Différences

Ci-dessous, les différences entre deux révisions de la page.

--- pratique:informatique:start_serveur [23/05/2024 10:59] – [Xen] Zatalyz
+++ pratique:informatique:start_serveur [27/02/2025 08:59] (Version actuelle) – Détails sur logrotate Zatalyz
@@ Ligne 50: / Ligne 50: @@
   * **bash-completion** qui peut aider (mais on va surtout modifier le .bashrc rapidement)
   * **cron et logrotate** sont par défaut en principe, mais mieux vaut s'en assurer. [[https://doc.ubuntu-fr.org/cron|Cron]] permet de configurer des actions de façon automatique. [[https://doc.ubuntu-fr.org/logrotate|Logrotate]] évite que les logs ne saturent la mémoire. Suivre les liens pour leurs configurations.
-  * **bsd-mailx, msmtp et msmtp-mta** pour recevoir les mails systèmes (voir [[pratique:informatique:mail_relai]]).
+  * **bsd-mailx, msmtp et msmtp-mta** pour recevoir les mails systèmes (voir [[pratique:informatique:mail:mail_relai]]).
   * **apt-listbugs, debsums et apt-listchanges** éviteront de mettre des paquets bugués. D'où l'upgrade après.
     * **apt-listbugs** prévient s'il y a des soucis
@@ Ligne 87: / Ligne 87: @@
   APT::Install-Suggests "0";
+==== Logrotate ====
+Un petit point sur logrotate, au fil des versions de Debian le fichier par défaut est plus ou moins bon (à mon goût), en particulier parce que le "poids" des logs n'est pas renseigné. Donc ma version, et en français.
+<code bash /etc/logrotate.conf>
+# Rotation des fichiers chaque semaine
+weekly
+# Garder 4 semaines dans le stock
+rotate 4
+# Tourner aussi si le fichier dépasse une certaine taille (évite de remplir le disque)
+size 10M
+# Créer de nouveaux fichiers journaux (vides) après une rotation
+create
+# Pas de rotation si le fichier est vide
+notifempty
+# use date as a suffix of the rotated file
+#dateext
+# Compresser les vieux fichiers
+compress
+# Retarde le processus de compression jusqu'à la prochaine rotation
+delaycompress
+# Permet au processus de ne pas s'arrêter à chaque erreur et de poursuivre avec le fichier de log suivant.
+missingok
+# Les paquets mettent leurs infos pour logrotate dans ce dossier
+include /etc/logrotate.d
+</code>
+À savoir que les paquets ont leur propre règles qui peuvent passer outre celles-ci.
 ==== Xen ====
-Si on veut jouer avec Xen (et en sélectionnant les recommandés utiles, donc pas "tout") :
+On peut installer Xen, histoire de containeriser les besoins. Attention ça pompe autrement les ressources. Plus d'infos [[pratique:informatique:xen|ici]].
-  sudo apt install xen-tools xen-system-amd64 grub-xen-host qemu-utils gnupg arch-test bridge-utils qemu-system-xen shared-mime-info xdg-user-dirs
-On fait un reboot et on voit si la commande "xl list" fonctionne, sinon faut [[https://khaganat.net/wikhan/fr:xen#booter_sur_le_bon_noyauconfiguration_de_grub|bidouiller grub]].
 ===== Sécurité =====
 ==== Mot de passe ====
@@ Ligne 188: / Ligne 211: @@
 J'ai souvenir qu'il est effectivement bavard. Et aussi que ce n'est pas une sécurité en soi, juste un outil permettant de détecter certains problèmes.
-sudo apt
+  sudo apt install rkhunter
-On le configure un chouia
+On le configure un chouia :
   sudo nano /etc/rkhunter.conf
@@ Ligne 213: / Ligne 237: @@
 Modifier aussi ''/etc/default/rkhunter''.
-CRON_DAILY_RUN="true"
+<code>CRON_DAILY_RUN="true"
 CRON_DB_UPDATE="true"
-APT_AUTOGEN="yes"
+APT_AUTOGEN="yes"</code>
 Quand à envoyer un mail quotidien... ça fait du bruit, qu'il se passe un truc ou non. Et il faut configurer l'envoi de mail.
@@ Ligne 225: / Ligne 249: @@
 === Fail2ban/Reaction et Pare-feu (iptables, nftable, ipset, etc) ===
-Tout est noté dans un article à part, parce que ça commençait à être long : [[pratique:informatique:fail2ban]].
+Tout est noté dans un article à part, parce que ça commençait à être long : [[pratique:informatique:parefeu:start]].
+=== Logwatch ===
+  sudo apt install logwatch
+Logwatch n'est pas un outil qui va agir, par contre il analyse les logs et en rends un rapport plus digeste. Si, vraiment plus digeste, ça permet de voir les bots.
+C'est donc utile pour améliorer ses filtres. Une fois msmtp configuré (ou autre solution d'envoi de mail), créer le dossier pour Logwatch :
+  sudo mkdir /var/cache/logwatch
+Et le paramétrer
+  sudo cp /usr/share/logwatch/default.conf/logwatch.conf /etc/logwatch/conf/
+  sudo nano /etc/logwatch/conf/logwatch.conf
+Dans mon cas je permet surtout l'envoi du rapport par mail, mais à adapter si besoin (entre autre l'émetteur/Récepteur), et la quantité de détails (à adapter au fil des filtres...) :
+<code bash /etc/logwatch/conf/logwatch.conf>
+Output = mail
+Detail = 5
+</code>
+Pour ''MailTo '' on peut déclarer plusieurs adresses mails, séparées par un espace :
+  MailTo = mail1@moi.net mail2@moi.net
+Et un coup de cron journalier (sur root) :
+1 * * * /usr/sbin/logwatch >/dev/null 2>&1 #logwatch
+=== Lynis ===
+Lynis aide à auditer son système. Il ne fait rien seul, mais il aide à voir là où on est pas forcément top. Simplement ''sudo apt install lynis''.
+Pour voir la liste des options :
+  sudo lynis
+Pour un check du systeme, en root :
+  lynis audit system
+Des recommendations et conseils sont présents à la fin de l'analyse, suivant ce qui a été détecté. Moralité je vais pouvoir encore améliorer ma doc...
 ===== Grub =====