Quentin Demoulière

Mon blog personnel

debian

Configuration basique de mes serveurs Debian

Rédigé par Quentin Demouliere - 16 octobre 2013 - 2 commentaires

Suite à l'excellent billet de NicoLargo : http://blog.nicolargo.com/2013/03/mes-5-premieres-minutes-sur-un-serveur-debian.html, j'ai également décidé d'évoquer la configuration que j'utilise lorsque je configure un nouveau serveur Debian.

  • Utilisation de LVM avec les répertoires /, /home, /tmp, /var, /boot, /srv sur des volumes logiques différents (j'utilise pour l'instant les systèmes de fichier ext4 et XFS)
  • Mise en place d'un password au niveau du Grub
  • Création d'un utilisateur classique en plus du root avec mot de passe fort
  • Activation de SSH avec authentification par clefs RSA ou ECDSA avec interdiction de se connecter en root (utilisation de la commande su par la suite)
  • Automatisation d'une partie des mises à jour avec CRON-APT
  • Mise en place d'un Firewall avec Netfilter / IPTABLES
  • Chroot ou Jails des principaux services sensibles (DNS et WEB)
  • Utilisation de FAIL2BAN pour les services SSH, HTTP, DNS, SMTP
  • Mise en place de PortSentry pour éviter les Scan basiques
  • En fonction des besoins mise en place d'un Reverse-Proxy (HAProxy, Apache, NGinx ou Varnish) en Frontal
  • Utilisation régulière de ClamAV, CHKROOTKIT et Lynis (Virus, Trojan, Rootkit)
  • Mise en place de LogWatch pour obtenir des remontées régulières d'informations par mail
  • Scripts de sauvegarde avec Rsync over SSH + CRON

Je n'ai pas encore eu l'occasion de tester GLANCES, l'outil de supervision développé par Nico Largo... mais Why not ? Voilà, ce que je fais lorsque je décide de mettre en production un serveur Debian accessible sur le NET.

Si vous avez des idées ou des suggestions pour améliorer, ou optimiser ma configuration, je suis bien entendu preneur ;) .

Comment protéger un minimum sa vie privée lorsque l'on se connecte sur Internet à partir d'un Point d'accès Publique ?

Rédigé par Quentin Demouliere - 16 octobre 2013 - Aucun commentaire

J'utilise en ce moment même un Point d'accès publique Wifi dans un hôtel. Et comme je n'ai pas trop envie que ces messieurs dames (gestionnaires du PA ou bien utilisateurs étant sur la même borne que moi avec une carte Wifi en mode Promiscious) viennent farfouiller du coté de ma navigation sur le Net, j'ai décidé d'encrypter tout cela dans un bon vieux tunnel SSH qui redirige tout mon trafic vers mon petit chez-moi.

Lire la suite de Comment protéger un minimum sa vie privée lorsque l'on se connecte sur Internet à partir d'un Point d'accès Publique ?

Mise en place d'un DNS menteur avec Bind 9.8 et RPZ

Rédigé par Quentin Demouliere - 16 octobre 2013 - Aucun commentaire

Nous avons pris connaissance d'un petit problème concernant notre filtrage avec SquidGuard et l'utilisation obligatoire du Safe Search pour les postes passant par notre proxy.

En effet, l'utilisation du protocole HTTPS avec Google rend le Safe Search totalement inopérant. Après quelques recherches, je me suis dit : Pourquoi  pas un www.google.fr. IN CNAME nosslsearch.google.com. ? Impossible ! Bind ne ment pas et mon serveur DNS ne fait pas autorité sur la zone google.fr !

Lire la suite de Mise en place d'un DNS menteur avec Bind 9.8 et RPZ

Screen, un de mes outils Unix favoris

Rédigé par Quentin Demouliere - 16 octobre 2013 - Aucun commentaire

Je tenais à parler aujourd'hui d'un outil trop peu souvent exposé : screen. C'est un formidable couteau suisse utile à tout bon sysadmin Unix qui se respecte. Je l'utilise régulièrement, j'ai donc décidé de publier un petit mémo récapitulatif.

Qu'est-ce que screen ?

Screen est un multiterminal qui pernet de faire tourner des programmes même en étant déconnecté de la machine de calcul.

Screen permet d'avoir facilement plusieurs shell ouverts et de lancer plusieurs commandes simultanément. Il vous permet également de laisser tourner vos commandes en taches de fond sur les machines hôtes, même si vous vous déconnectez de la machine.

Lire la suite de Screen, un de mes outils Unix favoris

Mutt, une autre manière d'aborder la messagerie

Rédigé par Quentin Demouliere - 16 octobre 2013 - Aucun commentaire

Je viens, depuis plusieurs semaines, de passer à Mutt concernant la gestion de mes mails, et à vrai dire, j'en suis plus que ravi ! Certains ne connaissent peut-être pas ce formidable outil ? C'est tout simplement un excellent client de messagerie qui fonctionne uniquement avec un bon vieux Terminal !

Alors pourquoi avoir fait ce choix ? Et bien voici mes arguments :

  • Sachant que j'utilise un bureau minimaliste sur mon ArchLinux, je ne souhaitais pas m'encombrer d'un client de messagerie trop lourd genre Thunderbird. Rester dans un style épuré voilà qui me correspond.
  • Je souhaitais pouvoir paramétrer aux petits oignons mon client en terme de gestion et je dois avouer que c'est un vrai régal.
  • Enfin, je voulais rester proche des fameux "Keep It Simple", "Write programs to handle text streams, because that is a universal interface" et le "Faîtes le vous même", devises qui me sont chères.
  • De plus, je ne serai pas loin d'être en accord avec la citation du créateur de Mutt : "All mail clients suck. This one just sucks less."
  • Dans l'univers des programmes "Usines à gaz", les navigateurs Web et les clients de messageries sont les rois !

Lire la suite de Mutt, une autre manière d'aborder la messagerie