1ère étape : La base

On se connecte sur le serveur avec le mot de passe fournit par mail :

ssh root@IP

On commence par changer le mot de passe root :

passwd

Création d’un utilisateur standard :

adduser bob && passwd bob

On se reconnecte en user standard :

ssh bob@IP

On installe le minimum vitale :

yum install bash-completion bash-completion-extras epel-release nc nmap

2ème étape : Sécurisation de SSH

On présume qu’on a déjà un couple de clés publique/privée avec une passphrase.

Création du dossier .ssh de l’utilisateur :

cd ~
mkdir .ssh
chmod 700 .ssh

On rentre la clé publique :

vi .ssh/authorized_keys
chmod 600 .ssh/authorized_keys

On modifie un peu le fichier de conf SSH :

vi /etc/ssh/sshd_config

* Port XXXX # On change le port SSH par défaut
* PermitRootLogin no # On interdit les connexions en tant que root
+ AllowUsers bob # On spécifie les utilisateurs autorisés à se connecter
* PasswordAuthentication no # On refuse les connexion par simple mot de passe

On ajoute notre port au firewall :

firewall-cmd --permanent --zone=public --add-port=XXXX/tcp && firewall-cmd --reload

On prend en compte les modifications :

systemctl reload sshd

On test la configuration sur une nouvelle session pour pas se couper la main :

ssh johan@IP + clé privé -p XXXX

-> OK

On vérifie que l’authentification simple n’est pas possible :

ssh johan@IP -p XXXX
Permission denied (publickey).

-> NOK

A partir de la, les vilains devront vous voler votre clé privée et trouver la passphrase pour se connecter à votre serveur. S’ils y arrivent, ils devront ensuite réussir à passer root pour faire des dégâts. Autrement dit, bon courage !

ps : on me dit souvent que changer le port du service SSH ne change rien d’un point de vue sécurité. Peut-être qu’ils ont raison mais lorsque j’ai un SSH ouvert en 22 sur l’Internet, mon fail2ban me spam plutôt pas mal alors que sur un autre port, personne n’essaye de se connecter.

Pour ce faire, il suffit de configurer un hook de post-receive et de récupérer un script qui fait la synthèse (sous CentOS ils sont mis en place avec les paquets).

johan@slashroot:~$ cd git/depot23/hooks
johan@slashroot:~/git/depot23/hooks$ ln -s /usr/share/git-core/contrib/hooks/post-receive-email post-receive
johan@slashroot:~/git/depot23/hooks$ vim ../config
[hooks]
mailinglist = "johan@slashroot.fr"
emailprefix = "[Slashroot][Git-Depot23] "
envelopesender = "git@slashroot.fr"

A chaque git push, vous recevrez un email avec les modifications prises en compte :

Sujet : [Slashroot][Git-Depot23] depot23 branch master updated. 62eb916848c11a945dba230c3137a3d23856b6c8
Date : Thu, 1 Jun 2017 23:16:03 +0200
De : git
Pour : Johan

This is an automated email from the git hooks/post-receive script. It was
generated because a ref change was pushed to the repository containing
the project "depot23".

The branch, master has been updated
via 62eb916848c11a945dba230c3137a3d23856b6c8 (commit)
from 73e282d51c43007bb4a51358a09eb14b97ef1bd1 (commit)

Those revisions listed above that are new to this repository have
not appeared on any other notification email; so we list those
revisions in full, below.

- Log -----------------------------------------------------------------
commit 62eb916848c11a945dba230c3137a3d23856b6c8
Author: Johan
Date: Thu Jun 1 11:15:42 2017 +0200

puppet-groups.conf : nouveau serveur de messagerie "mail3"

-----------------------------------------------------------------------

Summary of changes:
etc/puppet/puppet-groups.conf | 2 +-
1 file changed, 1 insertion(+), 1 deletion(-)

hooks/post-receive
--
depot23

# Mise en place d’EPEL
yum -y install epel-release && yum clean all

# Installation des paquets de base
yum install -y vim net-tools bash-completion

# Installation du graphique
yum groupinstall -y « X Window System »
yum groupinstall -y « MATE Desktop »

# Graphique par defaut au boot
ln -sf /lib/systemd/system/graphical.target /etc/systemd/system/default.target

# De quoi travailler
yum install terminator guake -y

# Un prompt correct
echo « PS1=’\[\033[1;32m\]\u\033[0;36m@\033[1;33m\H:\[\033[0;37m\]\w\$\[\033[00m\] ‘ » >> ~/.bashrc

# Nom de la machine
hostnamectl set-hostname w-laptop

# Guake au demarrage
ln -s /usr/share/applications/guake.desktop /etc/xdg/autostart/

# Depot Nux pour VLC et autres
rpm -Uvh http://li.nux.ro/download/nux/dextop/el7/x86_64/nux-dextop-release-0-5.el7.nux.noarch.rpm
yum clean all && yum install -y vlc

# Base pour le NTP, envoyer des mails et lire les PDF
yum install -y chronyc mailx okular

# Desactivation de IPV6 et SELinux
echo « net.ipv6.conf.all.disable_ipv6 = 1 » >> /etc/sysctl.conf
echo « net.ipv6.conf.default.disable_ipv6 = 1 » >> /etc/sysctl.conf
sed -i ‘s/SELINUX=enforcing/SELINUX=disabled/g’ /etc/selinux/config
sed -i ‘s/inet_protocols = all/inet_protocols = ipv4/g’ /etc/postfix/main.cf

# Generation d’une paire de cle SSH et envoi de la publique
ssh-keygen
cat ~/.ssh/id_rsa.pub | mail -s « Nouvelle Cle SSH » johan@slashroot.fr

# Conf git
git config –global user.email johan@slashroot.fr
git config –global user.name Johan
git config –global push.default simple

#!/bin/bash  
#
# Kerberos_Replication
#
# Auteur      : Johan
# Contact     : johan@slashroot.fr
# Date        : 04/07/16
# Version     : 1.0
# Description : Ce script permet de repliquer une base de royaume kerberos vers un ou plusieurs serveurs slaves
# Commentaire : A mettre en crontab


print_usage ()
{
    echo ""
    echo "Utilisation : kerberos_replication ROYAUME SLAVE1 SLAVE2 ..."
    echo ""
}


err=0

# Le script prend au moins deux parametres
if [[ $# -lt 2 ]] ; then
    echo ""
    echo "ERREUR - Il faut au moins renseigner deux parametres"
    print_usage
    exit 1
fi

# On recupere le royaume
REALM=${1^^}
realm=${1,,}

# On verifie qu'on dispose de la base
if [[ ! -d "/var/kerberos/krb5kdc/$realm" ]] ; then
    echo ""
    echo "ERREUR - Il semble que la base ne soit pas presente"
    echo ""
    exit 1
fi

# On dump la base pour la propager
/usr/sbin/kdb5_util -r "$REALM" dump "/var/kerberos/krb5kdc/$realm/slave_datatrans"

# Les parametres apres le premier doivent etre des serveurs fonctionnels
shift
for slave in $@ ; do
    if ( sleep 1 | nc -w 1 -v $slave 754 &> /dev/null ) ; then
        /usr/sbin/kprop -r $REALM -f "/var/kerberos/krb5kdc/$realm/slave_datatrans" $slave &> /dev/null
    else
        err=$((err+1))
    fi
done

if [[ $err -eq 0 ]] ; then
    exit 0
fi

# Affichage du resultat
if [[ $err -eq $# ]] ; then
    echo ""
    echo "ERREUR - La replication de n'est pas bien passee"
    echo ""
    exit 1
else
    echo ""
    echo "WARNING - Il y a $err replication(s) en erreur"
    echo ""
    exit 1
fi

Configuration de l’interface réseau en statique (/etc/sysconfig/network-scripts/ifcfg-eth0) :

DEVICE=eth0
HWADDR=08:00:27:86:41:4B
TYPE=Ethernet
UUID=4f05b63e-4113-4aa7-ac63-3ea5867291a8
IPADDR=10.0.1.23
NETMASK=255.255.255.0
NETWORK=10.0.1.0
BROADCAST=10.0.1.255
ONBOOT=yes
NM_CONTROLLED=yes
BOOTPROTO=none

Configuration du hostname et de la passerelle (/etc/sysconfig/network) :

NETWORKING=yes
HOSTNAME=jean-bob.em-corporation.fr
GATEWAY=10.0.1.254

Configuration de la résolution DNS (/etc/resolv.conf) :

nameserver 10.0.1.25
nameserver 10.0.1.26

Mise à jour du système et installation de NTP afin d’être à l’heure :

yum update && yum install -y ntp

On supprime les serveurs par défaut et ajoute nos serveurs au niveau du /etc/ntp.conf (ou alors le pool français fr.pool.ntp.org) :

nameserver 10.0.1.200
nameserver 10.0.1.201

Démarrage automatique de NTP et SSH :

chkconfig ntpd on && chkconfig sshd on

Il ne reste plus qu’à redémarrer la machine :

reboot