Yojik.net/tutobuster/site/5-Première-Etape-Sécurisation/index.html

<!DOCTYPE html>
<!--[if IE 8]><html class="no-js lt-ie9" lang="en" > <![endif]-->
<!--[if gt IE 8]><!--> <html class="no-js" lang="en" > <!--<![endif]-->
<head>
  <meta charset="utf-8">
  <meta http-equiv="X-UA-Compatible" content="IE=edge">
  <meta name="viewport" content="width=device-width, initial-scale=1.0">
  
  
  
  <link rel="shortcut icon" href="../img/favicon.ico">
  <title>Premières étapes de sécurisation du serveur - Les Tutoriels du Yojik</title>
  <link rel="stylesheet" href="../css/theme.css" />
  <link rel="stylesheet" href="../css/theme_extra.css" />
  <link rel="stylesheet" href="https://cdnjs.cloudflare.com/ajax/libs/highlight.js/9.12.0/styles/github.min.css" />
  
  <script>
    // Current page data
    var mkdocs_page_name = "Premi\u00e8res \u00e9tapes de s\u00e9curisation du serveur";
    var mkdocs_page_input_path = "5-Premi\u00e8re-Etape-S\u00e9curisation.md";
    var mkdocs_page_url = null;
  </script>
  
  <script src="../js/jquery-2.1.1.min.js" defer></script>
  <script src="../js/modernizr-2.8.3.min.js" defer></script>
  <script src="https://cdnjs.cloudflare.com/ajax/libs/highlight.js/9.12.0/highlight.min.js"></script>
  <script>hljs.initHighlightingOnLoad();</script> 
  
</head>

<body class="wy-body-for-nav" role="document">

  <div class="wy-grid-for-nav">

    
    <nav data-toggle="wy-nav-shift" class="wy-nav-side stickynav">
    <div class="wy-side-scroll">
      <div class="wy-side-nav-search">
        <a href=".." class="icon icon-home"> Les Tutoriels du Yojik</a>
        <div role="search">
  <form id ="rtd-search-form" class="wy-form" action="../search.html" method="get">
    <input type="text" name="q" placeholder="Search docs" title="Type search term here" />
  </form>
</div>
      </div>

      <div class="wy-menu wy-menu-vertical" data-spy="affix" role="navigation" aria-label="main navigation">
                <p class="caption"><span class="caption-text">Installation d'un serveur sécurisé, version Debian/Buster (en cours d'écriture)</span></p>
                <ul class="current">
                    <li class="toctree-l1"><a class="reference internal" href="..">Présentation</a>
                    </li>
                    <li class="toctree-l1"><a class="reference internal" href="../2-Installation-de-base/">Installation de base</a>
                    </li>
                    <li class="toctree-l1"><a class="reference internal" href="../3-ovh/">Démarrage sur serveur OVH</a>
                    </li>
                    <li class="toctree-l1"><a class="reference internal" href="../4-Plan/">Plan d'ensemble</a>
                    </li>
                    <li class="toctree-l1 current"><a class="reference internal current" href="./">Premières étapes de sécurisation du serveur</a>
    <ul class="current">
    <li class="toctree-l2"><a class="reference internal" href="#preambule">Préambule</a>
        <ul>
    <li class="toctree-l3"><a class="reference internal" href="#recuperation-de-lip-du-serveur-a-la-maison">Récupération de l'IP du serveur "à la maison"</a>
    </li>
    <li class="toctree-l3"><a class="reference internal" href="#recuperation-de-lip-de-votre-dedie-ou-vps">Récupération de l'ip de votre "dédié" ou "VPS"</a>
    </li>
    <li class="toctree-l3"><a class="reference internal" href="#preparation-du-poste-de-travail">Préparation du poste de travail</a>
        <ul>
    <li class="toctree-l4"><a class="reference internal" href="#ssh">SSH</a>
    </li>
    <li class="toctree-l4"><a class="reference internal" href="#ansible">Ansible</a>
    </li>
        </ul>
    </li>
    <li class="toctree-l3"><a class="reference internal" href="#preparation-de-notre-serveur">Préparation de notre serveur</a>
    </li>
    <li class="toctree-l3"><a class="reference internal" href="#methode-manuelle">Méthode manuelle</a>
    </li>
    <li class="toctree-l3"><a class="reference internal" href="#methode-avec-ansible">Méthode avec ansible</a>
    </li>
        </ul>
    </li>
    <li class="toctree-l2"><a class="reference internal" href="#securisation-de-ssh">Sécurisation de ssh</a>
        <ul>
    <li class="toctree-l3"><a class="reference internal" href="#operations-a-effectuer-sur-le-poste-principal">Opérations à effectuer sur le poste principal</a>
    </li>
    <li class="toctree-l3"><a class="reference internal" href="#operations-a-effectuer-sur-le-serveur-en-mode-super-utilisateur">Opérations à effectuer sur le serveur en mode super-utilisateur.</a>
    </li>
    <li class="toctree-l3"><a class="reference internal" href="#test-de-connexion">Test de connexion</a>
    </li>
    <li class="toctree-l3"><a class="reference internal" href="#securisation-plus-pousse-de-ssh">Sécurisation plus poussé de SSH</a>
    </li>
        </ul>
    </li>
    </ul>
                    </li>
                </ul>
      </div>
    </div>
    </nav>

    <section data-toggle="wy-nav-shift" class="wy-nav-content-wrap">

      
      <nav class="wy-nav-top" role="navigation" aria-label="top navigation">
        <i data-toggle="wy-nav-top" class="fa fa-bars"></i>
        <a href="..">Les Tutoriels du Yojik</a>
      </nav>

      
      <div class="wy-nav-content">
        <div class="rst-content">
          <div role="navigation" aria-label="breadcrumbs navigation">
  <ul class="wy-breadcrumbs">
    <li><a href="..">Docs</a> &raquo;</li>
    
      
        
          <li>Installation d'un serveur sécurisé, version Debian/Buster (en cours d'écriture) &raquo;</li>
        
      
    
    <li>Premières étapes de sécurisation du serveur</li>
    <li class="wy-breadcrumbs-aside">
      
    </li>
  </ul>
  
  <hr/>
</div>
          <div role="main">
            <div class="section">
              
                <h1 id="premieres-etapes-de-securisation-du-serveur">Premières étapes de sécurisation du serveur</h1>
<h2 id="preambule">Préambule</h2>
<p>Voilà la liste des étapes que je fais habituellement à la main et qu'il est toujours possible de faire à la main. J'ai décidé dans ce tutoriel  d'utiliser <strong>ansible</strong> pour pouvoir automatiser ensuite la création de serveurs, plus rapide en cas de crash de disque dur ou compromission. (et aussi pour apprendre de nouvelles techniques ...)</p>
<h3 id="recuperation-de-lip-du-serveur-a-la-maison">Récupération de l'IP du serveur "à la maison"</h3>
<p>Il nous faut connaître l'adresse IP de notre serveur qui est allouée dynamiquement par le serveur <strong>dhcp</strong> de notre box (freebox).</p>
<p>Sur le poste client à partir duquel nous nous connectons par <strong>ssh</strong> sur le serveur, nous allons lancer une commande qui va scruter notre réseau local et faire apparaître les IPs des machines du réseau. Bien sûr, cela ne fonctionne que si le serveur est "at home". Ne lancez pas un scan de tout l'internet! :D</p>
<pre><code>root@aldebaran:~# nmap -sP 192.168.111.0/24 | grep "Nmap scan"
Nmap scan report for 192.168.111.20
Nmap scan report for 192.168.111.49
Nmap scan report for switch.yojik.net (192.168.111.140)
Nmap scan report for goulya.yojik.net (192.168.111.151)
Nmap scan report for 192.168.111.153
Nmap scan report for atom.yojik.net (192.168.111.160)
Nmap scan report for freebox.yojik.net (192.168.111.254)
Nmap scan report for aldebaran.yojik.net (192.168.111.150)
root@aldebaran:~#
</code></pre>
<p>Vous voyez là toutes les machines allumées sur mon réseau local. Celle qui nous intéresse est la suivante:</p>
<pre><code>**192.168.111.49**
</code></pre>
<p>Vous pouvez utiliser les options suivantes de <strong>nmap</strong> qui vous donnera des inbformations supplémentaires à même de vous permettre de trouver votre serveur:</p>
<pre><code>eric@aldebaran:/mnt/Raid/eric/Devs/Travail/Installation serveur/Tutorial/Tuto-Buster$ sudo nmap -sn 192.168.111.0/24
Starting Nmap 7.91 ( https://nmap.org ) at 2021-01-15 16:05 CET
Nmap scan report for 192.168.111.13
Host is up (0.19s latency).
MAC Address: 54:35:30:1D:5A:C4 (Hon Hai Precision Ind.)
Nmap scan report for 192.168.111.20
Host is up (0.22s latency).
MAC Address: 90:78:B2:A1:31:E7 (Xiaomi Communications)
Nmap scan report for 192.168.111.25
Host is up (0.25s latency).
MAC Address: D8:12:65:5B:DD:90 (Chongqing Fugui Electronics)
Nmap scan report for 192.168.111.34
Host is up (0.27s latency).
MAC Address: 00:73:8D:92:7E:B6 (Shenzhen Tinno Mobile Technology)
Nmap scan report for 192.168.111.48
Host is up (0.22s latency).
MAC Address: 70:EE:50:6B:7B:3A (Netatmo)
Nmap scan report for 192.168.111.49
Host is up (0.00025s latency).
MAC Address: 38:EA:A7:A6:CF:93 (Hewlett Packard)
Nmap scan report for switch.yojik.net (192.168.111.140)
Host is up (0.14s latency).
MAC Address: 98:DA:C4:37:BF:F9 (Tp-link Technologies)
Nmap scan report for goulya.yojik.net (192.168.111.151)
Host is up (0.00014s latency).
MAC Address: D0:50:99:A5:69:C5 (ASRock Incorporation)
Nmap scan report for atom.yojik.net (192.168.111.160)
Host is up (0.00030s latency).
MAC Address: 00:23:54:C6:0A:07 (Asustek Computer)
Nmap scan report for mynas2.yojik.net (192.168.111.211)
Host is up (0.00021s latency).
MAC Address: 00:11:32:08:D8:E1 (Synology Incorporated)
Nmap scan report for freebox.yojik.net (192.168.111.254)
Host is up (0.0015s latency).
MAC Address: 68:A3:78:65:7B:5C (Freebox SAS)
Nmap scan report for aldebaran.yojik.net (192.168.111.150)
Host is up.
Nmap done: 256 IP addresses (12 hosts up) scanned in 4.87 seconds
</code></pre>
<p>Là, on voit la tétrachiée de machines sur le réseau, entre téléphones mobiles, imprimantes wifi, station météo, lampes connectées etc .. Mon serveur est de marque <strong>HP</strong> ce qui permet de retrouver son ip dans la liste.</p>
<h3 id="recuperation-de-lip-de-votre-dedie-ou-vps">Récupération de l'ip de votre "dédié" ou "VPS"</h3>
<p>Vos serveurs dédiés ou vps utilisent une adresse IP (ou plusieurs) automatiquement attribuées et consultables sur la console d'administration du fournisseur (OVH chez moi)</p>
<h3 id="preparation-du-poste-de-travail">Préparation du poste de travail</h3>
<p>Sur notre poste de travail, nous allons préparer la configuration de <strong>SSH</strong> et de <strong>Ansible</strong>.</p>
<h4 id="ssh">SSH</h4>
<p>Il y a 2 parties à configurer sur le poste de travail:</p>
<ul>
<li>
<p>/etc/ssh/ (permet de sécuriser les accès à notre poste de travail: facultatif, mais la qualité du serveur ssh de notre poste de travail est équivalente à celle des serveurs bruts de fonderie)</p>
</li>
<li>
<p>~/.ssh/ (préparation des répertoires et des clefs)</p>
</li>
</ul>
<p>Nous allons utiliser les recommandations de Mozilla: <a href="https://infosec.mozilla.org/guidelines/openssh">Mozilla recommendations</a> ainsi que des tutoriaux comme ceux-ci:</p>
<ul>
<li><a href="https://www.tronyxworld.be/2020/hardening_ssh/">Sécuriser OpenSSH</a></li>
<li><a href="https://blog.syntik.fr/comment-tester-securiser-serveur-ssh/">SSH - Comment tester et sécuriser son serveur ?</a></li>
<li><a href="https://www.cyberciti.biz/faq/create-ssh-config-file-on-linux-unix/">OpenSSH Config File Examples</a></li>
</ul>
<h4 id="ansible">Ansible</h4>
<ul>
<li>
<p>Installation de ansible</p>
<p>Nous allons suivre la documentation du site web de ansible: <a href="https://docs.ansible.com/ansible/latest/installation_guide/intro_installation.html#installing-ansible-on-debian">Installation de ansible</a></p>
<p>Ajouter la ligne suivante à /etc/apt/sources.list: (avec un éditeur de votre choix)</p>
<pre><code>deb http://ppa.launchpad.net/ansible/ansible/ubuntu trusty main
</code></pre>
<p>Et lancer les commandes suivantes:</p>
<pre><code>$ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 93C4A3FD7BB9C367
$ sudo apt update
$ sudo apt install ansible
</code></pre>
<p>Lancez la commande suivante pour tester votre installation:</p>
<pre><code>    eric@aldebaran:/mnt/Raid/eric/Devs/Travail/Installation serveur/Tutorial/Tuto-Buster$ ansible --version
ansible 2.9.16
config file = /etc/ansible/ansible.cfg
configured module search path = ['/home/eric/.ansible/plugins/modules', '/usr/share/ansible/plugins/modules']
ansible python module location = /usr/lib/python3/dist-packages/ansible
executable location = /usr/bin/ansible
python version = 3.9.1+ (default, Jan 10 2021, 15:42:50) [GCC 10.2.1 20201224]
eric@aldebaran:/mnt/Raid/eric/Devs/Travail/Installation serveur/Tutorial/Tuto-Buster$
</code></pre>
</li>
<li>
<p>Création de notre structure de répertoires</p>
<p>Nous allons créer un répertoire dans notre home qui contiendra nos ""playbook"". J'ai vu qu'il existait un programme appelé <strong>ansible-galaxy</strong> qui permet de gérer la structure de ce répertoire et de charger des roles tout prêts à partir du hub.</p>
<p>Entrez la commande suivante:</p>
<pre><code>eric@aldebaran:~$ ansible-galaxy init aijan
- Role aijan was created successfully
eric@aldebaran:~$
</code></pre>
<p>La structure de répertoires crée:</p>
<pre><code>eric@aldebaran:~$ tree aijan
aijan
├── defaults
│   └── main.yml
├── handlers
│   └── main.yml
├── meta
│   └── main.yml
├── README.md
├── tasks
│   └── main.yml
├── tests
│   ├── inventory
│   └── test.yml
└── vars
    └── main.yml

6 directories, 8 files
eric@aldebaran:~$
</code></pre>
</li>
</ul>
<h3 id="preparation-de-notre-serveur">Préparation de notre serveur</h3>
<p>Nous allons commencer à installer quelques logiciels de base, en fait ceux que j'utilise sur toutes mes machines. Bien sûr, vous pouvez faire d'autres choix, comme installer emacs comme éditeur et un autre navigateur de fichiers en mode texte. Installez simplement les outils qui vous conviennent. La méthode à suivre sera identique quelque soient les logiciels.</p>
<h3 id="methode-manuelle">Méthode manuelle</h3>
<p>Nous allons commencer par exécuter toutes les étapes manuellement; il sera plus facile ensuite de les automatiser.</p>
<p>Pour mon usage personnel, j'installe systématiquement <strong>mc</strong>, un programme de gestion de fichiers en mode texte qui permet de se déplacer facilement dans les répertoires, d'éditer, de déplacer les fichiers etc. et <strong>vim</strong> comme éditeur de fichiers de configuration</p>
<p>Notez l'utilisation de <strong>sudo</strong>: les taches d'administration seront faite sous l'utilisateur <strong>ericadmin</strong> avec l'aide de <strong>sudo</strong> pour l'élévation des privilèges.</p>
<pre><code>sudo apt install mc
</code></pre>
<p>J'installe aussi <strong>vim</strong>, pour remplacer l'éditeur <strong>vi</strong> ou <strong>nano</strong> installé par défaut par Debian.</p>
<pre><code>sudo apt install vim
</code></pre>
<p>Dans le tutoriel précédent, j'utilisais <strong>netstat</strong> comme outillage réseau. Il a été remplacé par <strong>ss</strong> dont nous verrons le fonctionnement plus tard. Il est disponible automatiquement apèrs installation.</p>
<p>Ajoute des dépots contrib et non-free:</p>
<pre><code>sudo vim /etc/apt/sources.list
</code></pre>
<p>Pour obtenir ceci:</p>
<pre><code>deb http://deb.debian.org/debian/ buster main contrib non-free
deb-src http://deb.debian.org/debian/ buster main contrib non-free

deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb-src http://security.debian.org/debian-security buster/updates main contrib non-free

# buster-updates, previously known as 'volatile'
deb http://deb.debian.org/debian/ buster-updates main contrib non-free
deb-src http://deb.debian.org/debian/ buster-updates main contrib non-free

# buster-backports
deb http://deb.debian.org/debian buster-backports main contrib non-free
deb http://deb.debian.org/debian/ buster-proposed-updates contrib non-free main
deb-src http://deb.debian.org/debian buster-backports main
</code></pre>
<p>Mise à jour des dépôts de paquets, et mise à jour du système:</p>
<pre><code>sudo apt update &amp;&amp; sudo apt upgrade
</code></pre>
<h3 id="methode-avec-ansible">Méthode avec ansible</h3>
<p>Nous allons donc réaliser exactement la même chose, mais avec <strong>ansible</strong>:</p>
<ol>
<li>
<p>Renseignement des variables utilisées dans les playbooks.</p>
<p>Ces variables seront enregistrées dans le fichier <strong>~/aijan/vars/main.yml</strong></p>
</li>
<li>
<p>Playbook de modification de <strong>/etc/apt/sources.list</strong> et mise à jour du catalogue de paquets</p>
<p>Pour cela nous utiliserons un playbook "tout prêt".</p>
<p>Installation:</p>
<pre><code>eric@aldebaran:~/aijan$ ansible-galaxy install oefenweb.apt
Starting galaxy role install process
- downloading role 'apt', owned by oefenweb
- downloading role from https://github.com/Oefenweb/ansible-apt/archive/v2.4.6.tar.gz
- extracting oefenweb.apt to /home/eric/.ansible/roles/oefenweb.apt
- oefenweb.apt (v2.4.6) was installed successfully
eric@aldebaran:~/aijan$
</code></pre>
<p>La documentation est contenue dans le fichier README.md situé dans le répertoire <strong>~/.ansible/roles/oefenweb.apt</strong>. Le principe sera le même pour les autres playbooks que nous installerons et qui seront dans le répertoire <strong>roles</strong> comme ci-dessus.</p>
<p>Le playbook que nous appellerons: mise-a-jour-apt.yml sera enregistré dans le répertoire <strong>tasks</strong>.</p>
<ul>
<li>test manuel</li>
<li>enregistrement et test</li>
</ul>
</li>
<li>
<p>Playbook d'installation de <strong>vim</strong> et <strong>mc</strong></p>
<p>Le playbook sera appelé: install-vim-mc.yml et sera placé également dans le répertoire <strong>tasks</strong>.</p>
<ul>
<li>test manuel</li>
<li>enregistrement et test</li>
</ul>
</li>
</ol>
<p>Voilà, nous avons toutes les données nécessaires pour lancer <strong>ansible</strong></p>
<ul>
<li>Test de connexion en ligne de commande:</li>
</ul>
<p>J'ai créé un répertoire Ansible sur mon poste de travail et dedans j'ai créé un fichier <strong>inventaire</strong> appelé <strong>hosts</strong> dont le contenu est le suivant:</p>
<pre><code>  eric@aldebaran:~/Ansible$ cat hosts
  [aijan]
  192.168.111.48
</code></pre>
<p>Il ne contient que 2 lignes: la première est "le petit nom" de mon serveur, mais vous pouvez lui donner n'importe quel nom de votre choix, et la ligne suivante indique l'adresse IPV4; nous aurions aussi pu mettre le <strong>FQDN</strong> comme <strong>aijan.yojik.net</strong>. J'ai utilisé l'adresse numérique car elle n'est que temporaire: nous allons lui donner une adresse fixe en IPV4 et IPV6 plus tard. Nous pourrons utiliser l'adresse <strong>FQDN</strong> une fois que l'adresse sera fixée et que la résolution de noms (DNS) sera active.</p>
<pre><code>  eric@aldebaran:~/Ansible$

  eric@aldebaran:~/Ansible$ansible -i ./hosts --ask-pass --ssh-extra-args='-o "PubkeyAuthentication=no"' all -m ping -u ericadmin
  SSH password:
  192.168.111.48 | SUCCESS =&gt; {
      "changed": false,
      "ping": "pong"
  }
  eric@aldebaran:~/Ansible$
</code></pre>
<p>Nous voyons le succès de notre tentative de connexion: <strong>ansible</strong> marche ;)</p>
<ul>
<li>Essai d'installation d'un paquet en ligne de commande (commandes "ad-hoc"):</li>
</ul>
<p>Nous allons installer <strong>mc</strong> avec <strong>ansible</strong>. Voici la copie d'écran de la ligne de commande utilisée: (j'ai laissé toute la sortie de <strong>ansible</strong> pour que vous puissiez comparer.)</p>
<pre><code>  eric@aldebaran:~/Ansible$ ansible -i ./hosts aijan -b  --become-method=sudo -m apt -a 'name=mc state=present' -u ericadmin --ask-pass --ssh-extra-args='-o "PubkeyAuthentication=no"' --ask-become-pass
  SSH password:
  SUDO password[defaults to SSH password]:
  [DEPRECATION WARNING]: State 'installed' is deprecated. Using state 'present' instead.. This feature will be removed in version 2.9. Deprecation warnings can be disabled by setting deprecation_warnings=False in ansible.cfg.
  192.168.111.48 | CHANGED =&gt; {
  "cache_update_time": 1592657315,
  "cache_updated": false,
  "changed": true,
  "stderr": "",
  "stderr_lines": [],
  "stdout": "Reading package lists...\nBuilding dependency tree...\nReading state information...\nThe following additional packages will be installed:\n  libglib2.0-0 libglib2.0-data libgpm2 mc-data shared-mime-info unzip\n  xdg-user-dirs\nSuggested packages:\n  gpm arj catdvi | texlive-binaries dbview djvulibre-bin epub-utils\n  genisoimage gv imagemagick libaspell-dev links | w3m | lynx odt2txt\n  poppler-utils python-boto python-tz xpdf | pdf-viewer zip\nThe following NEW packages will be installed:\n  libglib2.0-0 libglib2.0-data libgpm2 mc mc-data shared-mime-info unzip\n  xdg-user-dirs\n0 upgraded, 8 newly installed, 0 to remove and 0 not upgraded.\nNeed to get 5201 kB of archives.\nAfter this operation, 26.0 MB of additional disk space will be used.\nGet:1 http://deb.debian.org/debian buster/main amd64 libglib2.0-0 amd64 2.58.3-2+deb10u2 [1258 kB]\nGet:2 http://deb.debian.org/debian buster/main amd64 libglib2.0-data all 2.58.3-2+deb10u2 [1110 kB]\nGet:3 http://deb.debian.org/debian buster/main amd64 libgpm2 amd64 1.20.7-5 [35.1 kB]\nGet:4 http://deb.debian.org/debian buster/main amd64 mc-data all 3:4.8.22-1 [1292 kB]\nGet:5 http://deb.debian.org/debian buster/main amd64 mc amd64 3:4.8.22-1 [516 kB]\nGet:6 http://deb.debian.org/debian buster/main amd64 shared-mime-info amd64 1.10-1 [766 kB]\nGet:7 http://deb.debian.org/debian buster/main amd64 unzip amd64 6.0-23+deb10u1 [172 kB]\nGet:8 http://deb.debian.org/debian buster/main amd64 xdg-user-dirs amd64 0.17-2 [53.8 kB]\nFetched 5201 kB in 0s (16.3 MB/s)\nSelecting previously unselected package libglib2.0-0:amd64.\r\n(Reading database ... \r(Reading database ... 5%\r(Reading database ... 10%\r(Reading database ... 15%\r(Reading database ... 20%\r(Reading database ... 25%\r(Reading database ... 30%\r(Reading database ... 35%\r(Reading database ... 40%\r(Reading database ... 45%\r(Reading database ... 50%\r(Reading database ... 55%\r(Reading database ... 60%\r(Reading database ... 65%\r(Reading database ... 70%\r(Reading database ... 75%\r(Reading database ... 80%\r(Reading database ... 85%\r(Reading database ... 90%\r(Reading database ... 95%\r(Reading database ... 100%\r(Reading database ... 28088 files and directories currently installed.)\r\nPreparing to unpack .../0-libglib2.0-0_2.58.3-2+deb10u2_amd64.deb ...\r\nUnpacking libglib2.0-0:amd64 (2.58.3-2+deb10u2) ...\r\nSelecting previously unselected package libglib2.0-data.\r\nPreparing to unpack .../1-libglib2.0-data_2.58.3-2+deb10u2_all.deb ...\r\nUnpacking libglib2.0-data (2.58.3-2+deb10u2) ...\r\nSelecting previously unselected package libgpm2:amd64.\r\nPreparing to unpack .../2-libgpm2_1.20.7-5_amd64.deb ...\r\nUnpacking libgpm2:amd64 (1.20.7-5) ...\r\nSelecting previously unselected package mc-data.\r\nPreparing to unpack .../3-mc-data_3%3a4.8.22-1_all.deb ...\r\nUnpacking mc-data (3:4.8.22-1) ...\r\nSelecting previously unselected package mc.\r\nPreparing to unpack .../4-mc_3%3a4.8.22-1_amd64.deb ...\r\nUnpacking mc (3:4.8.22-1) ...\r\nSelecting previously unselected package shared-mime-info.\r\nPreparing to unpack .../5-shared-mime-info_1.10-1_amd64.deb ...\r\nUnpacking shared-mime-info (1.10-1) ...\r\nSelecting previously unselected package unzip.\r\nPreparing to unpack .../6-unzip_6.0-23+deb10u1_amd64.deb ...\r\nUnpacking unzip (6.0-23+deb10u1) ...\r\nSelecting previously unselected package xdg-user-dirs.\r\nPreparing to unpack .../7-xdg-user-dirs_0.17-2_amd64.deb ...\r\nUnpacking xdg-user-dirs (0.17-2) ...\r\nSetting up libgpm2:amd64 (1.20.7-5) ...\r\nSetting up xdg-user-dirs (0.17-2) ...\r\nSetting up libglib2.0-0:amd64 (2.58.3-2+deb10u2) ...\r\nNo schema files found: doing nothing.\r\nSetting up unzip (6.0-23+deb10u1) ...\r\nSetting up libglib2.0-data (2.58.3-2+deb10u2) ...\r\nSetting up shared-mime-info (1.10-1) ...\r\nSetting up mc-data (3:4.8.22-1) ...\r\nSetting up mc (3:4.8.22-1) ...\r\nupdate-alternatives: using /usr/bin/mcview to provide /usr/bin/view (view) in auto mode\r\nProcessing triggers for man-db (2.8.5-2) ...\r\nProcessing triggers for mime-support (3.62) ...\r\nProcessing triggers for libc-bin (2.28-10) ...\r\n",
  "stdout_lines": [
      "Reading package lists...",
      "Building dependency tree...",
      "Reading state information...",
      "The following additional packages will be installed:",
      "  libglib2.0-0 libglib2.0-data libgpm2 mc-data shared-mime-info unzip",
      "  xdg-user-dirs",
      "Suggested packages:",
      "  gpm arj catdvi | texlive-binaries dbview djvulibre-bin epub-utils",
      "  genisoimage gv imagemagick libaspell-dev links | w3m | lynx odt2txt",
      "  poppler-utils python-boto python-tz xpdf | pdf-viewer zip",
      "The following NEW packages will be installed:",
      "  libglib2.0-0 libglib2.0-data libgpm2 mc mc-data shared-mime-info unzip",
      "  xdg-user-dirs",
      "0 upgraded, 8 newly installed, 0 to remove and 0 not upgraded.",
      "Need to get 5201 kB of archives.",
      "After this operation, 26.0 MB of additional disk space will be used.",
      "Get:1 http://deb.debian.org/debian buster/main amd64 libglib2.0-0 amd64 2.58.3-2+deb10u2 [1258 kB]",
      "Get:2 http://deb.debian.org/debian buster/main amd64 libglib2.0-data all 2.58.3-2+deb10u2 [1110 kB]",
      "Get:3 http://deb.debian.org/debian buster/main amd64 libgpm2 amd64 1.20.7-5 [35.1 kB]",
      "Get:4 http://deb.debian.org/debian buster/main amd64 mc-data all 3:4.8.22-1 [1292 kB]",
      "Get:5 http://deb.debian.org/debian buster/main amd64 mc amd64 3:4.8.22-1 [516 kB]",
      "Get:6 http://deb.debian.org/debian buster/main amd64 shared-mime-info amd64 1.10-1 [766 kB]",
      "Get:7 http://deb.debian.org/debian buster/main amd64 unzip amd64 6.0-23+deb10u1 [172 kB]",
      "Get:8 http://deb.debian.org/debian buster/main amd64 xdg-user-dirs amd64 0.17-2 [53.8 kB]",
      "Fetched 5201 kB in 0s (16.3 MB/s)",
      "Selecting previously unselected package libglib2.0-0:amd64.",
      "(Reading database ... ",
      "(Reading database ... 5%",
      "(Reading database ... 10%",
      "(Reading database ... 15%",
      "(Reading database ... 20%",
      "(Reading database ... 25%",
      "(Reading database ... 30%",
      "(Reading database ... 35%",
      "(Reading database ... 40%",
      "(Reading database ... 45%",
      "(Reading database ... 50%",
      "(Reading database ... 55%",
      "(Reading database ... 60%",
      "(Reading database ... 65%",
      "(Reading database ... 70%",
      "(Reading database ... 75%",
      "(Reading database ... 80%",
      "(Reading database ... 85%",
      "(Reading database ... 90%",
      "(Reading database ... 95%",
      "(Reading database ... 100%",
      "(Reading database ... 28088 files and directories currently installed.)",
      "Preparing to unpack .../0-libglib2.0-0_2.58.3-2+deb10u2_amd64.deb ...",
      "Unpacking libglib2.0-0:amd64 (2.58.3-2+deb10u2) ...",
      "Selecting previously unselected package libglib2.0-data.",
      "Preparing to unpack .../1-libglib2.0-data_2.58.3-2+deb10u2_all.deb ...",
      "Unpacking libglib2.0-data (2.58.3-2+deb10u2) ...",
      "Selecting previously unselected package libgpm2:amd64.",
      "Preparing to unpack .../2-libgpm2_1.20.7-5_amd64.deb ...",
      "Unpacking libgpm2:amd64 (1.20.7-5) ...",
      "Selecting previously unselected package mc-data.",
      "Preparing to unpack .../3-mc-data_3%3a4.8.22-1_all.deb ...",
      "Unpacking mc-data (3:4.8.22-1) ...",
      "Selecting previously unselected package mc.",
      "Preparing to unpack .../4-mc_3%3a4.8.22-1_amd64.deb ...",
      "Unpacking mc (3:4.8.22-1) ...",
      "Selecting previously unselected package shared-mime-info.",
      "Preparing to unpack .../5-shared-mime-info_1.10-1_amd64.deb ...",
      "Unpacking shared-mime-info (1.10-1) ...",
      "Selecting previously unselected package unzip.",
      "Preparing to unpack .../6-unzip_6.0-23+deb10u1_amd64.deb ...",
      "Unpacking unzip (6.0-23+deb10u1) ...",
      "Selecting previously unselected package xdg-user-dirs.",
      "Preparing to unpack .../7-xdg-user-dirs_0.17-2_amd64.deb ...",
      "Unpacking xdg-user-dirs (0.17-2) ...",
      "Setting up libgpm2:amd64 (1.20.7-5) ...",
      "Setting up xdg-user-dirs (0.17-2) ...",
      "Setting up libglib2.0-0:amd64 (2.58.3-2+deb10u2) ...",
      "No schema files found: doing nothing.",
      "Setting up unzip (6.0-23+deb10u1) ...",
      "Setting up libglib2.0-data (2.58.3-2+deb10u2) ...",
      "Setting up shared-mime-info (1.10-1) ...",
      "Setting up mc-data (3:4.8.22-1) ...",
      "Setting up mc (3:4.8.22-1) ...",
      "update-alternatives: using /usr/bin/mcview to provide /usr/bin/view (view) in auto mode",
      "Processing triggers for man-db (2.8.5-2) ...",
      "Processing triggers for mime-support (3.62) ...",
      "Processing triggers for libc-bin (2.28-10) ..."
      ]
      }

Voici le réusltat de la ligne de commande relancée (où l'on voit l'action de **ansible** qui ne relance pas l'installation: il vérifie que **mc** est déjà installé (clef "changed" -&gt; false).)

      eric@aldebaran:~/Ansible$ ansible -i ./hosts aijan -b  --become-method=sudo -m apt -a 'name=mc state=present' -u ericadmin --ask-pass --ssh-extra-args='-o "PubkeyAuthentication=no"' --ask-become-pass
      SSH password:
      SUDO password[defaults to SSH password]:
      192.168.111.48 | SUCCESS =&gt; {
      "cache_update_time": 1592657315,
      "cache_updated": false,
      "changed": false
      }
      eric@aldebaran:~/Ansible$
</code></pre>
<ul>
<li>
<p>Utilisation des <strong>playbooks</strong> de <strong>ansible</strong>:</p>
<p>Lancer les commandes en ligne de commandes n'est pas très pratique: ansible permet l'utilisation de fichiers appelés <strong>playbooks</strong> au format <strong>yaml</strong> qui décrivent toutes les actions à effectuer. Il suffit de <strong>jouer</strong> ces playbooks pour lancer toutes les commandes qui s'y trouvent.</p>
<p>Il est également possible d'organiser les playbooks en <strong>roles</strong>, et donc, de créer des playbooks plus courts et lisibles. Continuons à voir les étapes suivantes avant de créer les <strong>playbooks</strong> correspondants.</p>
</li>
</ul>
<h2 id="securisation-de-ssh">Sécurisation de ssh</h2>
<p>Voir le lien suivant: <a href="http://www.guillaume-leduc.fr/">Le blog de Guillaume</a>. Nous ajouterons une deuxième étape de sécurisation avec "OTP", "one time password". Il y aura donc l'authentification par clef de <strong>SSH</strong>, avec sa phrase de passe, plus un mot de passe à usage unique généré par l'application <strong>OTP</strong> installée sur un autre poste, smartphone ou tablette.</p>
<p>Nous allons aussi appliquer les recommandations de Mozilla concernant les algorithmes à utiliser. Voir ici: <a href="https://infosec.mozilla.org/guidelines/openssh">Mozilla SSH recommandations</a></p>
<h3 id="operations-a-effectuer-sur-le-poste-principal">Opérations à effectuer sur le poste principal</h3>
<p>Nous générons notre paire de clefs pour l'authentification par clefs sur votre poste principal (si vous n'avez pas encore de jeu de clefs). Opération à effectuer sur votre poste principal. Comme nous gérons nous-mêmes nos postes et serveurs, nous allons utiliser des algorithmes modernes pour générer les clefs SSH: <a href="https://tutox.fr/2020/04/16/generer-des-cles-ssh-qui-tiennent-la-route/">article sur Tutox</a>.</p>
<p>Au lieu d'utiliser la même clef SSH sur tous nos serveurs, nous allons générer une clef distincte pour chaque serveur et rajouter la configuration spécifique à chaque serveur (adresse, port de connexion,n utilisateur etc ...dans le fichier de configuration du client SSH. J'envisage aussi l'utilisation de certificats SSH qui évitent de copier ses clefs publiques SSH sur tous les serveurs.</p>
<p>Nous allons implémenter tout ça de manière incrémentale, pour savoir ce que nous faisons, et pouvoir rectifier si quelque chose foire :( .</p>
<p>Voilà donc la structure de notre gestion des clefs SSH:</p>
<pre><code>ssh-keygen
</code></pre>
<p>Il vous faut copier maintenant la clef sur le serveur:</p>
<pre><code>ssh-copy-id -i ~/.ssh/id_rsa.pub ericadmin@192.168.111.23
</code></pre>
<p>ou</p>
<pre><code>ssh-copy-id ericadmin@192.168.111.23
</code></pre>
<p>N'oubliez pas de mettre vos identifiants propres, bien sûr.</p>
<p>On teste comme le recommande ssh:</p>
<pre><code>eric@aldebaran:~$ ssh 'ericadmin@91.121.72.10'
Linux adara 4.9.103-xxxx-std-ipv6-64 #222672 SMP Mon Jun 4 15:16:03 UTC 2018 x86_64

  Debian GNU/Linux 9 (stretch)
  Linux adara.yojik.eu 4.9.103-xxxx-std-ipv6-64 #222672 SMP Mon Jun 4 15:16:03 UTC 2018 x86_64 GNU/Linux

  Server    : 141519
  IPv4      : 91.121.72.10
  IPv6      : 2001:41d0:1:7d0a::1
  Hostname  : adara.yojik.eu

Last login: Sun Jun 24 15:08:32 2018 from 82.64.48.5
</code></pre>
<p>Et on teste qu'on peut passer super-utilisateur à partir de ce compte.</p>
<pre><code>ericadmin@adara:~$ su
Mot de passe :
root@adara:/home/ericadmin#
</code></pre>
<h3 id="operations-a-effectuer-sur-le-serveur-en-mode-super-utilisateur">Opérations à effectuer sur le <strong>serveur</strong> en mode super-utilisateur.</h3>
<p>La configuration se fait dans le fichier <strong>/etc/ssh/sshd_config</strong>, fichier qu'il va falloir éditer avec <strong>vim</strong> pas exemple.</p>
<p>Nous allons d'abord en faire une copie de sauvegarde:</p>
<pre><code>cp /etc/ssh/sshd_config /etc/ssh/sshd_config.orig

vim /etc/ssh/sshd_config
</code></pre>
<p>Nous n'allons autoriser que la connexion d'un <strong>user</strong> d'administration (pas de connexion de <strong>root</strong> par exemple), activer l'<strong>authentification par clefs</strong>, et supprimer l'authentification par <strong>login/mot de passe</strong> (en mode ssh). Vous pourrez toujours vous connecter avec le couple login/mot de passe si vous avez un accès physique à votre serveur.</p>
<p>Nous garderons le port standard d'écoute (rien à changer dans le fichier), mais j'ai ajouté une note sur le changement de port (suggéré par Laurent). Je ne suis pas convaincu que le changement de port puisse diminuer la surface d'attaque du serveur, mais pourquoi pas, c'est un changement mineur:</p>
<pre><code>Port 22
</code></pre>
<p>Nous interdisons la connexion par <strong>root</strong>:</p>
<pre><code>PermitRootLogin no
</code></pre>
<p>Activation de l'authentification par clef (rien à changer dans le fichier):</p>
<pre><code>PubkeyAuthentication yes
</code></pre>
<p>Nous ajoutons une liste d'utilisateurs autorisés à se connecter.</p>
<pre><code>AllowUsers ericadmin
</code></pre>
<p>A la place de <strong>ericadmin</strong> mettez bien sûr le nom de l'utilisateur que vous avez entré pendant la phase d'installation.</p>
<p>Nous pouvons limiter le nombre de tentatives de connexion:</p>
<pre><code>MaxAuthTries 1
</code></pre>
<p>Interdiction de la connexion par couple login/mot de passe:</p>
<pre><code>PasswordAuthentication no
</code></pre>
<p>Désactivation de PAM</p>
<pre><code>UsePAM no
</code></pre>
<p>Sauvegarde du fichier de configuration. (commande escape, suivie de ZZ pour vim)</p>
<p>Redémarrage du service <strong>ssh</strong></p>
<pre><code>systemctl restart sshd
</code></pre>
<h3 id="test-de-connexion">Test de connexion</h3>
<p>Sur votre ordinateur principal, dans un terminal, tapez:</p>
<pre><code>ssh ericadmin@192.168.111.23
</code></pre>
<p>Vous devez être connectés (logués) sur le serveur.</p>
<p>Essayez avec l'utilisateur root:</p>
<pre><code>ssh root@192.168.111.23
</code></pre>
<p>Cela doit échouer.</p>
<pre><code>eric@aldebaran:~$ ssh 'ericadmin@192.168.111.23'
Last login: Sun Dec 17 16:37:40 2017 from 192.168.111.150
ericadmin@atom:~$
</code></pre>
<p>Voilà pour la première phase.</p>
<p><em>Note</em>: Il est possible de changer le port d'écoute de <strong>SSH</strong> en changeant celui-ci dans le fichier de configuration **/etc/ssh/sshd_config:</p>
<p>Faites la modification suivante:</p>
<pre><code>vim /etc/ssh/sshd_config

Port 2222
</code></pre>
<p>Et relancez sshd:</p>
<pre><code>service sshd restart
</code></pre>
<p>Pour se connecter, utilsez la commande suivante:</p>
<pre><code>ssh -p 2222 ericadmin@192.168.111.23
</code></pre>
<h3 id="securisation-plus-pousse-de-ssh">Sécurisation plus poussé de SSH</h3>
<p>Les récentes attaques sur les méthodes de chiffrage imposent l'utilisation de clef de chiffrement plus évoluées. Les anciennes ont des failles.</p>
<p>Le site de <strong>Mozilla</strong> nous permet d'ajuster nos configurations et d'utiliser les meilleures méthodes de chiffrement actuelles.</p>
<h1 id="deuxieme-phase">Deuxième phase</h1>
<h2 id="securisation-des-mots-de-passe">Sécurisation des mots de passe</h2>
<p>J'utilise un générateur de mots de passe pour le compte <strong>root</strong> et le compte <strong>ericadmin</strong>.
Il y a pléthore de générateurs de mots de passe, certains à base d'utilitaires tout prêts, d'autres créés à l'aide commande unix standards.</p>
<p>Les 3 générateurs <strong>tout prêts</strong> les plus cités dans la documentation sont:</p>
<ul>
<li>PWGEN</li>
<li>MAKPASSWD</li>
<li>PASSWORDMAKER</li>
</ul>
<p>Pour l'installation, utilisez les commandes suivantes:</p>
<ul>
<li>apt install pwgen</li>
<li>apt install makepasswd</li>
<li>apt install passwordmaker-cli</li>
</ul>
<h3 id="exemples-dutilisation-de-ces-programmes">Exemples d'utilisation de ces programmes:</h3>
<p>Utilisation de <strong>pwgen</strong>:</p>
<p>Pour obtenir de l'aide à l'utilisation de cet utilitaire, tapez: <strong>pwgen --help</strong>. Vous pouvez faire varier le niveau de sécurité ainsi que le nombre de mots de passe générés et la longueur des mots de passe.</p>
<pre><code>eric@aldebaran:~$ pwgen
oow1Osho teM3chai Aim5shee Sheme1yo aiR6aem1 Vooxeiv0 Iabeenu1 kae7Xie5
oacei4aV Ohb8ceib zo0shu6F Dob2chie Roo5eeLa fee5Nooh Phi0suim OMeigh2w
nah2Ool5 Saix6lie EeNaem5u ooVoh3ki IN5aeF9p CuHu8Aib vaim2Jia chah0Ier
ShieC6ze Teex4tie mei6ou7I Ath6aiFe uw4quoHa lad8Quee ohQuai9Y Sho5Eem6
aoCaol3W ooGah9th bix6Aic9 thee1Coo lie0ahTe eiz0iiSh cieYu8Ie Ealu3chi
vaeYee6c ahje9aeJ Sheenee7 eesh1Iez Odaa6kah aico6Jah aphahP4U aYePh1ev
phohNie8 Chuut3ie eeb9ieDa ohp9AhGi efae5ooV Shiere5c ahV8riek Seegohv1
Eetohy1a Lievoh0k jox3uf6K chai3Woo iecoh0Iu ieGh9tuz UMeex2ah Eathaur8
Ood2oeho paeSah0p jaihoo1U eemoi9Ee ile1So4z OongeiN6 aaY9iuch ew3Iemoo
Iech0Eey OoMie0ah OhBei1ae Ohsh4aik jah0faiT ioW7oz6t yee1Uphu ies4eeNa
pooP8eeg iePoh4ya fooL3uqu ieGiej1X Ein7eifu ool7Olae eub5ooSe eyo8EiNu
ach9ohWo Foog9Oev aej9geiH Thahg6Di eegei4Ai eN7quu3b waiK2ieg foThe7zi
fu2Phoug iYaeg4if iLu6eeFi Aeshoo0i uxoGh6no id1TeRei diob7Pha vokuuN7h
Chokei8J Iemee8ah eingei0E ubieh2Ch daiyu3EB QueiQu6H Jib0uwee wi9Xoodu
eeL3osh2 Eo3Ae1ch bieWui2a ro6chiCo engu0ooF Eebeu2jo ee7Eey8t EiSeen5i
ohNgai6i Iutaez4a xah1yeeG eGhi5Ouz vaiYu6ee fae0AeP5 jee0Ib2I OS3xuwae
Eefohp1u eegiK6ae ohyuom7V Eij8eeNi Ou0ec7ye Eethoh4e eeHi2ugh ichoLae3
UT8oopoo oox6Ohx9 ohbaL2hu oht9kaiR Ieho8Ou1 Ten6saet cae7Iexi daDuas9e
ShiexaT7 Lei6etii ea4aoH8y ja8Zai8g phaeG6Hi sheNg8ee Oow5phae aa7gohPi
nahS8Eeg ba6Roh9j ooRo6epo pheNoam1 johF7ii9 vuZ4Latu xai5og6H aeS8hu2I
eric@aldebaran:~$
</code></pre>
<p>Vous pouvez prendre le mot de passe que vous voulez dans le tableau généré.
Pour un seul mot de passe:</p>
<pre><code>eric@aldebaran:~$ pwgen -1
Eerai4Sh
</code></pre>
<p>Pour un mot de passe mieux sécurisé:</p>
<pre><code>eric@aldebaran:~$ pwgen -1 -s
tx2CqGyf
</code></pre>
<p>Encore plus sécurisé avec l'option -y:</p>
<pre><code>eric@aldebaran:~$ pwgen -1 -s -y
a+01K!U~
</code></pre>
<p>Utilisation de <strong>makepasswd</strong>:</p>
<p>Tapez: <strong>makepasswd --help</strong> pour de l'aide à l'utilisation des paramètres.</p>
<pre><code>makepasswd --count 5 --minchars 10
</code></pre>
<h3 id="securisation-du-mot-de-passe-super-utilisateur-root">Sécurisation du mot de passe super-utilisateur (root)</h3>
<p>Utilisez un des utilitaires ci-dessus. Attention à la longueur minimale!</p>
<p>Sous le user “admin”, tapez: <strong>passwd</strong> pour changer le mot de passe admin.</p>
<h3 id="securisation-du-mot-de-passe-administrateur">Sécurisation du mot de passe administrateur</h3>
<p>Utilisez un des utilitaires ci-dessus. Attention à la longueur minimale!
Sous le user “root”, tapez: <strong>passwd</strong> pour changer le mot de passe root.</p>
<h2 id="test-du-hostname">Test du hostname</h2>
<p>La commande <strong>hostname</strong> nous indiquera le nom “court” de notre machine, et la commande <strong>hostname -f</strong> sa version longue avec le nom de domaine.</p>
<pre><code>root@atom:/home/ericadmin# hostname
atom
root@atom:/home/ericadmin#

root@atom:/home/ericadmin# hostname -f
atom.yojik.net
root@atom:/home/ericadmin#
</code></pre>
<p>Le résultat est bon.</p>
              
            </div>
          </div>
          <footer>
  
    <div class="rst-footer-buttons" role="navigation" aria-label="footer navigation">
      
      
        <a href="../4-Plan/" class="btn btn-neutral" title="Plan d'ensemble"><span class="icon icon-circle-arrow-left"></span> Previous</a>
      
    </div>
  

  <hr/>

  <div role="contentinfo">
    <!-- Copyright etc -->
    
  </div>

  Built with <a href="https://www.mkdocs.org/">MkDocs</a> using a <a href="https://github.com/snide/sphinx_rtd_theme">theme</a> provided by <a href="https://readthedocs.org">Read the Docs</a>.
</footer>
      
        </div>
      </div>

    </section>

  </div>

  <div class="rst-versions" role="note" aria-label="versions">
    <span class="rst-current-version" data-toggle="rst-current-version">
      
      
        <span><a href="../4-Plan/" style="color: #fcfcfc;">&laquo; Previous</a></span>
      
      
    </span>
</div>
    <script>var base_url = '..';</script>
    <script src="../js/theme.js" defer></script>
      <script src="../search/main.js" defer></script>
    <script defer>
        window.onload = function () {
            SphinxRtdTheme.Navigation.enable(true);
        };
    </script>

</body>
</html>