Différences

Ci-dessous, les différences entre deux révisions de la page.

--- pratique:informatique:start_serveur [06/06/2025 11:28] – [Autres logiciels de sécurité] Zatalyz
+++ pratique:informatique:start_serveur [26/10/2025 18:00] (Version actuelle) – [Changer le message à la connexion] Zatalyz
@@ Ligne 41: / Ligne 41: @@
 <code>apt update
-apt install nano bash-completion cron logrotate apt-listbugs debsums apt-listchanges sudo rsyslog net-tools htop iotop-c nload binutils dnsutils
+apt install nano bash-completion cron logrotate apt-listbugs debsums apt-listchanges sudo rsyslog net-tools htop iotop-c nload binutils dnsutils needrestart libpam-tmpdir rsync tree dbus dbus-daemon man-db manpages manpages-fr
 apt install msmtp msmtp-mta bsd-mailx sshguard git
 apt upgrade
@@ Ligne 59: / Ligne 59: @@
   * **rsyslog** permet d'avoir des fichiers de log lisible avec systemd, sans pour autant gêner son fonctionnement de base.
   * **net-tools**, **htop**, **iotop-c**, **binutils**, **dnsutils** et **nload** fournissent des utilitaires fort utiles quand on croise un souci. Plus d'infos [[pratique:informatique:debug_problem|ici]].
+  * **needrestart** indique si après une mise à jour, un redémarrage est nécessaire pour que tout soit rechargé.
+  * **libpam-tmpdir** : au lieu d'utiliser un ''tmp'' global, accessible à tout le monde sur le serveur (dont d'éventuelles applications foireuses), chaque session PAM aura son propre répertoire "temp". Donc moins facile de lire les infos temporaire des autres utilisateurs/services, et ça renforce la sécurité.
+  * **rsync** : pour copier de façon un peu plus fine que cp (avec reprise en cas de coupure). Toujours utile.
+  * **tree** : affichage des arborescences de fichiers et dossiers, ça finit toujours par être utile
+  * **dbus** et **dbus-daemon** sont en théorie installés, mais pas sur les VM xen ; or ça manque un peu pour certains services.
+  * **man-db**, **manpages** et **manpages-fr** : parce que c'est frustrant de chercher la doc ailleurs, parfois.
@@ Ligne 206: / Ligne 212: @@
 ==== Autres points de sécurité ====
-<WRAP center round todo 60%>
+Voir [[pratique:informatique:securite_serveur]].
-Je vais faire une page à part, ça demande du boulot. [[pratique:informatique:securite_serveur]]
-</WRAP>
-=== Rkhunter ===
-<WRAP center round info 100%>
-rkhunter (pour Rootkit Hunter) est un programme qui essaye de détecter les rootkits, portes dérobées et exploits. Pour cela, il compare le hash SHA256, SHA512, SH1 et MD5 des fichiers importants avec les hash connus, qui sont accessibles à partir d'une base de données en ligne. Il alerte également l'utilisateur lorsqu'il trouve des permissions qu'il juge anormales, des fichiers cachés, des chaînes suspectes dans le kernel etc.
-De par l'exhaustivité des tests qu'il effectue, et à cause du nombre de systèmes sur lesquels il tourne, rkhunter renvoie généralement de nombreux avertissements. L'analyse de ces avertissements (warnings) nécessite une bonne connaissance des systèmes Unix. Dans une écrasante majorité des cas, ces avertissements sont bénins et peuvent être ignorés.
-Source : [[https://doc.ubuntu-fr.org/rkhunter|Ubuntu-fr]]
-</WRAP>
-J'ai souvenir qu'il est effectivement bavard. Et aussi que ce n'est pas une sécurité en soi, juste un outil permettant de détecter certains problèmes.
-  sudo apt install rkhunter
-On le configure un chouia :
-  sudo nano /etc/rkhunter.conf
-Modifier les options suivantes pour qu'elles aient ces valeurs :
-<code>
-UPDATE_MIRRORS=1
-MIRRORS_MODE=0
-#WEB_CMD="/bin/false"
-ALLOWHIDDENDIR=/etc/.git
-ALLOWHIDDENDIR=/dev/.lxc
-ALLOWHIDDENDIR="/dev/.udev"
-ALLOWHIDDENDIR="/dev/.static"
-ALLOWDEVFILE="/dev/.udev/rules.d/root.rules"
-PKGMGR=DPKG
-ALLOW_SSH_PROT_V1=0
-</code>
-Après ces modifications, exécuter ceci :
-  rkhunter -C
-  rkhunter --propupd
-Modifier aussi ''/etc/default/rkhunter''.
-<code>CRON_DAILY_RUN="true"
-CRON_DB_UPDATE="true"
-APT_AUTOGEN="yes"</code>
-Quand à envoyer un mail quotidien... ça fait du bruit, qu'il se passe un truc ou non. Et il faut configurer l'envoi de mail.
-On se fait un petit test en mettant à jour l'ensemble puis en affichant juste ce qui est avec des warnings :
-<code>rkhunter --update
-rkhunter --list
-rkhunter -c --rwo</code>
-=== Fail2ban/Reaction et Pare-feu (iptables, nftable, ipset, etc) ===
-Tout est noté dans un article à part, parce que ça commençait à être long : [[pratique:informatique:parefeu:start]].
-=== Logwatch ===
-  sudo apt install logwatch
-Logwatch n'est pas un outil qui va agir, par contre il analyse les logs et en rends un rapport plus digeste. Si, vraiment plus digeste, ça permet de voir les bots.
-C'est donc utile pour améliorer ses filtres. Une fois msmtp configuré (ou autre solution d'envoi de mail), créer le dossier pour Logwatch :
-  sudo mkdir /var/cache/logwatch
-Et le paramétrer
-  sudo cp /usr/share/logwatch/default.conf/logwatch.conf /etc/logwatch/conf/
-  sudo nano /etc/logwatch/conf/logwatch.conf
-Dans mon cas je permet surtout l'envoi du rapport par mail, mais à adapter si besoin (entre autre l'émetteur/Récepteur), et la quantité de détails (à adapter au fil des filtres...) :
-<code bash /etc/logwatch/conf/logwatch.conf>
-Output = mail
-Detail = 5
-</code>
-Pour ''MailTo '' on peut déclarer plusieurs adresses mails, séparées par un espace :
-  MailTo = mail1@moi.net mail2@moi.net
-Et un coup de cron journalier (sur root) :
-1 * * * /usr/sbin/logwatch >/dev/null 2>&1 #logwatch
-=== Lynis ===
-Lynis aide à auditer son système. Il ne fait rien seul, mais il aide à voir là où on est pas forcément top. Simplement ''sudo apt install lynis''.
-Pour voir la liste des options :
-  sudo lynis
-Pour un check du systeme, en root :
-  lynis audit system
-Des recommendations et conseils sont présents à la fin de l'analyse, suivant ce qui a été détecté. Moralité je vais pouvoir encore améliorer ma doc...
 ===== Grub =====
@@ Ligne 400: / Ligne 321: @@
 Et le site http://ruletheweb.co.uk/figlet/ pour l'ASCII art.
+Le message à la connexion dépend, dans l'ordre (sur Debian) :
+  - Des fichiers dans ''/etc/update-motd.d/'' : on peut mettre ce qu'on veut, c'est lu dans l'ordre alphanumérique, d'où l'utilité de préfixer par "10-", "20-", etc. De base il y a "10-uname" qui affiche les infos du système. Ici, les scripts peuvent être pris en compte (droit d'exécution et ''#!/bin/sh'' ou équivalent en début de fichier), ce qui permet d'afficher des infos dynamiques.
+  - ''/etc/motd'' (pas de script, de bash, etc, juste du texte)
+  - Les instructions via SSH comme "PrintLastLog yes".
+Un exemple :
+<code bash /etc/update-motd.d/20-perso>
+#!/bin/sh
+echo "Ceci est un terrier de lapin."
+echo "L'accès est strictement réservé aux lagomorphes accrédités."
+echo "Tout renard pris à fouiner sera bouté et poursuivi."
+echo "- Dernière mise à jour : $(stat -c '%y' /var/log/apt/history.log | cut -d'.' -f1)"
+echo "- Connexions SSH actives :"
+who
+</code>
 ==== Améliorer un peu systemd ====
 Voir [[pratique:informatique:systemd_error#limiter_la_taille_des_logs|là]].