Un peu de Linux... » Sécurité http://blog.lenorcy.info Tue, 20 Jul 2010 16:15:16 +0000 en hourly 1 http://wordpress.org/?v=3.0 Faire un routeur linux en quelques clics avec Ipcop http://blog.lenorcy.info/2010/05/31/faire-un-routeur-linux-en-quelques-clics-avec-ipcop/ http://blog.lenorcy.info/2010/05/31/faire-un-routeur-linux-en-quelques-clics-avec-ipcop/#comments Mon, 31 May 2010 09:56:57 +0000 admin http://blog.lenorcy.info/2010/05/31/faire-un-routeur-linux-en-quelques-clics-avec-ipcop/ Continuer la lecture ]]> L’idée est de constituer un sous-réseau « indépendant » du réseau de l’entreprise (sans pour autant rajouter un nouveau vlan pour ça..) pour y faire des tests et notamment pour essayer Samba 4.

Il me fallait une plage d’adresses « propre » d’aucune pollution – sans contrôleur de domaine (faire cohabiter plusieurs domaines « windows » c’est pas top) avec des accès au LAN de l’entreprise.

- On télécharge Ipcop (distribution linux d’une 50aine de Méga)
- On l’installe sur une machine avec 2 interfaces réseaux (je ne sais pas si l’on peut y configurer des interfaces réseaux virtuels sur la même carte) : le réseau ROUGE est le LAN de l’entreprise et le réseau VERT est notre sous-réseau (192.168.0.0/24)
- Depuis le réseau VERT on se connecte à l’interface web de l’Ipcop (https://monipcop:445) pour :
* activer le ssh depuis le VERT
* activer le DHCP sur le réseau VERT
* rediriger les ports pour pouvoir accéder aux machines du réseau VERT (ssh ou accès distants de type vnc..) depuis le réseau ROUGE (cad mon poste de travail sur le LAN de l’entreprise)
* on permet l’accès à l’interface web depuis quelques machines du réseau ROUGE (mon poste de travail surtout..)
* on peut peaufiner l’icop (via l’interface web) pour activer le proxy/cache on peut faire du proxy transparent..

En quelques minutes tout est ok…..

Après on peut utiliser Ipcop plus finement avec l’intégration d’un tas de plugins……….

]]> http://blog.lenorcy.info/2010/05/31/faire-un-routeur-linux-en-quelques-clics-avec-ipcop/feed/ 0 Configurer un serveur DNS sous debian avec bind9 avec enregistrement automatique par le DHCP http://blog.lenorcy.info/2010/05/19/configurer-un-serveur-dns-sous-debian-avec-bind9-avec-enregistrement-automatique-par-le-dhcp/ http://blog.lenorcy.info/2010/05/19/configurer-un-serveur-dns-sous-debian-avec-bind9-avec-enregistrement-automatique-par-le-dhcp/#comments Wed, 19 May 2010 13:21:08 +0000 admin http://blog.lenorcy.info/2010/05/19/configurer-un-serveur-dns-sous-debian-avec-bind9-avec-enregistrement-automatique-par-le-dhcp/ Continuer la lecture ]]> On considère que l’on a un Bind bien configuré (voir post précédent). On souhaite maintenant avoir aussi des zones maitres avec un enregistrement automatique des postes (window xp principalement!) dans le DNS !

Le DNS (la machine est « mondns » 192.168.1.3) n’est pas sur la même machine que le DHCP (la machine est « mondhcp » 192.168.1.4)

Sur la machine DNS, on configure la clé rndc avec le script adapté :

# rndc-confgen

On obtient de quoi concevoir le fichier /etc/bind/rndc.conf c’est à dire :

1
2
3
4
5
6
7
8
9
10
11
12

# Start of rndc.conf
key "rndc-key" {
        algorithm hmac-md5;
        secret "monsecret";
};
 
options {
        default-key "rndc-key";
        default-server 127.0.0.1;
        default-port 953;
};
# End of rndc.conf

On rajoute dans le named.conf :

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62

key "rndc-key" {
        algorithm hmac-md5;
        secret "monsecret";
};
 
controls {
      inet 127.0.0.1 port 953
              allow { 127.0.0.1;192.168.1.4; } keys { rndc-key; };
};
 
# De quoi journaliser car cela ne fait pas de mal :
logging {
           channel update_debug {
                file "/var/log/update_debug.log" versions 3 size 100k;
                severity  debug 3;
                print-category yes;
                print-severity yes;
                print-time     yes;
           };
           channel security_info    {
                file "/var/log/securite_debug.log" versions 3 size 100k;
                severity  info;
                print-category yes;
                print-severity yes;
                print-time     yes;
           };
 
           channel queries_info        {
                file "/var/log/queries_debug.log" versions 3 size 1m;
                severity  debug 1;
                print-category yes;
                print-severity yes;
                print-time     yes;
           };
 
            channel lame_info        {
                file "/var/log/lame_debug.log" versions 3 size 100k;
                severity  info;
                print-category yes;
                print-severity yes;
                print-time     yes;
           };
 
           category update { update_debug; };
           category security { security_info; };
           category queries { queries_info; };
           category lame-servers { lame_info; };
};
 
zone "domaine1.univ-orleans.fr" in {
   type master;
   file "/etc/namedb/db.domaine1.univ-orleans.fr";
   allow-update{key rndc-key;};
   notify yes;
};
 
zone "1.168.192.in-addr.arpa" in {
   type master;
   file "/etc/namedb/db.1.168.192";
   allow-update{key rndc-key;};
   notify yes;
   };

Sur le serveur DHCP (dans dhcpd.conf) on rajoute :

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

ddns-domainname "domaine1.univ-orleans.fr.";
ddns-rev-domainname "in-addr.arpa.";
ddns-updates on;
ddns-update-style interim;
ignore client-updates;
update-static-leases on;
option domain-name-servers 192.168.1.3;
 
key "rndc-key" {
        algorithm hmac-md5;
        secret "monsecret";
};
zone 1.168.192.in-addr.arpa {
        primary 192.168.1.3;
        key rndc-key;
        }
zone domaine1.univ-orleans.fr {
        primary 192.168.1.3;
        key rndc-key;
        }

Création de db.domaine1.univ-orleans.fr (on y met quelques machines…) :

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

$ORIGIN .
$TTL 3600       ; 1 hour
domaine1.univ-orleans.fr IN SOA  mondns.domaine1.univ-orleans.fr. administrateur.mondns.univ-orleans.fr. (
                                2731       ; serial
                                900        ; refresh (15 minutes)
                                600        ; retry (10 minutes)
                                86400      ; expire (1 day)
                                3600       ; minimum (1 hour)
                                )
                        NS      mondns.domaine1.univ-orleans.fr.
$ORIGIN domaine1.univ-orleans.fr.
$TTL 21600      ; 6 hours
 
$TTL 3600       ; 1 hour
mondns                    A       192.168.1.3
$TTL 1200       ; 20 minutes
machine1                   A       192.168.1.100
machine2                   A       192.168.1.101

Création de db.1.168.192 :

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

$ORIGIN .
$TTL 3600       ; 1 hour
1.168.192.in-addr.arpa IN SOA  mondns.domaine1.univ-orleans.fr. administrateur.domaine1.univ-orleans.fr. (
                                47         ; serial
                                900        ; refresh (15 minutes)
                                600        ; retry (10 minutes)
                                86400      ; expire (1 day)
                                3600       ; minimum (1 hour)
                                )
                        NS      mondns.domaine1.univ-orleans.fr.
$ORIGIN 1.168.192.in-addr.arpa.
$TTL 21600      ; 6 hours
3                        PTR     mondns.domaine1.univ-orleans.fr.
100                     PTR     machine1.domaine1.univ-orleans.fr.
101                     PTR     machine2.domaine1.univ-orleans.fr.

On lance (ou relance) le démon :

# invoke-rc.d bind9 restart

Après quelques minutes (et si tout est OK dans /var/log/syslog et /chroot/named/var/log/) des fichiers .jnl doivent automatiquement se créer : db.1.168.192.jnl et db.domaine1.univ-orleans.fr.jnl !!

On peut aussi regarder dans les logs du DHCP (/var/log/syslog) sur la machine 192.168.1.4 :

1
2
3
4

May 19 12:08:20 mondhcp dhcpd: DHCPDISCOVER from 00:15:d5:59:02:ba via eth0
May 19 12:08:20 mondhcp dhcpd: DHCPOFFER on 192.168.1.102 to 00:15:d5:59:02:ba via eth0
May 19 12:08:20 mondhcp dhcpd: Added new forward map from machine3.domaine1.univ-orleans.fr. to 192.168.1.102
May 19 12:08:20 mondhcp dhcpd: added reverse map from 102.1.168.192.in-addr.arpa. to machine3.domaine1.univ-orleans.fr.

On peut constater que ça marche plutôt pas mal!

Un petit nslookup sur une machine ayant le resolv.conf configuré comme il faut avec le DNS que l’on vient de créer :

1
2
3
4
5

# nslookup 192.168.1.102
Server:         192.168.1.3
Address:        192.168.1.3#53
 
102.1.168.192.in-addr.arpa     name = machine3.domaine1.univ-orleans.fr.

Tout est ok !

]]> http://blog.lenorcy.info/2010/05/19/configurer-un-serveur-dns-sous-debian-avec-bind9-avec-enregistrement-automatique-par-le-dhcp/feed/ 0 Configurer un serveur DNS esclave sous debian avec bind9 http://blog.lenorcy.info/2010/03/30/configurer-un-serveur-dns-esclave-sous-debian-avec-bind9/ http://blog.lenorcy.info/2010/03/30/configurer-un-serveur-dns-esclave-sous-debian-avec-bind9/#comments Tue, 30 Mar 2010 14:20:45 +0000 admin http://blog.lenorcy.info/2010/03/30/configurer-un-serveur-dns-esclave-sous-debian-avec-bind9/ Continuer la lecture ]]> J’ai un DNS intégré à l’AD sur un serveur windows 2003… et je voudrais faire un DNS en slave sur une machine debian !

Installation de bind9 :

maya:~# aptitude install bind9
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances
Lecture des informations d'état... Fait
Lecture de l'information d'état étendu
Initialisation de l'état des paquets... Fait
Lecture des descriptions de tâches... Fait
Les NOUVEAUX paquets suivants vont être installés :
bind9 bind9utils{a}
0 paquets mis à jour, 2 nouvellement installés, 0 à enlever et 2 non mis à jour.
Il est nécessaire de télécharger 336ko d'archives. Après dépaquetage, 1028ko seront utilisés.
Voulez-vous continuer ? [Y/n/?] Y
Ãcriture de l'information d'état étendu... Fait
Prendre : 1 http://debian.univ-reims.fr lenny/main bind9utils 1:9.5.1.dfsg.P3-1+lenny1 [93,0kB]
Prendre : 2 http://debian.univ-reims.fr lenny/main bind9 1:9.5.1.dfsg.P3-1+lenny1 [243kB]
336ko téléchargés en 0s (1237ko/s)
Préconfiguration des paquets...
Sélection du paquet bind9utils précédemment désélectionné.
(Lecture de la base de données... 86592 fichiers et répertoires déjà installés.)
Dépaquetage de bind9utils (à partir de .../bind9utils_1%3a9.5.1.dfsg.P3-1+lenny1_i386.deb) ...
Sélection du paquet bind9 précédemment désélectionné.
Dépaquetage de bind9 (à partir de .../bind9_1%3a9.5.1.dfsg.P3-1+lenny1_i386.deb) ...
Traitement des actions différées (« triggers ») pour « man-db »...
Paramétrage de bind9utils (1:9.5.1.dfsg.P3-1+lenny1) ...
Paramétrage de bind9 (1:9.5.1.dfsg.P3-1+lenny1) ...
Ajout du groupe « bind » (identifiant 116)...
Terminé.
Ajout de l'utilisateur système « bind » (identifiant : 109)...
Ajout du nouvel utilisateur « bind » (identifiant : 109) avec le
groupe « bind »...
Répertoire personnel « /var/cache/bind » non créé.
wrote key file "/etc/bind/rndc.key"
#
Starting domain name service...: bind9.
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances
Lecture des informations d'état... Fait
Lecture de l'information d'état étendu
Initialisation de l'état des paquets... Fait
Ãcriture de l'information d'état étendu... Fait
Lecture des descriptions de tâches... Fait

Chrootons bind9

On créé les répertoires de la prison :

# mkdir -p /chroot/named
# cd /chroot/named
# mkdir -p dev etc/namedb/ var/run etc/bind/

On associe les droits qu’il faut :

# chown root:root /chroot
# chmod 700 /chroot
# chown bind:bind /chroot/named
# chmod 700 /chroot/named
# chown bind:bind /chroot/named/var/run

On copie les fichiers de configuration au bon endroit :

# cp /etc/bind/named.conf /chroot/named/etc/
# cp /etc/bind/db.local /chroot/named/etc/namedb/db.local
# cp /etc/bind/db.root /chroot/named/etc/namedb/db.root

On termine l’isolation :

# mknod /chroot/named/dev/null c 1 3
# mknod /chroot/named/dev/random c 1 8

Editons le fichier /etc/default/bind9, la variable OPTIONS doit avoir la valeur suivante :

1

OPTIONS="-u bind -t /chroot/named -c /etc/named.conf"

On met à jour le fichier de configuration (/chroot/named/etc/named.conf) :

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48

acl reseauLocal {
192.168.1.0/24;
192.168.2.0/24;
};
options {
forward first;
forwarders {
// serveurs DNS vers lesquels on souhaite faire un transfert :
192.168.2.1;
192.168.2.2;
};
allow-query {reseauLocal;};
allow-recursion {reseauLocal;};
};
logging{
  channel simple_log {
    file "/var/log/named/bind.log" versions 3 size 5m;
    severity warning;
    print-time yes;
    print-severity yes;
    print-category yes;
  };
  category default{
    simple_log;
  };
};
 
zone "." {
        type hint;
        file "/etc/namedb/db.root";
};
 
zone "0.0.127.in-addr.arpa" in {
   type master;
   file "/etc/namedb/db.0.0.127";
};
 
zone "mondomaineAD.univ-orleans.fr" in {
   type slave;
   file "/etc/namedb/db.mondomaineAD.univ-orleans.fr";
   masters { 192.168.1.2; };
};
 
zone "1.168.192.in-addr.arpa" in {
   type slave;
   file "/etc/namedb/db.1.168.192";
   masters { 192.168.1.2; };
   };

Je n’utilise pas les fichiers named.conf.options et named.conf.local : tout est dans le named.conf pour plus de simplicité.

On relance BIND

# invoke-rc.d bind9 restart
]]> http://blog.lenorcy.info/2010/03/30/configurer-un-serveur-dns-esclave-sous-debian-avec-bind9/feed/ 4 Génération clés SSH http://blog.lenorcy.info/2010/03/04/generation-cles-ssh/ http://blog.lenorcy.info/2010/03/04/generation-cles-ssh/#comments Thu, 04 Mar 2010 08:59:38 +0000 admin http://blog.lenorcy.info/2010/03/04/generation-cles-ssh/ Continuer la lecture ]]> Génération des clés privées et publiques

machine-locale:$ ssh-keygen -t dsa
Generating public/private dsa key pair.
Enter file in which to save the key (/home/login/.ssh/id_dsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/login/.ssh/id_dsa.
Your public key has been saved in /home/login/.ssh/id_dsa.pub.
The key fingerprint is:
11:ee:bc:47:b0:c8:40:03:4f:a0:09:a4:71:39:93:93 login@machine-locale
The key's randomart image is:
+--[ DSA 1024]----+
|+.+*+   .        |
|o=E+ . . .       |
|+  +o   +        |
|     o + +       |
|      o o .      |
|         +       |
|        . .      |
|         .       |
|                 |
+-----------------+

Transfert du fichier contenant la clé publique sur la machine distante

machine-locale : cat ~/.ssh/id_dsa.pub | ssh login@machine-distante "cat - >> ~/.ssh/authorized_keys"
]]> http://blog.lenorcy.info/2010/03/04/generation-cles-ssh/feed/ 0 Authentification LDAP pour l’interface Web de Nagios http://blog.lenorcy.info/2006/07/26/authentification-ldap-pour-linterface-web-de-nagios/ http://blog.lenorcy.info/2006/07/26/authentification-ldap-pour-linterface-web-de-nagios/#comments Wed, 26 Jul 2006 08:56:03 +0000 admin http://blog.lenorcy.info/?p=18 Continuer la lecture ]]> L’idée est d’avoir un .htaccess permettant l’authentification avec LDAP afin d’accéder à l’interface web de Nagios (version 2.0).

Extrait de mon httpd.conf (apache version 2.2) :


ScriptAlias /nagios/cgi-bin "/usr/local/nagios/sbin"


   Options ExecCGI
   AllowOverride All
   Order allow,deny
   Allow from all


Alias /nagios "/usr/local/nagios/share"


   Options None
   AllowOverride All
   Order allow,deny
   Allow from all

Création du .htaccess dans /usr/local/nagios/share et dans /usr/local/nagios/sbin :


AuthName "Controle d'acces"
AuthType Basic
AuthBasicProvider ldap
AuthBasicAuthoritative On
AuthzGroupFileAuthoritative On
AuthLDAPCompareDNOnServer on
AuthLDAPURL ldap://annuaire.mon-domaine.fr/ou=people,dc=mon-domaine,dc=fr?uid?sub?(objectClass=posixAccount)
require ldap-filter |(uid=utilisateur1)(uid=utilisateur2)(uid=utilisateur3)

Je modifie le cgi.cfg de la sorte :


use_authentication=1
#default_user_name=nagios
authorized_for_system_information=utilisateur1,utilisateur2,utilisateur3
authorized_for_configuration_information=utilisateur1,utilisateur2,utilisateur3
authorized_for_all_services=utilisateur1,utilisateur2,utilisateur3
authorized_for_all_hosts=utilisateur1,utilisateur2,utilisateur3

#Autorisation de l'execution de commandes via l'interface de nagios
#authorized_for_system_commands=nagiosadmin,nagios
#authorized_for_all_service_commands=nagiosadmin
#authorized_for_all_host_commands=nagiosadmin
]]> http://blog.lenorcy.info/2006/07/26/authentification-ldap-pour-linterface-web-de-nagios/feed/ 0 Attribuer les droits root à un utilisateur http://blog.lenorcy.info/2006/04/06/attribuer-les-droits-root-a-un-utilisateur/ http://blog.lenorcy.info/2006/04/06/attribuer-les-droits-root-a-un-utilisateur/#comments Thu, 06 Apr 2006 20:55:21 +0000 admin http://lenorcy.info/wordpressfr/?p=3 Continuer la lecture ]]> En temps que root, exécuter /usr/sbin/visudo afin d’éditer la liste des utilisateurs pouvant invoquer sudo.

Pour l’instant, la liste ne doit contenir qu’un item :


root ALL=(ALL) ALL

Pour que l’utilisateur arnaud ait un accès super-utilisateur modifier ainsi :


root ALL=(ALL) ALL
arnaud ALL =(ALL) ALL

Par exemple, pour que l’utilisateur arnaud ait un accès sur la machine journal avec les droits de l’utilisateur nagios :


arnaud journal=(nagios) ALL

La syntaxe est la suivante :


utilisateur machine=(utilisateur réel) commande

Pour éviter les longues listes on peut créer des alias :


User_Alias ADMINS=arnaud,john
Runas_Alias UTILISATEURS_SECU=nagios,monids
Host_Alias SERVEURS_SECU=nagios,monids
Cmnd_Alias BIN_SECU=/usr/local/nagios/bin/nagios,/usr/local/monids/bin/monids
ADMINS SERVEURS_SECU=(UTILISATEURS) BIN_SECU
]]> http://blog.lenorcy.info/2006/04/06/attribuer-les-droits-root-a-un-utilisateur/feed/ 0