¶ Introduction
Dans ce tutoriel, vous allez apprendre à installer Fedora Server & à configurer l'environnement de travail en fonction de vos besoins.
Vous y découvrirez l'installation avec une interface graphique et SANS interface graphique !
¶ Installation de Fedora
Pour installer Fedora, premièrement je lance ma machine virtuelle afin de boot sur le menu grub.
Je sélectionne "Install Fedora 36"
Une fois boot, le système me demande de choisir la langue, en bon cocoricot que je suis je séléctionne le français
Le système me signale qu'il m'est impossible de terminer l'installation sans configurer 2 éléments :
● Le disque dur
● Le compte superutilisateur
Je commence par configurer la partie disque dur
Pour configurer le disque rien de très complexe, il vous suffit une fois dans le menu de cliquer sur "fait" et le tour est joué ! (Sauf si vous voulez personnalisé la configuration avec plusieurs partitions, etc...)
Je vais ensuite configurer le compte superutilisateur
Je séléctionne l'option "Activer le compte root" et lui donne un mot de passe (ici "root" pour me simplifier la tâche mais je ne le recommande ABSOLUMENT PAS !)
Cliquez ensuite sur "Fait" deux fois comme précisé plus bas et le tour et joué
Je démarre ensuite l'installation
J'attend qu'elle se termine
Je redémarre le système.
¶ Première connexion avec "interface graphique"
Une fois l'installation terminée, vous possédez concernant Fedora une adresse à joindre.
Renseignez cette adresse dans un navigateur et connectez vous avec le compte root renseignez à l'installation.
Si l'application web vous dit quelque chose, c'est normal ! Il s'agit de l'application cockpit !
La fameuse "interface graphique" dont je vous parlais sera celle-ci tout au long de votre périple sur Fedora. Fini gnome, xfce & ces interfaces qui bouffent beaucoup de mémoire !
¶ Première connexion sans interface graphique
Pour la connexion "sans interface graphique" rien de plus simple, allez directement sur la machine virtuelle & rentrez votre identifiant ainsi que votre mot de passe et le tour est joué.
Vous savez maintenant comment installer et vous connecter sur Fedora ! Place à la partie intéressante !
¶ Configurer Fedora
Par défaut les environnements Linux ne sont pas sécurisés. Contrairement aux environnements windows qui ont des règles de pare-feu très souvent préétablies sur différents profils (public/privé/domaine/etc...) les pare-feu intégrés a Fedora ne protègent absolument pas.
Dans les parties & sous-parties que nous verrons ci-dessous nous verrons comment protéger un minimum cet environnement pour nous permettre de travailler sans trop de problèmes.
Je ne vous fournirais que des "bases", ce tutoriel étant adapté aux débutants. Si vous souhaitez aller plus loin je vous conseille de lire les recommandations de l'ANSSI
¶ Configuration de base
¶ Créer un utilisateur "administrateur"
Première étape cruciale dans la configuration et l'administration de votre environnement Fedora est la création d'utilisateurs. Vous pouvez passer directement par cockpit si vous le souhaitez pour créer l'utilisateur ou alors utiliser le terminal peu importe.
¶ Via cockpit
Première étape, connectez vous sur cockpit avec le compte root puis rendez-vous dans l'onglet "Comptes"
Appuyez sur le bouton "créer un nouveau compte" (sinon ça risque d'être compliqué d'en créer un nouveau par magie)
Renseignez ensuite votre identifiant et votre mot de passe, pour l'authentification utiliser "use password" afin de préciser que l'utilisateur s'authentifie avec un mot de passe (car l'utilisateur pourrait s'authentifier via un certificat ou par un autre format), si vous le souhaitez vous avez l'option "require password change on first logon" qui vous fera changer de mot de passe à la première connexion.
Si le mot de passe est trop faible (mon cas ici présent puisque mon mot de passe ne passe pas la vérification de qualité) vous pouvez tout de même "Créer un compte avec un mot de passe faible". En environnement de "test" sans accès de l'extérieur pourquoi pas, mais personnellement je ne recommande ABSOLUMENT PAS d'avoir un mot de passe aussi faible (ici j'ai gardé le même nom que mon utilisateur).
L'utilisateur apparait bien dans la liste, petit problème il n'est pas "administrateur" ! Cliquez sur le profil de votre utilisateur pour le modifier.
Une fois sur le profil, cochez le rôle "Administrateur de serveur", si vous passez la souris au dessus du symbole "?", il vous expliquera que vous ajoutez l'utilisateur au groupe "wheel", si vous souhaitez plus d'infos sur cela cliquez ici (https://en.wikipedia.org/wiki/Wheel_(computing))
¶ Via CLI
Via le CLI il vous suffit d'abord de vous connecter avec le compte root puis de taper la commande
L'option -G me permet de spécifier directement le groupe de l'utilisateur
Je créer ensuite un mot de passe pour l'utilisateur
Il vous repetera la même chose si le mot de passe est faible
MOT DE PASSE INCORRECT : Le mot de passe comporte moins de 8 caractères.
Vous pouvez tout de même ajouter ce mot de passe mais il ne respecte simplement pas les critères recommandés.
Super ! Vous savez maintenant créer un utilisateur avec des droits administrateurs !
¶ Changer le nom d'hôte
Par défaut chaque machine Fedora se nomme "fedora", nous allons changer le nom de la machine afin de pouvoir l'identifier plus facilement.
Pour ma part, je vais l'appeler fedora-tuto
¶ Via cockpit
Pour modifier via cockpit c'est très simple, rendez-vous sur le menu principal (=Aperçu) et cliquez sur "modifier" à côté du nom d'utilisateur dans l'onglet "Configuration"
Vous pouvez alors modifier votre nom d'hôte "réel" et votre nom d'hôte "pretty", ce qui est assez "drôle" c'est que comme son nom l'indique, le nom d'hôte "pretty" n'est là que pour faire "joli" en effet ce nom d'hôte n'a que pour unique intéret d'être visible à travers le réseau pour rentre plus "simple" et plus "comprehensible" le nom de la machine aux utilisateurs. (ex : vw2019-smb devient "Serveur Partage" à travers le réseau)
Une fois la modification effectuée, votre nom d'hôte sera changé directement dans le menu configuration. Dans le doute personnellement je vous conseille un petit redémarrage histoire d'être sûr.
¶ Via CLI
Pour modifier via le CLI rien de plus "simple", il vous suffit d'utiliser l'utilitaire "hostnamectl" et d'utiliser la commande suivante
Pour voir votre nom d'hôte actuel tapez la commande
Vous devrez avoir un retour comme celui-ci (avec plus bas les informations concernant votre matériel, ici cela ne nous intéresse pas)
Comme vous le voyez votre machine ne possède pas d'hôte statique, je vais donc lui configurer un nom d'hôte définitif avec la commande suivante :
Si vous refaite votre "hostnamectl" vous verrez que vous avez maintenant un static hostname de défini
Supez ! Vous savez maintenant changer de nom d'hôte !
¶ Changer d'adresse IP
¶ Via cockpit
Pour changer d'adresse ip via cockpit c'est très simple !
Rendez-vous d'abord sur le menu "Réseau"
Une fois sue le menu réseau cliquez sur l'interface réseau présente, pour ma part il s'agit d'ens160
Une fois sur les paramètres de la carte, nous allons pouvoir modifier les paramètres IPv4 & IPv6
Je modifie d'abord la partie IPv4 en adressant une ip statique et un serveur DNS.
Après avoir validé la configuration ip, la page va se "recharger" et vous demander de confirmer la configuration des paramètres, en effet si vous modifier votre configuration ip vous n'aurez temporairement plus accès à cockpit. Validez avec le bouton "modifier les paramètres"
Attendez quelques secondes & reconnectez vous sur votre navigateur en changeant simplement l'ip dan le navigateur pour réaccéder a cockpit.
Pour la partie IPv6 me concernant, je ne compte pas en faire donc je le désactive.
¶ Via CLI
Pour changer d'adresse ip, premièrement je vous invite à aller vérifier votre configuration ip actuelle, ce qui va surtout nous intéresser c'est récupérer "l'identifiant" de notre interface réseau.
Pour cela effectuez la commande
Vous devrez avoir ce résultat
L'interface lo ne m'intéresse pas il s'agit de la loopback, par contre l'autre interface ens160 est bien l'interface que je vais configurer.
Pour changer la configuration, je vous conseille d'utiliser le NetworkManagerCLI (nmcli), la commande ci-dessous me permet de configurer ma carte ens160 en static avec l'ip 172.16.244.20, la gateway 172.16.244.2
Une fois la configuration effectuée je redémarre ma carte réseau
Je vérifie ma configuration & je vous qu'elle a bien changé !
Super ! Vous savez maintenant parfaitement comment changer votre configuration ip !
¶ Mettre à jour le système
¶ Via cockpit
Pour mettre à jour le système depuis cockpit, c'est très simple !
Vous pouvez directement aller dans le menu "Mises à jour logicielles"
Cliquez sur le bouton de recherche de mises à jour & cliquer sur "installer les mises à jour"
¶ Via CLI
Pour mettre à jour le système sur un environnement Fedora vous utiliserez majoritairement DNF (DNF étant l'utilitaire qui "remplace" yum).
Pour lancer une mise à jour vous pouvez utiliser les commande suivante :
ou
Les deux commandes font exactement la même chose, la commande "réelle" est upgrade, update n'est qu'un alias.
¶ Configuration avancée
¶ Sécuriser les accès avec le pare-feu interne
Pour cette partie du tutoriel, j'utiliserais iptables, Fedora possède un autre pare-feu "firewall-cmd", je ne l'utiliserais pas & je ne le recommande pas pour un environnement serveur donc je le désactive.
Par défaut, les règles de pare-feu sur iptables ne protègent absolument pas les accès au système. Le pare-feu autorise toutes les connexions entrantes et sortantes sans la moindre protection.
Pour se protéger, nous allons empêcher des requêtes d'entrer sauf si elles sont taggués "ESTABLISHED" avec notre hôte, en d'autres termes je ne vais laisser passer que les requêtes que j'ai effectuées moi-même avec "l'extérieur"
Pour cela je vais modifier la configuration de mon pare-feu "iptables"
Première étape, je bloque les accès en changeant la politique de filtrage.
Seconde étape, j'autorise les connexions entrantes uniquement si elles sont ESTABLISHED & RELATED.
Ainsi, j'ai bloqué tous les accès vers mon serveur ! Je devrai ensuite ajouter manuellement chacuns des ports que je souhaite ouvrir.
Le premier que je vais tester n'est autre que celui pour cockpit ! Effectivement après avoir changé la politique de filtrage et en ne laissant rien passer, sur la page web de cockpit j'ai ce résultat
Pour ajouter cockpit je vais simplement effectuer la commande suivante
Je vérifie ensuite ma configuration
Voici le résultat
Si je retourne voir cockpit voici ma page !
Iptables par défaut n'enregistre pas votre configuration, pour l'enregistrer rentrez la commande suivante
Si le résultat de la commande vous signale que vous n'avez pas la permission, utilisez temporairement l'utilisateur root
Super ! Vous savez maintenant comment configurer votre pare-feu !
¶ Conclusion
Vous savez maintenant comment installer et configurer un serveur Fedora !
Vous pouvez aller plus loin dans la configuration si vous le souhaitez, n’hésitez pas à me contacter dans ce cas ou à vous renseigner directement auprès des documentations Fedora disponibles sur leur site officiel.
Si vous souhaitez avoir plus d’informations ou si vous avez découvert une coquille sur ce tutoriel, merci de me contacter à l’adresse i.martel@imweb.ovh
¶ Notes de version
v1 - Version initiale