Upgrade du Routeur Linux

Voici l'upgrade du système Debian.

Installation et préparation pour l'installation de voyage-0.6.X.tar.bz2

tar --numeric-owner -jxf voyage-0.6.X.tar.bz2

Préparation de la carte

fdisk /dev/sdb
mkfs.ext2 /dev/sdb1
tune2fs -c 0 /dev/sdb1

Installater le système en lancent le script suivant

./user/local/sbin/voyage.update

Voici ce que le script va afficher, il vous suffira de suivre le menu et de répondre au question

1 - Specify Distribution Directory
2 - Select Target Profile
3 - Select Target Disk
4 - Select Target Bootstrap Loader
5 - Configure Target Console
6 - Copy Distribution to Target
7 - Exit

Configuration avant le premier boot du Router Linux

Modifier les repository pour DEBIAN & Voyage-linux

vi /etc/apt/sources.list
deb http://ftp.fr.debian.org/debian etch main
deb http://fr.voyage.hk ./
deb ftp://ftp.vuurmuur.org/debian/ lenny main

Configuration des cartes Ethernet

vi /etc/network/interfaces
# Used by ifup(8) and ifdown(8). See the interfaces(5) manpage or
# /usr/share/doc/ifupdown/examples for more information.
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet dhcp

auto ath0
iface ath0 inet static
    address XXX.XXX.XXX.XXX
    netmask XXX.XXX.XXX.XXX
    broadcast XXX.XXX.XXX.XXX
    madwifi-base wifi0
    wireless-mode Master
    wireless-channel 9 # Utilisation du channel 9
    up iwpriv ath0 mode 3 # Forcer la carte WIFI à fonctionner en mode 802.1g
    up iwpriv ath0 hide_ssid 1 # Masque le SSID de la borne WIFI
    #up iwpriv ath0 maccmd 1 # Utilisé cette option pour activer le contrôle des adresses MAC avec iwpriv où utilisé hostapd
    #up iwpriv ath0 addmac XX:XX:XX:XX:XX:XX # Adresse MAC autorisée
    #up iwpriv ath0 addmac XX:XX:XX:XX:XX:XX # Adresse MAC autorisée
    #up iwpriv ath0 addmac XX:XX:XX:XX:XX:XX # Adresse MAC autorisée
    up iwconfig ath0 txpower 3
    up iwconfig ath0 rate 54M

auto eth1
iface eth1 inet static
    address XXX.XXX.XXX.XXX
    netmask XXX.XXX.XXX.XXX
    broadcast XXX.XXX.XXX.XXX

auto eth2
iface eth2 inet static
    address XXX.XXX.XXX.XXX
    netmask XXX.XXX.XXX.XXX
    broadcast XXX.XXX.XXX.XXX

Configuration de hostapd

Editer le fichier hostapd du répertoire default

vi /etc/default/hostapd
RUN_DAEMON="yes" # Décommenter la ligne suivante pour démarrer le démon

Modifier le fichier hostapd.conf

vi /etc/hostapd/hostapd.conf
ssid=domaine
macaddr_acl=1 # Ici je demande de contôler l'adresse MAC à utiliser si IWPRIV est désactivé
accept_mac_file=/etc/hostapd/hostapd.accept # Adresse MAC autorisées à se connecter.
deny_mac_file=/etc/hostapd/hostapd.deny # Adresse MAC non autorisées.
wpa=1
wpa_passphrase=(secret passphrase)
wpa_key_mgmt=WPA-PSK

Configuration de dnsmasq

Editer le fichier dnsmasq.more.conf

vi /etc/dnsmasq.more.conf
bogus-priv
dhcp-leasefile=/var/tmp/dnsmasq.leases
# definition domaine
domain=ank7e.net
# range des adresse IP
dhcp-range=ath0,XXX.XXX.XXX.1,XXX.XXX.XXX.10,24h
dhcp-range=eth1,XXX.XXX.XXX.1,XXX.XXX.XXX.10,24h
dhcp-range=eth2,XXX.XXX.XXX.2,XXX.XXX.XXX.20,24h
# attibution adresse IP
# ethernet
dhcp-host=XX:XX:XX:XX:XX:XX,hostname,XXX.XXX.XXX.XXX
dhcp-host=XX:XX:XX:XX:XX:XX,hostname,XXX.XXX.XXX.XXX
dhcp-host=XX:XX:XX:XX:XX:XX,hostname,XXX.XXX.XXX.XXX
# wifi
dhcp-host=XX:XX:XX:XX:XX:XX,hostname,XXX.XXX.XXX.XXX
# Configuration DNS & g/w
dhcp-option=ath0, 3,XXX.XXX.XXX.254    #default g/w for ath0 clients
dhcp-option=eth1, 3,XXX.XXX.XXX.254    #default g/w for eth1 clients
dhcp-option=eth2, 3,XXX.XXX.XXX.254    #default g/w for eth2 clients
dhcp-option=ath0, 6,XXX.XXX.XXX.254    #default DNS for ath0 clients
dhcp-option=eth1, 6,XXX.XXX.XXX.254    #default DNS for eth1 clients
dhcp-option=eth2, 6,XXX.XXX.XXX.254    #default DNS for eth2 clients

Configuration du fichier hosts

vi /etc/hosts
# IP adresse Hostname Alias
127.0.0.1 localdomain localhost
XXX.XXX.XXX.254 xxxx.xxxx.xxx xxxxx   # Pour eth1
XXX.XXX.XXX.254 xxxx.xxxx.xxx xxxxx   # Pour eth2
XXX.XXX.XXX.254 xxxx.xxxx.xxx xxxxx   # Pour ath0
# Configuration resolution de nom
XXX.XXX.XXX.1 xxxx.xxxx.xxx   # Configuration Wifi DHCP sur ath0
XXX.XXX.XXX.100 xxxx.xxxx.xxx xxxxx   # Configuration serveur sur eth1
XXX.XXX.XXX.100 xxxx.xxxx.xxx xxxxx   # Configuration serveur NAS FIX sur eth2
XXX.XXX.XXX.99 xxxx.xxxx.xxx xxxxx   # Configuration print FIX sur eth2
XXX.XXX.XXX.2 xxxx.xxxx.xxx xxxxx   # Configuration ethernet DHCP sur eth2

Éditer le fichier /etc/hostname et changer le nom.

vi /etc/hostname
hostname

Configuration des données temporaires

Modifier le fichier /etc/default/voyage-util pour rajouter var/lib var/spool dans la variable VOYAGE_SYNC_DIRS=""

vi /etc/default/voyage-util
VOYAGE_SYNC_DIRS="var/lib var/spool"

Le premier boot dur Router Linux

Lancer la commande remountrw en root pour modifier la password

Lancer les commades apt-get update puis apt-get upgrade pour maitre à jour le système

Installation des Packages

Installation de Vuurmuur

apt-get install libvuurmuur vuurmuur vuurmuur-conf

Activer le deamon au boot

vi /etc/defalt/vuurmuur
VUURMUUR_START=1

Pour configurer Vuurmuur il suffit de lancer la commande suivante

vuurmuur_conf

Installation de Psad

apt-get install psad

Si psadfifo n'a pas été créé lancer la commade suivante

mknod -m 600 "${ROOT}"/var/lib/psad/psadfifo p

Modifier le fichier /etc/psad/fw_search.conf et rajouter ces lignes

FW_MSG_SEARCH vrmr: DROP
FW_MSG_SEARCH vrmr: REJECT
FW_MSG_SEARCH vrmr: DROP PSAD

Et enfin dans le fichier /etc/psad/psad.conf configuré de cette maniè

ENABLE_AUTO_IDS Y;
AUTO_IDS_DANGER_LEVEL 1;
AUTO_BLOCK_TIMEOUT 3600;
IPTABLES_BLOCK_METHOD Y;
IPTABLES_AUTO_RULENUM 1;
IPT_AUTO_CHAIN1 DROP, src, filter, PSAD-AUTO-IDS, PSAD_BLOCK_INPUT;
IPT_AUTO_CHAIN2 DROP, dst, filter, PSAD-AUTO-IDS, PSAD_BLOCK_OUTPUT;
IPT_AUTO_CHAIN3 DROP, both, filter, PSAD-AUTO-IDS, PSAD_BLOCK_FORWARD;

Configuration de vuurmuur pour psad

Rajouter ces rules

drop service any from world.inet to firewall options log,logprefix="PSAD"
Chain service any from any to any options chain="PSAD-AUTO-IDS"

Configuration de syslog pour psad

Rajouter cette ligne dans le fichier /etc/syslog.conf

kern.info                       /var/lib/psad/psadfifo

Installation et configuration de exim4

Le routeur ne réceptionne pas de mail

apt-get install exim4 exim4-config

Voila la configuration de exim4

# This is a Debian specific file
dc_eximconfig_configtype='satellite'
dc_other_hostnames=''
dc_local_interfaces='127.0.0.1'
dc_readhost='domaine du provider'
dc_relay_domains='*'
dc_minimaldns='false' dc_relay_nets='xxx.xxx.0.0/24'
dc_smarthost='smtp.provider.xx'
CFILEMODE='644'
dc_use_split_config='false'
dc_hide_mailname='true'
dc_mailname_in_oh='true'
dc_localdelivery='mail_spool'

Installation et configuration de logcheck

apt-get install logcheck logcheck-database logtail syslog-summary

Modifier la configuration

vi /etc/logcheck/logcheck.conf
REPORTLEVEL="server"
SENDMAILTO="votre adresse mail"

Décomenter les lignes suivantes

ATTACKSUBJECT="Security Alerts"
SECURITYSUBJECT="Security Events"
EVENTSSUBJECT="System Events"

Installation de rkhunter

apt-get install rkhunter

Configuration rkhunter

Lancer la commade rkhunter -update pour réaliser la mise à jour

Configuration rkhunter, modifier le fichier /etc/default/rkunter

REPORT_EMAIL="votre adresse mail"
CRON_DAILY_RUN="yes"

Les configurations à réaliser

Logrotate

Éditer les vichiers suivant pour modifer le comportment de la rotation des Logs

vi /etc/logrotate.d/inetutils-syslogd
vi /etc/logrotate.d/psad
vi /etc/logrotate.d/vuurmuur
vi /etc/logrotate.d/exim4-base

Rajouter ce qui suit:

rotate 2
daily
size=100k
compress

Déplacer le fichier logrotate dans cron.hourly

mv /etc/cron.daily /etc/cron.hourly

sshd

Changer le port du server ssh
Désactiver le login root
Désactiver l'autentification par mot de passe
Autoriser un utilisateur à se connecter
Désactiver le Forwarding X11

vi /etc/ssh/sshd_config
Port XXXXX
dd PermitRootLogin no
PasswordAuthentication no
Allowusers XXXXX ref
#X11Forwarding yes
#X11DisplayOffset 10

Monitoring du Router avec Nagios

installation snmp scli tkmib et snmpd

apt-get install snmp scli tkmib snmpd

Voici la configuration à réaliser pour le serveur snmpd
Enlever dans /etc/default/snmpd 127.0.0.1 pour avoir ce qui est dessous

vi /etc/default/snmpd
# snmpd options (use syslog, close stdin/out/err).
SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -I -smux -p /var/run/snmpd.pid'

Installer Nagios

Installater nagios-nrpe-server nagios-plugins*

apt-get install nagios-nrpe-server nagios-plugins*

Les astuces

Après avoir fais une apt-get upgrade de la distribution, voici les commandes à passer

apt-get clean
remove.docs
reboot

Aprèle reboot du router voici la commande à passer

rkhunter --propupd

Publicité