Systeme d'exploitation Debian 10

De Hegyd Doc.

Version du 17 mars 2020 à 14:01 (modifier) Pentasonic (discuter | contributions) (→Pare feu) ← Modification précédente		Version du 17 mars 2020 à 14:01 (modifier) (défaire) Pentasonic (discuter | contributions) (→Pare feu) Modification suivante →
Ligne 265 :		Ligne 265 :
	* Important : Suppression de ufw installé automatiquement avec Debian 10/Buster et qui bloque fwbuilder.		* Important : Suppression de ufw installé automatiquement avec Debian 10/Buster et qui bloque fwbuilder.
	<pre>		<pre>
-	apt install iptables	+	apt install iptables
-	update-alternatives --set iptables /usr/sbin/iptables-legacy	+	update-alternatives --set iptables /usr/sbin/iptables-legacy
-	update-alternatives --set ip6tables /usr/sbin/ip6tables-legacy	+	update-alternatives --set ip6tables /usr/sbin/ip6tables-legacy
	</pre>		</pre>

---

Version du 17 mars 2020 à 14:01

Sommaire 1 Debian 10 ( Buster ) 2 IP Vrack (pour les VMs) 3 Pare feu 4 Installation paquets clients 4.1 UTF-8 client / serveur 5 Tuning 6 Serveur de cache DNS local 7 Monitoring / Supervision 8 Sauvegarde 9 Comptes utilisateurs

Debian 10 ( Buster )

• Si on arrive ici après l'installation d'une VM KVM, il faut d'abord se connecter depuis la console virt-manager en root, puis :

sed -i 's/^#PermitRootLogin prohibit-password/PermitRootLogin yes/' /etc/ssh/sshd_config
service ssh reload

On peut alors se connecter maintenant depuis Putty/MRemote via le compte root et le mot de passe saisi lors de l'installation.

• Modification du mot de passe root si nécessaire, et selon la règle de nommage usuelle.

passwd

• Installer les paquets de base :

# Configuration APT pour remonter /tmp avec le flag exec (nécessaire pour certains paquets)
cat >> /etc/apt/apt.conf <<EOF
DPkg::Pre-Invoke{"mount -o remount,exec /tmp";};
DPkg::Post-Invoke {"mount -o remount /tmp";};
EOF

apt-get update && apt-get -y upgrade
apt-get -y install bash-completion ntp sudo htop telnet sysstat subversion git less vim-nox cscope exuberant-ctags

NB : si l'apt-get essaie de passer en ipv6 et que cela ne fonctionne pas, il faut modifier la ligne 54 du fichier /etc/gai.conf de la façon suivante :

precedence ::ffff:0:0/96  100

• Paramétrer les locales :

echo -n > /etc/environment
echo -n > /etc/default/locale

• Paramétrer debconf :

apt-get install dialog &&
echo "debconf debconf/priority        select high" | debconf-set-selections &&
echo "debconf debconf/frontend        select Dialog" | debconf-set-selections

• Définir vim comme éditeur par défaut

update-alternatives --set editor /usr/bin/vim.nox

• Paramétrer l'environnement utilisateur

sed -i '32,38s/^#//' /etc/bash.bashrc
cat >> /etc/bash.bashrc <<EOF

export LS_OPTIONS='--color=auto'
eval "\`dircolors\`"
alias ls='ls \$LS_OPTIONS'
alias ll='ls \$LS_OPTIONS -l'
alias grep='grep --color=auto'
EOF

• Modifier le shell par défaut des utilisateurs en éditant la lignes suivante du fichier "/etc/default/useradd" :

sed -i 's/^SHELL=\/bin\/sh/SHELL=\/bin\/bash/' /etc/default/useradd

• Gestion du Umask

sed -i 's/^UMASK\s\+022/UMASK    002/' /etc/login.defs
echo "session optional pam_umask.so" >> /etc/pam.d/common-session
echo "session optional pam_umask.so" >> /etc/pam.d/common-session-noninteractive

• Création des groupes par défaut

userdel -r user1 #user créé pendant l'installation
groupadd -g 1000 dev
groupadd -g 1001 grsec
groupadd -g 1002 fwadmin
groupadd -g 1003 adm-projects
groupadd -g 1004 wheel

• Ajouter les utilisateurs opérateurs

mkdir /root/.ssh
echo "ssh-dss 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 admin@backup.hegyd.com
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDfcJ8J5YR6F7qrYLuVJ3YIqOXqNvj1OnYd0zybZ45X+IeFKePo2hL1NHALHWxys6Qo4Ta3pPcRkliQBy51IIXOtNVp90C4XqTNkwaAl6X4RnPPoGNVgq1V53BW/mkUYsvLoYTJHokb+a3exGHCYaPbuj09FV5VVdF2uGUIiRyMZzmZurLCzySagP+8e34ZrLDlwwmDtd24CVc0OyxikqFOzzOkvCWTaAttGv7qyAlwjyAAMTqlJhqPNaCQcOJVEGiwXNlXqjroRJz7j4a3vEd3xujfY3zeSu9U22iCgAJWiLRI+M7m7af4/yxTV8IYNvpOMTjqMnxOEAKsiCLmrwUJ MGA@HEGYD
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDSpLz0aUxPDyO5cXPm8HQkaNAUjNNULrhH8G3Nvw7SdhAvRVL9/RKzXu5Aa4nSQd0u61bWVlGvDVSSZgZGRnoxsmzK1aOJWcgJmhVI1r6o9fVKSxz/x+1uE8PFJxUVaGULoLvDRzZLDazg/c/Djb5AgTprmw8KvMKdcDk/kCixFmjEObuOwFbnA/ZbnHS8PPUgHSCwLNAQOUSZSLRZzEFRKO4+HCl5T7iZfCGd7dCInysG2tVzBJCqsN7hw5fhz49Kb1txa93dYhY7kh7SYqCYthGToqGVcDNQX7cXCP2Sqpw+2N/SAcke6E/MgalYAr40dIRRFuUJKX8LxLoko47r admin@rescue
ssh-dss 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 admin@SRV-ADMIN-HEGYD
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDDSTvhJwZSkwprrGoTTCDXK4p4VtyGo9EBNckRimYpwUAIq5MV3coWwrfJR/5qH7gYgZdCtBkZR/Mq59Xoeug7Gs5saoVkM0AjjIWPIpx52tl6/mnMvb7XrHwgonxiP2UR5o6tzVJgIK5jO7K6ezaJMobbmorxTDr7zcRm3obON1s21+Wv2FXZBUsFxXL3QjoECgh9mCV7bIjVis6Wl/bPq/ufLwcIhSnnpAzes7kWrfpIU825wUizdyp3JL8clDt1ovdBll7HdnCxmpux/NQQAixNYZhS0G65xXa8Db6hb3XS9v0AZcx07xsP+bGrUMo++L+HPqLYVADTskiRST+Z admin@SRV-ADMIN-HEGYD
ssh-rsa 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 enzo@dri" >> /root/.ssh/authorized_keys
chmod 700 /root/.ssh
chmod 600 /root/.ssh/authorized_keys

useradd -m -u 1020 -G fwadmin,dev,adm,staff,adm-projects,wheel -s /bin/bash mike
mkdir /home/mike/.ssh
chmod 700 /home/mike/.ssh
echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCrFOIGcDPe+LfoPc11vtv2EOVG63zBndLVnf48mC+krw2vXomDLXG+KnhIAx1yFhCh6B/8R9C3wMxwhghemE3succS+Q7Truu2pd7zDmDNn6cd8Iw02qe8dl3nZhVk5XtGMgeV3JRA7u8q32i4tadbONRICExjcm9pVL5wx5aLzNBtu1opyMdvHc0dBelghVa9kkg6bRri8AF38M16NTEqQNA7crwHHa9ZLBE+8xFWmkJdBJ7zRoR6XEwbOr020VEM+sKzCPl0sy606aW3bi59tYobqAGBjTglIOJWXKMxu1cPJnSCx6Xom9F6AeF1C4CghVrZpfu++XSmJQtXoId m.reault@hegyd.com" > /home/mike/.ssh/authorized_keys
chmod 600 /home/mike/.ssh/authorized_keys
chown -R mike:mike /home/mike/.ssh

useradd -m -u 1021 -G fwadmin,dev,adm,staff,adm-projects,wheel -s /bin/bash -p paCtx8rsjkGhQ admin
mkdir /home/admin/.ssh
chmod 700 /home/admin/.ssh
echo "ssh-dss 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 admin@backup.hegyd.com
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDfcJ8J5YR6F7qrYLuVJ3YIqOXqNvj1OnYd0zybZ45X+IeFKePo2hL1NHALHWxys6Qo4Ta3pPcRkliQBy51IIXOtNVp90C4XqTNkwaAl6X4RnPPoGNVgq1V53BW/mkUYsvLoYTJHokb+a3exGHCYaPbuj09FV5VVdF2uGUIiRyMZzmZurLCzySagP+8e34ZrLDlwwmDtd24CVc0OyxikqFOzzOkvCWTaAttGv7qyAlwjyAAMTqlJhqPNaCQcOJVEGiwXNlXqjroRJz7j4a3vEd3xujfY3zeSu9U22iCgAJWiLRI+M7m7af4/yxTV8IYNvpOMTjqMnxOEAKsiCLmrwUJ MGA@HEGYD
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDSpLz0aUxPDyO5cXPm8HQkaNAUjNNULrhH8G3Nvw7SdhAvRVL9/RKzXu5Aa4nSQd0u61bWVlGvDVSSZgZGRnoxsmzK1aOJWcgJmhVI1r6o9fVKSxz/x+1uE8PFJxUVaGULoLvDRzZLDazg/c/Djb5AgTprmw8KvMKdcDk/kCixFmjEObuOwFbnA/ZbnHS8PPUgHSCwLNAQOUSZSLRZzEFRKO4+HCl5T7iZfCGd7dCInysG2tVzBJCqsN7hw5fhz49Kb1txa93dYhY7kh7SYqCYthGToqGVcDNQX7cXCP2Sqpw+2N/SAcke6E/MgalYAr40dIRRFuUJKX8LxLoko47r admin@rescue
ssh-dss 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 admin@SRV-ADMIN-HEGYD
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDDSTvhJwZSkwprrGoTTCDXK4p4VtyGo9EBNckRimYpwUAIq5MV3coWwrfJR/5qH7gYgZdCtBkZR/Mq59Xoeug7Gs5saoVkM0AjjIWPIpx52tl6/mnMvb7XrHwgonxiP2UR5o6tzVJgIK5jO7K6ezaJMobbmorxTDr7zcRm3obON1s21+Wv2FXZBUsFxXL3QjoECgh9mCV7bIjVis6Wl/bPq/ufLwcIhSnnpAzes7kWrfpIU825wUizdyp3JL8clDt1ovdBll7HdnCxmpux/NQQAixNYZhS0G65xXa8Db6hb3XS9v0AZcx07xsP+bGrUMo++L+HPqLYVADTskiRST+Z admin@SRV-ADMIN-HEGYD
ssh-rsa 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 enzo@dri
" > /home/admin/.ssh/authorized_keys
chmod 600 /home/admin/.ssh/authorized_keys
chown -R admin:admin /home/admin/.ssh

useradd -m -u 1022 -G fwadmin,dev,adm,staff,adm-projects,wheel -s /bin/bash -p pa2TnhUhhBRfU support
mkdir /home/support/.ssh
chmod 700 /home/support/.ssh
touch /home/support/.ssh/authorized_keys
chmod 600 /home/support/.ssh/authorized_keys
chown -R support:support /home/support/.ssh

chmod 750 /home/*

• Configurer openssh-server

echo "alias root=\"ssh -AX root@localhost\"" >>/home/admin/.bashrc
sed -i 's/^PermitRootLogin yes/PermitRootLogin without-password/' /etc/ssh/sshd_config
cat >> /etc/ssh/sshd_config <<EOF

UseDns no
AllowUsers root mike admin support
EOF
service ssh reload

• Installer le serveur de mail local

debconf-set-selections <<EOF
postfix postfix/root_address    string
postfix postfix/rfc1035_violation       boolean false
postfix postfix/mydomain_warning        boolean
postfix postfix/mynetworks      string  127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
postfix postfix/mailname        string  $(hostname -f)
postfix postfix/tlsmgr_upgrade_warning  boolean
postfix postfix/recipient_delim string  +
postfix postfix/main_mailer_type        select  Internet Site
postfix postfix/destinations    string  $(hostname -f), localhost.$(hostname -f | sed -e 's/^[^.]\+\.\(.*\)$/\1/'), localhost
postfix postfix/retry_upgrade_warning   boolean
# Faut-il installer postfix malgré l'incompatibilité du noyau ?
postfix postfix/kernel_version_warning  boolean
postfix postfix/not_configured  error
postfix postfix/mailbox_limit   string  0
postfix postfix/relayhost       string
postfix postfix/procmail        boolean false
postfix postfix/bad_recipient_delimiter error
postfix postfix/protocols       select  ipv4
postfix postfix/chattr  boolean false
EOF

NB : les erreurs sur le ligne 13 et 17 sont normales.

heirloom-mailx est déprécié mais présent dans le paquet s-nail

apt-get -y install postfix s-nail

sed -i -e '/^\/var\/log\/mail.log$/d' -e '/\/var\/log\/mail.info/i \
/var/log/mail.log\
{\
    rotate 4\
    weekly\
    missingok\
    notifempty\
    compress\
    delaycompress\
    create 640 root dev\
    sharedscripts\
    postrotate\
        invoke-rc.d rsyslog rotate > /dev/null\
    endscript\
}' /etc/logrotate.d/rsyslog

chgrp dev /var/log/mail.log

cat >> /etc/aliases <<EOF
root: tech@hegyd.com
mike: m.reault@netprestation.com
EOF
newaliases
service postfix reload

• Modifier les points de montage par défault en éditant le fichier "/etc/fstab" pour ajouter les options "noatime,barrier=0" à tout les montages ext4.

Exemple :

/dev/mapper/vg_vm-root        /                 ext4    errors=remount-ro,relatime 0 1
UUID=6f7256e5-a5e3-4019-9f08-c582c20ffceb /boot ext2    defaults 0 2
/dev/mapper/vg_vm-home        /home             ext4    defaults,noatime,barrier=0 0 2
/dev/mapper/vg_algorel-tmp    /tmp              ext4    defaults,noatime,noexec,barrier=0 0 2
/dev/mapper/vg_algorel-var    /var              ext4    defaults,noatime 0 2

• Cloner le depot sys-common

Au préalable, pour autoriser le git, se connecter sur srv-admin ( bastion ) et faire :

eval $(ssh-agent)
ssh-add
ssh root@nouvelle_vm 
ou ssh nouvelle_vm puis su - root

mkdir /usr/local/share/hegyd
echo -e "Host git.hegyd.net\n\tStrictHostKeyChecking no\n" >> ~/.ssh/config
git clone -q git@git.hegyd.net:sys-common /usr/local/share/hegyd/sys-common
chmod -R g+rw /usr/local/share/hegyd

• Ajouter une version prédéfinie de VimRC

ln -s /usr/local/share/hegyd/sys-common/vim/vimrc_hegyd /etc/vim/vimrc.local
sed -i '78,80s/^/"/' /usr/share/vim/vim81/defaults.vim

• Ajouter le script d'alerte des reboot

cat <<EOF >/etc/rc.local
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

exit 0
EOF
chmod +x /etc/rc.local
systemctl start rc-local
systemctl status rc-local
sed -i '/^exit 0/i\/usr\/local\/share\/hegyd\/sys-common\/bin\/alert-reboot' /etc/rc.local

IP Vrack (pour les VMs)

• Si la VM doit avoir une IP VRACK, il faut la configurer après avoir chois une IP dans le fichier des IPs

Ajouter dans /etc/network/interfaces, pour l'ip eth0

        post-up /sbin/ifconfig eth0:1 172.16.0.145 netmask 255.240.0.0
        post-down /sbin/ifconfig eth0:1 down

NB : pour les hyperviseurs, voir après l'installation dans le wiki

• Pour les serveurs physiques, positionner l'adresse VRack sur l'interface eth1 ou eth3 (selon le serveur)

Pare feu

• Important : Suppression de ufw installé automatiquement avec Debian 10/Buster et qui bloque fwbuilder.

apt install iptables
update-alternatives --set iptables /usr/sbin/iptables-legacy
update-alternatives --set ip6tables /usr/sbin/ip6tables-legacy

• Configurer le système

mkdir /etc/firewall
chgrp fwadmin /etc/firewall
chmod 2770 /etc/firewall
sed  -i -e '/^Defaults\s\+env_reset\s*$/aDefaults:%fwadmin   !lecture , passwd_timeout=1 , timestamp_timeout=1' -e "/^root\s\+ALL=(ALL:ALL)\s\+ALL\s*$/a%fwadmin  ALL = NOPASSWD: /etc/firewall/$(hostname -f).fw , /usr/bin/pkill" /etc/sudoers
sed -i "/^exit 0/i\/etc\/firewall\/$(hostname -f).fw" /etc/rc.local

• Créer et déployer le par feu

Créer le firewall sur firewall-builder puis le déployer

• Ajouter les vm dans le groupe "Virtual Machine" de firewall builder
• Ajouter les serveurs dans le groupe "Servers Applicatifs" de firewall builder

Installation paquets clients

apt-get install mysql-client

Si le serveur MySQL doit être installé sur la machine :

apt-get install mysql-server

UTF-8 client / serveur

sed -i -e '/\[client\]/{n;n;/$/a \
default-character-set = utf8
}' \
 -e '/\[mysqld\]/a \
character_set_server    = utf8\
collation_server        = utf8_general_ci' \
 -e '/\[mysql\]/a \
default-character-set = utf8' /etc/mysql/my.cnf

Tuning

• Sur un serveur physique, si le RAID est hard, il n'y a pas besoin du service mdadm

sed -i -e 's/START_DAEMON=true/START_DAEMON=false/' -e 's/AUTOCHECK=true/AUTOCHECK=false/' /etc/default/mdadm
service mdadm restart

• PLUS NECESSAIRE : Suppression des tty inutiles (2 suffisent)

sed -i '56,59s/^/#/' /etc/inittab
kill -HUP 1

Serveur de cache DNS local

• Suivre la procédure Bind

Monitoring / Supervision

• Installer et configurer Snmp
• Installer et configurer le client NRPE pour Debian

Sauvegarde

• Installer et configurer Bacula#Debian

Comptes utilisateurs

• Créer les comptes utilisateurs pour les accès du client (voir clés SSH publiques sur serveur Penta)