Unstable semble être à la mode (un peu plus d’article par ci par là), donc je vous fais part de la « méthode » que j’utilise pour mon installation, à savoir une image iso business modifiée pour s’installer en semi-automatique directement avec Unstable.
La méthode est relativement simple.

  • 1 image iso (i386 ou amd64)
  • 1 fichier isolinux.cfg un peu modifié pour pouvoir lancer l’installation automatiquement
  • 1 fichier preseed avec les valeurs qui vont bien pour une installation semi-auto
  • 1 script qui récupère le contenu de l’image iso, le modifie et recréée une image iso

1] Image iso:

J’utilise l’image iso 386, donc la suite de l’article sera à modifier en conséquence pour les utilisateurs amd64.
Il faut commencer par récupérer l’image iso ici
On peut monter l’iso pour voir son arborescence, récupérer/visualiser les fichiers, …
mkdir -p /tmp/debian/mnt
mount -o loop debian-testing-i386-businesscard.iso /tmp/debian/mnt

Note: L’image iso businesscard est la seule (de ce que j’ai pu tester) qui permet de choisir sa version de Debian (stable, testing, unstable).

2] Fichier isolinux.cfg

Fichier généré en parti à partir des fichiers isolinux/isolinux.cfg et isolinux/txt.cfg qui se trouvent à la racine de l’image iso.
default vesamenu.c32
#prompt 1
timeout 2
default install
label install
menu label ^Install
menu default
kernel /install.386/vmlinuz
append preseed/file=/cdrom/preseed.cfg lang=fr locale=fr_FR console-keymaps-at/keymap=fr-latin9 vga=normal initrd=/install.386/initrd.gz -- quiet

Le « principal » ajout est preseed/file=/cdrom/preseed.cfg, qui indique de prendre le fichier preseed à la racine du cdrom (là où on le placera dans la suite).

3] Fichier preseed.cfg

Bon alors là, partie un peu plus « velue » pour les néophytes.
Ce fichier dépend évidemment de la manière dont on veut que l’installer se comporte. Pour ma part, tout est en automatique sauf le mot de passe de root et le partitionnement. Voila ce que ça donne:
##### Langues #####
# Préconfigurer la locale seule définit la langue, le pays et la locale.
d-i debian-installer/locale select fr_FR.UTF-8

# Choix du clavier :
d-i console-keymaps-at/keymap select fr-latin9
#d-i keyboard-configuration/xkb-keymap select fr(latin9)
# Choix d'une architecture différente :
#d-i console-keymaps-usb/keymap select mac-usb-us

##### Réseau #####
# Interdire toute configuration réseau. C'est utile pour des installations
# à  partir de cédérom sur des machines sans réseau. Les questions et les avertissements
# à  propos du réseau ainsi que les temps d'attente sont fastidieux.
#d-i netcfg/enable boolean false

# Netcfg choisira une interface connectée si possible. Cela empêchera d'afficher
# une liste s'il y a plusieurs interfaces.
#d-i netcfg/choose_interface select auto

# Pour utiliser une interface particulière :
d-i netcfg/choose_interface select eth0

# Quand le serveur dhcp est lent et que l'installateur s'arrête pour l'attendre,
# ceci peut être utile :
#d-i netcfg/dhcp_timeout string 60

# Si vous préférez configurer vous-même le réseau, décommentez cette ligne et
# les lignes suivantes sur la configuration du réseau.
#d-i netcfg/disable_dhcp boolean true

# Si vous voulez que le fichier de préconfiguration fonctionne aussi bien
# avec que sans serveur dhcp, décommentez ces lignes et les lignes sur la
# configuration du réseau.
#d-i netcfg/dhcp_failed note
#d-i netcfg/dhcp_options select Configure network manually

# Configuration du réseau.
#d-i netcfg/get_nameservers string 192.168.1.1
#d-i netcfg/get_ipaddress string 192.168.1.42
#d-i netcfg/get_netmask string 255.255.255.0
#d-i netcfg/get_gateway string 192.168.1.1
#d-i netcfg/confirm_static boolean true

# Remarquez que les valeurs données par DHCP, nom de domaine ou nom de
# machine, prennent le pas sur les valeurs déclarées ici. Cependant,
# cette déclaration empêche que les questions ne soient posées même si les
# valeurs viennent de dhcp.
d-i netcfg/get_hostname string @@HOSTNAME@@
d-i netcfg/get_domain string @@DOMAINNAME@@

# Supprimer le dialogue irritant sur la clé WEP.
#d-i netcfg/wireless_wep string
# Et l'étonnant nom de machine DHCP que certains FAI utilisent comme mot de
# passe.
#d-i netcfg/dhcp_hostname string radish

# Si pour le réseau ou pour un autre matériel vous avez besoin d'un microprogramme
# (« firmware ») non libre, vous pouvez forcer l'installateur à  le télécharger,
# en évitant la demande de confirmation.
# Vous pouvez aussi désactiver la question en mettant ce paramètre   « false ».
#d-i hw-detect/load_firmware boolean true

##### Comptes #####
# Autoriser les connexions du superutilisateur
d-i passwd/root-login boolean true
# On peut aussi ne pas créer de compte d'utilisateur.
d-i passwd/make-user boolean true

#Le mot de passe de root en clair...
#d-i passwd/root-password password r00tme
#d-i passwd/root-password-again password r00tme
# ... ou chiffré avec un hachage MD5
#d-i passwd/root-password-crypted password $1$098f6bcd4621d373cade4e832627b4f6

# Vous pouvez aussi présélectionner le nom de l'utilisateur et son identifiant
# de connexion
d-i passwd/user-fullname string
d-i passwd/username string test
# Mot de passe de l'utilisateur en clair...
#d-i passwd/user-password password insecure
#d-i passwd/user-password-again password insecure
# ... ou chiffré avec un hachage MD5
d-i passwd/user-password-crypted password $1$098f6bcd4621d373cade4e832627b4f6
# Préciser l'UID du premier utilisateur.
#d-i passwd/user-uid string 1010

##### Miroirs #####
# Si vous utilisez ftp, il n'est pas nécessaire d'indiquer la chaîne mirror/country.
#d-i mirror/protocol string ftp
d-i mirror/country string FR
d-i mirror/http/hostname string ftp.fr.debian.org
d-i mirror/http/directory string /debian
d-i mirror/http/proxy string

# Distribution à  installer.
d-i mirror/suite string unstable
# Distribution à  utiliser pour charger les composants de l'installateur (facultatif).
#d-i mirror/udeb/suite string unstable
## Pour pouvoir utiliser ces paramètres de debian-installer, il faut utiliser l'image iso "businesscard" qui est la seule image à  proposer le choix de la version de Debian à  installer (Stable, Testing ou Unstable).
##Ça ne fonctionnera donc pas avec l'image netinst

##### Fuseau horaire #####
# Cette commande permet de régler l'horloge matérielle sur UTC :
d-i clock-setup/utc boolean true

# Vous pouvez mettre toute valeur acceptée pour $TZ.
# Voyez ce que contient /usr/share/zoneinfo/ pour les valeurs possibles.
d-i time/zone string Europe/Paris

# La ligne suivante autorise l'utilisation de NTP pour régler l'horloge pendant l'installation :
d-i clock-setup/ntp boolean true
# Le serveur NTP à  utiliser. Le serveur par défaut est presque toujours correct.
#d-i clock-setup/ntp-server string 0.debian.pool.ntp.org
# Merci à SYRTE (http://http://www.syrte.obspm.fr/) pour leur serveur ntp.
d-i clock-setup/ntp-server string ntp-p1.obspm.fr

##### Installation système de base #####
# Configurer APT pour empêcher l'installation des paquets recommandés.
# Cette option qui peut conduire à  un sytème incomplet est réservée   des
# utilisateurs expérimentés.
#d-i base-installer/install-recommends boolean false

# Choix du générateur initramfs pour créer l'initrd des noyaux 2.6.
#d-i base-installer/kernel/linux/initramfs-generators string initramfs-tools

# Version du noyau à  installer (nom du paquet). Utilisez none si vous ne voulez pas
# installer de noyau.
d-i base-installer/kernel/image string linux-image-3.0.0-1-686-pae

##### Configuration APT #####
# Vous pouvez installer des logiciels des distributions non-free et contrib.
d-i apt-setup/non-free boolean true
d-i apt-setup/contrib boolean true
# Décommentez cette ligne si vous n'utilisez pas de miroir sur le réseau.
#d-i apt-setup/use_mirror boolean false
# Choisissez les services de mise à  jour et les miroirs à  utiliser.
# Les valeurs ci-après sont les valeurs par défaut :
#d-i apt-setup/services-select multiselect security, volatile
#d-i apt-setup/security_host string security.debian.org
#d-i apt-setup/volatile_host string volatile.debian.org

##### Choix des paquets #####
tasksel tasksel/first multiselect standard
# Si vous sélectionnez la tache desktop, vous pouvez installer les environnements kde ou xfce
# au lieu de l'environnement gnome.
#tasksel tasksel/desktop multiselect kde, xfce

# Paquets supplémentaires
#d-i pkgsel/include string openssh-server build-essential
# Mise à  jour des paquets après debootstrap.
# Valeurs autorisées : none, safe-upgrade, full-upgrade
#d-i pkgsel/upgrade select none

# Certaines versions de l'installateur peuvent signaler les logiciels que vous avez installés
# et ceux que vous utilisez. Par défaut, rien n'est signalé. Mais l'envoi de rapport
# d'installation aide le projet à connaître les logiciels populaires.
popularity-contest popularity-contest/participate boolean true

##### Installation programme d'amorçage #####
# Le paramètre suivant est sans danger : il installe grub sur le
# secteur d'amorçage principal s'il n'existe aucun autre système d'exploitation
# sur la machine.
d-i grub-installer/only_debian boolean true

# Si il y a d'autres os sur la machine, remplacer la ligne précédente par la suivante:
#d-i grub-installer/with_other_os boolean true

##### Terminer l'installation #####
# Pour éviter le dernier message disant que l'installation est terminée :
d-i finish-install/reboot_in_progress note

# Pour empécher l'éjection du cédérom au moment du redémarrage,
# c'est utile parfois :
d-i cdrom-detect/eject boolean false

## Test de late_command
#Le futur système ne se trouve pas à la racine, mais dans le répertoire /target/
#Pour exécuter une commande au sein du système installé, il faut faire précéder la commande de "in-target".
#d-i preseed/late_command string in-target wget -q -O /tmp/mon_beau_paquet.deb http://lien/mon/beau/paquet.deb; in-target dpkg -i /tmp/mon_beau_paquet.deb
#in-target dpkg -i /target/root/teamviewer.deb
#d-i preseed/late_command string in-target apt-get install htop
#d-i preseed/late_command string apt-install htop
# --> apt-install remplace "in-target apt-get install"

Pour ceux qui souhaiterait approfondir le partitionnement, ou autre, voir les liens en bas de l’article.
Pour les utilisateurs actuellement sous Debian, il est également possible d’avoir le résumé des questions/réponses de votre installation. Ça permet de se donner une petite idée de la configuration actuelle de votre système:
aptitude install debconf-utils
debconf-get-selections --installer > preseed-installer.txt

Ce fichier sert juste à modifier votre fichier principal preseed.cfg

4] Script génération d’image iso:

J’utilise un script pour modifier certaines valeurs du fichier preseed et pour régénérer l’image iso:

#!/bin/bash

PREFIX=/tmp/debian
# Emplacement temporaire
TMPDIR=${PREFIX}/tmp
# Emplacement temporaire où l'iso originale sera montée
MNTDIR=${TMPDIR}/mnt

# Emplacement qui contient les données à ajouter (preseed, isolinux) ainsi que la future image iso
DATADIR=/media/data/config_debian/sid
# Emplacement où sera stocké le contenu de la nouvelle image iso
NEWISODIR=${TMPDIR}/new_debian_businesscard
# Fichier preseed.cfg
PRESEEDFILE=${DATADIR}/preseed.cfg
# Fichier image iso originale
DEBIANISO=${DATADIR}/debian-testing-i386-businesscard.iso
# Fichier isolinux.cfg
ISOLINUX_CFG_FILE=${DATADIR}/isolinux.cfg
# Emplacement de la nouvelle image iso
NEWDEBIANISO=${DATADIR}/new-debian-testing-businesscard.iso
# Variable pour modifier le fichier preseed.cfg
MYHOSTNAME=""
MYDOMAINNAME=""

### Vérification que le script est bien lancé en root
if [ "${USER}" = "root" ]; then
echo "Lancement du script d'installation"
else
echo "/!\\ Le script nécessite d'être root /!\\"
exit 1
fi

### Vérification de la présence du paquet genisoimage
dpkg -s genisoimage|grep installed > /dev/null 2>&1
pkg_geniso=$?
if [ -n "${pkg_geniso}" ]; then
echo "genisoimage est installé" > /dev/null 2>&1
else
echo "/!\\ Le paquet genisoimage n'est pas installé /!\\"
echo "Appuyer sur une touche pour l'installer avec aptitude ou CTRL+C pour quitter le script et l'installer vous même."
read -p "" touche
aptitude install genisoimage
fi

# Changement des variables:
while [ -z "${MYHOSTNAME}" ] # Tant que la variable est vide
do
echo -n "Quel le nom de la future machine [${MYHOSTNAME}]?: "
read MYHOSTNAME
done
while [ -z "${MYDOMAINNAME}" ] # Tant que la variable est vide
do
echo -n "Quel le nom du futur domaine [${MYDOMAINNAME}]?: "
read MYDOMAINNAME
done

# Récupérer le contenu de l'image ISO:
mkdir -p ${MNTDIR}
mount -o loop ${DEBIANISO} ${MNTDIR} > /dev/null 2>&1

# Suppression d'un éventuel répertoire temporaire
rm -rf ${NEWISODIR}
mkdir -p ${NEWISODIR}
# Synchronisation du contenu de l'iso
rsync -a -H --exclude=TRANS.TBL ${MNTDIR}/ ${NEWISODIR}

# On démonte l'image iso et on supprime le répertoire
umount ${MNTDIR}
rmdir ${MNTDIR}

# Copie du fichier preseed.cfg
cat ${PRESEEDFILE}|sed -e "s/@@HOSTNAME@@/${MYHOSTNAME}/g" | sed -e "s/@@DOMAINNAME@@/${MYDOMAINNAME}/g" > ${NEWISODIR}/preseed.cfg

# Copie du fichier isolinux.cfg
cp ${ISOLINUX_CFG_FILE} ${NEWISODIR}/isolinux

# Régénération du fichier md5sum.txt
cd ${NEWISODIR}
md5sum `find -type f` > md5sum.txt

# Génération de l'image iso
cd ${NEWISODIR}
genisoimage -o ${NEWDEBIANISO} \
-r -J -no-emul-boot -boot-load-size 4 \
-boot-info-table -b isolinux/isolinux.bin \
-c isolinux/boot.cat \
${NEWISODIR}
cd -

# Un peu de ménage
rm -rf ${NEWISODIR}

exit 0


Il faut juste préciser l’emplacement du répertoire (DATADIR) qui devra comprendre les fichiers preseed.cfg et isolinux.cfg.
On rend ensuite le script exécutable puis une petite exécution:
chmod a+x gen_iso.sh
./gen_iso.sh

5] Sources:

6] Liens fichiers:

1] Ajaxterm :

Ajaxterm est comme son nom le laisse penser, un terminal en Ajax, donc accessible depuis un naviguateur web.
Il s’installe sur une première machine à laquelle on veut accéder à distance et ensuite depuis n’importe quel navigateur on peut accéder au terminal.
Le fonctionnement est assez simple, Ajaxterm va écouter sur le port 8022 (par défaut) et envoyer les informations sur le port par défaut (22) de SSH. Il faut donc que ssh soit actif sur le poste pour qu’Ajaxterm puisse vous ouvrir la connection !
But ? « C’est débile parce qu’il faudra que le port ssh soit actif de toute façon ! ». Certes, c’est pas très utile tant que vous avez le droit d’utiliser ssh (ou putty) depuis votre poste/réseau. Toutefois quand les ports sont bloqués, la connexion surveillée, etc etc … il sera quand même possible d’accéder à un terminal en passant par du http ! Donc au final pas si inutile que cela =)

2] Installation :

Il est nécessaire d’avoir un serveur web, le classique apache va suffir :
aptitude install apache2

Ensuite, pour debian & Co, il existe un beau paquet tout propre : ajaxterm
aptitude install ajaxterm

Pour les autres distributions, je vous laisse consulter les sources : https://github.com/antonylesuisse/qweb

En l’état, Ajaxterm devrait être accessible en local uniquement à l’adresse : http://localhost:8022

3] Configuration pour l’extérieur :

Pour pouvoir accéder depuis l’extérieur/un autre poste à Ajaxterm, on va utiliser du https.
On commence par activer les modules suivants d’Apache : proxy, proxy_http et ssl. La commande suivante fera donc très bien l’affaire :
a2enmod proxy proxy_http ssl

Il faut ensuite créer un fichier de configuration pour Ajaxterm :
vi /etc/apache2/sites-available/ajaxterm# Si cette ligne est déjà présente dans /etc/apache2/ports.conf, la commenter :
Listen 443
NameVirtualHost *:443
ServerName localhost
SSLEngine On
SSLCertificateKeyFile ssl/mykey.key
SSLCertificateFile ssl/mycert.crt

ProxyRequests Off

Order deny,allow
Allow from all
ProxyPass /ajaxterm/ http://localhost:8022/
ProxyPassReverse /ajaxterm/ http://localhost:8022/

On sauvegarde le fichier et on active le site avec la commande :
a2ensite ajaxterm

Dernier point, il faut créer le certificat pour le https. On va dans le dossier /etc/apache2/ssl (le créer si nécessaire) :
cd /etc/apache2/ssl
Création de la clé :
openssl genrsa -out mykey.key 1024
Création du certificat :
openssl req -new -x509 -days 365 -key mykey.key -out mycert.crtCountry Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:ma_belle_région
Locality Name (eg, city) []:mon_pti_village
Organization Name (eg, company) [Internet Widgits Pty Ltd]:gardouille_land
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:LE_NOM_DE_LA_MACHINE
Email Address []:adresse@mail.com

On redémarre apache :
service apache2 restart

Et pour finir, un test à l’adresse : https://mon_ip/ajaxterm/
Si tout s’est bien passé, Firefox/Iceweasel (ou tout autre navigateur libre) demandera d’accepter le certificat. Et vous aurez ensuite accès à un prompt pour vous identifier.

4] Configuration supplémentaires :

/etc/ajaxterm.conf
Ce fichier permet de changer la taille du terminal dans le navigateur. Les variables sont déjà renseignées.

/etc/init.d/ajaxterm
Ce fichier, qui permet de lancer Ajaxterm (entre autre), possède les variables sur lesquelles Ajaxterm va écouter (8022) et envoyer (22). N’ayant pas ssh sur le port 22, c’est ici qu’il faut modifier sa valeur (variable SERVERPORT).
Toute modification devra être suivie du redémarrage du service (évidemment) :
/etc/init.d/ajaxterm restart

5] Erreur rencontrée:

Erreur rencontrée number one :

Apache et Ajaxterm se lançait correctement et lorsque j’arrivais sur la page d’ajaxterm: écran blanc.
cat /var/log/apache2/error.log[warn] proxy: No protocol handler was valid for the URL /ajaxterm/. If you are using a DSO v\
ersion of mod_proxy, make sure the proxy submodules are included in the configuration using LoadModule.

J’avais activé uniquement le module proxy d’Apache et pas proxy_http comme indiqué dans certain tuto.
Il semblerait que d’autres personnes aient également résolu ce problème avec :
/etc/init.d/apache2 force-reload

Erreur rencontrée number two :

J’avais bien accès au login, mais Ajaxterm ne me proposait pas d’entrer mon mot de passe. C’était simplement dû au fait que j’avais zappé de modifier le port correspond à SSH.

6] Alternative :

SSLH : permet également de faire du ssh en passant par le port 443. Très bien expliqué ici (tuto un peu ancien mais toujours d’actualité, simplement que le paquet sslh est passé en stable). Contrairement à Ajaxterm, il ne sera pas possible de se connecter à partir d’un navigateur (point fort je trouve), ce qui ne plaira pas à ceux qui ne peuvent télécharger de logiciel ou utiliser de clé usb.

,

Ayant actuellement besoin d’utiliser Ubuntu, je rencontre un « pti » problème:
perl: warning: Setting locale failed.
perl: warning: Please check that your locale settings:
LANGUAGE = (unset),
LC_ALL = (unset),
LANG = "fr_FR.UTF-8"
are supported and installed on your system.
perl: warning: Falling back to the standard locale ("C").
locale: Cannot set LC_CTYPE to default locale: No such file or directory
locale: Cannot set LC_MESSAGES to default locale: No such file or directory
locale: Cannot set LC_ALL to default locale: No such file or directory

Ce message apparaît entre autre quand je veux faire des mises à jours ou quand un de mes programmes a besoin de perl.
Après avoir un peu fouillé, j’ai remarqué qu’il manquait quelques trucs « basiques » sous ubuntu par défaut:
root@mysrv ~# locale -a
locale: Cannot set LC_CTYPE to default locale: No such file or directory
locale: Cannot set LC_MESSAGES to default locale: No such file or directory
locale: Cannot set LC_COLLATE to default locale: No such file or directory
C
POSIX

Oui … « fr_FR.utf8″ n’est pas dans les locales disponibles par défaut.
Bon, j’ai encore un peu cherché et j’ai trouvé qu’il fallait simplement installer le paquet: language-pack-fr-base. Une fois cela fait, le résultat est un peu mieux quand même:
root@mysrv ~# aptitude install language-pack-fr-base
root@mysrv ~# locale -a
C
fr_BE.utf8
fr_CA.utf8
fr_CH.utf8
fr_FR.utf8
fr_LU.utf8
POSIX

Fail2Ban est un petit logiciel écrit en Python qui fait un travail exemplaire : bannir des ip qui tentent de se connecter à une machine. Avec quelques filtres et règles iptables fournit, il arrive à faire un très bon travail et à prévenir de ce qui a été fait.

On peut en fait créer des jails (prisons) par services (ssh, http, …), on renseigne quelques informations (fichier de log, filtre à appliquer, …) et lorsque le filtre trouve une concordance, une action est réalisée (bannissement, mail, whois, …).

Le logiciel est présent sur une grosse partie des distributions, donc un simple:
aptitude install fail2ban
ou:
yum install fail2ban

Devrait suffire =)

1] Surveillance des connections ssh:

A) Mise en place:

Dupliquer le fichier, puis modifier :
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
vi /etc/fail2ban/jail.local
[ssh]
enabled = true
port = ssh,sftp
filter = sshd
banaction = iptables-multiport[name=SSH,port=22,protocol=tcp]
mail[dest="your@mail.com",name="ssh",sender="fail2ban@mail.com"]
# Analyse les 600 dernières secondes (10minutes)
findtime = 600
# bantime de 25h
bantime = 90000
# Fichier de log analysé:
logpath = /var/log/auth.log
# Maximum d'essais ratés: 3
maxretry = 3

Appliquer les modification :
fail2ban-client reload

Avec cette configuration, un mail d’avertissement sera envoyé pour dire qu’une ip a été bloquée pour 25h suite à 3 essais ratés dans les 10 dernières minutes. Un mail sera également envoyé à chaque arrêt/démarrage de la prison ssh.

Le mail reçu contiendra seulement l’information que telle adresse ip a été bannie. Il est possible d’avoir un « whois » en plus.

Pour cela, il suffit de remplacer la ligne :
mail[dest="your@mail.com",name="ssh",sender="fail2ban@mail.com"]
Par :
sendmail-whois[dest="your@mail.com",name="ssh",sender="fail2ban@mail.com"]

Pour voir toutes les autres actions possibles il suffit de regarder les fichiers présents dans le dossier /etc/fail2ban/action.d/.

Et pour avoir des informations sur l’état de la prison ssh :
fail2ban-client status ssh

B) Commandes utiles pour la surveillance de ssh :

  • Lister tous les accès ssh ratés :
    grep 'Failed' /var/log/auth.log|sort |uniq -c
  • Nombre de connections ssh ratées :
    grep 'Failed' /var/log/auth.log|sort |wc -l

2] Surveillance des logs de Fail2ban :

Il est possible qu’une adresse ip tente a plusieurs reprises de se connecter à un service et se fait bannir (par exemple 5 bannissements avec ssh). Ça fait que l’on reçoit 5 mails et qu’il est possible que l’ip continue ses tentatives. Et ça peut également être sur d’autres services.
Plutôt que de subir ces nombreuses tentatives, il est possible de mettre en place un filtre qui analyse le fichier de log de Fail2Ban, pour bannir sur une plus longue durée une adresse IP qui apparaîtrait trop de fois.

A) Création du filtre :

Créer un nouveau fichier : /etc/fail2ban/filter.d/fail2ban.conf :
# Fail2Ban: fichier de configuration
#
# Author: Tom Hendrikx
# Traduction: Gardouille
#
# Version: 1.0
#
[Definition]
# Option: failregex
# Notes.: regex qui correspond aux messages d'erreur relatifs
# à un mauvais mot de passe dans le fichier de log.
# L'hote doit correspondre à un groupe nommé "host".
# Le tag "<HOST>" peut être utilisé pour faire correspondre
# les IP/hostname et c'est seulement un alias pour
# (?:::f{4,6}:)?(?P<host>\S+)
# Valeur: Texte
#
# Compter toutes les ip bannies dans le fichier de log
failregex = fail2ban.actions: WARNING \[(.*)\] Ban
# Option: ignoreregex
# Notes.: regex à ignorer. Si cette regex correspond, la ligne est ignorée.
# Valeur: Texte
#
# Ignorer nos propres bannissements, pour garder nos comptes exacts.
# Dans le fichier de config, nommer la prison 'fail2ban', ou alors changer cette ligne!
ignoreregex = fail2ban.actions: WARNING \[fail2ban\] Ban

B) Définition de la prison (jail) :

Si ce n’est pas déjà fait, créer une copie du fichier de configuration :
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Créer ensuite une nouvelle prison dans ce dernier fichier :
[fail2ban]
enabled = true
filter = fail2ban
action = iptables-allports[name=fail2ban]
sendmail-whois[dest="votre@mail.com",name="fail2ban",sender="fail2ban"]
# Fichier de log analysé :
logpath = /var/log/fail2ban.log
# Analyse les logs sur 1 semaine
findtime = 604800
# bantime: 1 semaine
bantime = 604800

Note : « sendmail-whois » permet d’avoir un « whois » sur l’adresse IP qui a fait de nombreuses tentatives. Ça me paraît intéressant vu que l’adresse IP a vraisemblablement beaucoup insisté.

3] Divers:

A) Débannir une adresse IP:

Pour connaître la liste des adresses ip bannies :
iptables -LChain fail2ban-ssh (1 reference)
target prot opt source destination
DROP all -- XX.YY.WWW.ZZZ anywhere
RETURN all -- anywhere anywhere

Il y a trois méthodes pour débloquer une adresse ip :
iptables -D nom_de_la_chaine numéro_de_la_ligne
iptables -D fail2ban-ssh 1
iptables -D INPUT -s XX.YY.WWW.ZZZ -j DROP

Avec cette méthode, l’adresse ip ne sera pas rebannie si elle se trompe 3 fois de mot de passe. Pour réactiver ce bannissement automatique, il faut stopper et relancer fail2ban :
fail2ban-client stop
fail2ban-client start

B) Changer la langue des mails reçus :

Par défaut, les fichiers de configuration de Fail2Ban sont en anglais, par conséquent, les mails envoyés seront également en anglais. Cependant on va vu ci-dessus qu’il était possible de un double des fichiers de configuration (*.local). Il suffit de faire pareil pour les fichiers qui définisse les actions puis de traduire le texte que l’on veut dans chaque fichier.

Pour commencer, il faut déterminer quelle action est utilisée pour envoyer un mail, pour savoir quel fichier dupliquer. Cela dépend des prisons définies. Il faut donc aller regarder dans le fichier : /etc/fail2ban/jail.local (ou si il n’existe pas encore : /etc/fail2ban/jail.conf).
Par exemple pour la prison « ssh », on a :
mail[dest="your@mail.com",name="ssh",sender="fail2ban@mail.com"]
Il faudra donc dupliquer le fichier : /etc/fail2ban/action.d/mail.conf.
Pour « fail2ban », on a :
sendmail-whois[dest="votre@mail.com",name="fail2ban",sender="fail2ban"]
Il faudra donc dupliquer le fichier : /etc/fail2ban/action.d/sendmail-whois.conf.

« Dupliquer » un fichier signifie de simplement en faire une copie avec l’extension « .local » à la place de « .conf ». Ainsi Fail2Ban commencera par regarder si il existe un fichier « .local » avec les informations qu’il veut et ensuite, il regardera le fichier « .conf ».
Donc une fois le fichier « mail.local » ou « sendmail-whois.local » crée, il suffit de traduire les commentaires, le texte, … Libre à vous =).

,

1) Accéder aux partitions:

Sans accès au grub, j’ai eu besoin de récupérer un mot de passe root. Pour y arriver, je me suis servi du system rescue cd.
On démarre donc sur le cd:

Le clavier que l’on veut utiliser est demandé lors du démarrage du système. Il suffit donc de préciser « fr » pour avoir un clavier « azerty »:

Si vous avez raté le choix du clavier, une fois logué sur le prompt, il suffit de taper:
loadkeys fr

Il faut ensuite déterminer quelle partition correspond à notre partition système principal (/):
parted --list
ou:
fdisk -l
/dev/sda1 * 1 25 194560 83 Linux
/dev/sda2 25 3188 25600001 5 Extended
/dev/sda5 25 2456 19529728 83 Linux
/dev/sda6 2456 3064 4881408 83 Linux
/dev/sda7 3064 3188 991232 82 Linux swap / Solaris
Dans mon cas, ça sera donc /dev/sda5. Si vous n’arrivez pas à déterminer quelle partition est la partition principale, il est possible de les monter une par une et de voir laquelle contient le répertoire qui nous intéresse (/etc/).

On monte la partition sur un emplacement temporaire:
mkdir /tmp/root
mount -t ext4 /dev/sda5 /tmp/root

2) Supprimer le mot de passe:

Faire un backup du fichier /mnt/root/etc/shadow:
cp /tmp/root/etc/shadow{,.backup}
Ouvrir le fichier:
vi /tmp/root/etc/shadow
Aller à la ligne:
user:$mon_mot_de_passe_tout_crypté:14866:0:99999:7:::
Supprimer « $mon_mot_de_passe_tout_crypté » pour que ça ressemble à:
user::14866:0:99999:7:::
Pour sauvegarder le fichier et quitter « vi »: [Echap] puis taper « :wq« .

3) Modifier le mot de passe:

Plutôt que de supprimer le mot de passe, il est possible de le modifier directement. Pour se faire, il faut d’abord déterminer le type de hash utilisé par le système principal. Pour le savoir, regarder les trois premiers caractères du mot de passe dans /tmp/root/etc/shadow:

$1$: hash md5
$6$: hash sha-512

On génère ensuite un mot de passe hashé en fonction du type géré par le système

mkpasswd -m md5
mkpasswd -m sha-512

Au cas ou, l’utilitaire « mkpasswd » est fourni par le paquet « whois » =).

Il suffit ensuite de remplacer le mot de passe dans /tmp/root/etc/shadow par le résultat de la commande précédente. Pour ceux qui ne saurait pas faire de copier/coller en ligne de commande l’utilitaire screen permet de copier du contenu dans son buffer pour ensuite le recoller où l’on veut. ;)

-> Sous ubuntu, root n’a pas de compte à proprement parler. Il faut donc supprimer ou modifier le mot de passe d’un compte sensé avoir des droits en sudo.

4) Retour sur le système principal:

Puis on redémarre sur notre système principal =)
reboot

Il est maintenant possible de s’identifier sans mot de passe pour le compte choisi. Pour accéder au sudo, il faut remettre un nouveau mot de passe:
passwd
Chose très importante à faire dans tous les cas ^^ (y compris root!).

5) Conclusion …:

Au final, la grande question: comment sécuriser son système avec ces différents moyens pour récupérer un pass root?

  • Utiliser des lvm cryptés me paraît déjà un bon choix
  • Sécuriser le grub avec un mot de passe (pour le lien en fin de page) et verrouiller chaque entrée du grub pour éviter les modifications
  • Un cadenas (… ^^)
  • Enfermer le pc
  • Forcer le démarrage sur cd/dvd + mot de passe bios

Si j’avais eu accès au grub: http://www.korben.info/changer-le-mot-de-passe-dubuntu-quand-on-la-oublie.html

, ,