Installation et Sécurisation de sa Debian (part1)


#1

±------------+
| Précaution |
±------------+

Si le systeme est ‘critique’ ou l’environnement ‘dangereux’ et que
l’adressage est statique, ne branchez pas la station sur le reseau.

Si l’adressage est dynamique ‘DHCP’ et que vous etes pas dans le cas precedent,
(vous avez votre prope dmz/repository) branchez la station sur le reseau.

±--------------------+
| Booter sur le CD. |
±--------------------+

Menu d'installation :
---------------------------
=> entrer 'enter'
Choisir la langue 'Francais (fr)' puis 'Francais (France)'.
Configurer le clavier avec le mode 'azerty/fr latin1'.

Partitionnez le disque dur:

           Primaire - /sda1  - 100  - /
           Primaire - /sda2  - 300  - Swap (pas de point de montage)
           Primaire - /sda3  - 20   - /boot
           Logique  - /sda5  - 50   - /root
           Logique  - /sda6  - 120  - /var
           Logique  - /sda7  - 50   - /var/log
           Logique  - /sda8  - 200  - /tmp
           Logique  - /sda9  - 2000 - /usr
           Logique  - /sda10 - 500  - /home
           Logique  - /sda11 - ?    - /www

-> La premiere partition doit etre marquee comme bootable.
-> Toutes les partitions doivent etre de type ‘Linux’ sauf la deuxieme
partition qui doit etre de type ‘Linux Swap’.
-> La derniere partition est d’une taille relative a l’espace disque
restant apres creation des partitions principales.
=> Terminer en ecrivant les partitions sur le disque ‘Write’ puis en
sortant du menu ‘Quit’.

Initialisez les partitions:

> Entrez les points de montage precisés ci-dessus.

Installez le noyau et les modules

 => 'CDROM Debian trouve ?', repondez 'Oui'.

Configurez les modules et pilotes materiel
---------------------------*----------------------------

 => Choisissez des pilotes a ajouter au systeme

Configurez le reseau

 => Choisissez DHCP ou Adressage statique.

Installez le systeme de base

=> Utilisez le 'media' : 'CDROM'.
=> Utilisez le 'repertoire pour systeme de base' : 'instmnt'.

Rendez le systeme amorcable

=> Installez dans le mbr.

Retirez la disquette et le CDROM et ‘reamorcez le systeme’.

Le reboot de 1.

GMT : Oui.

    => Choisir 'Europe' puis 'Paris'.

Mots de passe :

=> 'Activation mots de passe MD5' : Oui
=> 'Activation mode shadow' : Oui
=> Entrez le mot de passe pour root

Creez un premier utilisateur.

=> Cet utilisateur  sera  par  la  suite  utilise  comme  administrateur  du
systeme.

‘Retirer le package PCMCIA’ => Oui, si vous ne l’avez pas deja supprime.
‘Connexion PPP pour installer le systeme’ => Non

Configuration APT:

=> 'Cdrom'
=> Entrez le premier CD d'installation et validez '/dev/cdrom'
=> 'Scan another CD' : Oui pour tous les CD du set que vous possedez.
=> 'Ajouter une autre source APT' : Non
=> 'Use security update' : Non
'Utiliser TaskSel' => Non
'Utiliser Dselect' => Non
Si vous avez supprime le package PCMCIA en 2.4., repondez 'Oui' quand  on
vous demande de le retirer du systeme.
'Supprimer les .deb' => Oui

Configuration des Mails

=> Local delivery only
=> Entrez le nom de l'administrateur configure en 2.3. et confirmez.

Le systeme doit maintenant vous donner un prompt. Logguez vous sous votre utilisateur puis en root.

Lancez Dselect
’Update’
‘Select’ et selectionnez les packages que vous desirez a partir du CDROM
(vim, gpm, emacs, etc…)
‘Install’

le fichier /etc/securetty commentez tout les ttys, supprimera toute possibilite de connexion via l’utilisateur ‘root’.

le fichier /etc/ssh/sshd_config ‘PermitRootLogin no’

le fichier /etc/lilo.conf

password=motdepasse
delay=100
default=Linux
image=/vmlinuz
label=Linux
read-only
restricted

et chmod 640 /etc/lilo.conf.

Editez le fichier /etc/fstab:

/dev/sda1       /       ext2    errors=remount-ro       0       1
    /dev/sda2       none    swap    sw                      0       0
    proc            /proc   proc    defaults                0       0
    /dev/fd0        /floppy auto    noauto,nosuid,nodev     0       0
    /dev/cdrom      /cdrom  iso9660 ro,noauto,nosuid,nodev  0       0
    /dev/sda3       /boot   ext2    ro,noexec,nosuid,nodev  0       2
    /dev/sda5       /root   ext2    defaults                0       2
    /dev/sda6       /var    ext2    nodev                   0       2
    /dev/sda7       /var/log ext2   noexec,nosuid,nodev,sync        0       2
    /dev/sda8       /tmp    ext2    noexec,nosuid,nodev     0       2
    /dev/sda9       /usr    ext2    ro,nodev                0       2
    /dev/sda10      /home   ext2    nodev                   0       2
    /dev/sda11      /www  ext2    ro,noexec,nosuid,nodev  0       2

Securisation des comptes:

Les administrateurs n’ont pas besoin de passer root.

Installation de sudo :

mount -o remount,rw /usr/
dselect => Installez le package sudo
mount -o remount,ro /usr/

Configuration de sudo :

Lancez visudo et editez le fichier de facon a ajouter (raccourcis vi) :

# Cmnd alias specification
Cmnd_Alias REBOOT=/sbin/reboot
%adm ALL=NOPASSWD:REBOO

enregistrer, sortir et ajouté votre user au groupe adm.

usermod -g stonfi -G adm,users stonfi

Référence:

entreelibre.com/scastro/debian-s … ecinst.txt
debian.org/doc/manuals/secur … ex.fr.html


#2

Salut,
Beau travail, surtout s’il est lu. :slightly_smiling:
Es-tu sur de : La premiere partition doit etre marquee comme bootable


#3

disons que c’est correct si la partition est la partition root.
Par ailleurs, sans préciser la raison de ton découpage, ton partition semble un peu péremptoire: et si je n’ai pas de serveur web ?


#4

stl all,

Si ont n’as pas de partition web, ont est libre de mettre ce qu’ont souhaite, genre une parition “/data” ou “/backup” ou “/forum” ou bien si ont as pas du tout besoin de cette derniére parition il faudrait re-proportionner les partitions.


#5

Si je peux me permettre, ça serait judicieux de préciser ce qui est obligatoire, important, et facultatif.
D’autant plus si tu commences à parler de serveur ou de sécurité, il vaut mieux réflechir un moment à sa stratègie de partitionnement.
Ceci étant dit pour t’aider dans ta rédaction :wink:


#6

slt matt,

Le texte est modifiable sans soucis d’ailleur pour l’amélioré c’est encore mieux…si t as des choses a changé n’hésite pas…


#7

Merci Stonfi pour ta contribution :wink:


#8

zyva, c’est ton bébé, continues à l’élever toi même :wink: