Différences entre les versions de « Debian installation »
m (a déplacé Installation Debian vers Debian installation) |
|||
| Ligne 1 : | Ligne 1 : | ||
[http://qref.sourceforge.net : Guide de référence de Debian] & [http://www.debian.org/doc/manuals/securing-debian-howto/index.fr.html Manuel de sécurisation de debian] | |||
Installation Debian: Points à verifier lors de l'installation d'une Debian | Installation Debian: Points à verifier lors de l'installation d'une Debian | ||
Version du 20 février 2013 à 17:48
: Guide de référence de Debian & Manuel de sécurisation de debian
Installation Debian: Points à verifier lors de l'installation d'une Debian
- Lors de l'installation (CD ou disquettes), créer un user unix 'clarains'. Il obtiendra l'UID 1000, on le supprimera après avoir installé casync.
- Sur Sarge, il faut utiliser aptitude plutot que apt-get
Packages à installer
aptitude install mailx ntpdate postfix snmpd snmp vim less postfix tethereal
traceroute tcptraceroute mtr-tiny ntpdate vim rsync snmpd wget make gcc
libc6-dev bzip2 patch libncurses5-dev ethtool iproute
Packages à supprimer
aptitude purge exim4 exim4-base exim4-config exim4-daemon-light at gdb
mutt pidentd pppoeconf pppoe pppconfig ppp tcsh usbutils wamerican w3m lpr ipchains dhcp-client
possiblement aussi :
aptitude purge portmap nfs-common
Configuration postfix
System type = Internet with smart host Smart host = smtp-out.fr.clara.net
Dans /etc/postfix/main.cf, rajouter :
inet_interfaces = 127.0.0.1
Installation CA Sync
Suivre la ((Procédures/Claranet-Auth-Sync|procédure d'installation)).
Scripts
mkdir -m 0755 -p /usr/local/Claranet/Scripts
et installer dans ce répertoire les scripts suivants :
- Check-Debian-Updates.sh
Penser aussi à installer, dans /etc/init.d les scripts suivants :
- reboot-alert.sh (installation: update-rc.d reboot-alert.sh start 99 2 3 4 5 . )
/etc/resolv.conf
Penser à utiliser l'option "rotate". Un bon resolv.conf doit donc ressembler à ceci : <html>
search fr.clara.net nameserver 212.43.194.2 nameserver 212.43.194.3 options rotate
</html>
/etc/ssh/sshd_config
Désactiver l'accès SSH pour le super-user root. Un bon sshd_config doit comporter la directive suivante :
PermitRootLogin no
/etc/sysctl.conf
Ajouter la ligne suivante dans /etc/sysctl.conf :
kernel.core_pattern = /var/tmp/core.%e.%t.%p
Afin que les coredump éventuels ne soient pas écrits dans des répertoires mal placés (genre sur le netapp, ...), mais dans /var/tmp.
/etc/fstab
Par sécurité on peut ajouter les flags nosuid et/ou noexec et/ou nodev sur certaines partitions.
Crontab
Placer en crontab :
- Une ligne pour ntpdate: $MINUTE$ */4 * * * root /usr/sbin/ntpdate -s ntp.fr.clara.net (utiliser une minute aléatoire pour "répartir" l'ensemble des requetes NTP)
- Une ligne pour le script Check-Debian-Updates.sh cf ((Systems/ScheduleDebianUpdates|Mise a jour d'une debian)) pour le schedule
Firewall
le firewall se trouve dans le fichier /etc/iptables.sh ajouter dans /etc/network/interfaces la ligne pre-up /bin/sh /etc/iptables.sh || /bin/true pour l'interface concernée
TODO : regles de base
Kernel
Cleaning
Supprimer l'utilisateur qui a servi à installer la machine :
userdel clarains
Cartes reseaux
Verifier que la carte (ou les) est bien en full duplex :
$ mii-tool
eth0: negotiated 100baseTx-FD, link ok
En cas de nécessité, corriger avec ethtool:
ethtool -s eth0 speed 100 duplex full (autoneg off)
