Infrastructure Technologique

Par définition, une distribution GNU/Linux est une compilation de logiciels libres (sous licence GPL ou équivalent) axée sur un noyau Linux. Le nombre de logiciels compilés dans une distribution dépend du but final de cette dernière ; les distributions communes comptent généralement quelques milliers de logiciels constituant l'ensemble des composants nécessaires pour utiliser un ordinateur (noyau, librairies systèmes, interpréteurs de commandes, gestionnaires graphiques, programmes systèmes, programmes utilisateurs, ...). Un système GNU/Linux minimal, mais parfaitement utilisable, qu'on peut orienter dans n'importe quelle utilisation (serveur, poste de travail, station multimédia, ...) est construit avec moins de 100 logiciels, ce sont les logiciels de base qui sont communs à toutes les distributions et c'est de la qualité de leur compilation que dépend la robustesse et la qualité générale du système.

Aujourd'hui on compte presque 400 distributions différentes allant des distributions spécialisées aux distributions grand public; cela sans compter les différentes solutions commerciales basées sur des logiciels libres.

Distribution spécialisée

Une distribution spécialisée diffère d'une distribution grand public dans la nature des logiciels qui y sont installés et dans la manière dont ils sont installés. Ainsi une distribution destinée à être utilisée comme pare-feu par exemple comprendra seulement un noyau et un ensemble réduit de librairies et de programmes servant à piloter le pare-feu Linux (il existe des distributions de ce genre qui peuvent être entièrement stockées sur une disquette). Les avantages de cette minimisation sont multiples car moins il y a de logiciels, moins il y a de failles de sécurité potentielles, cela réduit aussi la taille du système final, ce qui étend son champ d'action aux équipements réduits ou spécialisés ou encore au matériel à bas coût ou obsolète. D'autres distributions axées sur la sécurité incorporent des modifications dans les logiciels qui les rendent plus sécurisées par défaut mais sans en réduire le nombre ou très peu.

Le choix idéal dans notre cas serait une distribution minimale axée sur la sécurité qui incorpore tous les services nécessaires au déploiement de l'infrastructure logicielle du projet, cette distribution devra disposer d'un système d'installation qui gère la pré configuration automatique de tous les services pour une utilisation sécuritaire optimale. Il devra aussi être possible d'intégrer toute modification du système ou tout composant spécifique directement sur le support d'installation de telle manière à avoir un système prêt à l'emploi tout de suite après l'installation.

Ce système devra aussi être doté d'interfaces de configuration pour les administrateurs et les utilisateurs, ces interfaces devront être capables de piloter entièrement le système et d'en modifier le comportement sans en corrompre la sécurité ou l'intégrité tout en assurant une bonne qualité de service.

Ceci nous amène à la conclusion que la meilleure méthode pour obtenir le système qui répondra à toutes les spécifications est de se baser sur une distribution existante et de l'étendre en y rajoutant les services nécessaires de la manière voulue.

TrioOS GNU/Linux

Description

TrioOS est un système d'exploitation de la famille GNU/Linux ayant comme caractéristiques :

• Système spécialisé et optimisé pour une utilisation en mode serveur
• Intégration des services et homogénéité de fonctionnement
• Sécurisation au niveau noyau et au niveau application
• Simplicité de déploiement et d'utilisation
• Gestionnaire de packages avec possibilité de mise à jour automatique via Internet

Description des services du système cible

Ce système comprend les dernières versions stables de l'ensemble des logiciels qui forment le système de base, à partir duquel sont construits les différents services nécessaires :

Services de messagerie électronique

Les services de messagerie sont assurés par un ensemble de logiciels :

• Postfix : L'agent SMTP qui prend en charge le transport des emails via le réseau.
• Amavisd-new : Agent de filtrage de contenu qui s'intercale entre le serveur Postfix et différents programmes de filtrage (spam, virus, ...)
• Dspam : Programme de filtrage des spams par statistiques utilisant des algorithmes Bayesian. Dspam est capable d'apprendre au fur est à mesure qu'il fonctionne, en d'autres termes plus le temps passe plus le filtrage est précis ; la période d'apprentissage peut être raccourcie si les utilisateurs entraînent directement Dspam en lui réexpédiant les emails mal classifiés

• Spam Assassin : module de filtrage de spam fonctionnant en mode heuristique et se basant sur un ensemble de règles fixes. Ce module est utilisé en complément de Dspam pour plus d'exactitude dans le filtrage
• Scanner Anti-virus : Programme antivirus utilisé par l'ensemble des services manipulant des données destinées aux utilisateurs
• Courier-imap : Courier-imap comprend les services de consultations du courrier, il supporte les protocoles POP3 et IMAP
• Cyrus-SASL : Librairie implémentant une couche d'authentification que divers programmes peuvent utiliser pour authentifier des connexions réseau TCP/IP
• OpenSSL : Toolkit de cryptographie qui permet, entre autres, de crypter le contenu des connexions TCP/IP.

Services de cache Internet

 Les caches (ou Proxy) sont des programmes qui agissent entre le navigateur Internet et les serveurs de contenu HTTP, HTTPS et FTP. Leur but premier est d'économiser la bande passante en gardant des copies locales des pages visitées par les utilisateurs, une image par exemple ne sera téléchargée qu'une seule fois depuis le serveur d'origine, quelque soit le nombre de requêtes faites par les utilisateurs vers cette dernière.

Les serveurs Proxy modernes, tel que Squid, le Proxy open source le plus populaire, permettent de faire beaucoup plus que d'économiser la bande passante :

• Ils permettent de distribuer la bande passante de manière intelligente et ainsi d'assurer une certaine qualité de services.
• Un programme de filtrage externe peut être couplé avec le Proxy Squid pour évincer le contenu malicieux de manière transparente. Le programme de filtrage retenu est DansGuardian, il permet un filtrage flexible et rapide et peut bénéficier d'un programme antivirus pour détecter et stopper les virus à la source.
• Ils peuvent être utilisés en tant qu'accélérateurs pour des serveurs web locaux.

  Services réseau

   La modération du trafic réseau est assurée directement par le noyau Linux et porte sur deux points essentiels :

  Filtrage de contenu via NetFilter : Code du pare-feu natif de Linux, NetFilter (ou IPtables pour d'autres) se présente aujourd'hui comme l'une des solutions logicielles la plus sophistiquée du marché. Ce projet a bénéficié de plusieurs années de développement de test dans des environnements aussi divers que variés.

• Qualité de service (ou QOS) : On entend par qualité de service l'habilité à contrôler et à prévoir le trafic réseau sur un segment donné de telle manière à pouvoir garantir une certaine stabilité d'opération de certains services. Ex : empêcher que les téléchargements Internet occupent toute la bande passante de manière anarchique Seront aussi utilisés des outils de monitoring du réseau qui permetteront de surveiller l'évolution du trafic, afin d'anticiper ou de quantifier les besoins en bande passante et éventuellement servir d'outil d'analyse ou de résolution de problèmes.