Étiquette : CentOS 7

[CentOS] Prise en main d’un serveur dédié

Vous venez d’installer un super CentOS 7 (minimal bien sur) sur votre tout nouveau serveur dédié, et maintenant, que faire ?

1ère étape : La base

On se connecte sur le serveur avec le mot de passe fournit par mail :

ssh root@IP

On commence par changer le mot de passe root :

passwd

Création d’un utilisateur standard :

adduser bob && passwd bob

On se reconnecte en user standard :

ssh bob@IP

On installe le minimum vitale :

yum install bash-completion bash-completion-extras epel-release nc nmap

2ème étape : Sécurisation de SSH

On présume qu’on a déjà un couple de clés publique/privée avec une passphrase.

Création du dossier .ssh de l’utilisateur :

cd ~
mkdir .ssh
chmod 700 .ssh

On rentre la clé publique :

vi .ssh/authorized_keys
chmod 600 .ssh/authorized_keys

On modifie un peu le fichier de conf SSH :

vi /etc/ssh/sshd_config

* Port XXXX # On change le port SSH par défaut
* PermitRootLogin no # On interdit les connexions en tant que root
+ AllowUsers bob # On spécifie les utilisateurs autorisés à se connecter
* PasswordAuthentication no # On refuse les connexion par simple mot de passe

On ajoute notre port au firewall :

firewall-cmd --permanent --zone=public --add-port=XXXX/tcp && firewall-cmd --reload

On prend en compte les modifications :

systemctl reload sshd

On test la configuration sur une nouvelle session pour pas se couper la main :

ssh johan@IP + clé privé -p XXXX

-> OK

On vérifie que l’authentification simple n’est pas possible :

ssh johan@IP -p XXXX
Permission denied (publickey).

-> NOK

A partir de la, les vilains devront vous voler votre clé privée et trouver la passphrase pour se connecter à votre serveur. S’ils y arrivent, ils devront ensuite réussir à passer root pour faire des dégâts. Autrement dit, bon courage !

ps : on me dit souvent que changer le port du service SSH ne change rien d’un point de vue sécurité. Peut-être qu’ils ont raison mais lorsque j’ai un SSH ouvert en 22 sur l’Internet, mon fail2ban me spam plutôt pas mal alors que sur un autre port, personne n’essaye de se connecter.

 

[Git] Recevoir un email récapitulatif des modifications à chaque push

Si comme moi vous faites des choses bizarres avec git (dont des synchros automatiques la nuit), vous trouverez peut-être utile de recevoir un email à chaque git push avec toutes les modifications apportées.

Pour ce faire, il suffit de configurer un hook de post-receive et de récupérer un script qui fait la synthèse (sous CentOS ils sont mis en place avec les paquets).

johan@slashroot:~$ cd git/depot23/hooks
johan@slashroot:~/git/depot23/hooks$ ln -s /usr/share/git-core/contrib/hooks/post-receive-email post-receive
johan@slashroot:~/git/depot23/hooks$ vim ../config
[hooks]
mailinglist = "johan@slashroot.fr"
emailprefix = "[Slashroot][Git-Depot23] "
envelopesender = "git@slashroot.fr"

A chaque git push, vous recevrez un email avec les modifications prises en compte :

Sujet : [Slashroot][Git-Depot23] depot23 branch master updated. 62eb916848c11a945dba230c3137a3d23856b6c8
Date : Thu, 1 Jun 2017 23:16:03 +0200
De : git
Pour : Johan

This is an automated email from the git hooks/post-receive script. It was
generated because a ref change was pushed to the repository containing
the project "depot23".

The branch, master has been updated
via 62eb916848c11a945dba230c3137a3d23856b6c8 (commit)
from 73e282d51c43007bb4a51358a09eb14b97ef1bd1 (commit)

Those revisions listed above that are new to this repository have
not appeared on any other notification email; so we list those
revisions in full, below.

- Log -----------------------------------------------------------------
commit 62eb916848c11a945dba230c3137a3d23856b6c8
Author: Johan
Date: Thu Jun 1 11:15:42 2017 +0200

puppet-groups.conf : nouveau serveur de messagerie "mail3"

-----------------------------------------------------------------------

Summary of changes:
etc/puppet/puppet-groups.conf | 2 +-
1 file changed, 1 insertion(+), 1 deletion(-)

hooks/post-receive
--
depot23

[CentOS] Actions de postinstall pour une workstation

Il m’arrive d’installer dans le cadre personnel des stations de travail en CentOS 7. Partant de la version minimale, il y a quelques actions à faire afin de pouvoir commencer à travailler. En voici les plus importantes :

# Mise en place d’EPEL
yum -y install epel-release && yum clean all

# Installation des paquets de base
yum install -y vim net-tools bash-completion

# Installation du graphique
yum groupinstall -y « X Window System »
yum groupinstall -y « MATE Desktop »

# Graphique par defaut au boot
ln -sf /lib/systemd/system/graphical.target /etc/systemd/system/default.target

# De quoi travailler
yum install terminator guake -y

# Un prompt correct
echo « PS1=’\[\033[1;32m\]\u\033[0;36m@\033[1;33m\H:\[\033[0;37m\]\w\$\[\033[00m\] ‘ » >> ~/.bashrc

# Nom de la machine
hostnamectl set-hostname w-laptop

# Guake au demarrage
ln -s /usr/share/applications/guake.desktop /etc/xdg/autostart/

# Depot Nux pour VLC et autres
rpm -Uvh http://li.nux.ro/download/nux/dextop/el7/x86_64/nux-dextop-release-0-5.el7.nux.noarch.rpm
yum clean all && yum install -y vlc

# Base pour le NTP, envoyer des mails et lire les PDF
yum install -y chronyc mailx okular

# Desactivation de IPV6 et SELinux
echo « net.ipv6.conf.all.disable_ipv6 = 1 » >> /etc/sysctl.conf
echo « net.ipv6.conf.default.disable_ipv6 = 1 » >> /etc/sysctl.conf
sed -i ‘s/SELINUX=enforcing/SELINUX=disabled/g’ /etc/selinux/config
sed -i ‘s/inet_protocols = all/inet_protocols = ipv4/g’ /etc/postfix/main.cf

# Generation d’une paire de cle SSH et envoi de la publique
ssh-keygen
cat ~/.ssh/id_rsa.pub | mail -s « Nouvelle Cle SSH » johan@slashroot.fr

# Conf git
git config –global user.email johan@slashroot.fr
git config –global user.name Johan
git config –global push.default simple

[Bash] Replication d’une base Kerberos

Ce script permet de répliquer une base de royaume Kerberos d’un master vers un ou plusieurs slave en s’appuyant sur le service kpropd.

#!/bin/bash  
#
# Kerberos_Replication
#
# Auteur      : Johan
# Contact     : johan@slashroot.fr
# Date        : 04/07/16
# Version     : 1.0
# Description : Ce script permet de repliquer une base de royaume kerberos vers un ou plusieurs serveurs slaves
# Commentaire : A mettre en crontab


print_usage ()
{
    echo ""
    echo "Utilisation : kerberos_replication ROYAUME SLAVE1 SLAVE2 ..."
    echo ""
}

 (suite…)

[Bash] Dump d’une base Kerberos

#!/bin/bash  
#
# Kerberos_Dump
#
# Auteur      : Johan
# Contact     : johan@slashroot.fr
# Date        : 24/05/16
# Version     : 1.0
# Description : Le script realise un double dump (standard et ov) de la base kerberos passee en parametre
# Commentaire : On part du principe que le script est execute en cron de maniere journaliere 
#

#
# Definition des variables
#

# Royaume a sauvegarder
realm=$1
[[ -z "$realm" ]] || [[ "$realm" = "-"* ]] && echo "Usage: $0 REALM" && exit 1

# Repertoire contenant les dumps
save_rep="/var/kerberos/backup"

# Date et heure du dump
heure="`date +%H%M`"
date="`date +%Y%m%d`"

# Nombre de dump a conserver
nb_backup=30

# Nom du fichier de backup
save_file="${realm}-${date}_${heure}"

#
# Verifications
#

# On verifie qu'on a bien la commande kdb5_util
if [ ! -f /usr/sbin/kdb5_util ] ; then
    echo "ERREUR - Il manque la commande kdb5_util"
    exit 1
fi

# On regarde si le repertoire de sauvegarde existe deja, sinon on le cree
if [ ! -d $save_rep ] ; then
    mkdir -p $save_rep 
    if [ ! -d $save_rep ] ; then
        echo "ERREUR - Impossible de créer le dossier qui va contenir les sauvegardes"
        exit 1
    fi
fi

# 
# Au travail
#

# Sauvegarde de la base kerberosa
cd $save_rep
/usr/sbin/kdb5_util -r $realm dump $save_file
/usr/sbin/kdb5_util -r $realm dump -ov $save_file.ov

# On verifie que tout s'est bien passe
if [ -f "$save_file.dump_ok" -a -f "$save_file.ov.dump_ok" ]; then 
    rm -f $save_file.dump_ok $save_file.ov.dump_ok
    exit 0
else
    echo "ERREUR - Le dump de la base du royaume $realm s'est mal passe"
    exit 1
fi

# On supprime les sauvegardes en trop s'il y en a
find $save_rep -name "$realm-*_*" -mtime +30 -ls -delete