Notices d'installation
De Stéphane Brunner.
Sommaire |
Install Debian
Dans le fichier /etc/apt/sources.list replace stable par sarge.
Sudo
Log comme root
apt-get install sudo vim visudo
A la fin :
# Members of the admin group may gain root privileges %admin ALL=(ALL) ALL
groupadd admin adduser username admin exit
Log comme username
sudo passwd -l root
bash completion automatique
Edite bashrc
vi ~/.bashrc
Décomment :
if [[ -f /etc/bash_completion ]]; then
. /etc/bash_completion
fi
et pour avoir exécuter directement les fichiers des répertoire /sbin et ~/bin ajoute :
export PATH=$PATH:/sbin:/usr/sbin
Routeur et Iptables et fail2ban (serveur)
sudo apt-get install sysv-rc-conf fail2ban
Edite file /etc/network/interface et ajoute :
auto eth0 iface eth0 inet static
address x.x.x.x netmask 255.255.255.0 gateway x.x.x.1 broadcast x.x.x.255
auto eth1 iface eth1 inet static
address 192.168.1.1 netmask 255.255.255.0 network 192.168.1.0 broadcast 192.168.1.255
Edit le fichier /etc/network/option et active l'option forward (ip_forward=yes).
gunzip /usr/share/doc/iptables/examples/oldinitdscript.gz -c > /etc/init.d/iptables chmod +x /etc/init.d/iptables mkdir /var/lib/iptables chmod 700 /var/lib/iptables
Avec sysv-rc-conf active les niveaux 2, 3, 4, 5, 6, S de iptables.
/etc/init.d/iptables store inactive
Définir ces régles pour iptables
/etc/init.d/iptables store active
Ou appliquer des régle qui vont bien avec log des drops :
sudo vi /var/lib/iptables/active
*nat :PREROUTING ACCEPT [294:29934] :POSTROUTING ACCEPT [89:6293] :OUTPUT ACCEPT [41:3413] [0:0] -A POSTROUTING -j MASQUERADE COMMIT *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] :fail2ban-ssh - [0:0] [0:0] -A INPUT -p tcp -m tcp --dport 22 -j fail2ban-ssh [0:0] -A INPUT -p tcp -m tcp --dport 22 -j fail2ban-ssh [0:0] -A INPUT -i lo -j ACCEPT [0:0] -A INPUT -s 192.168.1.0/255.255.255.0 -i eth0 -j ACCEPT [0:0] -A INPUT -s x.x.x.x/255.255.255.0 -i eth1 -j ACCEPT [0:0] -A INPUT -i eth1 -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT [0:0] -A INPUT -i eth1 -p tcp -m tcp --dport 22 -m state --state ESTABLISHED -j ACCEPT [0:0] -A INPUT -i eth1 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT [0:0] -A INPUT -i eth1 -p tcp -m tcp --dport 80 -m state --state ESTABLISHED -j ACCEPT [0:0] -A INPUT -s 0.0.0.0 -d 255.255.255.255 -p udp -m udp --dport 67 --sport 68 -i eth0 -m state --state NEW -j ACCEPT [0:0] -A INPUT -d 255.255.255.255 -i eth1 -j DROP [0:0] -A INPUT -m state --state NEW -j LOG --log-prefix "[IN-NEW] " [0:0] -A INPUT -m state --state ESTABLISHED -j LOG --log-prefix "[IN-ESTABLISHED] " [0:0] -A INPUT -m state --state RELATED -j LOG --log-prefix "[IN-RELATED] " [0:0] -A INPUT -m state --state INVALID -j LOG --log-prefix "[IN-INVALID] " [0:0] -A FORWARD -i eth0 -o eth1 -m state --state NEW -j ACCEPT [0:0] -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED -j ACCEPT [0:0] -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED -j ACCEPT [0:0] -A FORWARD -m state --state NEW -j LOG --log-prefix "[FORWARD-NEW] " [0:0] -A FORWARD -m state --state ESTABLISHED -j LOG --log-prefix "[FORWARD-ESTABLISHED] " [0:0] -A FORWARD -m state --state RELATED -j LOG --log-prefix "[FORWARD-RELATED] " [0:0] -A FORWARD -m state --state INVALID -j LOG --log-prefix "[FORWARD-INVALID] " [0:0] -A OUTPUT -o lo -j ACCEPT [0:0] -A OUTPUT -d 192.168.1.0/255.255.255.0 -o eth0 -j ACCEPT [0:0] -A OUTPUT -d x.x.x.x/255.255.255.0 -o eth1 -j ACCEPT [0:0] -A OUTPUT -o eth1 -p tcp -m tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT [0:0] -A OUTPUT -o eth1 -p tcp -m tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT [0:0] -A OUTPUT -m state --state NEW -j LOG --log-prefix "[OUT-NEW] " [0:0] -A OUTPUT -m state --state ESTABLISHED -j LOG --log-prefix "[OUT-ESTABLISHED] " [0:0] -A OUTPUT -m state --state RELATED -j LOG --log-prefix "[OUT-RELATED] " [0:0] -A OUTPUT -m state --state INVALID -j LOG --log-prefix "[OUT-INVALID] " [0:0] -A fail2ban-ssh -j RETURN [0:0] -A fail2ban-ssh -j RETURN COMMIT
NIS
sudo apt-get install nis
domain name: msr
Dans le fichier /etc/yp.conf ajoute :
ypserver 192.168.1.1
Dans le fichier /etc/passwd ajoute :
+::0:0:::
Dans le fichier /etc/shadow ajoute :
+::::::::
Dans le fichier /etc/group ajoute :
+:::
Ajoute l'IP pulique dans le fichier /etc/ypserve.securenet.
NTP
sudo apt-get install ntpdate ntp-server
Edite les fichierd etc/default/ntpdate : change NTPSERVERS pour cognac.epfl.ch ⇒
NTPSERVERS="cognac.epfl.ch" #NTPSERVERS="pool.ntp.org" # # additional options for ntpdate #NTPOPTIONS="-v" NTPOPTIONS="-u"
NFS
sudo apt-get install nfs-common
Dans le fichier /etc/fstab ajoute :
fileserver:/home /home nfs defaults 0 0
APT
Crée un chicher /etc/cron.daily/apt contenant :
#! /bin/sh apt-get update; apt-get -y upgrade;
SSH
sudo apt-get install openssh-server
Édite le fichier /etc/ssh/sshd_config change 'PermitRootLogin yes', 'X11Forwarding no' par :
PermitRootLogin no X11Forwarding yes
DNS (serveur)
sudo apt-get install bind
Édite le fichier /etc/bind/named.conf.options et remplis la section forwarders { }; avec les serveurs DSN actuellement dans /etc/resolv.conf
Édite le fichier /etc/bind/named.conf.local, remplace subnet par votre nom de sous réseau :
//
// Add local zone definitions here.
zone "subnet" {
type master;
file "/etc/bind/db.subnet";
}
zone "1.168.192.in-adrs.arpa" {
type master;
file "/etc/bind/db.subnet.rev";
}
Édite le fichier /etc/bind/db.subnet :
$TTL 604800
@ IN SOA subnet. root.subnet. (
20030702 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
firewall IN A 192.168.1.1 ...
Édite le fichier /etc/bind/db.subnet.rev :
$TTL 604800
@ IN SOA subnet. root.subnet. (
20030702 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
1 IN PTR firewall.
...
DHCP (serveur)
Édite le fichier /etc/dhcp3/dhcpd.conf et ajoute :
subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.50 192.168.1.100;
option routers 192.168.1.1;
option domain-name-servers 192.168.1.1;
option domain-name "subnet";
}
host name {
hardware ethernet y:y:y:y:y:y;
fixed-address 192.168.1.x;
}
...
LDAP (client), PAM & NSS
sudo apt-get install libpam-ldap libnss-ldap portmap
Édit les dichier pour spécifier le serveur LDAP, la 'base' (dc=...) ainsi que : 'bind_policy soft'.
/etc/ldap.conf /etc/ldap/ldap.conf (/etc/nss-ldap.conf) (/etc/pam_ldap.conf)
Édite les fichiers (http://doc.ubuntu-fr.org/applications/ldapclient)
/etc/nsswitch.conf /etc/pam.d/common-account /etc/pam.d/common-auth /etc/pam.d/common-password /etc/pam.d/common-session
Send mail
sudo apt-get install sendmail
Dans le fichier /etc/main/sendmail.cf a la ligne commancant par un D pramplace **
Dsmtp serveur
Cups
Édite le fichier /etc/cups/cupsd.conf et active :
Browsing On
