Linux

Pour Commencer

Il est important d'avoir à l'esprit qu'il faut un minimum de connaissance des commandes du système d'exploitation choisit pour s'en sortir. Dans mon cas il s'agira de FreeBSD mais cela vaut pour les distribution Linux courantes.

Identifier les objectifs

Dans un premier temps il faut identifier "de quel(s) service(s) j'ai besoin". Cela permet d'identifier les applications à mettre en place et donc les ressources nécessaire au serveur.

Dans notre cas nous partirons sur Drupal, Nexcloud, PostFix et Dovecot.

Paramétrages Kernel pour linux

Quelques paramétrages sont à faire déjà au niveau du kernel, pour cela il faut éditer le fichier systcl.conf

Sous FreeBSD : PF

Sources :

 https://docs.freebsd.org/en/books/handbook/firewalls/

https://www.openbsd.org/faq/pf/

Ajout d'une liste d'IP malveillantes

Ajout d'une liste d'IP reconnues malicieuses, pour cela nous allons récupérer une liste existante régulièrement :

https://github.com/stamparm/ipsum ( on choisira le level 3 )

Pour créer une tache panifiée sous Linux ou FreeBSD, je ne vais pas vous refaire la documentation disponible pour Linux ou FreeBSD que vous retrouverez avec la commande man 5 crontab ou aux liens suivants :

https://man.freebsd.org/cgi/man.cgi?crontab%285%29

https://linux.die.net/man/5/crontab

Le fichier par défaut est  :  /etc/crontab.

Pourquoi ?

Tout d'abord afin de cerner le besoin, il est préférable de cerner pourquoi bloquer l'accès à internet pour une serveur Linux ? Tous les serveurs ils peuvent être compromis ( principe du Zero Trust ). Le principe est donc de ne pas donner accès à Internet aux machines tout en continuant de faire les mises à jour. Le débat de ne pas mettre à jour car la machine n'est pas exposée n'est plus d'actualité car l'attaque peut venir de l'intérieur ( voir Stuxnet ). Donc comment récupérer les mises à jour ? 

Afficher le contenu d'un fichier de configuration sans les lignes ne commencent pas par #

cat <fichier text> | sed '/^#/d' | sed '/^$/d'

Objectifs

Le but est de d'obtenir un serveur avec un proxy Squid qui utilise le VPN. Ainsi la navigation apparaît sortir au bout du tunnel VPN, peut-être dans un autre pays.

Un évolution serait de mettre en place un proxy SOCKS v5 pour augmenter les possibilités offertes par ce serveur.

Objectif

L'objectif est de déployer simplement un Drupal sur une machine Linux sans pour autant avoir un Apache et un Postgres qui tourne en continu sur le poste.

Bien entendu on présuppose que Docker est déjà installé sur la machine.

Genèse

La demande initiale était de partagé une ressource, à savoir un photocopieur, entre deux réseaux avec un gouvernance et des responsabilités différentes. A l'origine le  photocopieur se trouvait sur le réseau considéré comme local, il était donc hors de question de faire des ouvertures réseaux non maîtrisées bien entendu avec aucun budget ( ou presque ). Il est donc apparu que la solution était de mettre un Raspberry Pi pour relier les deux réseaux.

Installer les utilitaires : setserial et screen, si ils ne sont pas présents sur la machine. Après avoir branché le câble il faut identifier le bon TTY, si la machine possède un port série :

setserial -g /dev/ttyS[0123]

En revanche si vous utiliser un adaptateur USB vers série ( ce qui devient la norme ) : 

setserial -g /dev/ttyUSB[01]

Pour ouvrir la connexion en 9600 bauds/s,  8 bits de data, 1 stop bit,  pas de parité, pas de "flow control" :