Quentin Demoulière

Mon blog personnel

Administration système

Installation d'un boitier Soekris net4501 avec OpenBSD 5.4

Rédigé par Quentin Demouliere - - Aucun commentaire

Je me suis lancé dans l'implémentation d'IPv6 sur mon réseau personnel puisque mon FAI me le permet. Mais une fois cette technologie déployée, aucun système de filtrage n'existe. Ainsi, tous les équipements de mon réseau disposent d'une adresse globale IPv6 et sont donc potentiellement accessibles depuis Internet.

J'ai donc décidé d'investir dans un boitier Soekris net4501 avec un système OpenBSD ayant pour fonction firewall et service VPN. Ce matériel dispose de 3 cartes Ethernet, d'un port Série pour l'accès console ainsi que d'une carte Flash de 4 Go (non-fournie par défaut). Pour installer le système d'exploitation, j'ai choisi de passer par une installation PXE.

Lire la suite de Installation d'un boitier Soekris net4501 avec OpenBSD 5.4

Pensez à mettre à jour votre Grub lorsque vous réalisez des modifications sur vos LV avec LVM

Rédigé par Quentin Demouliere - - Aucun commentaire

J'écris ce petit article car il m'est arrivé une mauvaise surprise lorsque j'ai voulu agrandir un Logical Volume avec LVM sous Debian 7. En effet, il ne me restait que 10% d'espace libre. Pour ne pas être pris de court, j'ai décidé d'affecter de l'espace libre au LV à chaud (oui je sais, il vaut mieux le démonter...) :

root@debian# lvextend -L+20G /dev/vgperso/lvsrv

root@debian# resize2fs /dev/vgperso/lvsrv

Lire la suite de Pensez à mettre à jour votre Grub lorsque vous réalisez des modifications sur vos LV avec LVM

Déporter les logs du proxy Squid sur PFSense vers un serveur syslog centralisé

Rédigé par Quentin Demouliere - - 3 commentaires

Dans un cadre professionnel, il peut s'avérer utile de centraliser ses logs sur un serveur dédié. Cela permet d'avoir une copie de ceux-ci mais cela permet sourtout de pouvoir les exploiter plus facilement. Dans le cas présent, nous souhaitions déporter les logs de notre firewall PFSense vers un serveur syslog sous Debian GNU/Linux avec Syslog-NG.

Lire la suite de Déporter les logs du proxy Squid sur PFSense vers un serveur syslog centralisé

Empêcher l'attribution d'un nom NETBIOS à un MacBook par un serveur WINS

Rédigé par Quentin Demouliere - - Aucun commentaire

Lorsque je me connecte sur des réseaux sur lesquels tournent un serveur WINS avec mon MacBook, j'ai la désagréable surprise, quand j'ouvre un terminal, de me voir attribuer un nom NETBIOS aléatoire.

Voici la petite astuce qui permet de forcer l'utilisation du nom du Mac :

On édite le fichier /etc/hostconfig avec les droits d'administrateur.
#sudo nano /etc/hostconfig
On rajoute cette ligne à la fin du fichier concerné.
#HOSTNAME=monmacbook

Cette directive est donc bien pratique car j'en avais vraiment marre de me voir attribuer tout un tas de noms NETBIOS exotiques. L'autre possibilité est de bloquer les connexions NETBIOS avec ipfw ou un firewall logiciel mais cela peut certainement poser des problèmes dans un environnement Microsoft lorsque l'on souhaite notamment utiliser le service de partage.

Enjoy :)

Configuration basique de mes serveurs Debian

Rédigé par Quentin Demouliere - - 2 commentaires

Suite à l'excellent billet de NicoLargo : http://blog.nicolargo.com/2013/03/mes-5-premieres-minutes-sur-un-serveur-debian.html, j'ai également décidé d'évoquer la configuration que j'utilise lorsque je configure un nouveau serveur Debian.

  • Utilisation de LVM avec les répertoires /, /home, /tmp, /var, /boot, /srv sur des volumes logiques différents (j'utilise pour l'instant les systèmes de fichier ext4 et XFS)
  • Mise en place d'un password au niveau du Grub
  • Création d'un utilisateur classique en plus du root avec mot de passe fort
  • Activation de SSH avec authentification par clefs RSA ou ECDSA avec interdiction de se connecter en root (utilisation de la commande su par la suite)
  • Automatisation d'une partie des mises à jour avec CRON-APT
  • Mise en place d'un Firewall avec Netfilter / IPTABLES
  • Chroot ou Jails des principaux services sensibles (DNS et WEB)
  • Utilisation de FAIL2BAN pour les services SSH, HTTP, DNS, SMTP
  • Mise en place de PortSentry pour éviter les Scan basiques
  • En fonction des besoins mise en place d'un Reverse-Proxy (HAProxy, Apache, NGinx ou Varnish) en Frontal
  • Utilisation régulière de ClamAV, CHKROOTKIT et Lynis (Virus, Trojan, Rootkit)
  • Mise en place de LogWatch pour obtenir des remontées régulières d'informations par mail
  • Scripts de sauvegarde avec Rsync over SSH + CRON

Je n'ai pas encore eu l'occasion de tester GLANCES, l'outil de supervision développé par Nico Largo... mais Why not ? Voilà, ce que je fais lorsque je décide de mettre en production un serveur Debian accessible sur le NET.

Si vous avez des idées ou des suggestions pour améliorer, ou optimiser ma configuration, je suis bien entendu preneur ;) .