Tuto

Les comptes gMSA pour Group Managed Service Account sont des comptes qui fournissent la gestion automatique de mot de passe. Ils permettent donc créer des comptes de service avec un mot de passe qui sera renouvelé automatiquement sans aucun intervention. Cela s'avère essentiel sur un système d'information sécurisé.

Pour Commencer

Il est important d'avoir à l'esprit qu'il faut un minimum de connaissance des commandes du système d'exploitation choisit pour s'en sortir. Dans mon cas il s'agira de FreeBSD mais cela vaut pour les distribution Linux courantes.

Identifier les objectifs

Dans un premier temps il faut identifier "de quel(s) service(s) j'ai besoin". Cela permet d'identifier les applications à mettre en place et donc les ressources nécessaire au serveur.

Dans notre cas nous partirons sur Drupal, Nexcloud, PostFix et Dovecot.

Paramétrages Kernel pour linux

Quelques paramétrages sont à faire déjà au niveau du kernel, pour cela il faut éditer le fichier systcl.conf

Sources :

 https://github.com/wravoc/harden-freebsd/blob/main/README.md

https://cromwell-intl.com/cybersecurity/stack-hardening.html

Noyau

Dans le fichier /boot/loader.conf :

Afin de pouvoir administrer le serveur à distance il est nécessaire de mettre en route le service SSH afin de pouvoir ouvrir un terminal à distance sur le serveur. 

Protocol 2
PermitRootLogin no
ChallengeResponseAuthentication no
AllowAgentForwarding no # Warning, maybe useful
PermitTunnel no
X11Forwarding no
MaxAuthTries 3

Attention sous FreeBSD l'option PermitRootLogin peut-être à yes par défaut, pensez à la changer rapidement.

Sous FreeBSD : PF

Sources :

 https://docs.freebsd.org/en/books/handbook/firewalls/

https://www.openbsd.org/faq/pf/

Ajout d'une liste d'IP malveillantes

Ajout d'une liste d'IP reconnues malicieuses, pour cela nous allons récupérer une liste existante régulièrement :

https://github.com/stamparm/ipsum ( on choisira le level 3 )

Pour créer une tache panifiée sous Linux ou FreeBSD, je ne vais pas vous refaire la documentation disponible pour Linux ou FreeBSD que vous retrouverez avec la commande man 5 crontab ou aux liens suivants :

https://man.freebsd.org/cgi/man.cgi?crontab%285%29

https://linux.die.net/man/5/crontab

Le fichier par défaut est  :  /etc/crontab.

Pourquoi ?

Tout d'abord afin de cerner le besoin, il est préférable de cerner pourquoi bloquer l'accès à internet pour une serveur Linux ? Tous les serveurs ils peuvent être compromis ( principe du Zero Trust ). Le principe est donc de ne pas donner accès à Internet aux machines tout en continuant de faire les mises à jour. Le débat de ne pas mettre à jour car la machine n'est pas exposée n'est plus d'actualité car l'attaque peut venir de l'intérieur ( voir Stuxnet ). Donc comment récupérer les mises à jour ? 

Afficher le contenu d'un fichier de configuration sans les lignes ne commencent pas par #

cat <fichier text> | sed '/^#/d' | sed '/^$/d'

Objectifs

Le but est de d'obtenir un serveur avec un proxy Squid qui utilise le VPN. Ainsi la navigation apparaît sortir au bout du tunnel VPN, peut-être dans un autre pays.

Un évolution serait de mettre en place un proxy SOCKS v5 pour augmenter les possibilités offertes par ce serveur.