{{tag>sysadmin linux systemd unit services config configuration}}
====== systemd : configuration des services ======
**systemd** est à la fois un système d'initialisation et un gestionnaire pour les services système. Il est utilisé par de nombreuses distri... d'interagir avec systemd. Il permet de gérer les services, vérifier leur état, modifier l'état du système
et nftables ======
Au démarrage de la machine le service **''nftables.service''** tente de charger le ruleset mais les interfaces (notamment l'interface wifi) ne s... e renommée mais lorsque elle sont chargées par le service, l'interface ''wifi0'' n'est pas encore disponibl... nt l'évènement :
<file>
journalctl -xeu nftables.service
...
░░ L'unité (unit) nftables.service a commen
{{tag>sysadmin netadmin linux ntp service config}}
====== Installer serveur ntp ======
**NTP**((**N**etwo... du système impacte le fonctionnement de nombreux services. Une heure locale fortement décalée peut perturb... /interrompre le fonctionnement normal de certains services notamment:
* https
* cache DNS
Le système e... peut avoir une option **iburst** qui autorise le service à rattraper rapidement le temps de référence.
</n
nchronisation du temps ======
systemd intègre un service de synchronisation du temps local via un client s... [Time]
NTP=ntp.localdomain
</file>
Redémarrer le service pour prendre en compte les modifications:
<code bash>
systemctl restart systemd-timesyncd.service
</code>
Une fois l' unité activée, le temps loc... ve est trop importante il faudra:
* Arrêter le service
* Définir manuellement le temps local au plus p
nager** s'exécute sur l’hôte, la configuration du service **systemd-timesyncd.service** n'est pas mise à jour, ce dernier n'utilise pas les serveurs NTP acquis via ... communique pas directement avec systemd-timesyncd.service**.
Cependant la fonctionnalité NetworkManager di... jour la configuration de l'unité systemd-timesynd.service. solution largement utilisée consiste à placer un
SSL}}
====== Générer un certificat SAN pour les services web locaux ======
<note warning>
Lors de mes di... enté par le reverse proxy pour l'ensemble des web services tournant localement. C'est ce que permet de fair... tent des URL de la forme ''http://localhost'' les services peuvent alors produire des erreurs ou se comport... ect Alternate Name)
openssl x509 -noout -text -in service.localhost.crt | grep -i -A 1 "Subject Alternative
propre système de journalisation indépendant des services syslog/rsyslog, il repose sur le daemon **journa... ournald**. Il permet également de reconfigurer le service de journalisation.
Invoqué sans arguments, jour... urnalctl -f _PID=4319
</code>
===== Filtrage par service =====
Utiliser l'argument **-u** ou **%%--%%unit** pour filtrer par unité systemd (service):
<code bash>
journalctl -u cron
</code>
===== F
er de configuration ''/etc/nftables.conf'' par le service **nftables.service** entraine la suppression de l'ensemble des règles préexistantes (flush du ruleset).
Or le service **libvirtd.service**, lors de son démarrage, crée des tables dédiées au transfert du trafic pour les VMs.
''/sbin/init'' en charge d'initialiser système et services.
Historiquement, SysVinit s'appuyait sur un ens... gissant en tant que gestionnaire de système et de services.
===== Architecture =====
Systemd s'appuie sur... ts) la gestion de ses différentes tâches:
* les services (.service);
* les minuteurs (.timer);
* les périphériques (.device);
* les sockets de communication
{{tag>sysadmin systemd linux service daemon}}
====== SystemD: Retrait d'un service ======
Pour désactiver un service ou daemon afin qu'il ne s’exécute plus automatiquement au démarrage du système:
<code bash>
systemctl stop [servicename]
systemctl disable [servicename]
systemctl da
rash*/*.bak/
</file>
==== Restriction d’accès aux services ====
Il est possible de limiter les services samba a certains clients
<file>
# Personne n’accède au ser... DP et le port 139 en TCP permettent d'utiliser le service de résolution de noms NetBIOS. Sans le service NetBIOS, le montage de lecteur réseau reste possible via l'
ierce (site internes, clients OpenVPN privés). Ce service d'authentification fournit par les CA est souvent... erveur web
* Authentifier un client auprès d'un service distant.
==== Créer la clé privée ====
Les clés... e retaper le mot de passe à chaque redémarrage du service. Dans ce cas d'usage, mieux vaut omettre cette l'... audra rendre les fichiers suivants accessibles au service:
* ca-chain.cert.pem : la chaine complète des A
mandés par l'ANSSI sur des poste n'offrant pas de service de routage.
De manière générale, limiter la surface d'attaque en n'installant que les services nécessaires au fonctionnement.
===== Droits d'a... A privilégier pour tout hôte sans spécificités de services. Ne requiert pas de connaissances approfondies d... es logs =====
**fail2ban** surveille l'acces aux services fournis par le système et peut réagir automatiqu
es |
^ daemon | daemons système |
^ ftp | service FTP |
^ ntp | network time protocol |
^ kern... tion et si la syntaxe est correcte, redémarrer le service:
<code bash>
$ sudo rsyslogd -N1
$ sudo service rsyslog restart
</code>
Pour tester le bon fonctionnemen
ificats émis, un serveur web minimal a été mis en service:
* VM docker-alpha.mairie.local exécutant Docke... whoami.mairie.local.cert.pem
</code>
Une fois le service lancé, depuis un poste client, tester la connexio... Haute Garonne, O = Mairie de Tournefeuille, OU = Service informatique, emailAddress = administrateur@mairi
