| Les deux révisions précédentesRévision précédente | |
| elearning:workbooks:centos:8:avance:l114 [2024/10/03 09:31] – admin | elearning:workbooks:centos:8:avance:l114 [2024/10/18 07:58] (Version actuelle) – admin |
|---|
| |
| <WRAP center round important 50%> | <WRAP center round important 50%> |
| **Important** - Attention ! La règle ajoutée avec l'option --permanent n'est pas prise en compte imédiatement mais uniquement au prochain redémmarge. Pour qu'une règle soit appliquée immédiatement **et** être écrite sur disque, il faut saisir la commande deux fois dont une avec l'option --permanent et l'autre sans l'option --permanent. | **Important** - Attention ! La règle ajoutée avec l'option --permanent n'est pas prise en compte immédiatement mais uniquement au prochain redémarrage. Pour qu'une règle soit appliquée immédiatement **et** être écrite sur disque, il faut saisir la commande deux fois dont une avec l'option --permanent et l'autre sans l'option --permanent. |
| </WRAP> | </WRAP> |
| |
| ====Les fichiers .rhosts==== | ====Les fichiers .rhosts==== |
| |
| Le systeme rhosts presente une faille de securite importante pour un serveur Linux. Pour cette raison, il convient de supprimer les fichiers **.rhosts** des utilisateurs. Utilisez la commande suivante: | Le système rhosts présente une faille de sécurité importante pour un serveur Linux. Pour cette raison, il convient de supprimer les fichiers **.rhosts** des utilisateurs. Utilisez la commande suivante: |
| |
| # find / -name "\.rhosts" -exec rm -f \{\} \; [Entree] | # find / -name "\.rhosts" -exec rm -f \{\} \; [Entree] |
| ====Les fichiers et les repertoires sans proprietaire==== | ====Les fichiers et les repertoires sans proprietaire==== |
| |
| Afin de dresser la liste des fichiers et des groupes sans proprietaires sur le serveur, il convient d'utiliser les deux commandes suivantes: | Afin de dresser la liste des fichiers et des groupes sans propriétaires sur le serveur, il convient d'utiliser les deux commandes suivantes: |
| |
| # find / -nouser -exec ls -l \{\} \; 2> sans_pro.txt [Entree] | # find / -nouser -exec ls -l \{\} \; 2> sans_pro.txt [Entree] |
| ====Limiter le delai d'inactivite d'une session shell==== | ====Limiter le delai d'inactivite d'une session shell==== |
| |
| Une session de shell laissee ouverte inutilement et d'une maniere sans surveillance est un risque de securite. Verifiez donc le contenu du fichier **/etc/profile** : | Une session de shell laissée ouverte inutilement et d'une manière sans surveillance est un risque de sécurité. Vérifiez donc le contenu du fichier **/etc/profile** : |
| |
| <code> | <code> |
| </code> | </code> |
| |
| A ce fichier doivent etre ajoutées les deux lignes suivantes: | A ce fichier doivent être ajoutées les deux lignes suivantes: |
| |
| <file> | <file> |
| |
| ====LAB #4 - Mise en place du Système de Prévention d'Intrusion Fail2Ban==== | ====LAB #4 - Mise en place du Système de Prévention d'Intrusion Fail2Ban==== |
| | |
| | <WRAP center round important 50%> |
| | **Important** - Pour continuer, il faut travailler sur un CentOS 8 Stream. |
| | </WRAP> |
| |
| Fail2Ban est un **S**ystème de **P**révention d'**I**ntrusion. Fail2Ban lit les logs de divers services (SSH, Apache, FTP…) à la recherche d’erreurs d'authentification répétées et ajoute une règle à iptables pour bannir l'adresse IP de la source. | Fail2Ban est un **S**ystème de **P**révention d'**I**ntrusion. Fail2Ban lit les logs de divers services (SSH, Apache, FTP…) à la recherche d’erreurs d'authentification répétées et ajoute une règle à iptables pour bannir l'adresse IP de la source. |
| | action | Spécifie l'action à entreprendre lors d'une corréspondance du **filter**. Le nom dans ce champs, sans l'extention .conf, fait référence à un fichier dans le répertoire **/etc/fail2ban/action.d/**. Par exemple la valeur **iptables** fait reférence au fichier **/etc/fail2ban/action.d/iptables.conf**. | | | action | Spécifie l'action à entreprendre lors d'une corréspondance du **filter**. Le nom dans ce champs, sans l'extention .conf, fait référence à un fichier dans le répertoire **/etc/fail2ban/action.d/**. Par exemple la valeur **iptables** fait reférence au fichier **/etc/fail2ban/action.d/iptables.conf**. | |
| |
| Il n'est pas recommendé de modifier ce fichier afin de ne pas voir ses modifications ecrasées lors de la prochaine mise-à-jour de Fail2Ban. Fail2Ban nous donne la possibilité de créer le fichier **/etc/fail2ban/jail.local** pour contenir nos modifications. Créez donc ce fichier avec le contenu ci-dessous : | Il n'est pas recommandé de modifier ce fichier afin de ne pas voir ses modifications écrasées lors de la prochaine mise-à-jour de Fail2Ban. Fail2Ban nous donne la possibilité de créer le fichier **/etc/fail2ban/jail.local** pour contenir nos modifications. Créez donc ce fichier avec le contenu ci-dessous : |
| |
| <code> | <code> |
