Faire son serveur dhcp avec translation d’adresse sous Debian

Cet article va vous présenter comment créer une passerelle dhcp avec une machine sous Debian.

Avant de commencer il vous faut au minimum deux cartes réseaux.

schéma explicatif :
routage
Mais le dhcp c’est quoi ?

Pour la description complète et générale je vous renvoi sur Wikipedia.

Dans un premier temps on ce munira de café et en deuxième on démarre le serveur après lui avoir installé une Debian

Configuration de eth0

Avec une box qui fait dhcp

L’ip de eth0 sera donc complètement automatique, vous n’aurez rien à configurer sur le serveur lui même, par contre la subtilité et d’aller configurer votre box pour réserver une adresse ip au serveur en fonction de l’adresse mac d’ eth0 comme ça votre serveur aura toujours la même ip.

Selon les box, cette fonction s’appelle dhcp statique, ip réservées, baux permanents, …

Pour savoir l’adresse MAC de votre carte tapez sur le serveur la commande :

ifconfig eth0 |grep HWaddr

la combinaison devra ressembler à cette forme FF:FF:FF:FF:FF:FF

Une fois que vous avez tout configurer votre box, pour ceci rechercher dans votre interface routeur/options réseau etc…

Avec une box qui ne fait pas dhcp

L’ip de eth0 sera donc à configurer.
rien de plus simple en fait
Vous ouvrez le fichier de configuration de vos cartes réseau :

vim /etc/network/interfaces

vous devriez avoir un fichier qui ressemble à :

# This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).

# The loopback network interface

auto lo

iface lo inet loopback

# The primary network interface

auto eth0

#on défini le comportement de la carte reseau static ou dhcp

iface eth0 inet static

#on spécifie sont adresse ip

address 192.168.0.1

netmask 255.255.255.0

broadcast 192.168.0.255

#les ip des serveurs dns de votre FAI

dns-nameservers 212.27.40.240 212.27.40.241

#l'ip de votre box ou modem enfin, de la passerelle pour rejoindre le réseau internet

gateway 192.168.0.254

Si vous avez des lignes qui parlent d’autres connections du type wlan ou eth1, eth2 etc… supprimez les, nous les reconfigureront après.

Configurons la carte réseau eth1 qui sera la carte “serveur”

Pour cela il suffit d’aller faire un saut dans /etc/network

vim /etc/network/interfaces

nous allons donc configurer l’eth1 en 192.168.1.1 statique.

auto eth1
iface eth1 inet static
address 192.168.1.1
netmask 255.255.255.0
broadcast 192.168.1.255
dns-nameservers 212.27.40.240 212.27.40.241
gateway 192.168.0.254

L’adresse c’est l’adresse que l’on veut pour la carte
le dns-nameservers c’est les dns de mon FAI gain en rapidité de surfing
La gateway c’est notre box.

Configurons la translation d’adresse

Tout d’abord nous allons modifier deux lignes dans le fichier /etc/sysctl.conf

vim /etc/sysctl.conf

Les deux lignes à modifier sont :

net.ipv4.conf.default.rp_filter=1
net.ipv4.conf.default.forwarding=1

Une fois fait, un point très important est de rentrer la commande :

sysctl net.ipv4.ip_forward=1

Cette commande active le forward au niveau noyau de votre système c’est ce que j’ai lu sur un forum alors… mais la commande de toute manière ne vous fera pas crasher le système au contraire.

Maintenant nous allons créer un script “ip_forward” (que vous pouvez nommer comme bon vous semble mais sans . dans le nom), qui activera la translation à chaque démarrage de votre machine.

vim /etc/init.d/ip_forward

Dans ce script on va insérer tout ce qui est nécessaire :

#!/bin/bash

### BEGIN INIT INFO
# Provides:           ip_forward
# Required-Start:     $network $remote_fs $syslog
# Required-Stop:      $network $remote_fs $syslog
# Default-Start:      2 3 4 5
# Default-Stop:       0 1 6
# Short-Description:  activation du forward des paquets
# Description:        activation du forward des paquets
### END INIT INFO

# Mise en place de la translation d'adresse (NAT)

start()
{
echo "Activation du protocole NAT"
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo "termine avec succes"

}

stop()
{
echo "Desactivation du protocol NAT"
echo 0 > /proc/sys/net/ipv4/ip_forward
echo "termine avec succes"

}

case "$1" in

start)

start

;;

stop)

stop

;;

restart)

stop && start
;;

*)

echo "Usage: $0 {start|stop|restart}"

exit 1
esac

exit 0

Une fois ceci fait il vous suffit de le rendre exécutable :

chmod +x /etc/init.d/ip_forward

Et de l’ajouter au démarrage avec :

avant debian lenny :

update-rc.d ip_forward start 99 2 . stop 00 2 0 1 6 .

après debian lenny :

insserv /etc/init.d/ip_forward

Installation et Configuration du serveur DHCP

Nous allons installer ce petit serveur qui va nous permettre de donner une adresse à chaque machine qui voudra se connecter, nous verrons aussi comment faire des réservations d’ip.
Pour l’installer facile :

aptitude update && aptitude safe-upgrade
aptitude install dhcp3-server

à la fin de l’installation il va vous dire Failed ce qui est tout à fait normal le serveur ne sait pas quelle interface réseau interroger/gérer etc…
Nous allons donc procéder à sa configuration.

Premièrement on va lui indiquer quelle interface réseau il doit écouter.
Ceci ce configure dans /etc/default/dhcp3-server pour moi c’est eth1 qui sera ma carte à écouter.
Donc dans le fichier je lui dit :

vim /etc/default/dhcp3-server
INTERFACES="eth1"

Ensuite ouvrez le fichier /etc/dhcp3/dhcpd.conf :

serveur#:vim /etc/dhcp3/dhcpd.conf

et modifiez les lignes suivantes :
dans cette ligne vous mettez ce que vous voulez moi j’ai appelé mon réseau passerelle mais pourquoi pas beurresalé ou autre 😀

option domain-name "Passerelle";

Attention ici mettez les DNS de votre FAI pour gagner de la rapidité pour le surfing 😛
Ceci sont de free et google après vous pouvez en mettre d’autres

option-domain-name-servers 212.27.40.240, 212.27.40.241, 8.8.8.8, 8.8.4.4;

Pour que votre configuration serve à quelque chose 😛
Décommenter la ligne :

authoritative;

Après il vous suffit d’insérer après ces lignes :

# No service will be given on this subnet, but declaring it helps the
# DHCP server to understand the network topology.

Ceci :

subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.2 192.168.1.100;
option routers 192.168.1.1;
}

Le subnet sera le réseau que vous allez administrer avec votre serveur dhcp.
Le range est la plage d’adresse à modifier selon vos envies.
L’option routeur comme adresse de routage. (je sais pas si c’est bien dit mais c’est compréhensible non ?)

Ce que nous venons de configurer interdit les adresses ip fixes.

Nous allons réserver deux IP pour le ToToNe-PC et l’Adeline-PC en fonction des adresses mac pour effectuer ceci rien de plus simple :
Ajouter /etc/dhcpd.conf

host ToToNe-PC {
hardware ethernet 08:00:07:26:c0:a5;
fixed-address 192.168.1.13;
}

host Adeline-PC {
hardware ethernet 08:23:07:56:a9:d2;
fixed-address 192.168.1.15;
}

Une fois ceci fait on sauvegarde.

et on relance le serveur dhcp.

/etc/init.d/dhcp3-server restart

Pensez à jeter un coup d’oeil dans /var/lib/dhcp3/dhclient.leases pour savoir qui est connecté.

Le mieux une fois que tout est fait est un redémarrage de la machine mais ce n’est pas du tout obligatoire.

reboot

Les sources qui on aidées à la rédaction de cet article :

giroll.org

Wikipédia

Fail2ban est simplement un petit logiciel de surveillance, il se permet de vérifier, qui essaye de se connecter en lisant tout simplement les fichiers .log

Il est extrêmement puissant et simpliste en même temps.

Il banni temporairement l’IP de la personne ou du robot qui a raté son mot de passe.

Paniquez pas, tout est configurable.

Nous allons le voir maintenant.

Bon déjà on l’installe

aptitude update && aptitude fail2ban

On va aller le configurer :

vim /etc/fail2ban/fail2ban.conf

Donc on peut voir dans le fichier le chemin de ses log à fail2ban

logtarget = /var/log/fail2ban.log

Les services à surveiller sont stockés dans jail.conf.

Il est vivement recommandé d’effectuer une copie nommée jail.local qui sera une copie du fichier par défaut installé par fail2ban.

Il suffit donc de faire :

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

et aprés d’ouvrir le bon et de garder l’original sous le coude au cas ou.

vim /etc/fail2ban/jail.conf

Les paramètres en bref :

Liste des adresses IP ignorés par fail2ban (votre ip est simulée par la 111.222.33.44)

ignoreip = 127.0.0.1 111.222.33.44

Le Temps de ban en secondes moi j’ai mis 10h pour être tranquille

ignoreip = 127.0.0.1 111.222.33.44

Nombre d’essais avant bannissement

maxretry = 3

Adresse e-mail destinataire des notifications

destmail tonadresse@email.com 

/!\ trés important pensez à modifier le port ssh si vous l’avez modifié

enabled = true
port = 5896

Une fois que vous êtes arrivés ici votre fail2ban est sécurisé pensez à le redémarrer :

/etc/init.d/fail2ban restart

Par soucis de sécurité je n’autorise les compilateurs que pour root.

Pensez à vous loguer root avant de lancer les commandes

compilateurs de C, C++, Objective-C, Fortran, Java, et Ada

chmod o-x /usr/bin/gcc-4.3

Créateur de scripts d’install etc…

chmod o-x /usr/bin/make
chmod o-x /usr/bin/dpkg

Les utilitaires de mises à jours etc…

chmod o-x /usr/bin/apt-get
chmod o-x /usr/bin/aptitude

Bonjour à tous
Comment sécuriser un minimum le ssh de son serveur.

C’est assez simple on va voir de suite comment procéder et quelle logique est à suivre.

Tout d’abord nous allons éditer le fichier :

/etc/ssh/sshd_config

soit avec vim, vi ou autre éditeur de texte personnellement j’utilise vim.

vim /etc/ssh/sshd_config

dans ce fichier pensez à modifier simplement ces valeurs

Port 5896

Nous changeons le port par défaut (22) pour éviter les attaques des robots brute-forceur qui connaissent bien l’association du port 22 avec les services ssh

PermitRootLogin no

Empêchons le root de se connecter directement une simple mesure de sécurité, vous pouvez tout de même vous loguer en root mais il faudra au préalable passer par votre utilisateur et après taper “su” et votre mot de passe root et vous serez donc root, activé normalement par défaut depuis les dernières versions de ssh.

Une fois ces modifications effectuées et enregistrées il vous suffira simplement de redémarrer le service ssh :

service ssh restart

Et voila le travail, pensez à changer le port ssh de votre client “putty” ou autre pour pouvoir vous connecter.

Commandes MySQL

La bible Mysql

Les commandes les plus utilisées

création de base de données :

CREATE DATABASE XXXXXX;

utilisation de la base :

USE XXXXX;

Création de table :

CREATE TABLE animal (nom VARCHAR(20), maitre VARCHAR(20), espece VARCHAR(20), sexe CHAR(1), naissance DATE, mort DATE);


Insertion :

INSERT INTO animal VALUES ('Puffball','Diane','hamster','f','1999-03-30',NULL);

Ajout droit ou revoke :

GRANT SELECT, INSERT, DELETE ON nombasededonnée.* TO 'username'@'localhost';
REVOKE INSERT, CREATE, DELETE ON nombasededonnée TO nomuser

Creer un utilisateur + droit :

CREATE USER 'userlambda'@'localhost' IDENTIFIED BY 'xxxxxxxxx';
GRANT SELECT, INSERT, DELETE ON nombasededonée.* TO 'userlambda'@'localhost';

Ajouter une colonne dans une table :

ALTER table NomTable add NomColonne char(1);

Changer le type de données pour “Addr” à char(30), il suffit de saisir :

ALTER table customer modify Addr char(30)

Droits des Utilisateurs

Droits des utilisateurs MySQL

Lien mémo :

Vous avez peur des viles pirates, ils vous ont déjà fait des misères.

Le pire dans tout ça, c’est que la majorité des pirates sont des lamers il faut être franc.

Ce sont juste des personnes utilisant des programmes développés par de vrais codeurs.

Il faut quand même s’en protéger.

Par exemple vous pouvez effectuer un ”df -h” de temps à autre pour savoir l’espace disque utilisé, si il n’y a pas de folies ou autre.

Enfin la marche à suivre après une installation de votre dédié est simple.

En premier il vous faut sécuriser votre ssh

En deuxième n’autoriser les compilateur et installeur que pour le root

en troisième installer et configurer fail2ban

en quatrième installer et configurer rkhunter

en dernier installer et configurer iptables un des firewalls disponible sur linux