eric
/
Yojik.net


			
				
					
						
						
							123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208209210211212213214215216217218219220221222223224225226227228229230231232233234235236237238239240241242243244245246247248249250251252253254255256257258259260261262263264265266267268269270271272273274275276277278279280281282283284285286287288289290291292293294295296297298299300301302303304305306307308309310311312
							<!DOCTYPE html>
<!--[if IE 8]><html class="no-js lt-ie9" lang="en" > <![endif]-->
<!--[if gt IE 8]><!--> <html class="no-js" lang="en" > <!--<![endif]-->
<head>
  <meta charset="utf-8">
  <meta http-equiv="X-UA-Compatible" content="IE=edge">
  <meta name="viewport" content="width=device-width, initial-scale=1.0">
  
  
  
  <link rel="shortcut icon" href="../../../img/favicon.ico">
  <title>État des lieux - Les Tutoriels du Yojik</title>
  <link rel="stylesheet" href="../../../css/theme.css" />
  <link rel="stylesheet" href="../../../css/theme_extra.css" />
  <link rel="stylesheet" href="https://cdnjs.cloudflare.com/ajax/libs/highlight.js/9.12.0/styles/github.min.css" />
  
  <script>
    // Current page data
    var mkdocs_page_name = "\u00c9tat des lieux";
    var mkdocs_page_input_path = "Tutoriels/tutoraspi/Etat-des-lieux.md";
    var mkdocs_page_url = null;
  </script>
  
  <script src="../../../js/jquery-2.1.1.min.js" defer></script>
  <script src="../../../js/modernizr-2.8.3.min.js" defer></script>
  <script src="https://cdnjs.cloudflare.com/ajax/libs/highlight.js/9.12.0/highlight.min.js"></script>
  <script>hljs.initHighlightingOnLoad();</script> 
  
</head>

<body class="wy-body-for-nav" role="document">

  <div class="wy-grid-for-nav">

    
    <nav data-toggle="wy-nav-shift" class="wy-nav-side stickynav">
    <div class="wy-side-scroll">
      <div class="wy-side-nav-search">
        <a href="../../.." class="icon icon-home"> Les Tutoriels du Yojik</a>
        <div role="search">
  <form id ="rtd-search-form" class="wy-form" action="../../../search.html" method="get">
    <input type="text" name="q" placeholder="Search docs" title="Type search term here" />
  </form>
</div>
      </div>

      <div class="wy-menu wy-menu-vertical" data-spy="affix" role="navigation" aria-label="main navigation">
                <p class="caption"><span class="caption-text">Home</span></p>
                <ul>
                    <li class="toctree-l1"><a class="reference internal" href="../../..">Page d'accueil</a>
                    </li>
                </ul>
                <p class="caption"><span class="caption-text">Tutoriels</span></p>
                <ul class="current">
                    <li class="toctree-l1"><a class="reference internal" href="../../tutos/">Introduction</a>
                    </li>
                    <li class="toctree-l1"><a class="reference internal" href="#">Installation d'un serveur sécurisé, version Debian/Stretch (obsolète)</a>
    <ul>
                <li class="toctree-l2"><a class="reference internal" href="../../tutostretch/tutostretch/">Présentation</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="#">Installation</a>
    <ul>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-de-base/">Installation du système de base</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/ovh/">Démarrage sur serveur OVH</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Premi%C3%A8re-Etape-S%C3%A9curisation/">Première étapes de sécurisation du serveur</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Configuration-R%C3%A9seau/">Configuration du réseau</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-Serveur-Temps/">Installation d'un serveur de temps</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-Parre-Feu/">Installation d'un pare-feu</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-Fail2ban/">Contrer les attaques de brute-force avec fail2ban</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-Serveur-Courrier-Basique/">Installation d'un serveur de courrier basique</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-Serveur-DNS/">Installation du serveur DNS</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-Serveur-Web/">Installation d'un serveur web</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-Dovecot-Authentification/">Installation de dovecot et de l'authentification</a>
                </li>
                <li class="toctree-l3"><a class="" href="../../tutostretch/Installation-Certificats-Letsencrypt.md)">Installation des certificats letsencrypt</a>
                </li>
                <li class="toctree-l3"><a class="" href="../../tutostretch/courrier-SPF-DKIM-OPENDMARC.md">Ajout des enregistrements **spf**, **DKIM**, **DMARC** au fichier de zone DNS</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Courrier-Comptes-Virtuels/">Ajout des comptes émail virtuels</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Surveillance-Serveur/">Installation de programmes de surveillance du serveur</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-Webmail/">Installation d'un webmail (rainloop)</a>
                </li>
                <li class="toctree-l3"><a class="" href="../../tutostretch/Sécurisation-Serveur-Web">Sécurisation d'un serveur WEB</a>
                </li>
    </ul>
                </li>
    </ul>
                    </li>
                    <li class="toctree-l1"><a class="reference internal" href="#">Installation d'un serveur sécurisé, version Debian/Buster (en cours d'écriture)</a>
    <ul>
                <li class="toctree-l2"><a class="reference internal" href="../../tutobuster/1-tutobuster/">Présentation</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../../tutobuster/2-Installation-de-base/">Installation de base</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../../tutobuster/3-ovh/">Démarrage sur serveur OVH</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../../tutobuster/4-Plan/">Plan d'ensemble</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../../tutobuster/5-Premi%C3%A8re-Etape-S%C3%A9curisation/">Premières étapes de sécurisation du serveur</a>
                </li>
    </ul>
                    </li>
                    <li class="toctree-l1 current"><a class="reference internal current" href="#">Installation d'un serveur sécurisé, version Debian/Buster sur RaspberryPI</a>
    <ul class="current">
                <li class="toctree-l2"><a class="reference internal" href="../tutoraspi/">Présentation</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../Installation-de-base/">Installation de base</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../Premier-d%C3%A9marrage/">Premier démarrage</a>
                </li>
                <li class="toctree-l2 current"><a class="reference internal current" href="./">État des lieux</a>
    <ul class="current">
    <li class="toctree-l3"><a class="reference internal" href="#audit-ssh">Audit SSH</a>
    </li>
    <li class="toctree-l3"><a class="reference internal" href="#le-reseau">Le réseau</a>
    </li>
    <li class="toctree-l3"><a class="reference internal" href="#le-pare-feu-firewall">Le pare-feu (firewall)</a>
    </li>
    <li class="toctree-l3"><a class="reference internal" href="#installation-de-programmes-utilitaires">Installation de programmes utilitaires</a>
    </li>
    </ul>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../S%C3%A9curisation-SSH/">Sécurisation SSH</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../R%C3%A9seau/">Réseau (des IPs fixes)</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../Knot/">Installation de Knot-resolver</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../Firewall/">Installation d'un pare-feux</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../Fail2ban/">Contrer les attaques de force brute</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../Logwatch/">Surveillance du serveur</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../Installation-courrier-basique/">Installation d'un serveur de courriers basique</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../Annexe/">Annexe</a>
                </li>
    </ul>
                    </li>
                </ul>
      </div>
    </div>
    </nav>

    <section data-toggle="wy-nav-shift" class="wy-nav-content-wrap">

      
      <nav class="wy-nav-top" role="navigation" aria-label="top navigation">
        <i data-toggle="wy-nav-top" class="fa fa-bars"></i>
        <a href="../../..">Les Tutoriels du Yojik</a>
      </nav>

      
      <div class="wy-nav-content">
        <div class="rst-content">
          <div role="navigation" aria-label="breadcrumbs navigation">
  <ul class="wy-breadcrumbs">
    <li><a href="../../..">Docs</a> &raquo;</li>
    
      
        
          <li>Installation d'un serveur sécurisé, version Debian/Buster sur RaspberryPI &raquo;</li>
        
      
        
          <li>Tutoriels &raquo;</li>
        
      
    
    <li>État des lieux</li>
    <li class="wy-breadcrumbs-aside">
      
    </li>
  </ul>
  
  <hr/>
</div>
          <div role="main">
            <div class="section">
              
                <h1 id="etat-des-lieux">État des lieux</h1>
<p>Maintenant que notre raspi est installé, la liaison ssh active, nous allons faire le tour des lieux, voir comment le réseau se configure, vérifier la qualité des algorithmes SSH etc.</p>
<h2 id="audit-ssh">Audit SSH</h2>
<p>Nous allons procéder à un audit SSH. Pour cela, nous allons utiliser un service en ligne de tests de notre configuration.</p>
<p>L'adresse du site est la suivante : <a href="https://www.ssh-audit.com/">AuditSSH</a>.</p>
<p>Notre adresse est une adresse domestique, réservée au réseau local, non routable sur Internet. Heureusement, nous avons IPV6 et nous allons pouvoir tester notre petit raspi sans encore le configurer dans le serveur DNS.</p>
<p>Pour obtenir l'adresse IPV6 de notre raspi, entrez la commande suivante :</p>
<pre><code>pi@raspberrypi:~ $ ip a
1: lo: &lt;LOOPBACK,UP,LOWER_UP&gt; mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
    valid_lft forever preferred_lft forever
2: eth0: &lt;BROADCAST,MULTICAST,UP,LOWER_UP&gt; mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether b8:27:eb:3a:0b:38 brd ff:ff:ff:ff:ff:ff
    inet 192.168.111.170/24 brd 192.168.111.255 scope global noprefixroute eth0
    valid_lft forever preferred_lft forever
    inet6 2a01:e0a:d0:3c20:a23:93ca:de95:e15b/64 scope global dynamic mngtmpaddr noprefixroute 
    valid_lft 86388sec preferred_lft 86388sec
    inet6 2a01:e0a:d0:3c20::170/64 scope global noprefixroute 
    valid_lft forever preferred_lft forever
    inet6 fe80::74c8:34d:25f2:3b43/64 scope link 
    valid_lft forever preferred_lft forever
pi@raspberrypi:~ $
</code></pre>
<p>Nous avons notre adresse IPV6 qui est la suivante : (après configuration du réseau)</p>
<pre><code>inet6 2a01:e0a:d0:3c20::170/64 scope global dynamic mngtmpaddr
</code></pre>
<p>L'adresse commençant par fe80 est réservée au trafic sur le réseau local.</p>
<p>Renseignons ensuite notre adresse ipv6 dans le formulaire du site SSH-Audit (les captures d'écran utilisent une autre adresse IPV6):</p>
<p><img alt="résultat" src="../../../Images/tutoraspi/Capture%20d%E2%80%99%C3%A9cran%20de%202020-12-11%2014-37-01.png" /></p>
<p><img alt="résultat" src="../../../Images/tutoraspi/Capture%20d%E2%80%99%C3%A9cran%20de%202020-12-11%2014-37-17.png" /></p>
<p><img alt="résultat" src="../../../Images/tutoraspi/Capture%20d%E2%80%99%C3%A9cran%20de%202020-12-11%2014-37-25.png" /></p>
<p>Nous obtenons une note de "F" ... il y a du travail en perspective pour obtenir une note correcte.</p>
<p>2 choses sont à configurer :</p>
<ul>
<li>le daemon <strong>sshd</strong></li>
<li>le client <strong>ssh</strong></li>
</ul>
<p>Le daemon se configure dans /etc/sshd
Le client dans le répertoire ~/.ssh (dans son home sur la machine cliente)</p>
<p>Nous ferons ça dans le chapitre suivant.</p>
<h2 id="le-reseau">Le réseau</h2>
<p>Le réseau est entièrement géré par dhcp.
Nous voulons une adresse IPV4 et IPV6 fixe. Il va falloir configurer le réseau à la main.</p>
<p>Il y a plusieurs façons de le faire : soit on rajoute une adresse fixe à la configuration de dhcp (c'est la méthode préconisée par tous les sites avec tutoriels sur la façon d'imposer une adresse fixe), soit en éditant /etc/network/interfaces. J'ai l'impression qu'il y a eu des changements suivant les versions ... il va falloir tester tout ça !</p>
<h2 id="le-pare-feu-firewall">Le pare-feu (firewall)</h2>
<p>Aucun pare-feu n'est défini par défaut. Nous installerons <strong>nftables</strong> qui remplace <strong>iptables</strong> dans les versions <strong>buster</strong> et <strong>bullseye</strong> de Debian.</p>
<h2 id="installation-de-programmes-utilitaires">Installation de programmes utilitaires</h2>
<p>J'installe toujours <strong>vim</strong> et <strong>mc</strong> sur mes machines pour l'édition des fichiers de configuration et me déplacer dans l'arborescence, visionner les fichiers de configuration/textes.</p>
<pre><code>pi@raspberrypi:~ $ sudo apt install vim mc
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances
Lecture des informations d'état... Fait
Les paquets supplémentaires suivants seront installés : 
mc-data vim-runtime
...
Paramétrage de vim (2:8.1.0875-5) ...
...
Paramétrage de mc (3:4.8.22-1) ...
Traitement des actions différées (« triggers ») pour mime-support (3.62) ...
Traitement des actions différées (« triggers ») pour man-db (2.8.5-2) ...
pi@raspberrypi:~ $
</code></pre>
              
            </div>
          </div>
          <footer>
  
    <div class="rst-footer-buttons" role="navigation" aria-label="footer navigation">
      
        <a href="../S%C3%A9curisation-SSH/" class="btn btn-neutral float-right" title="Sécurisation SSH">Next <span class="icon icon-circle-arrow-right"></span></a>
      
      
        <a href="../Premier-d%C3%A9marrage/" class="btn btn-neutral" title="Premier démarrage"><span class="icon icon-circle-arrow-left"></span> Previous</a>
      
    </div>
  

  <hr/>

  <div role="contentinfo">
    <!-- Copyright etc -->
    
  </div>

  Built with <a href="https://www.mkdocs.org/">MkDocs</a> using a <a href="https://github.com/snide/sphinx_rtd_theme">theme</a> provided by <a href="https://readthedocs.org">Read the Docs</a>.
</footer>
      
        </div>
      </div>

    </section>

  </div>

  <div class="rst-versions" role="note" aria-label="versions">
    <span class="rst-current-version" data-toggle="rst-current-version">
      
      
        <span><a href="../Premier-d%C3%A9marrage/" style="color: #fcfcfc;">&laquo; Previous</a></span>
      
      
        <span style="margin-left: 15px"><a href="../S%C3%A9curisation-SSH/" style="color: #fcfcfc">Next &raquo;</a></span>
      
    </span>
</div>
    <script>var base_url = '../../..';</script>
    <script src="../../../js/theme.js" defer></script>
      <script src="../../../search/main.js" defer></script>
    <script defer>
        window.onload = function () {
            SphinxRtdTheme.Navigation.enable(true);
        };
    </script>

</body>
</html>