Différences

Ci-dessous, les différences entre deux révisions de la page.

--- pratique:informatique:start_serveur [29/06/2024 09:34] – [Xen] Zatalyz
+++ pratique:informatique:start_serveur [27/02/2025 08:59] (Version actuelle) – Détails sur logrotate Zatalyz
@@ Ligne 50: / Ligne 50: @@
   * **bash-completion** qui peut aider (mais on va surtout modifier le .bashrc rapidement)
   * **cron et logrotate** sont par défaut en principe, mais mieux vaut s'en assurer. [[https://doc.ubuntu-fr.org/cron|Cron]] permet de configurer des actions de façon automatique. [[https://doc.ubuntu-fr.org/logrotate|Logrotate]] évite que les logs ne saturent la mémoire. Suivre les liens pour leurs configurations.
-  * **bsd-mailx, msmtp et msmtp-mta** pour recevoir les mails systèmes (voir [[pratique:informatique:mail_relai]]).
+  * **bsd-mailx, msmtp et msmtp-mta** pour recevoir les mails systèmes (voir [[pratique:informatique:mail:mail_relai]]).
   * **apt-listbugs, debsums et apt-listchanges** éviteront de mettre des paquets bugués. D'où l'upgrade après.
     * **apt-listbugs** prévient s'il y a des soucis
@@ Ligne 87: / Ligne 87: @@
   APT::Install-Suggests "0";
+==== Logrotate ====
+Un petit point sur logrotate, au fil des versions de Debian le fichier par défaut est plus ou moins bon (à mon goût), en particulier parce que le "poids" des logs n'est pas renseigné. Donc ma version, et en français.
+<code bash /etc/logrotate.conf>
+# Rotation des fichiers chaque semaine
+weekly
+# Garder 4 semaines dans le stock
+rotate 4
+# Tourner aussi si le fichier dépasse une certaine taille (évite de remplir le disque)
+size 10M
+# Créer de nouveaux fichiers journaux (vides) après une rotation
+create
+# Pas de rotation si le fichier est vide
+notifempty
+# use date as a suffix of the rotated file
+#dateext
+# Compresser les vieux fichiers
+compress
+# Retarde le processus de compression jusqu'à la prochaine rotation
+delaycompress
+# Permet au processus de ne pas s'arrêter à chaque erreur et de poursuivre avec le fichier de log suivant.
+missingok
+# Les paquets mettent leurs infos pour logrotate dans ce dossier
+include /etc/logrotate.d
+</code>
+À savoir que les paquets ont leur propre règles qui peuvent passer outre celles-ci.
 ==== Xen ====
-Si on veut jouer avec Xen (et en sélectionnant les recommandés utiles, donc pas "tout") :
+On peut installer Xen, histoire de containeriser les besoins. Attention ça pompe autrement les ressources. Plus d'infos [[pratique:informatique:xen|ici]].
-  sudo apt install xen-tools xen-system-amd64 grub-xen-host qemu-utils gnupg arch-test bridge-utils qemu-system-xen shared-mime-info xdg-user-dirs
-On fait un reboot et on voit si la commande "xl list" fonctionne, sinon faut [[https://khaganat.net/wikhan/fr:xen#booter_sur_le_bon_noyauconfiguration_de_grub|bidouiller grub]].
-=== Réseau en local derrière un routeur ===
-Le routeur gère déjà pas mal de choses, ça va être assez simple.
-Donc on gère surtout surtout ce qui entre (input) et sort (output). On peut oublier les trucs genre forward, nat, etc.
-Par contre il faut que chaque VM aie une ip interne sur le réseau local, pour ça on va configurer xen en mode bridge (mode par défaut).
-On commence par voir quelle est le nom de nos interfaces réseaux :
-  ip a
-Chez moi c'est ''enp2s0''.
-On vérifie aussi l'ip interne donnée par la box (192.168.1.X dans l'exemple) et l'ip de la box (192.168.1.254 chez OVH, attention [[pratique:informatique:box_fai|ça change suivant les opérateurs]]).
-Ensuite on modifie ''/etc/network/interfaces''. On ajoute ceci (sans les commentaires) :
-<code>
-iface enp2s0 inet manual
-iface xenbr0 inet static
-        bridge_ports enp2s0
-# L'adresse locale donnée par le routeur
-        address 192.168.1.X
-        netmask 255.255.255.0
-# L'adresse locale du routeur
-        gateway 192.168.1.254
-</code>
-et on va commenter d'autres parties mais pas tout, et puis ajouter le pont à ''lo'', ce qui au final donne ça chez moi :
-<code>
-# This file describes the network interfaces available on your system
-# and how to activate them. For more information, see interfaces(5).
-#source /etc/network/interfaces.d/*
-# The loopback network interface
-auto lo xenbr0
-iface lo inet loopback
-# The primary network interface
-#allow-hotplug enp2s0
-#iface enp2s0 inet dhcp
-iface enp2s0 inet manual
-iface xenbr0 inet static
-        bridge_ports enp2s0
-        address 192.168.1.68
-        broadcast 192.168.1.255
-        netmask 255.255.255.0
-        gateway 192.168.1.254
-</code>
-Un petit reboot et tout devrait aller.
-=== Réseau de base (serveur chez un hébergeur) ===
-Là, pas de routeur en amont (même si l'hébergeur peut gérer d'autres trucs genre attaque DDoS), donc on va paramétrer la partie "NAT".
-<WRAP center round todo 60%>
-Configuration du réseau : je laisse l'hyperviseur gérer l'aspect pare-feu. Modifier ''/etc/sysctl.conf'' et décommentez/ajoutez la ligne suivante :
-  net.ipv4.ip_forward=1
-(Et ptet la suivante sur l'ipv6 ?).
-Pour une prise en charge immédiate des modification du fichier ''/etc/sysctl.conf'' taper la commande :
-  sysctl -p /etc/sysctl.conf
-Ensuite... faut configurer mais faut aussi que je comprenne [[pratique:informatique:parefeu:nftables|nftables]].
-</WRAP>
-=== Paramètres par défaut des VM ===
-<code bash /etc/xen-tools/xen-tools.conf >
-### Paramètres par défaut des VM
-# Groupe de volumes où le script va créer des volumes logiques
-lvm = VgPoste
-install-method = debootstrap
-# Les tailles sont définie en octet comme suit : G=Giga, M=Mega, k=Kilo
-# Taille de la partition root où seront stockées les données
-size = 20G
-# RAM allouée à la machine
-memory = 1G
-# Taille de la partition swap
-swap = 1G
-# Système de fichiers
-fs = ext4
-# Distribution installée
-# `xt-guess-suite-and-mirror --suite` : même distribution que le Dom0
-dist = `xt-guess-suite-and-mirror --suite`
-# Les paramètres réseau
-gateway = 192.168.1.254
-netmask = 255.255.255.0
-broadcast = 192.168.1.255
-# On lance les VM via pygrub
-pygrub = 1
-# Exécuter immédiatement après création.
-boot = 1
-</code>
-Ajout de la clé ssh personnelle dans le squelette des VM nouvellement créées :
-<code>sudo mkdir -p /etc/xen-tools/skel/root/.ssh
-sudo chmod -R 700 /etc/xen-tools/skel/root
-nano /etc/xen-tools/skel/root/.ssh/authorized_keys</code>
-Et création d'une vm avec les paramètres par défaut et en laissant dhcp gérer les ip ?
-sudo xen-create-image --hostname=vm1test --dhcp
 ===== Sécurité =====
 ==== Mot de passe ====
@@ Ligne 334: / Ligne 251: @@
 Tout est noté dans un article à part, parce que ça commençait à être long : [[pratique:informatique:parefeu:start]].
+=== Logwatch ===
+  sudo apt install logwatch
+Logwatch n'est pas un outil qui va agir, par contre il analyse les logs et en rends un rapport plus digeste. Si, vraiment plus digeste, ça permet de voir les bots.
+C'est donc utile pour améliorer ses filtres. Une fois msmtp configuré (ou autre solution d'envoi de mail), créer le dossier pour Logwatch :
+  sudo mkdir /var/cache/logwatch
+Et le paramétrer
+  sudo cp /usr/share/logwatch/default.conf/logwatch.conf /etc/logwatch/conf/
+  sudo nano /etc/logwatch/conf/logwatch.conf
+Dans mon cas je permet surtout l'envoi du rapport par mail, mais à adapter si besoin (entre autre l'émetteur/Récepteur), et la quantité de détails (à adapter au fil des filtres...) :
+<code bash /etc/logwatch/conf/logwatch.conf>
+Output = mail
+Detail = 5
+</code>
+Pour ''MailTo '' on peut déclarer plusieurs adresses mails, séparées par un espace :
+  MailTo = mail1@moi.net mail2@moi.net
+Et un coup de cron journalier (sur root) :
+1 * * * /usr/sbin/logwatch >/dev/null 2>&1 #logwatch
+=== Lynis ===
+Lynis aide à auditer son système. Il ne fait rien seul, mais il aide à voir là où on est pas forcément top. Simplement ''sudo apt install lynis''.
+Pour voir la liste des options :
+  sudo lynis
+Pour un check du systeme, en root :
+  lynis audit system
+Des recommendations et conseils sont présents à la fin de l'analyse, suivant ce qui a été détecté. Moralité je vais pouvoir encore améliorer ma doc...
 ===== Grub =====