Alinea

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
pratique:informatique:start_serveur [29/06/2024 08:38] – [Xen] Zatalyzpratique:informatique:start_serveur [27/02/2025 08:59] (Version actuelle) – Détails sur logrotate Zatalyz
Ligne 50: Ligne 50:
   * **bash-completion** qui peut aider (mais on va surtout modifier le .bashrc rapidement)   * **bash-completion** qui peut aider (mais on va surtout modifier le .bashrc rapidement)
   * **cron et logrotate** sont par défaut en principe, mais mieux vaut s'en assurer. [[https://doc.ubuntu-fr.org/cron|Cron]] permet de configurer des actions de façon automatique. [[https://doc.ubuntu-fr.org/logrotate|Logrotate]] évite que les logs ne saturent la mémoire. Suivre les liens pour leurs configurations.    * **cron et logrotate** sont par défaut en principe, mais mieux vaut s'en assurer. [[https://doc.ubuntu-fr.org/cron|Cron]] permet de configurer des actions de façon automatique. [[https://doc.ubuntu-fr.org/logrotate|Logrotate]] évite que les logs ne saturent la mémoire. Suivre les liens pour leurs configurations. 
-  * **bsd-mailx, msmtp et msmtp-mta** pour recevoir les mails systèmes (voir [[pratique:informatique:mail_relai]]).+  * **bsd-mailx, msmtp et msmtp-mta** pour recevoir les mails systèmes (voir [[pratique:informatique:mail:mail_relai]]).
   * **apt-listbugs, debsums et apt-listchanges** éviteront de mettre des paquets bugués. D'où l'upgrade après.   * **apt-listbugs, debsums et apt-listchanges** éviteront de mettre des paquets bugués. D'où l'upgrade après.
     * **apt-listbugs** prévient s'il y a des soucis     * **apt-listbugs** prévient s'il y a des soucis
Ligne 87: Ligne 87:
   APT::Install-Suggests "0";   APT::Install-Suggests "0";
  
 +==== Logrotate ====
 +Un petit point sur logrotate, au fil des versions de Debian le fichier par défaut est plus ou moins bon (à mon goût), en particulier parce que le "poids" des logs n'est pas renseigné. Donc ma version, et en français.
 +<code bash /etc/logrotate.conf>
 +# Rotation des fichiers chaque semaine
 +weekly
 +# Garder 4 semaines dans le stock
 +rotate 4
 +# Tourner aussi si le fichier dépasse une certaine taille (évite de remplir le disque)
 +size 10M
 +# Créer de nouveaux fichiers journaux (vides) après une rotation
 +create
 +# Pas de rotation si le fichier est vide
 +notifempty
 +# use date as a suffix of the rotated file
 +#dateext
 +# Compresser les vieux fichiers
 +compress
 +# Retarde le processus de compression jusqu'à la prochaine rotation
 +delaycompress
 +# Permet au processus de ne pas s'arrêter à chaque erreur et de poursuivre avec le fichier de log suivant.
 +missingok
 +# Les paquets mettent leurs infos pour logrotate dans ce dossier
 +include /etc/logrotate.d
 +</code>
 +À savoir que les paquets ont leur propre règles qui peuvent passer outre celles-ci. 
 ==== Xen ==== ==== Xen ====
-Si on veut jouer avec Xen (et en sélectionnant les recommandés utilesdonc pas "tout") :  +On peut installer Xen, histoire de containeriser les besoinsAttention ça pompe autrement les ressourcesPlus d'infos [[pratique:informatique:xen|ici]]. 
-  sudo apt install xen-tools xen-system-amd64 grub-xen-host qemu-utils gnupg arch-test bridge-utils qemu-system-xen shared-mime-info xdg-user-dirs +
- +
-On fait un reboot et on voit si la commande "xl list" fonctionne, sinon faut [[https://khaganat.net/wikhan/fr:xen#booter_sur_le_bon_noyauconfiguration_de_grub|bidouiller grub]]. +
- +
-=== Réseau en local derrière un routeur === +
-Le routeur gère déjà pas mal de choses, ça va être assez simple. +
- +
-Donc on gère surtout surtout ce qui entre (input) et sort (output). On peut oublier les trucs genre forward, nat, etc +
- +
-Par contre il faut que chaque VM aie une ip interne sur le réseau local, pour ça on va configurer xen en mode bridge (mode par défaut) +
- +
-On commence par voir quelle est le nom de nos interfaces réseaux : +
-  ip a +
- +
-Chez moi c'est ''enp2s0''+
- +
-Ensuite on modifie ''/etc/network/interfaces''. On ajoute ceci : +
-<code> +
-iface enp2s0 inet manual +
- +
-iface xenbr0 inet static +
-        bridge_ports enp2s0 +
-        address 192.168.1.2 +
-        broadcast 192.168.1.255 +
-        netmask 255.255.255.0 +
-        gateway 192.168.1.1 +
- +
-</code> +
-et on va commenter d'autres parties mais pas tout, ce qui au final donne ça chez moi :  +
-<code> +
-# This file describes the network interfaces available on your system +
-# and how to activate them. For more information, see interfaces(5). +
-#source /etc/network/interfaces.d/+
-# The loopback network interface +
-auto lo +
-iface lo inet loopback +
-# The primary network interface +
-#allow-hotplug enp2s0 +
-#iface enp2s0 inet dhcp +
-iface enp2s0 inet manual +
- +
-iface xenbr0 inet static +
-        bridge_ports enp2s0 +
-        address 192.168.1.2 +
-        broadcast 192.168.1.255 +
-        netmask 255.255.255.0 +
-        gateway 192.168.1.1 +
- +
-</code> +
- +
- +
-=== Réseau de base (serveur chez un hébergeur) === +
-Là, pas de routeur en amont (même si l'hébergeur peut gérer d'autres trucs genre attaque DDoS), donc on va paramétrer la partie "NAT"+
- +
-<WRAP center round todo 60%> +
- +
-Configuration du réseau : je laisse l'hyperviseur gérer l'aspect pare-feu. Modifier ''/etc/sysctl.conf'' et décommentez/ajoutez la ligne suivante : +
- +
-  net.ipv4.ip_forward=1 +
- +
-(Et ptet la suivante sur l'ipv6 ?). +
- +
-Pour une prise en charge immédiate des modification du fichier ''/etc/sysctl.conf'' taper la commande : +
- +
-  sysctl -p /etc/sysctl.conf +
- +
-Ensuite... faut configurer mais faut aussi que je comprenne [[pratique:informatique:parefeu:nftables|nftables]]. +
-</WRAP>+
  
 ===== Sécurité ===== ===== Sécurité =====
Ligne 294: Ligne 251:
 Tout est noté dans un article à part, parce que ça commençait à être long : [[pratique:informatique:parefeu:start]]. Tout est noté dans un article à part, parce que ça commençait à être long : [[pratique:informatique:parefeu:start]].
  
 +=== Logwatch ===
 +  sudo apt install logwatch
 +
 +Logwatch n'est pas un outil qui va agir, par contre il analyse les logs et en rends un rapport plus digeste. Si, vraiment plus digeste, ça permet de voir les bots. 
 +
 +C'est donc utile pour améliorer ses filtres. Une fois msmtp configuré (ou autre solution d'envoi de mail), créer le dossier pour Logwatch :
 +
 +  sudo mkdir /var/cache/logwatch
 +
 +Et le paramétrer
 +  sudo cp /usr/share/logwatch/default.conf/logwatch.conf /etc/logwatch/conf/
 +  sudo nano /etc/logwatch/conf/logwatch.conf
 +
 +Dans mon cas je permet surtout l'envoi du rapport par mail, mais à adapter si besoin (entre autre l'émetteur/Récepteur), et la quantité de détails (à adapter au fil des filtres...) :
 +<code bash /etc/logwatch/conf/logwatch.conf>
 +Output = mail
 +Detail = 5
 +</code>
 +
 +Pour ''MailTo '' on peut déclarer plusieurs adresses mails, séparées par un espace :
 +  MailTo = mail1@moi.net mail2@moi.net 
 +
 +Et un coup de cron journalier (sur root) : 
 +  15 1 * * * /usr/sbin/logwatch >/dev/null 2>&1 #logwatch
 +
 +
 +=== Lynis ===
 +Lynis aide à auditer son système. Il ne fait rien seul, mais il aide à voir là où on est pas forcément top. Simplement ''sudo apt install lynis''.
  
 +Pour voir la liste des options :
 +  sudo lynis
  
 +Pour un check du systeme, en root : 
 +  lynis audit system
  
 +Des recommendations et conseils sont présents à la fin de l'analyse, suivant ce qui a été détecté. Moralité je vais pouvoir encore améliorer ma doc...
  
 ===== Grub ===== ===== Grub =====
CC Attribution-Noncommercial-Share Alike 4.0 International Driven by DokuWiki
pratique/informatique/start_serveur.1719643082.txt.gz · Dernière modification : 29/06/2024 08:38 de Zatalyz