Onglet Système
Les paramètres de l'onglet Système
permettent de régler le comportement de la console et de déterminer le niveau de complexité requis pour les mots de passe des utilisateurs système.
Paramétrage de la console
Activer l'auto-complétion étendue sur la console
: l'auto-complétion facilite l'utilisation de la ligne de commande mais peut ralentir son affichage, elle est activée par défaut ;-
Temps d'inactivité avant déconnexion bash
: si aucune activité n'est constatée sur la console utilisateur pendant cette durée (en secondes), sa session est automatiquement coupée, avec le message : attente de données expirée : déconnexion automatique. La valeur0
permet de désactiver cette fonctionnalité. Activer le reboot sur ctrl-alt-suppr
: si cette variable est passée ànon
, la séquencectrl - alt - suppr
est désactivée.Nuance du fond d’écran dans VIM
: l’éditeur VIM peut utiliser différents thèmes pour la coloration syntaxique et adapter ceux-ci en fonction de la valeur de la couleur d’arrière-plan pour en améliorer la lisibilité. La variable prend une valeur parmi dark et light, permettant d’adapter la coloration syntaxique à un arrière-plan sombre et clair respectivement.
Optimisations système
Poids relatif de l'utilisation de la swap par rapport à la mémoire vive
: Le swappiness est un paramètre du noyau Linux permettant de définir avec quelle sensibilité il va écrire dans la swap si la quantité de RAM à utiliser devient trop importante. Le système accepte des valeurs comprises entre 0 et 100. La valeur0
empêchera au maximum le système d'utiliser la partition d'échange.
Truc & astuce
La commande suivante permet de connaître les réglages de swappiness appliqués :
cat /proc/sys/vm/swappiness
Activer le service de génération de nombres aléatoires rng-tools
: Le démonrngd
agit comme une passerelle entre un vrai générateur de nombres aléatoires, matériel (TRNG), tel que ceux que l'on peut trouver dans les puces Intel/AMD/VIA et le pseudo-générateur de nombres aléatoires du noyau (PRNG).
Attention
Sur les serveurs virtualisés, le service rngd
ne sera généralement pas fonctionnel et affichera, au démarrage, un message du type :
erreur Starting Hardware RNG entropy gatherer daemon: (failed)
Validation des mots de passe
EOLE propose un système de vérification des mots de passe évolué pour les utilisateurs système.
Un paramétrage par défaut est proposé mais il est possible d'adapter.
La complexité des mots de passe peut être réglée finement à l'aide des paramètres suivants :
-
Taille minimum du mot de passe utilisant une seule classe de caractères
; -
Taille minimum du mot de passe utilisant deux classes de caractères
; -
Taille minimum du mot de passe utilisant trois classes de caractères
; -
Taille minimum du mot de passe utilisant quatre classes de caractères
; -
Taille maximale du mot de passe
.
La valeur 0 permet de désactiver une classe de caractères.
Exemple
Pour obliger l'utilisation de 2 classes de caractères minimum et d'un minimum de 7 caractères :
Taille minimum du mot de passe utilisant une seule classe de caractères
: 0-
Taille minimum du mot de passe utilisant deux classes de caractères
: 7 -
Taille minimum du mot de passe utilisant trois classes de caractères
: 7 -
Taille minimum du mot de passe utilisant quatre classes de caractères
: 7
Exemple
Pour obliger l'utilisation de 3 classes de caractères minimum et d'un minimum de 7 caractères :
Taille minimum du mot de passe utilisant une seule classe de caractères
: 0-
Taille minimum du mot de passe utilisant deux classes de caractères
: 0 -
Taille minimum du mot de passe utilisant trois classes de caractères
: 7 -
Taille minimum du mot de passe utilisant quatre classes de caractères
: 7
Exemple
Il est impossible d'obliger l'utilisation de 3 classes minimum sans obliger l'utilisation de 2 classes minimum, exemple de valeur impossible :
Taille minimum du mot de passe utilisant une seule classe de caractères
: 7-
Taille minimum du mot de passe utilisant deux classes de caractères
: 0 -
Taille minimum du mot de passe utilisant trois classes de caractères
: 7 -
Taille minimum du mot de passe utilisant quatre classes de caractères
: 7
Les valeurs doivent être respectivement : 0, 0, 7 et 7.
Truc & astuce
Deux librairie sont utilisées pour vérifier la validité des mots de passe : pam_passwdqc.s
o et pam_unix.so
.
Les réglages de la première librairie s'effectuent via les variables proposées. Si les règles établies par la première librairie ne sont pas suffisamment sécurisées, d'autres règles seront imposées par la seconde :
le mot de passe ne peut être basé sur l'identifiant du compte ;
le mot de passe ne peut être basé sur l'ancien mot de passe ;
le mot de passe ne peut pas comporter des mots du dictionnaire ;
le mot de passe ne peut être basé sur une séquence connue (suite de lettre sur le clavier par exemple) ;
le mot de passe doit contenir suffisamment de caractères différents ;
les lettres majuscules au début du mot de passe et les chiffres à la fin du mot de passe ne comptent pas comme l'utilisation d'une classe de caractère.
Truc & astuce
Plus d'informations sur le site du projet : http://www.openwall.com/passwdqc/
Attention
Il est possible de désactiver la validation des mots de passe en passant Vérifier la complexité des mots de passe
à non
.
Il ne faut bien évidement pas désactiver cette fonctionnalité dans un contexte de production.
Cette fonctionnalité est intéressante pour faciliter la mise en place d'une infrastructure de test.
Attention
Ce paramétrage concerne uniquement les comptes système du serveur. Les utilisateurs LDAP ne sont pas soumis aux mêmes restrictions.
Ajustement du partitionnement
Attention
L'ajustement du partitionnement est disponible dans l'interface de configuration du module en mode expert et ce uniquement :
- avant l'instance
- si le partitionnement à l’installation depuis l’ISO n’a pas été modifié
Pour maîtriser correctement ce qui va être fait, il faut consulter l'état du partitionnement avant de saisir les paramètres souhaités à l'aide de la commande df -h /
et des commandes vgdisplay
et lvdisplay
.
root@eolebase:~# df -h
Sys. de fichiers Taille Utilisé Dispo Uti% Monté sur
udev 980M 0 980M 0% /dev
tmpfs 200M 3,2M 197M 2% /run
/dev/mapper/eolebase--vg-root 9,1G 2,1G 6,5G 25% /
tmpfs 1000M 28K 1000M 1% /dev/shm
tmpfs 5,0M 0 5,0M 0% /run/lock
tmpfs 1000M 0 1000M 0% /sys/fs/cgroup
/dev/sda1 687M 107M 531M 17% /boot
/dev/mapper/eolebase--vg-tmp 1,8G 2,9M 1,7G 1% /tmp
tmpfs 200M 0 200M 0% /run/user/0
root@eolebase:~#
root@scribe:~# vgdisplay
--- Volume group ---
VG Name scribe-vg
System ID
Format lvm2
Metadata Areas 1
Metadata Sequence No 8
VG Access read/write
VG Status resizable
MAX LV 0
Cur LV 5
Open LV 5
Max PV 0
Cur PV 1
Act PV 1
VG Size 39,30 GiB
PE Size 4,00 MiB
Total PE 10060
Alloc PE / Size 5550 / 21,68 GiB
Free PE / Size 4510 / 17,62 GiB
VG UUID ctPVcP-76Se-EpMp-FLO3-13aR-Ghg9-PdIdUW
root@scribe:~#
root@scribe:~# lvdisplay
--- Logical volume ---
LV Path /dev/scribe-vg/root
LV Name root
VG Name scribe-vg
LV UUID uN8emF-hD9j-eNwv-zdaC-mEeK-9XGe-uBu2OU
LV Write Access read/write
LV Creation host, time scribe, 2017-10-05 18:37:11 +0200
LV Status available
# open 1
LV Size 8,94 GiB
Current LE 2288
Segments 1
Allocation inherit
Read ahead sectors auto
- currently set to 256
Block device 252:0
[...]
Ajuster le partitionnement
Ajuster le partitionnement permet d'ajouter un ou plusieurs volumes logiques et d'ajouter de l'espace à des partitions existantes.
Pour ajuster le partitionnement à partir de la version 2.6.2 d'EOLE, ouvrir l'interface de configuration du module, passer en mode Expert et se rendre dans l'onglet Système
. Puis il faut passer Utiliser le modèle d'extension standard EOLE
à non
pour ajuster le partitionnement.
Après avoir passer Ajuster le partitionnement
à oui
, les partitions existantes sont affichées et un certain nombre de paramètres s'affichent.
nom du volume ;
pourcentage de l'espace disponible à utiliser ;
format du système de fichier à utiliser : sans précision le système de fichier est
ext4
;point de montage ;
les options du montage (indispensable pour la gestion des quotas par exemple).
Pour ajouter un nouveau volume logique, cliquer sur le bouton + Nom du volume à créer
.
Attention
Les nouveaux volumes ne sont pas montés automatiquement, il faut renseigner le fichier /etc/fstab
.
Allouer l'espace restant
Positionner la variable Allouer l'espace restant
à oui
permet de choisir un volume existant auquel ajouter la totalité de l'espace libre restant.
La valeur à saisir est la partie du nom du volume qui permet d'identifier le point de montage, par exemple pour le volume /dev/mapper/eolebase--vg-root
il faut saisir root
dans le nom du Volume logique à étendre
. S’il ne reste pas d’espace, ce jeu de paramètres est sans effet.
Résultat après instance
Le paramétrage est effectif après l'instanciation du module.
root@eolebase:~# df -h
Sys. de fichiers Taille Utilisé Dispo Uti% Monté sur
udev 980M 0 980M 0% /dev
tmpfs 200M 3,2M 197M 2% /run
/dev/mapper/eolebase--vg-root 9,1G 1,9G 6,7G 22% /
tmpfs 1000M 0 1000M 0% /dev/shm
tmpfs 5,0M 0 5,0M 0% /run/lock
tmpfs 1000M 0 1000M 0% /sys/fs/cgroup
/dev/sda1 687M 107M 531M 17% /boot
/dev/mapper/eolebase--vg-tmp 1,8G 3,6M 1,7G 1% /tmp
tmpfs 200M 0 200M 0% /run/user/0
/dev/mapper/eolebase--vg-var 27G 311M 25G 2% /var
root@eolebase:~#
Le nouveau volume logique est présent et la partition /root
s'est vu augmentée du reste de l'espace libre.