Table des matières
- 2026:
- 2025:
1 billet(s) pour avril 2026
| Notes ping ICMP | 2026/04/03 23:01 | Jean-Baptiste |
NIS l’ancêtre au couple DNS/LDAP pour la liste des machines et des comptes
Inconvénient
- Ça utilise RPC, c'est compliquer niveau pare-feu.
- C'est quasiment abandonnée de tous
- Ça ne fonctionne que pour les Unix et autre unix-like
- Sécurité !?
Notes en vrac conf du client
- /etc/nsswitch.conf
passwd: compat winbind shadow: compat group: compat winbind hosts: files nis dns bootparams: nisplus [NOTFOUND=return] files ethers: files netmasks: files networks: files protocols: files rpc: files services: files netgroup: files nis publickey: nisplus automount: files aliases: files nisplus
Pour tester et connaitre le domaine à interroger
yptest
Lister toutes les machines et IP
ypcat hosts
Listes passwd des comptes, y compris NIS
getent passwd
Tester le compte “marsu”
#getent passwd DOMAIN/marsu getent passwd marsu
Changer provisoirement le domaine NIS
ici notre domaine s’appelle “acme”
domainname acme
Définir le domaine NIS
echo acme > /etc/defaultdomain
Tester
yptest
Test 1: domainname Configured domainname is "acme" Test 2: ypbind Can't communicate with ypbind root@ttest01:~# ypbind
En cas de pb Vérifier que le domaine est le bon. Vérifier que rpcbind ou portmapper soit démarré Vérifier que le process ypbind est bien démarré.
ps -ef |grep ypbind
/usr/sbin/ypbind -no-dbus
Si le process ypbind est absent on peut tester avec l'option -d pour debug
/usr/sbin/ypbind -d -no-dbus
NIS utilise les RPC, rpcbind doit être démarré
Voir bug https://bugs.launchpad.net/ubuntu/+source/rpcbind/+bug/1558196
systemctl restart rpcbind systemctl nis restart
systemctl add-wants multi-user.target rpcbind.service
Accès restreint Nginx
sudo apt-get install apache2-utils
$ sudo htpasswd -c /etc/nginx/.htpasswd exampleuser New password: Re-type new password: Adding password for user exampleuser
chmod 640 /etc/nginx/.htpasswd exampleuser chown www-data:www-data /etc/nginx/.htpasswd
La structure du fichier htpasswd est sous la forme suivante :
login:Hash_mdp
- /etc/nginx/sites-available/website_nginx.conf
auth_basic "Restricted"; auth_basic_user_file /etc/nginx/.htpasswd;
Exemple :
- /etc/nginx/sites-available/website_nginx.conf
server { listen portnumber; server_name ip_address; location / { root /var/www/mywebsite.com; index index.html index.htm; auth_basic "Restricted"; #For Basic Auth auth_basic_user_file /etc/nginx/.htpasswd; #For Basic Auth } }
On vérifie la configuration de Nginx.
nginx -t
Si ok, on la recharge
service nginx reload
Appliquez cette configuration que pour les sites en HTTPS seulement. Sinon, le mot de passe sera envoyé en clair !
nftables un remplaçant à iptables
Voir :
A écouter : https://www.nolimitsecu.fr/nftables/
Une commande pour supprimer tous les paquets avec l'adresse IP de destination 1.2.3.4 :
apt-get install nft nftables systemctl enable nftables.service
cp /usr/share/doc/nftables/examples/workstation.nft /etc/nftables.conf
nft list ruleset
Migration iptables vers nftable
#/sbin/iptables-translate -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT nft add rule ip filter INPUT tcp dport 22 ct state new counter accept
# iptables -A OUTPUT -d 1.2.3.4 -j DROP nft add rule ip filter output ip daddr 1.2.3.4 drop
Ouvrir un port en sortie tout en logant
nft add rule output tcp dport 22 log accept
Ouvrir un port en entrée
#iptables -A INPUT -t superinput -p tcp --sport emule -j ACCEPT
nft add rule input tcp sport emule accept
Plusieurs IP en une seule règle
ip daddr { 192.168.0.0/24 => drop, 192.168.0.100 => accept}