Alinea

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
Prochaine révisionLes deux révisions suivantes
pratique:informatique:start_serveur [23/05/2024 10:29] Zatalyzpratique:informatique:start_serveur [23/05/2024 10:38] Zatalyz
Ligne 4: Ligne 4:
 Les commandes sont présentées pour Debian.  Les commandes sont présentées pour Debian. 
  
-====== Installation ======+===== Installation =====
 Lorsque c'est possible, les options qui font que c'est mieux... Lorsque c'est possible, les options qui font que c'est mieux...
  
-===== Partitions et LVM =====+==== Partitions et LVM ====
 Utiliser la puissance de LVM... En partition primaire :  Utiliser la puissance de LVM... En partition primaire : 
   * /boot = 510MB. Debian le met en ext2 par défaut (bookworm). Ni trop ni trop peu.   * /boot = 510MB. Debian le met en ext2 par défaut (bookworm). Ni trop ni trop peu.
Ligne 17: Ligne 17:
   * /tmp = 5GB, ext4   * /tmp = 5GB, ext4
  
-==== Mémo de commandes LVM ====+=== Mémo de commandes LVM ===
 Plus de détail sur [[https://khaganat.net/wikhan/fr:lvm_snapshot]]. Plus de détail sur [[https://khaganat.net/wikhan/fr:lvm_snapshot]].
  
Ligne 169: Ligne 169:
  
 <wrap warning>Testez bien la connexion avant de vous déconnecter, dans un autre terminal ! Un mauvais paramétrage peut vous empêcher d'accéder à votre serveur !</wrap> <wrap warning>Testez bien la connexion avant de vous déconnecter, dans un autre terminal ! Un mauvais paramétrage peut vous empêcher d'accéder à votre serveur !</wrap>
 +
 +==== Autres logiciels de sécurité ====
 +=== Rkhunter ===
 +<WRAP center round info 100%>
 +rkhunter (pour Rootkit Hunter) est un programme qui essaye de détecter les rootkits, portes dérobées et exploits. Pour cela, il compare le hash SHA256, SHA512, SH1 et MD5 des fichiers importants avec les hash connus, qui sont accessibles à partir d'une base de données en ligne. Il alerte également l'utilisateur lorsqu'il trouve des permissions qu'il juge anormales, des fichiers cachés, des chaînes suspectes dans le kernel etc.
 +
 +De par l'exhaustivité des tests qu'il effectue, et à cause du nombre de systèmes sur lesquels il tourne, rkhunter renvoie généralement de nombreux avertissements. L'analyse de ces avertissements (warnings) nécessite une bonne connaissance des systèmes Unix. Dans une écrasante majorité des cas, ces avertissements sont bénins et peuvent être ignorés.
 +
 +Source : [[https://doc.ubuntu-fr.org/rkhunter|Ubuntu-fr]]
 +</WRAP>
 +J'ai souvenir qu'il est effectivement bavard. Et aussi que ce n'est pas une sécurité en soi, juste un outil permettant de détecter certains problèmes. 
 +
 +sudo apt
 +On le configure un chouia
 +
 +  sudo nano /etc/rkhunter.conf
 +
 +Modifier les options suivantes pour qu'elles aient ces valeurs : 
 +
 +<code>
 +UPDATE_MIRRORS=1
 +MIRRORS_MODE=0
 +#WEB_CMD="/bin/false"
 +ALLOWHIDDENDIR=/etc/.git
 +ALLOWHIDDENDIR=/dev/.lxc
 +ALLOWHIDDENDIR="/dev/.udev"
 +ALLOWHIDDENDIR="/dev/.static"
 +ALLOWDEVFILE="/dev/.udev/rules.d/root.rules"
 +PKGMGR=DPKG
 +ALLOW_SSH_PROT_V1=0
 +</code>
 +
 +Après ces modifications, exécuter ceci : 
 +  rkhunter -C
 +  rkhunter --propupd
 +
 +Modifier aussi ''/etc/default/rkhunter''.
 +CRON_DAILY_RUN="true"
 +CRON_DB_UPDATE="true"
 +APT_AUTOGEN="yes"
 +
 +Quand à envoyer un mail quotidien... ça fait du bruit, qu'il se passe un truc ou non. Et il faut configurer l'envoi de mail.
 +
 +On se fait un petit test en mettant à jour l'ensemble puis en affichant juste ce qui est avec des warnings : 
 +<code>rkhunter --update
 +rkhunter --list
 +rkhunter -c --rwo</code>
 +
 +=== Fail2ban/Reaction et Pare-feu (iptables, nftable, ipset, etc) ===
 +Tout est noté dans un article à part, parce que ça commençait à être long : [[pratique:informatique:fail2ban]].
 +
 +
 +
 +
  
 ===== Grub ===== ===== Grub =====
CC Attribution-Noncommercial-Share Alike 4.0 International Driven by DokuWiki
pratique/informatique/start_serveur.txt · Dernière modification : 30/06/2024 09:05 de Zatalyz