Veuillez ne **PAS** saisir la commande ci-dessus.
-</WRAP>
-Pour désactiver le mode Panic, il convient de saisir la commande suivante :
-<code>
-# firewall-cmd --panic-off
-</code>
-<WRAP center round warning 60%>
-**Attention** - Veuillez ne **PAS** saisir la commande ci-dessus.
-</WRAP>
-=====LAB #5 - L'Utilisation de SELinux=====
-====5.1 - Introducton====
-L'approche %%SELinux%% (//Security Enhanced Linux//) à la sécurité est une approche de type **TE**. Elle essaie aussi d'intégrer les notions des approches de type **RBAC**, **MAC** et **MLS** sous la forme de **MCS** :
-ur
-^ Type de Sécurité ^ Nom ^ Description ^
-| TE |  //Type enforcement//  | Chaque objet a une étiquette appelé //type// pour un fichier et //domaine// pour un processus. La politique de sécurité définit l'interaction entre les types et les domaines. |
-| RBAC |  //Role Based Access Control//  | Un utilisateur a un ou plusieurs rôles. Les droits sont attribués aux rôles. |
-| MAC |  //Mandatory Access Control//  | L'accès aux objets est en fonction de la classification de l'objet (Très secret, Secret, Confidentiel, Public). L'administrateur définit la politique de sécurité et les utilisateurs s'y conforment. |
-| MLS |  //Multi-Level Security//  | Les politiques de sécurité imposent que qu'un sujet doit dominer un objet pour pouvoir le lire tandis que l'objet doit dominer le sujet pour que ce dernier puisse y écrire. |
-Même quand le modèle %%SELinux%% de sécurité est actif, la sécurité type DAC est toujours active. Cependant dans le cas où la sécurité du type DAC autorise une action, %%SELinux%% va évaluer cette action par rapport à ses propres règles avant de l'autoriser.
-%%SELinux%% évalue toujours des **//actions//** tentées par des **//sujets//** sur des **//objets//**.
-Dans le contexte de %%SELinux%% :
-  * un **//sujet//** est toujours un **processus**,
-  * un **//objet//** peut être un fichier, un répertoire, un autre processus ou une ressource système,
-  * une **//action//** est une **permission**.
-Chaque **//classe d'objet//** possède un jeu de permissions possibles ou **//actions//** qui peuvent être uniques à la classe ou bien **héritées** d'autres classes.
-===Security Context===
-%%SELinux%% associe un //Security Context// (SC) à chaque **//objet//** et **//sujet//** du système.
-Un SC prend la forme **identité:rôle:type:niveau** :
-^ Nom ^ Descriptions ^
-| Identité | Le nom du propriétaire de l'objet. Une identité est associée à des rôles. Par défaut l'utilisateur à une identité de **user_u**. |
-| Rôle | Essentiellement appliqué aux processus, le rôle est appelé une domaine. Dans le cas d'un rôle de fichier, celui-ci est toujours **object_r**. Un rôle se termine généralement par **_r**. |
-| Type | Définit la classification de sécurité de l'objet. Un type se termine généralement par **_t**.|
-| Niveau | Un niveau est un attribut de MLS et MCS. Une plage MLS est une paire de niveaux exprimée en utilisant la syntaxe //niveaubas-niveauhaut//. Chaque niveau est une paire exprimée en tant que sensibilitéhaut-sensibilitébas:catégoriehaut:catégoriebas par exemple s0-s0:c0.c1023. Il est important de noter que s0-s0 s'exprime aussi s0 et c0, c1, c2, c3 est exprimé c0.c3. |
-Sous RHEL/CentOS 7, le fichier **/etc/selinux/targeted/setrans.conf** contient la correspondance entre les niveaux et leurs valeurs compréhensibles par l'utilisateur :
-<code>
-[root@centos7 /]# cat /etc/selinux/targeted/setrans.conf
-#
-# Multi-Category Security translation table for SELinux
-#
-# Uncomment the following to disable translation libary
-# disable=1
-#
-# Objects can be categorized with 0-1023 categories defined by the admin.
-# Objects can be in more than one category at a time.
-# Categories are stored in the system as c0-c1023.  Users can use this
-# table to translate the categories into a more meaningful output.
-# Examples:
-# s0:c0=CompanyConfidential
-# s0:c1=PatientRecord
-# s0:c2=Unclassified
-# s0:c3=TopSecret
-# s0:c1,c3=CompanyConfidentialRedHat
-s0=SystemLow
-s0-s0:c0.c1023=SystemLow-SystemHigh
-s0:c0.c1023=SystemHigh
-</code>
-Dans le contexte d'un SC pour un **//sujet//**, le champ **identité** indique les privilèges de l'utilisateur %%SELinux%% utilisés par le **//sujet//**.
-Dans le contexte d'un SC pour un **//objet//**, le champ **identité** indique à quel utilisateur %%SELinux%% appartient l'**//objet//**.
-%%SELinux%% maintient sa propre liste d'utilisateurs, différente de la liste DAC de Linux. Il existe cependant une correspondance entre les deux listes de façon à ce que les utilisateurs MAC puissent être soumissent aux restrictions de %%SELinux%% :
-<code>
-[root@centos8 ~]# /usr/sbin/semanage login -l
-Login Name           SELinux User         MLS/MCS Range        Service
-__default__          unconfined_u         s0-s0:c0.c1023       *
-root                 unconfined_u         s0-s0:c0.c1023       *
-</code>
-===Domains et Types===
-Le **Domain** est l'endroit d'exécution d'un processus. Chaque processus a un **Domain**. Le **Domain** détermine les accès du processus.
-Le **Domain** contient des **//objets//** et des **//sujets//** qui interagissent ensemble. Ce modèle, où chaque **//sujet//** se voit attribué à un **Domain** et où uniquement certaines opérations sont permises, est appelé **//Type Enforcement//**.
-Dans %%SELinux%% on utilise le mot :
-  * **Domain** pour un processus,
-  * **Type** pour un fichier.
-===Roles===
-Un **Rôle** est comme un utilisateur dans le système de sécurité DAC de Linux. Chaque utilisateur autorisé peut assumer l'identité du **Rôle** afin d'exécuter les commandes liées au **Rôle**.
-===Politiques de Sécurité===
-Une politique de sécurité définit les SC de chaque application. Elle définit des droits d'accès des domaines aux types. Il y a deux types de politique possible :
-^ Politique ^ Description ^
-| targeted | Les politiques de sécurité ne s'appliquent qu'à certaines applications |
-| mls | Multi Level Security protection |
-Les politiques de sécurité se trouvent dans le répertoire **/etc/selinux** :
-<code>
-[root@centos8 ~]# ls -lR /etc/selinux/ | more
-/etc/selinux/:
-total 8
--rw-r--r--. 1 root root  548 Sep  5 07:26 config
--rw-r--r--. 1 root root 2647 Feb  3  2021 semanage.conf
-drwxr-xr-x. 5 root root  133 Jun 16 11:34 targeted
-/etc/selinux/targeted:
-total 16
--rw-r--r--. 1 root root 2367 Mar 18 12:30 booleans.subs_dist
-drwxr-xr-x. 4 root root 4096 Jun 16 06:27 contexts
-drwxr-xr-x. 2 root root    6 Mar 18 12:30 logins
-drwxr-xr-x. 2 root root   23 Jun 16 11:34 policy
--rw-r--r--. 1 root root  607 Mar 18 12:30 setrans.conf
--rw-r--r--. 1 root root   73 Jun 16 11:34 seusers
-/etc/selinux/targeted/contexts:
-total 68
--rw-r--r--. 1 root root  262 Jun 16 06:27 customizable_types
--rw-r--r--. 1 root root  195 Mar 18 12:29 dbus_contexts
--rw-r--r--. 1 root root 1111 Mar 18 12:29 default_contexts
--rw-r--r--. 1 root root  114 Mar 18 12:29 default_type
--rw-r--r--. 1 root root   29 Mar 18 12:29 failsafe_context
-drwxr-xr-x. 2 root root  213 Jun 16 11:34 files
--rw-r--r--. 1 root root   30 Mar 18 12:29 initrc_context
--rw-r--r--. 1 root root  372 Mar 18 12:29 lxc_contexts
--rw-r--r--. 1 root root   27 Mar 18 12:29 openssh_contexts
--rw-r--r--. 1 root root   33 Mar 18 12:29 removable_context
--rw-r--r--. 1 root root   74 Mar 18 12:30 securetty_types
--rw-r--r--. 1 root root 1170 Mar 18 12:29 sepgsql_contexts
--rw-r--r--. 1 root root   53 Mar 18 12:29 snapperd_contexts
--rw-r--r--. 1 root root   57 Mar 18 12:29 systemd_contexts
--rw-r--r--. 1 root root   33 Mar 18 12:29 userhelper_context
-drwxr-xr-x. 2 root root  114 Jun 16 06:26 users
--rw-r--r--. 1 root root   62 Mar 18 12:29 virtual_domain_context
--rw-r--r--. 1 root root   71 Mar 18 12:29 virtual_image_context
--rw-r--r--. 1 root root 2920 Mar 18 12:29 x_contexts
-/etc/selinux/targeted/contexts/files:
-total 1000
--rw-r--r--. 1 root root 404956 Jun 16 11:33 file_contexts
--rw-r--r--. 1 root root 570698 Jun 16 11:33 file_contexts.bin
--rw-r--r--. 1 root root  13880 Jun 16 11:33 file_contexts.homedirs
--rw-r--r--. 1 root root  19104 Jun 16 11:33 file_contexts.homedirs.bin
--rw-r--r--. 1 root root      0 Mar 18 12:30 file_contexts.local
---More--
-</code>
-Afin d'utiliser SELinux en ligne de commande sous RHEL/CentOS 8, il est nécessaire d'installer le paquet **setools-console** :
-<code>
-[root@centos8 ~]# dnf -y install setools-console
-</code>
-Pour consulter les statistiques de la politique, il convient d'utiliser la commande **seinfo** :
-<code>
-[root@centos8 ~]# seinfo
-Statistics for policy file: /sys/fs/selinux/policy
-Policy Version:             31 (MLS enabled)
-Target Policy:              selinux
-Handle unknown classes:     allow
-  Classes:             132    Permissions:         463
-  Sensitivities:         1    Categories:         1024
-  Types:              4961    Attributes:          255
-  Users:                 8    Roles:                14
-  Booleans:            340    Cond. Expr.:         389
-  Allow:            113109    Neverallow:            0
-  Auditallow:          166    Dontaudit:         10373
-  Type_trans:       252830    Type_change:          87
-  Type_member:          35    Range_trans:        6015
-  Role allow:           37    Role_trans:          423
-  Constraints:          72    Validatetrans:         0
-  MLS Constrain:        72    MLS Val. Tran:         0
-  Permissives:           0    Polcap:                5
-  Defaults:              7    Typebounds:            0
-  Allowxperm:            0    Neverallowxperm:       0
-  Auditallowxperm:       0    Dontauditxperm:        0
-  Ibendportcon:          0    Ibpkeycon:             0
-  Initial SIDs:         27    Fs_use:               33
-  Genfscon:            106    Portcon:             640
-  Netifcon:              0    Nodecon:               0
-</code>
-<WRAP center round important 50%>
-**Important** : Notez ici le grand nombre de la catégorie **Dontaudit**.
-</WRAP>
-===Langage de Politiques===
-Un politique est composé de centaines de directives. Les principales directives sont :
-==allow==
-**allow** autorise l'accès d'un processus d'un domaine à des fichiers appartenant à un type donné. Le format de la directive est :
-  allow user_t domaine_t : file (read execute getattr) ;
-Dans cette directive :
-  * user_t est le type de fichier,
-  * domaine_t est le domaine des processus qui sont autorisés par allow,
-  * file (droit1 droit2 etc) est la liste des permissions accordées.
-Les permissions possibles sont :
-  * read
-  * write
-  * append
-  * execute
-  * getattr
-  * setattr
-  * lock
-  * link
-  * unlink
-  * rename
-  * ioctl
-==type==
-La directive **type** définit un type %%SELinux%%. Le type se termine généralement par **_t**.
-**auditallow, dontaudit**
-La directive **auditallow** demande l'écriture d'un message de type **avc** dans les journaux. Elle n'est associée à aucune restriction.
-L'inverse peut être obtenue avec **dontaudit**, à savoir, cette directive demande à ce qu'il n'y ait pas de journalisation après une interdiction.
-===type_transition===
-Normalement quand un fichier est créé, il hérite du SC du répertoire parent. De même quand un processus %%SELinux%% active un nouveau processus, ce dernier s'exécute dans le même domaine que son parent. La directive type_transition permet de modifier ce comportement.
-===Décisions de SELinux===
-Il existe deux types de décisions auxquelles %%SELinux%% doit faire face :
-  * **Décisions d'Accès**
-  * **Décisions de Transition**
-==Décisions d'Accès==
-Dans ce type de décision %%SELinux%% doit décider d'accorder ou non la permission à :
-  * un **//sujet//** de faire quelque chose à un **//objet//** existant,
-  * un **//sujet//** de créer de nouvelles choses dans le **Domain**.
-==Décisions de Transition==
-Dans ce type de décision %%SELinux%% doit décider d'accorder ou non la permission :
-  * d'invoquer un processus dans un **Domain** différent du **Domain** courant du **//sujet//**,
-  * de créer des **//objets//** dans différents **Types** que le répertoire parent de l'**//objet//**.
-===Commandes SELinux===
-^ Commande ^ Description ^
-| chcon | Changer le SC d'un fichier |
-| audit2allow | Générer la source de la règle de sécurité à l'origine d'une erreur |
-| restorecon | Restaurer le SC par défaut à un ou plusieurs fichiers |
-| setfiles -n | Vérifier si les SC sont corrects  |
-| semodule | Gèrer les modules de politiques |
-| semodule -i | Installer un module de politiques |
-| checkmodule | Compiler un module |
-| semodule_package | Créer un module installable par semodule |
-| semanage | Administrer une politique |
-| audit2allow -M | Créer un module à partir d'un message d'audit |
-| sesearch | Recherche des règles %%SELinux%% |
-| seinfo | Effectuer des recherches dans la politique |
-| getsebool | Affiche l'état d'un booléen |
-| getsebool -a | Affiche l'état de l'ensemble des booléens |
-| sestatus -b | Affiche l'état de l'ensemble des booléens |
-| setsebool | Modifie l'état d'un booléen |
-| togglesebool | Bascule la valeur d'un booléen |
-===Les Etats de SELinux===
-%%SELinux%% connait trois états :
-^ Etat ^ Description ^
-| disabled | %%SELinux%% est inactif. |
-| permissive | %%SELinux%% est actif mais tout est permis. Des interdictions ne font que de générer des messages d'erreurs dans les logs. |
-| enforcing | %%SELinux%% est actif. |
-L'examen du contenu du fichier **/selinux/enforce** révèle une de deux valeurs qui correspondent à l'**état** de %%SELinux%% :
-^ Valeur ^ Description ^
-| 0 | %%SELinux%% est en mode //permissive// |
-| 1 | %%SELinux%% est en mode //enforcing// |
-La configuration de l'activation de %%SELinux%% ainsi que son état est effectuée grâce au fichier **/etc/selinux/config** :
-<code>
-[root@centos8 ~]# cat /etc/selinux/config
-# This file controls the state of SELinux on the system.
-# SELINUX= can take one of these three values:
-#     enforcing - SELinux security policy is enforced.
-#     permissive - SELinux prints warnings instead of enforcing.
-#     disabled - No SELinux policy is loaded.
-SELINUX=permissive
-# SELINUXTYPE= can take one of these three values:
-#     targeted - Targeted processes are protected,
-#     minimum - Modification of targeted policy. Only selected processes are protected.
-#     mls - Multi Level Security protection.
-SELINUXTYPE=targeted
-</code>
-Afin de connaître l'état de %%SELinux%%, il convient d'utiliser la commande **getenforce** :
-<code>
-[root@centos8 ~]# getenforce
-Permissive
-</code>
-Pour modifier l'état de %%SELinux%%, il convient d'utiliser la commande **setenforce** :
-<code>
-[root@centos8 ~]# setenforce enforcing
-[root@centos8 ~]# getenforce
-Enforcing
-</code>
-La commande **sestatus** vous informe sur la configuration de %%SELinux%% et notamment sur la version de la politique utilisée :
-<code>
-[root@centos8 ~]# sestatus
-SELinux status:                 enabled
-SELinuxfs mount:                /sys/fs/selinux
-SELinux root directory:         /etc/selinux
-Loaded policy name:             targeted
-Current mode:                   enforcing
-Mode from config file:          permissive
-Policy MLS status:              enabled
-Policy deny_unknown status:     allowed
-Memory protection checking:     actual (secure)
-Max kernel policy version:      33
-</code>
-Les différentes versions de politiques évolue en même temps que le noyau Linux.
-La commande sestatus peut aussi prendre l'option -v :
-<code>
-[root@centos8 ~]# sestatus -v
-SELinux status:                 enabled
-SELinuxfs mount:                /sys/fs/selinux
-SELinux root directory:         /etc/selinux
-Loaded policy name:             targeted
-Current mode:                   enforcing
-Mode from config file:          permissive
-Policy MLS status:              enabled
-Policy deny_unknown status:     allowed
-Memory protection checking:     actual (secure)
-Max kernel policy version:      33
-Process contexts:
-Current context:                unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
-Init context:                   system_u:system_r:init_t:s0
-/usr/sbin/sshd                  system_u:system_r:sshd_t:s0-s0:c0.c1023
-File contexts:
-Controlling terminal:           unconfined_u:object_r:user_devpts_t:s0
-/etc/passwd                     system_u:object_r:passwd_file_t:s0
-/etc/shadow                     system_u:object_r:shadow_t:s0
-/bin/bash                       system_u:object_r:shell_exec_t:s0
-/bin/login                      system_u:object_r:login_exec_t:s0
-/bin/sh                         system_u:object_r:bin_t:s0 -> system_u:object_r:shell_exec_t:s0
-/sbin/agetty                    system_u:object_r:getty_exec_t:s0
-/sbin/init                      system_u:object_r:bin_t:s0 -> system_u:object_r:init_exec_t:s0
-/usr/sbin/sshd                  system_u:object_r:sshd_exec_t:s0
-</code>
-===Booléens===
-Les booléens permettent à des ensembles de règles d'être utilisées d'une manière alternative.
-Pour visualiser l'état l'ensemble des booléens, il convient d'utiliser la commande **getsebool -a** :
-<code>
-[root@centos8 ~]# getsebool -a | more
-abrt_anon_write --> off
-abrt_handle_event --> off
-abrt_upload_watch_anon_write --> on
-antivirus_can_scan_system --> off
-antivirus_use_jit --> off
-auditadm_exec_content --> on
-authlogin_nsswitch_use_ldap --> off
-authlogin_radius --> off
-authlogin_yubikey --> off
-awstats_purge_apache_log_files --> off
-boinc_execmem --> on
-cdrecord_read_content --> off
-cluster_can_network_connect --> off
-cluster_manage_all_files --> off
-cluster_use_execmem --> off
-cobbler_anon_write --> off
-cobbler_can_network_connect --> off
-cobbler_use_cifs --> off
-cobbler_use_nfs --> off
-collectd_tcp_network_connect --> off
-colord_use_nfs --> off
-condor_tcp_network_connect --> off
-conman_can_network --> off
-conman_use_nfs --> off
-container_connect_any --> off
-container_manage_cgroup --> off
-container_use_cephfs --> off
-cron_can_relabel --> off
-cron_system_cronjob_use_shares --> off
-cron_userdomain_transition --> on
-cups_execmem --> off
-cvs_read_shadow --> off
-daemons_dump_core --> off
-daemons_enable_cluster_mode --> off
-daemons_use_tcp_wrapper --> off
-daemons_use_tty --> off
-dbadm_exec_content --> on
-dbadm_manage_user_files --> off
-dbadm_read_user_files --> off
-deny_bluetooth --> off
-deny_execmem --> off
-deny_ptrace --> off
-dhcpc_exec_iptables --> off
-dhcpd_use_ldap --> off
---More--
-</code>
-ou la commande **sestatus -b** :
-<code>
-[root@centos8 ~]# sestatus -b | more
-SELinux status:                 enabled
-SELinuxfs mount:                /sys/fs/selinux
-SELinux root directory:         /etc/selinux
-Loaded policy name:             targeted
-Current mode:                   enforcing
-Mode from config file:          permissive
-Policy MLS status:              enabled
-Policy deny_unknown status:     allowed
-Memory protection checking:     actual (secure)
-Max kernel policy version:      33
-Policy booleans:
-abrt_anon_write                             off
-abrt_handle_event                           off
-abrt_upload_watch_anon_write                on
-antivirus_can_scan_system                   off
-antivirus_use_jit                           off
-auditadm_exec_content                       on
-authlogin_nsswitch_use_ldap                 off
-authlogin_radius                            off
-authlogin_yubikey                           off
-awstats_purge_apache_log_files              off
-boinc_execmem                               on
-cdrecord_read_content                       off
-cluster_can_network_connect                 off
-cluster_manage_all_files                    off
-cluster_use_execmem                         off
-cobbler_anon_write                          off
-cobbler_can_network_connect                 off
-cobbler_use_cifs                            off
-cobbler_use_nfs                             off
-collectd_tcp_network_connect                off
-colord_use_nfs                              off
-condor_tcp_network_connect                  off
-conman_can_network                          off
-conman_use_nfs                              off
-container_connect_any                       off
-container_manage_cgroup                     off
-container_use_cephfs                        off
-cron_can_relabel                            off
-cron_system_cronjob_use_shares              off
-cron_userdomain_transition                  on
-cups_execmem                                off
-cvs_read_shadow                             off
---More--
-</code>
-Pour fixer l'état d'un booléen, il convient d'utiliser la commande setsebool :
-<code>
-[root@centos8 ~]# setsebool antivirus_can_scan_system 1
-[root@centos8 ~]# getsebool antivirus_can_scan_system
-antivirus_can_scan_system --> on
-[root@centos8 ~]# setsebool antivirus_can_scan_system 0
-[root@centos8 ~]# getsebool antivirus_can_scan_system
-antivirus_can_scan_system --> off
-</code>
-Afin reconstruire la politique actuelle **sans** les règles **dontaudit**, utilisez la commande **semodule** :
-<code>
-[root@centos7 ~]# semodule -DB
-</code>
-Vérifiez qu'il ne reste aucune règle de type **dontaudit** :
-<code>
-[root@centos8 ~]# seinfo
-Statistics for policy file: /sys/fs/selinux/policy
-Policy Version:             31 (MLS enabled)
-Target Policy:              selinux
-Handle unknown classes:     allow
-  Classes:             132    Permissions:         463
-  Sensitivities:         1    Categories:         1024
-  Types:              4961    Attributes:          255
-  Users:                 8    Roles:                14
-  Booleans:            340    Cond. Expr.:         389
-  Allow:            113109    Neverallow:            0
-  Auditallow:          166    Dontaudit:             0
-  Type_trans:       252830    Type_change:          87
-  Type_member:          35    Range_trans:        6015
-  Role allow:           37    Role_trans:          423
-  Constraints:          72    Validatetrans:         0
-  MLS Constrain:        72    MLS Val. Tran:         0
-  Permissives:           0    Polcap:                5
-  Defaults:              7    Typebounds:            0
-  Allowxperm:            0    Neverallowxperm:       0
-  Auditallowxperm:       0    Dontauditxperm:        0
-  Ibendportcon:          0    Ibpkeycon:             0
-  Initial SIDs:         27    Fs_use:               33
-  Genfscon:            106    Portcon:             640
-  Netifcon:              0    Nodecon:               0
-</code>
-====5.2 - Copier et Déplacer des Fichiers====
-Créez deux fichiers **file1** et **file2** en tant que l'utilisateur **trainee** puis visualisez les SC des fichiers :
-<code>
-[root@centos7 /]# exit
-logout
-[trainee@centos7 ~]$ touch file1 file2
-[trainee@centos8 ~]$ ls -lZ file*
--rw-rw-r--. 1 trainee trainee unconfined_u:object_r:user_home_t:s0 0 Sep  5 08:42 file1
--rw-rw-r--. 1 trainee trainee unconfined_u:object_r:user_home_t:s0 0 Sep  5 08:42 file2
-</code>
-Notez que le type des deux fichiers est **user_home_t**.
-Copiez maintenant le fichier **file1** vers **/tmp** en utilisant la commande **cp** et visualiser son SC :
-<code>
-[trainee@centos8 ~]$ cp file1 /tmp
-[trainee@centos8 ~]$ ls -lZ /tmp/file1
--rw-rw-r--. 1 trainee trainee unconfined_u:object_r:user_tmp_t:s0 0 Sep  5 08:43 /tmp/file1
-</code>
-Notez que le fichier ainsi copié a hérité du **type** du répertoire parent, à savoir **tmp_t**.
-Déplacez maintenant le fichier **file2** dans le répertoire **/tmp** et contrôlez son SC :
-<code>
-[trainee@centos8 ~]$ mv file2 /tmp
-[trainee@centos8 ~]$ ls -lZ /tmp/file2
--rw-rw-r--. 1 trainee trainee unconfined_u:object_r:user_home_t:s0 0 Sep  5 08:42 /tmp/file2
-</code>
-Notez que la commande **mv** maintient le **type** d'origine.
-====5.3 - Vérifier les SC des Processus====
-Il convient d'utiliser l'option **Z** avec la commande **ps** :
-<code>
-[trainee@centos8 ~]$ ps auxZ | more
-LABEL                           USER         PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
-system_u:system_r:init_t:s0     root           1  0.0  0.2 254000 11064 ?        Ss   Sep03   0:04 /usr/lib/systemd/systemd --switched-root --system --deserialize 17
-system_u:system_r:kernel_t:s0   root           2  0.0  0.0      0     0 ?        S    Sep03   0:00 [kthreadd]
-system_u:system_r:kernel_t:s0   root           3  0.0  0.0      0     0 ?        I<   Sep03   0:00 [rcu_gp]
-system_u:system_r:kernel_t:s0   root           4  0.0  0.0      0     0 ?        I<   Sep03   0:00 [rcu_par_gp]
-system_u:system_r:kernel_t:s0   root           6  0.0  0.0      0     0 ?        I<   Sep03   0:00 [kworker/0:0H-events_highpri]
-system_u:system_r:kernel_t:s0   root           9  0.0  0.0      0     0 ?        I<   Sep03   0:00 [mm_percpu_wq]
-system_u:system_r:kernel_t:s0   root          10  0.0  0.0      0     0 ?        S    Sep03   0:00 [ksoftirqd/0]
-system_u:system_r:kernel_t:s0   root          11  0.0  0.0      0     0 ?        R    Sep03   0:08 [rcu_sched]
-system_u:system_r:kernel_t:s0   root          12  0.0  0.0      0     0 ?        S    Sep03   0:00 [migration/0]
-system_u:system_r:kernel_t:s0   root          13  0.0  0.0      0     0 ?        S    Sep03   0:00 [watchdog/0]
-system_u:system_r:kernel_t:s0   root          14  0.0  0.0      0     0 ?        S    Sep03   0:00 [cpuhp/0]
-system_u:system_r:kernel_t:s0   root          15  0.0  0.0      0     0 ?        S    Sep03   0:00 [cpuhp/1]
-system_u:system_r:kernel_t:s0   root          16  0.0  0.0      0     0 ?        S    Sep03   0:00 [watchdog/1]
-system_u:system_r:kernel_t:s0   root          17  0.0  0.0      0     0 ?        S    Sep03   0:00 [migration/1]
-system_u:system_r:kernel_t:s0   root          18  0.0  0.0      0     0 ?        S    Sep03   0:01 [ksoftirqd/1]
-system_u:system_r:kernel_t:s0   root          20  0.0  0.0      0     0 ?        I<   Sep03   0:00 [kworker/1:0H-events_highpri]
-system_u:system_r:kernel_t:s0   root          21  0.0  0.0      0     0 ?        S    Sep03   0:00 [cpuhp/2]
-system_u:system_r:kernel_t:s0   root          22  0.0  0.0      0     0 ?        S    Sep03   0:00 [watchdog/2]
-system_u:system_r:kernel_t:s0   root          23  0.0  0.0      0     0 ?        S    Sep03   0:00 [migration/2]
-system_u:system_r:kernel_t:s0   root          24  0.0  0.0      0     0 ?        S    Sep03   0:00 [ksoftirqd/2]
-system_u:system_r:kernel_t:s0   root          26  0.0  0.0      0     0 ?        I<   Sep03   0:00 [kworker/2:0H-events_highpri]
-system_u:system_r:kernel_t:s0   root          27  0.0  0.0      0     0 ?        S    Sep03   0:00 [cpuhp/3]
-system_u:system_r:kernel_t:s0   root          28  0.0  0.0      0     0 ?        S    Sep03   0:00 [watchdog/3]
-system_u:system_r:kernel_t:s0   root          29  0.0  0.0      0     0 ?        S    Sep03   0:00 [migration/3]
-system_u:system_r:kernel_t:s0   root          30  0.0  0.0      0     0 ?        S    Sep03   0:00 [ksoftirqd/3]
-system_u:system_r:kernel_t:s0   root          32  0.0  0.0      0     0 ?        I<   Sep03   0:00 [kworker/3:0H-events_highpri]
-system_u:system_r:kernel_t:s0   root          33  0.0  0.0      0     0 ?        S    Sep03   0:00 [cpuhp/4]
-system_u:system_r:kernel_t:s0   root          34  0.0  0.0      0     0 ?        S    Sep03   0:00 [watchdog/4]
-system_u:system_r:kernel_t:s0   root          35  0.0  0.0      0     0 ?        S    Sep03   0:00 [migration/4]
-system_u:system_r:kernel_t:s0   root          36  0.0  0.0      0     0 ?        S    Sep03   0:00 [ksoftirqd/4]
-system_u:system_r:kernel_t:s0   root          38  0.0  0.0      0     0 ?        I<   Sep03   0:00 [kworker/4:0H-events_highpri]
-system_u:system_r:kernel_t:s0   root          39  0.0  0.0      0     0 ?        S    Sep03   0:00 [cpuhp/5]
-system_u:system_r:kernel_t:s0   root          40  0.0  0.0      0     0 ?        S    Sep03   0:00 [watchdog/5]
-system_u:system_r:kernel_t:s0   root          41  0.0  0.0      0     0 ?        S    Sep03   0:00 [migration/5]
-system_u:system_r:kernel_t:s0   root          42  0.0  0.0      0     0 ?        S    Sep03   0:00 [ksoftirqd/5]
-system_u:system_r:kernel_t:s0   root          44  0.0  0.0      0     0 ?        I<   Sep03   0:00 [kworker/5:0H-events_highpri]
-system_u:system_r:kernel_t:s0   root          45  0.0  0.0      0     0 ?        S    Sep03   0:00 [cpuhp/6]
-system_u:system_r:kernel_t:s0   root          46  0.0  0.0      0     0 ?        S    Sep03   0:00 [watchdog/6]
-system_u:system_r:kernel_t:s0   root          47  0.0  0.0      0     0 ?        S    Sep03   0:00 [migration/6]
-system_u:system_r:kernel_t:s0   root          48  0.0  0.0      0     0 ?        S    Sep03   0:00 [ksoftirqd/6]
-system_u:system_r:kernel_t:s0   root          50  0.0  0.0      0     0 ?        I<   Sep03   0:00 [kworker/6:0H-events_highpri]
-system_u:system_r:kernel_t:s0   root          51  0.0  0.0      0     0 ?        S    Sep03   0:00 [cpuhp/7]
-system_u:system_r:kernel_t:s0   root          52  0.0  0.0      0     0 ?        S    Sep03   0:00 [watchdog/7]
---More--
-</code>
-====5.4 - Visualiser la SC d'un Utilisateur====
-Utilisez l'option **-Z** avec la commande **id** :
-<code>
-[trainee@centos8 ~]$ id -Z
-unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
-</code>
-Notez que vous ne pouvez pas consulter le SC d'un autre utilisateur :
-<code>
-[trainee@centos8 ~]$ id root
-uid=0(root) gid=0(root) groups=0(root)
-[trainee@centos8 ~]$ id -Z root
-id: cannot print security context when user specified
-</code>
-====5.5 - Vérifier la SC d'un fichier====
-Il convient d'utiliser la commande ls avec l'option **-Z** :
-<code>
-[trainee@centos8 ~]$ cd /etc
-[trainee@centos8 etc]$ ls -Z l* -dl
--rw-r--r--. 1 root root unconfined_u:object_r:ld_so_cache_t:s0 50535 Sep  1 10:15 ld.so.cache
--rw-r--r--. 1 root root system_u:object_r:etc_t:s0                28 Mar 11 14:41 ld.so.conf
-drwxr-xr-x. 2 root root system_u:object_r:etc_t:s0              4096 Jul 20 11:04 ld.so.conf.d
--rw-r-----. 1 root root system_u:object_r:etc_t:s0               191 Nov  4  2019 libaudit.conf
-drwxr-xr-x. 3 root root system_u:object_r:etc_t:s0                20 Jun 16 06:26 libblockdev
--rw-r--r--. 1 root root system_u:object_r:etc_t:s0               371 May 21 16:43 libguestfs-tools.conf
-drwxr-xr-x. 2 root root system_u:object_r:etc_t:s0               246 Jun 16 06:25 libibverbs.d
-drwxr-xr-x. 2 root root system_u:object_r:etc_t:s0                35 Jun 16 06:24 libnl
-drwxr-xr-x. 2 root root system_u:object_r:etc_t:s0                 6 May 13  2019 libpaper.d
-drwxr-xr-x. 6 root root system_u:object_r:etc_t:s0               171 Jun 16 06:26 libreport
-drwxr-xr-x. 2 root root system_u:object_r:etc_t:s0                62 Jun 16 06:24 libssh
--rw-r--r--. 1 root root system_u:object_r:etc_t:s0              2391 Jul 23  2015 libuser.conf
-drwx------. 6 root root system_u:object_r:virt_etc_t:s0         4096 Sep  2 11:49 libvirt
--rw-r--r--. 1 root root system_u:object_r:locale_t:s0             19 Jun 16 06:53 locale.conf
-lrwxrwxrwx. 1 root root system_u:object_r:locale_t:s0             38 Jun 16 06:53 localtime -> ../usr/share/zoneinfo/America/New_York
--rw-r--r--. 1 root root system_u:object_r:etc_t:s0              2512 Dec  1  2020 login.defs
--rw-r--r--. 1 root root system_u:object_r:etc_t:s0               438 Feb 19  2018 logrotate.conf
-drwxr-xr-x. 2 root root system_u:object_r:etc_t:s0               287 Jul 19 10:39 logrotate.d
-drwxr-xr-x. 3 root root system_u:object_r:etc_t:s0                43 Jun 16 06:26 lsm
-drwxr-xr-x. 6 root root system_u:object_r:lvm_etc_t:s0           100 Jun 16 06:26 lvm
-</code>
-====5.6 - La commande chcon====
-L'interprétation des messages journalisés de %%SELinux%% est souvent la clef d'un dépannage efficace et rapide.
-Si le démon **auditd** est démarré, les messages de %%SELinux%% sont consignés dans le fichier **/var/log/audit/audit.log**. Dans le cas contraire, les mêmes messages sont consignés dans le fichier **/var/log/messages**. Dans les deux cas, chaque message de %%SELinux%% contient le mot clef **AVC** :
-La commande **chcon** permet de modifier //temporairement// une SC.
-<code>
-[trainee@centos8 etc]$ cd ~
-[trainee@centos8 ~]$ chcon --help
-Usage: chcon [OPTION]... CONTEXT FILE...
-  or:  chcon [OPTION]... [-u USER] [-r ROLE] [-l RANGE] [-t TYPE] FILE...
-  or:  chcon [OPTION]... --reference=RFILE FILE...
-Change the SELinux security context of each FILE to CONTEXT.
-With --reference, change the security context of each FILE to that of RFILE.
-Mandatory arguments to long options are mandatory for short options too.
-      --dereference      affect the referent of each symbolic link (this is
-                         the default), rather than the symbolic link itself
-  -h, --no-dereference   affect symbolic links instead of any referenced file
-  -u, --user=USER        set user USER in the target security context
-  -r, --role=ROLE        set role ROLE in the target security context
-  -t, --type=TYPE        set type TYPE in the target security context
-  -l, --range=RANGE      set range RANGE in the target security context
-      --no-preserve-root  do not treat '/' specially (the default)
-      --preserve-root    fail to operate recursively on '/'
-      --reference=RFILE  use RFILE's security context rather than specifying
-                         a CONTEXT value
-  -R, --recursive        operate on files and directories recursively
-  -v, --verbose          output a diagnostic for every file processed
-The following options modify how a hierarchy is traversed when the -R
-option is also specified.  If more than one is specified, only the final
-one takes effect.
-  -H                     if a command line argument is a symbolic link
-                         to a directory, traverse it
-  -L                     traverse every symbolic link to a directory
-                         encountered
-  -P                     do not traverse any symbolic links (default)
-      --help     display this help and exit
-      --version  output version information and exit
-GNU coreutils online help: <https://www.gnu.org/software/coreutils/>
-Full documentation at: <https://www.gnu.org/software/coreutils/chcon>
-or available locally via: info '(coreutils) chcon invocation'
-</code>
-Prenons le cas de la création d'un répertoire à la racine du système de fichiers afin d'y stocker les pages web du serveur apache :
-<code>
-[trainee@centos8 ~]$ su -
-Password: fenestros
-[root@centos8 ~]# mkdir /www
-[root@centos8 ~]# touch /www/index.html
-</code>
-Installez maintenant le serveur Apache :
-<code>
-[root@centos8 ~]# dnf -y install httpd
-</code>
-Modifiez ensuite la directive **%%DocumentRoot%%** dans le fichier **/etc/httpd/conf/httpd.conf** :
-<file>
-[...]
-#DocumentRoot "/var/www/html"
-DocumentRoot "/www"
-[...]
-</file>
-Ajoutez les section **<Directory "/www">**:
-<file>
-...
-#
-# Relax access to content within /var/www.
-#
-<Directory "/var/www">
-    AllowOverride None
-    # Allow open access:
-    Require all granted
-</Directory>
-<Directory "/www">
-        Options Indexes FollowSymLinks
-        AllowOverride None
-        Require all granted
-</Directory>
-# Further relax access to the default document root:
-<Directory "/var/www/html">
-...
-</Directory>
-# Further relax access to the default document root:
-<Directory "/var/www/html">
-...
-</file>
-Sauvegardez et quittez le fichier. Créez le fichier **/www/index.html** :
-<code>
-[root@centos8 ~]# vi /www/index.html
-[root@centos8 ~]# cat /www/index.html
-<html>
-<title>
-This is a test
-</title>
-<body>
-www test page
-</body>
-</html>
-</code>
-Modifiez ensuite le propriétaire et le groupe du répertoire **/www** et son contenu :
-<code>
-[root@centos8 ~]# chown -R apache:apache /www
-</code>
-Dernièrement, créez un fichier index.html **vide** dans le répertoire **/var/www/html/** :
-<code>
-[root@centos8 ~]# touch /var/www/html/index.html
-</code>
-Redémarrez maintenant le service httpd :
-<code>
-[root@centos8 ~]# systemctl restart httpd.service
-[root@centos8 ~]# systemctl status httpd.service
-● httpd.service - The Apache HTTP Server
-   Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled; vendor preset: disabled)
-   Active: active (running) since Sun 2021-09-05 08:57:26 EDT; 9s ago
-     Docs: man:httpd.service(8)
- Main PID: 49273 (httpd)
-   Status: "Running, listening on: port 80"
-    Tasks: 213 (limit: 23535)
-   Memory: 33.9M
-   CGroup: /system.slice/httpd.service
-           ├─49273 /usr/sbin/httpd -DFOREGROUND
-           ├─49276 /usr/sbin/httpd -DFOREGROUND
-           ├─49277 /usr/sbin/httpd -DFOREGROUND
-           ├─49278 /usr/sbin/httpd -DFOREGROUND
-           └─49279 /usr/sbin/httpd -DFOREGROUND
-Sep 05 08:57:25 centos8.ittraining.loc systemd[1]: Starting The Apache HTTP Server...
-Sep 05 08:57:26 centos8.ittraining.loc systemd[1]: Started The Apache HTTP Server.
-Sep 05 08:57:26 centos8.ittraining.loc httpd[49273]: Server configured, listening on: port 80
-</code>
-Passez SELinux en mode Permissive :
-<code>
-[root@centos8 ~]# getenforce
-Enforcing
-[root@centos8 ~]# setenforce permissive
-[root@centos8 ~]# getenforce
-Permissive
-</code>
-Installez le navigateur web en mode texte **lynx** :
-<code>
-[root@centos8 ~]# dnf install -y lynx
-</code>
-Consultez le site localhost en utilisant **lynx** :
-<code>
-[root@centos8 ~]# lynx localhost
-</code>
-La commande **sealert** possède à la fois une interface graphique **et** un mode en ligne de commande :
-<code>
-[root@centos8 ~]# sealert -a /var/log/audit/audit.log > /root/mylogfile.txt
-</code>
-Consultez le fichier **/root/mylogfile.txt** :
-<code>
-[root@centos8 ~]# more /root/mylogfile.txt
-found 16 alerts in /var/log/audit/audit.log
---------------------------------------------------------------------------------
-SELinux is preventing /usr/bin/pkla-check-authorization from using the noatsecure access on a process.
-*****  Plugin catchall (100. confidence) suggests   **************************
-If you believe that pkla-check-authorization should be allowed noatsecure access on processes labeled policykit_auth_t by default.
-Then you should report this as a bug.
-You can generate a local policy module to allow this access.
-Do
-allow this access for now by executing:
-# ausearch -c 'pkla-check-auth' --raw | audit2allow -M my-pklacheckauth
-# semodule -X 300 -i my-pklacheckauth.pp
-Additional Information:
-Source Context                system_u:system_r:policykit_t:s0
-Target Context                system_u:system_r:policykit_auth_t:s0
-Target Objects                /lib64/ld-linux-x86-64.so.2 [ process ]
-Source                        pkla-check-auth
-Source Path                   /usr/bin/pkla-check-authorization
-Port                          <Unknown>
-Host                          <Unknown>
-Source RPM Packages           polkit-pkla-compat-0.1-12.el8.x86_64
-Target RPM Packages           glibc-2.28-151.el8.x86_64
-SELinux Policy RPM            selinux-policy-targeted-3.14.3-67.el8.noarch
-Local Policy RPM              selinux-policy-targeted-3.14.3-67.el8.noarch
-Selinux Enabled               True
-Policy Type                   targeted
-Enforcing Mode                Permissive
-Host Name                     centos8.ittraining.loc
-Platform                      Linux centos8.ittraining.loc
-.18.0-305.7.1.el8.i2tch.x86_64 #1 SMP Tue Jul 20
-:05:15 EDT 2021 x86_64 x86_64
-Alert Count                   16
-First Seen                    2021-09-05 08:40:01 EDT
-Last Seen                     2021-09-05 08:45:07 EDT
-Local ID                      53085ad7-2855-4b4c-a781-5b47ef2f34c7
-Raw Audit Messages
-type=AVC msg=audit(1630845907.307:1221): avc:  denied  { noatsecure } for  pid=48234 comm="polkitd" scontext=system_u:system_r:policykit_t:s0 tcontext=system_u:system_r:
-policykit_auth_t:s0 tclass=process permissive=0
-type=AVC msg=audit(1630845907.307:1221): avc:  denied  { rlimitinh } for  pid=48234 comm="pkla-check-auth" scontext=system_u:system_r:policykit_t:s0 tcontext=system_u:sy
-stem_r:policykit_auth_t:s0 tclass=process permissive=0
-type=AVC msg=audit(1630845907.307:1221): avc:  denied  { siginh } for  pid=48234 comm="pkla-check-auth" scontext=system_u:system_r:policykit_t:s0 tcontext=system_u:syste
-m_r:policykit_auth_t:s0 tclass=process permissive=0
-type=SYSCALL msg=audit(1630845907.307:1221): arch=x86_64 syscall=execve success=yes exit=0 a0=7f7a8c01c630 a1=56367a011180 a2=563679a9e990 a3=0 items=1 ppid=1011 pid=482
-auid=4294967295 uid=998 gid=996 euid=998 suid=998 fsuid=998 egid=996 sgid=996 fsgid=996 tty=(none) ses=4294967295 comm=pkla-check-auth exe=/usr/bin/pkla-check-authori
-zation subj=system_u:system_r:policykit_auth_t:s0 key=(null)ARCH=x86_64 SYSCALL=execve AUID=unset UID=polkitd GID=polkitd EUID=polkitd SUID=polkitd FSUID=polkitd EGID=po
-lkitd SGID=polkitd FSGID=polkitd
-type=CWD msg=audit(1630845907.307:1221): cwd=/
-type=PATH msg=audit(1630845907.307:1221): item=0 name=/lib64/ld-linux-x86-64.so.2 inode=16895059 dev=fd:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:ld
-_so_t:s0 nametype=NORMAL cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0OUID=root OGID=root
-Hash: pkla-check-auth,policykit_t,policykit_auth_t,process,noatsecure
---------------------------------------------------------------------------------
-SELinux is preventing /usr/libexec/dbus-1/dbus-daemon-launch-helper from using the net_admin capability.
-*****  Plugin catchall (100. confidence) suggests   **************************
-If you believe that dbus-daemon-launch-helper should have the net_admin capability by default.
-Then you should report this as a bug.
-You can generate a local policy module to allow this access.
-Do
-allow this access for now by executing:
-# ausearch -c 'dbus-daemon-lau' --raw | audit2allow -M my-dbusdaemonlau
-# semodule -X 300 -i my-dbusdaemonlau.pp
-Additional Information:
-Source Context                system_u:system_r:system_dbusd_t:s0-s0:c0.c1023
-Target Context                system_u:system_r:system_dbusd_t:s0-s0:c0.c1023
-Target Objects                Unknown [ capability ]
-Source                        dbus-daemon-lau
-Source Path                   /usr/libexec/dbus-1/dbus-daemon-launch-helper
-Port                          <Unknown>
---More--(5%)
-</code>
-Cherchez dans le fichier la chaine **index.html** :
-<code>
-[root@centos8 ~]# more /root/mylogfile.txt | grep index.html
-SELinux is preventing /usr/sbin/httpd from getattr access on the file /www/index.html.
-If you want to allow httpd to have getattr access on the index.html file
-Then you need to change the label on /www/index.html
-# semanage fcontext -a -t FILE_TYPE '/www/index.html'
-restorecon -v '/www/index.html'
-If you believe that httpd should be allowed getattr access on the index.html file by default.
-Target Objects                /www/index.html [ file ]
-type=AVC msg=audit(1630847051.967:1358): avc:  denied  { getattr } for  pid=49279 comm="httpd" path="/www/index.html" dev="dm-0" ino=1509932 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:default_t:s0 tclass=file permissive=1
-SELinux is preventing /usr/sbin/httpd from read access on the file index.html.
-If you want to allow httpd to have read access on the index.html file
-Then you need to change the label on index.html
-# semanage fcontext -a -t FILE_TYPE 'index.html'
-restorecon -v 'index.html'
-If you believe that httpd should be allowed read access on the index.html file by default.
-Target Objects                index.html [ file ]
-type=AVC msg=audit(1630847051.967:1359): avc:  denied  { read } for  pid=49279 comm="httpd" name="index.html" dev="dm-0" ino=1509932 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:default_t:s0 tclass=file permissive=1
-type=AVC msg=audit(1630847051.967:1359): avc:  denied  { open } for  pid=49279 comm="httpd" path="/www/index.html" dev="dm-0" ino=1509932 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:default_t:s0 tclass=file permissive=1
-SELinux is preventing /usr/sbin/httpd from map access on the file /www/index.html.
-If you want to allow httpd to have map access on the index.html file
-Then you need to change the label on /www/index.html
-# semanage fcontext -a -t FILE_TYPE '/www/index.html'
-restorecon -v '/www/index.html'
-If you believe that httpd should be allowed map access on the index.html file by default.
-Target Objects                /www/index.html [ file ]
-type=AVC msg=audit(1630847051.967:1360): avc:  denied  { map } for  pid=49279 comm="httpd" path="/www/index.html" dev="dm-0" ino=1509932 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:default_t:s0 tclass=file permissive=1
-</code>
-Ce message a été généré parce que le repertoire /www ainsi que le fichier index.html ne possèdent pas le **type** nécessaire pour que le service apache puisse les utiliser :
-<code>
-[root@centos8 ~]# ls -lZ /www/index.html
--rw-r--r--. 1 apache apache unconfined_u:object_r:default_t:s0 76 Sep  5 08:56 /www/index.html
-[root@centos8 ~]# ls -lZ /var/www/html/index.html
--rw-r--r--. 1 root root unconfined_u:object_r:httpd_sys_content_t:s0 0 Sep  5 08:57 /var/www/html/index.html
-</code>
-L'exemple ci-dessus nous montre clairement que le type pour **/www/index.html** est **default_t** or apache a besoin du type **httpd_sys_content_t** pour pouvoir accéder au fichier.
-Modifiez donc la SC de /www et /www/index.html en utilisant la commande **chcon** :
-<code>
-[root@centos8 ~]# chcon -Rv --type=httpd_sys_content_t /www
-changing security context of '/www/index.html'
-changing security context of '/www'
-[root@centos8 ~]# ls -lZ /www/index.html
--rw-r--r--. 1 apache apache unconfined_u:object_r:httpd_sys_content_t:s0 76 Sep  5 08:56 /www/index.html
-</code>
-Afin de maintenir ces SC lors d'une **restauration des SC par défaut**, il convient d'utiliser la commande **semanage** afin d'appliquer la modification d'une manière définitive :
-<code>
-[root@centos8 ~]# semanage fcontext -a -t httpd_sys_content_t "/www(/.*)?"
-</code>
-====5.7 - La commande restorecon====
-Pour illustrer l'utilisation de cette commande, créez les fichiers copy.html et move.html dans le répertoire /tmp :
-<code>
-[root@centos8 ~]# cd /tmp ; touch copy.html move.html
-[root@centos8 tmp]# ls -lZ | grep html
--rw-r--r--. 1 root    root    unconfined_u:object_r:user_tmp_t:s0    0 Sep  5 09:14 copy.html
--rw-r--r--. 1 root    root    unconfined_u:object_r:user_tmp_t:s0    0 Sep  5 09:14 move.html
-</code>
-**Copiez** le fichier copy.html vers /var/www/html et **déplacez** le fichier move.html vers la même cible :
-<code>
-[root@centos8 tmp]# cp copy.html /var/www/html/
-[root@centos8 tmp]# mv move.html /var/www/html/
-[root@centos8 tmp]# ls -lZ /var/www/html
-total 0
--rw-r--r--. 1 root root unconfined_u:object_r:httpd_sys_content_t:s0 0 Sep  5 09:14 copy.html
--rw-r--r--. 1 root root unconfined_u:object_r:httpd_sys_content_t:s0 0 Sep  5 08:57 index.html
--rw-r--r--. 1 root root unconfined_u:object_r:user_tmp_t:s0          0 Sep  5 09:14 move.html
-</code>
-<WRAP center round important 50%>
-**Important** : Notez ici que copy.html a pris le type du répertoire de destination tandis que move.html retient le type obtenu lors de la création.
-</WRAP>
-Restaurez maintenant la SC par défaut de move.html compte tenu de son emplacement en utilisant la commande **restorecon** :
-<code>
-[root@centos8 tmp]# restorecon -v /var/www/html/move.html
-Relabeled /var/www/html/move.html from unconfined_u:object_r:user_tmp_t:s0 to unconfined_u:object_r:httpd_sys_content_t:s0
-[root@centos8 tmp]# ls -lZ /var/www/html
-total 0
--rw-r--r--. 1 root root unconfined_u:object_r:httpd_sys_content_t:s0 0 Sep  5 09:14 copy.html
--rw-r--r--. 1 root root unconfined_u:object_r:httpd_sys_content_t:s0 0 Sep  5 08:57 index.html
--rw-r--r--. 1 root root unconfined_u:object_r:httpd_sys_content_t:s0 0 Sep  5 09:14 move.html
-</code>
-====5.8 - Le fichier /.autorelabel====
-En cas de besoin il est intéressant de pouvoir restaurer les SC par défaut sur l'ensemble des objets du système. Cette procédure est très simple à mettre en oeuvre. Il convient de créer le fichier **.autorelabel** à la racine et de redémarrer le système :
-<code>
-[root@centos8 tmp]# touch /.autorelabel
-[root@centos8 tmp]# shutdown -r now
-</code>
-====5.9 - La commande semanage====
-La commande **semanage** peut prendre plusieurs options :
-<code>
-[root@centos8 ~]# semanage --help
-usage: semanage [-h]
-                {import,export,login,user,port,ibpkey,ibendport,interface,module,node,fcontext,boolean,permissive,dontaudit}
-                ...
-semanage is used to configure certain elements of SELinux policy with-out
-requiring modification to or recompilation from policy source.
-positional arguments:
-  {import,export,login,user,port,ibpkey,ibendport,interface,module,node,fcontext,boolean,permissive,dontaudit}
-    import              Import local customizations
-    export              Output local customizations
-    login               Manage login mappings between linux users and SELinux
-                        confined users
-    user                Manage SELinux confined users (Roles and levels for an
-                        SELinux user)
-    port                Manage network port type definitions
-    ibpkey              Manage infiniband ibpkey type definitions
-    ibendport           Manage infiniband end port type definitions
-    interface           Manage network interface type definitions
-    module              Manage SELinux policy modules
-    node                Manage network node type definitions
-    fcontext            Manage file context mapping definitions
-    boolean             Manage booleans to selectively enable functionality
-    permissive          Manage process type enforcement mode
-    dontaudit           Disable/Enable dontaudit rules in policy
-optional arguments:
-  -h, --help            show this help message and exit
-</code>
-Pour illustrer l'utilisation de cette commande, considérez le besoin de mettre le service apache à l'écoute du port **8090** au lieu du port standard.
-%%SELinux%% gère aussi l'accès aux ports par les différents serveurs. La liste complète des ports autorisés par serveur puet être visualiser à l'aide de la commande **semanage** :
-<code>
-[root@centos8 ~]# semanage port -l | grep http
-http_cache_port_t              tcp      8080, 8118, 8123, 10001-10010
-http_cache_port_t              udp      3130
-http_port_t                    tcp      80, 81, 443, 488, 8008, 8009, 8443, 9000
-pegasus_http_port_t            tcp      5988
-pegasus_https_port_t           tcp      5989
-</code>
-Notez que le serveur apache est autorisé à utiliser les ports suivants :
-<file>
-http_port_t                    tcp      80, 81, 443, 488, 8008, 8009, 8443, 9000
-</file>
-Dans le cas où on souhaite qu'apache utilise le port **8090** par exemple, il est nécessaire de créer la règle adéquate avec la commande semanage :
-<code>
-[root@centos8 ~]# semanage port -a -t http_port_t -p tcp 8090
-</code>
-Vous noterez que le port 8090 a été ajouté à la liste des ports reconnus comme valides par %%SELinux%% :
-<code>
-[root@centos8 ~]# semanage port -l | grep http
-http_cache_port_t              tcp      8080, 8118, 8123, 10001-10010
-http_cache_port_t              udp      3130
-http_port_t                    tcp      8090, 80, 81, 443, 488, 8008, 8009, 8443, 9000
-pegasus_http_port_t            tcp      5988
-pegasus_https_port_t           tcp      5989
-</code>
-====5.10 - La commande audit2allow====
-La création d'un module de politique personnalisé se fait en utilisant la commande **audit2allow**. L'administrateur de sécurité à recours à la création de modules quand, et uniquement quand :
-  * la résolution du problème n'est pas possible en utilisant une des commandes précédemment citées,
-  * il n'existe pas de booléen capable de régler le problème.
-<code>
-[root@centos8 ~]# audit2allow --help
-Usage: audit2allow [options]
-Options:
-  --version             show program's version number and exit
-  -h, --help            show this help message and exit
-  -b, --boot            audit messages since last boot conflicts with -i
-  -a, --all             read input from audit log - conflicts with -i
-  -p POLICY, --policy=POLICY
-                        Policy file to use for analysis
-  -d, --dmesg           read input from dmesg - conflicts with --all and
-                        --input
-  -i INPUT, --input=INPUT
-                        read input from <input> - conflicts with -a
-  -l, --lastreload      read input only after the last reload
-  -r, --requires        generate require statements for rules
-  -m MODULE, --module=MODULE
-                        set the module name - implies --requires
-  -M MODULE_PACKAGE, --module-package=MODULE_PACKAGE
-                        generate a module package - conflicts with -o and -m
-  -o OUTPUT, --output=OUTPUT
-                        append output to <filename>, conflicts with -M
-  -D, --dontaudit       generate policy with dontaudit rules
-  -R, --reference       generate refpolicy style output
-  -N, --noreference     do not generate refpolicy style output
-  -v, --verbose         explain generated output
-  -e, --explain         fully explain generated output
-  -t TYPE, --type=TYPE  only process messages with a type that matches this
-                        regex
-  --perm-map=PERM_MAP   file name of perm map
-  --interface-info=INTERFACE_INFO
-                        file name of interface information
-  -x, --xperms          generate extended permission rules
-  --debug               leave generated modules for -M
-  -w, --why             Translates SELinux audit messages into a description
-                        of why the access was denied
-</code>
-Pour illustrer l'utilisation de cette commande, créez un nouveau répertoire pour les documents d'apache ainsi que la page d'accueil :
-<code>
-[root@centos8 ~]# mkdir /www1
-[root@centos8 ~]# touch /www1/index.html
-</code>
-Éditez le fichier **/etc/httpd/conf/httpd.conf** :
-<file>
-[...]
-# DocumentRoot "/var/www/html"
-DocumentRoot "/www1"
-[...]
-</file>
-Ajoutez les section **<Directory "/www">**:
-<file>
-...
-#
-# Relax access to content within /var/www.
-#
-<Directory "/var/www">
-    AllowOverride None
-    # Allow open access:
-    Require all granted
-</Directory>
-<Directory "/www1">
-        Options Indexes FollowSymLinks
-        AllowOverride None
-        Require all granted
-</Directory>
-# Further relax access to the default document root:
-<Directory "/var/www/html">
-...
-</file>
-Créez le fichier **/www1/index.html** :
-<code>
-[root@centos7 ~]# vi /www1/index.html
-[root@centos7 ~]# cat /www1/index.html
-<html>
-<title>
-This is a test
-</title>
-<body>
-www test page
-</body>
-</html>
-</code>
-Modifiez ensuite le propriétaire et le groupe du répertoire **/www1** et son contenu :
-<code>
-[root@centos8 ~]# chown -R apache:apache /www1
-</code>
-Redémarrez le service httpd :
-<code>
-[root@centos8 ~]# systemctl restart httpd.service
-[root@centos8 ~]# systemctl status httpd.service
-● httpd.service - The Apache HTTP Server
-   Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled; vendor preset: disabled)
-   Active: active (running) since Sun 2021-09-05 09:35:28 EDT; 7s ago
-     Docs: man:httpd.service(8)
- Main PID: 51662 (httpd)
-   Status: "Started, listening on: port 80"
-    Tasks: 213 (limit: 23535)
-   Memory: 36.7M
-   CGroup: /system.slice/httpd.service
-           ├─51662 /usr/sbin/httpd -DFOREGROUND
-           ├─51664 /usr/sbin/httpd -DFOREGROUND
-           ├─51665 /usr/sbin/httpd -DFOREGROUND
-           ├─51666 /usr/sbin/httpd -DFOREGROUND
-           └─51667 /usr/sbin/httpd -DFOREGROUND
-Sep 05 09:35:28 centos8.ittraining.loc systemd[1]: Starting The Apache HTTP Server...
-Sep 05 09:35:28 centos8.ittraining.loc systemd[1]: Started The Apache HTTP Server.
-Sep 05 09:35:28 centos8.ittraining.loc httpd[51662]: Server configured, listening on: port 80
-</code>
-Consultez le site localhost en utilisant **lynx** :
-<code>
-[root@centos8 ~]# lynx localhost
-</code>
-Le fichier **/var/log/audit/audit.log** contient maintenant des notifications de type **AVC** :
-<code>
-[root@centos8 ~]# cat /var/log/audit/audit.log | grep AVC | grep http
-type=AVC msg=audit(1630846645.968:1287): avc:  denied  { net_admin } for  pid=49273 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
-type=AVC msg=audit(1630846646.078:1288): avc:  denied  { net_admin } for  pid=49273 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
-type=AVC msg=audit(1630846646.094:1293): avc:  denied  { net_admin } for  pid=49273 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
-type=AVC msg=audit(1630846646.160:1294): avc:  denied  { net_admin } for  pid=49273 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
-type=AVC msg=audit(1630846646.160:1295): avc:  denied  { net_admin } for  pid=49273 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
-type=AVC msg=audit(1630846646.161:1296): avc:  denied  { net_admin } for  pid=49273 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
-type=AVC msg=audit(1630846646.163:1297): avc:  denied  { net_admin } for  pid=49276 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
-type=AVC msg=audit(1630846646.163:1298): avc:  denied  { net_admin } for  pid=49276 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
-type=AVC msg=audit(1630846646.163:1299): avc:  denied  { net_admin } for  pid=49277 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
-type=AVC msg=audit(1630846646.163:1300): avc:  denied  { net_admin } for  pid=49277 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
-type=AVC msg=audit(1630846646.164:1301): avc:  denied  { net_admin } for  pid=49278 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
-type=AVC msg=audit(1630846646.164:1302): avc:  denied  { net_admin } for  pid=49278 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
-type=AVC msg=audit(1630846646.165:1303): avc:  denied  { net_admin } for  pid=49279 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
-type=AVC msg=audit(1630846646.165:1304): avc:  denied  { net_admin } for  pid=49279 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
-type=AVC msg=audit(1630846655.174:1308): avc:  denied  { net_admin } for  pid=49273 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
-type=AVC msg=audit(1630846665.186:1309): avc:  denied  { net_admin } for  pid=49273 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
-type=AVC msg=audit(1630846675.198:1310): avc:  denied  { net_admin } for  pid=49273 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
-type=AVC msg=audit(1630846685.209:1314): avc:  denied  { net_admin } for  pid=49273 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
-type=AVC msg=audit(1630846695.221:1315): avc:  denied  { net_admin } for  pid=49273 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
-type=AVC msg=audit(1630846705.233:1316): avc:  denied  { net_admin } for  pid=49273 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
-type=AVC msg=audit(1630846715.244:1320): avc:  denied  { net_admin } for  pid=49273 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
-type=AVC msg=audit(1630846725.256:1321): avc:  denied  { net_admin } for  pid=49273 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
-type=AVC msg=audit(1630846735.268:1322): avc:  denied  { net_admin } for  pid=49273 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
-type=AVC msg=audit(1630846745.279:1326): avc:  denied  { net_admin } for  pid=49273 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
-type=AVC msg=audit(1630846755.290:1327): avc:  denied  { net_admin } for  pid=49273 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
-type=AVC msg=audit(1630846765.302:1328): avc:  denied  { net_admin } for  pid=49273 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
-type=AVC msg=audit(1630846775.313:1329): avc:  denied  { net_admin } for  pid=49273 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
-type=AVC msg=audit(1630846785.325:1333): avc:  denied  { net_admin } for  pid=49273 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
-type=AVC msg=audit(1630846795.337:1334): avc:  denied  { net_admin } for  pid=49273 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=0
-type=AVC msg=audit(1630846805.348:1337): avc:  denied  { net_admin } for  pid=49273 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=1
-type=AVC msg=audit(1630846925.487:1344): avc:  denied  { net_admin } for  pid=49273 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=1
-type=AVC msg=audit(1630846985.607:1351): avc:  denied  { net_admin } for  pid=49273 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=1
-type=AVC msg=audit(1630847051.967:1358): avc:  denied  { getattr } for  pid=49279 comm="httpd" path="/www/index.html" dev="dm-0" ino=1509932 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:default_t:s0 tclass=file permissive=1
-type=AVC msg=audit(1630847051.967:1359): avc:  denied  { read } for  pid=49279 comm="httpd" name="index.html" dev="dm-0" ino=1509932 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:default_t:s0 tclass=file permissive=1
-type=AVC msg=audit(1630847051.967:1359): avc:  denied  { open } for  pid=49279 comm="httpd" path="/www/index.html" dev="dm-0" ino=1509932 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:default_t:s0 tclass=file permissive=1
-type=AVC msg=audit(1630847051.967:1360): avc:  denied  { map } for  pid=49279 comm="httpd" path="/www/index.html" dev="dm-0" ino=1509932 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:default_t:s0 tclass=file permissive=1
-type=AVC msg=audit(1630847065.699:1364): avc:  denied  { net_admin } for  pid=49273 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=1
-type=AVC msg=audit(1630847265.927:1369): avc:  denied  { net_admin } for  pid=49273 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=1
-type=AVC msg=audit(1630847536.237:1373): avc:  denied  { net_admin } for  pid=49273 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=1
-type=AVC msg=audit(1630847736.467:1380): avc:  denied  { net_admin } for  pid=49273 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=1
-type=AVC msg=audit(1630848237.039:1384): avc:  denied  { net_admin } for  pid=49273 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=1
-type=AVC msg=audit(1630848287.098:1388): avc:  denied  { net_admin } for  pid=49273 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=1
-type=AVC msg=audit(1630848767.654:1392): avc:  denied  { net_admin } for  pid=49273 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=1
-type=AVC msg=audit(1630848928.625:1398): avc:  denied  { net_admin } for  pid=51664 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=1
-type=AVC msg=audit(1630848972.446:1402): avc:  denied  { getattr } for  pid=51667 comm="httpd" path="/www1/index.html" dev="dm-0" ino=52646361 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:default_t:s0 tclass=file permissive=1
-type=AVC msg=audit(1630848972.446:1403): avc:  denied  { read } for  pid=51667 comm="httpd" name="index.html" dev="dm-0" ino=52646361 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:default_t:s0 tclass=file permissive=1
-type=AVC msg=audit(1630848972.446:1403): avc:  denied  { open } for  pid=51667 comm="httpd" path="/www1/index.html" dev="dm-0" ino=52646361 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:default_t:s0 tclass=file permissive=1
-type=AVC msg=audit(1630848972.446:1404): avc:  denied  { map } for  pid=51667 comm="httpd" path="/www1/index.html" dev="dm-0" ino=52646361 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:default_t:s0 tclass=file permissive=1
-type=AVC msg=audit(1630849007.711:1408): avc:  denied  { net_admin } for  pid=51662 comm="httpd" capability=12  scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=capability permissive=1
-</code>
-A l'aide de la commande grep, il convient maintenant d'envoyer les messages d'erreurs en provenance du fichier **/var/log/audit/audit.log** sur l'entrée standard de la commande **audit2allow** afin de permettre celle-ci de créer des règles permettant l'autorisation de ce qui a été précédemment interdit par %%SELinux%% :
-<code>
-[root@centos8 ~]# grep httpd_t /var/log/audit/audit.log | audit2allow -m httpdlocal > httpdlocal.te
-</code>
-L'examen du fichier **httpdlocal.te** révèle la création de ces règles :
-<code>
-[root@centos8 ~]# cat httpdlocal.te
-module httpdlocal 1.0;
-require {
-	type httpd_t;
-	type default_t;
-	class capability net_admin;
-	class file { getattr map open read };
-}
-#============= httpd_t ==============
-#!!!! This avc can be allowed using the boolean 'domain_can_mmap_files'
-allow httpd_t default_t:file map;
-allow httpd_t default_t:file { getattr open read };
-allow httpd_t self:capability net_admin;
-</code>
-L'audit du fichier terminé, il faut maintenant utiliser audit2allow pour créer un module de politique :
-<code>
-[root@centos8 ~]# grep httpd_t /var/log/audit/audit.log | audit2allow -M httpdlocal
-******************** IMPORTANT ***********************
-To make this policy package active, execute:
-semodule -i httpdlocal.pp
-</code>
-Chargez maintenant le module dans la politique %%SELinux%% :
-<code>
-[root@centos8 ~]# semodule -i httpdlocal.pp
-</code>
-Vérifiez que le module est chargé :
-<code>
-[root@centos8 ~]# semodule -l | grep httpd
-httpdlocal
-</code>
-Redémarrez le service httpd :
-<code>
-[root@centos8 ~]# systemctl restart httpd.service
-[root@centos8 ~]# systemctl status httpd.service
-● httpd.service - The Apache HTTP Server
-   Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled; vendor preset: disabled)
-   Active: active (running) since Sun 2021-09-05 09:42:18 EDT; 9s ago
-     Docs: man:httpd.service(8)
- Main PID: 52079 (httpd)
-   Status: "Running, listening on: port 80"
-    Tasks: 213 (limit: 23535)
-   Memory: 39.2M
-   CGroup: /system.slice/httpd.service
-           ├─52079 /usr/sbin/httpd -DFOREGROUND
-           ├─52081 /usr/sbin/httpd -DFOREGROUND
-           ├─52082 /usr/sbin/httpd -DFOREGROUND
-           ├─52083 /usr/sbin/httpd -DFOREGROUND
-           └─52084 /usr/sbin/httpd -DFOREGROUND
-Sep 05 09:42:18 centos8.ittraining.loc systemd[1]: Starting The Apache HTTP Server...
-Sep 05 09:42:18 centos8.ittraining.loc systemd[1]: Started The Apache HTTP Server.
-Sep 05 09:42:18 centos8.ittraining.loc httpd[52079]: Server configured, listening on: port 80
-</code>
-Videz le fichier **/var/log/audit/audit.log** :
-<code>
-[root@centos8 ~]# rm -rf /var/log/audit/audit.log
-[root@centos8 ~]# touch /var/log/audit/audit.log
-[root@centos8 ~]# chmod 600 /var/log/audit/audit.log
-[root@centos8 ~]# ls -l /var/log/audit/audit.log
--rw-------. 1 root root 0 Sep  5 09:43 /var/log/audit/audit.log
-</code>
-Consultez le site localhost :
-<code>
-[root@centos8 ~]# lynx localhost
-</code>
-Constatez que la consultation ne génère plus de messages de type **AVC** :
-<code>
-[root@centos8 ~]# cat /var/log/audit/audit.log
-[root@centos8 ~]#
 </code>
 -----
-<html>
+Copyright © 2024 Hugh Norris.
-<div align="center">
-Copyright © 2021 Hugh Norris.<br><br>
-</div>
-</html>

Piste : • RH12405 - La Ligne de Commande • LDF900 - Prérequis • TL200 - ISTQB • LCE513 - Managing the Network • LCF507 - Gestion des Processus • LCF509 - Gestion des Impressions • SER304 - Déploiement et Gestion des Applications • LCE512 - Compiling the Kernel and Managing Quotas • LCE500 - Course Presentation • LCF511 - Gestion des Paramètres du matériel et les Ressources

Différences

Recherche

Imprimer/exporter

Menu