CONNEXION CRYPTEE
__________________
Preliminaires
-------------
1. Création des utilisateurs
% su
% useradd -d /home/fifi -d /home/fifi -m -s /bin/bash -c "Fifi" fifi
% useradd -d /home/riri -d /home/riri -m -s /bin/bash -c "Riri" riri
% passwd fifi
-> fifi
% passwd riri
-> riri
2. blocage du compte lambin
serveur openssh
---------------
1. installation
% su
% apt-get update && apt-get install ssh
% service ssh start
2. configuration
% vi /etc/ssh/sshd_config
-> PermitRootLogin no
-> AllowUsers fifi riri
-> Port 2039
% service ssh restart
connexion par clé publique
--------------------------
1. Connexion en ssh avec fifi
% ssh-keygen -t rsa
The key fingerprint is:
cf:4a:0a:d9:21:6e:41:f2:54:17:87:bb:22:f5:02:40 fifi@lambin
The key's randomart image is:
+--[ RSA 2048]----+
| .E . oo. |
| . . ... |
| ..o . |
| =. . . |
| +o..S. |
| ..=o.oo |
| =..o. o |
| . . o . |
| . . |
+-----------------+
2.
- Lancer PuTTYgen et générer une paire de clefs publique/privée
- Copier la clef publique affichée et la mettre dans ~/.ssh/authorized_keys du home de fifi
- Cliquez sur "Save private key" pour enregistrer la clef privée
- Lancer PuTTY et dans les options "SSH -> Auth" cliquez sur Browse à côté de
"Private key file for authentication"
- Ensuite se connecter, tapez le login 'fifi' et il ne demande pas le mot de passe mais bien
juste la passphrase (s'il y en a une)
INSTALLATION SAMBA
___________________
Preliminaires
-------------
1. Les packages utiles installes et leur utilite
% apt-get update
% apt-get install samba samba-common samba-client
2. Les serveurs à lancer
% service samba start
# Les services nmbd et smbd sont lancés
# nmbd : nmdb est un serveur qui comprend et répond aux requêtes IP sur NetBIOS.
# smbd : c'est le daemon du serveur samba
Configuration
--------------
/etc/samba/smb.conf
[global]
workgroup = GGOBBE
server string = %h server
obey pam restrictions = Yes
pam password change = Yes
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
unix password sync = Yes
syslog = 0
log file = /var/log/samba/log.%m
max log size = 1000
dns proxy = No
panic action = /usr/share/samba/panic-action %d
[homes]
comment = Home Directories
valid users = %S # Les proprios des dossiers home
read only = No # Lecture et écriture pour les propriétaires
create mask = 0700
directory mask = 0700
[SAMBA]
comment = Read-only shared folder
path = /usr/local/samba
valid users = # No, valid, users, list, (anyone, can, login)
admin users = picsou
read only = Yes # Juste en écriture
# Pour chaque utilisateur qui doit pouvoir se connecter il faut l'ajouter comme suit
# et entrer son mot de passe
% smbpasswd -a fifi
% smbpasswd -a riri
% smbpasswd -a loulou
% smbpasswd -a donald
% smbpasswd -a picsou
Contrôle d'accès au système
---------------------------
# Installation du package sudo
% su
% apt-get update
% apt-get install sudo
# On vérifie que le groupe sudo possède bien les droits sudo dans le fichier /etc/sudoers
% visudo
# Rien à ajouter le groupe sudo a déjà été créé et possède déjà les droits dans le fichiers sudoers
# On ajoute l'utilisateur picsou dans le groupe sudo
% adduser picsou sudo
# on se connecte en tant que picsou et on vérifie s'il possède bien les droits sudo
% su picsou
% sudo apt-get update
# C'est OK il a l'accès on retourne donc en root
% exit
# On affiche toutes les tentives réussies et (ou) ratées de conexion au système en mode privilégié
% cat /var/log/auth.log | grep sudo
# On affiche la liste des commandes qui peuvent être exécutées sans mot de passe grâce à la commande sudo
% su picsou
% sudo -l
# Si on aurait voulu avoir la liste des commandes on aurait put utiliser compgen comme ceci
% compgen -ac
Contrôle du système
_________________
# On affiche la liste des applications dont le suid est positionné à on
% find / -perm -4000 2> /dev/null
## Mettre un fichier et surtout un programme en Setuid ou Setgid n'est pas anodin car cela
## court-circuite le système de protection, en effet un hacker pourrait utiliser cette faille
## pour s'arroger des droits d'administrateur et effectuer des opérations réservées, par
## exemple en se créant un compte d'accès illimité en temps et en pouvoirs
# On liste les répertoires qui sont accessibles en lecture-écriture par tous
% find / -type d -perm -0666 2> /dev/null
## Afin de vérifier qu'il ne s'y trouve pas de fichiers sensibles qui ne peuvent être accessibles à tous
## Mais aussi pour vérifier que les utilisateurs n'y altèrent ou n'y stocke des fichiers non autorisés
Message édité par linux config le 29-08-2013 à 08:37:03