Upgrade du Routeur Linux
Voici l'upgrade du système Debian.
Installation et préparation pour l'installation de voyage-0.6.X.tar.bz2
tar --numeric-owner -jxf voyage-0.6.X.tar.bz2
Préparation de la carte
fdisk /dev/sdb
mkfs.ext2 /dev/sdb1
tune2fs -c 0 /dev/sdb1
Installer le système en lançant le script suivant
./user/local/sbin/voyage.update
Voici ce que le script va afficher, il vous suffira de suivre le menu et de répondre aux questions
1 - Specify Distribution Directory
2 - Select Target Profile
3 - Select Target Disk
4 - Select Target Bootstrap Loader
5 - Configure Target Console
6 - Copy Distribution to Target
7 - Exit
Configuration avant le premier boot du Router Linux
Modifier les repository pour DEBIAN & Voyage-linux
vi /etc/apt/sources.list
deb http://ftp.fr.debian.org/debian etch main
deb http://fr.voyage.hk ./
deb ftp://ftp.vuurmuur.org/debian/ lenny main
Configuration des cartes Ethernet
vi /etc/network/interfaces
# Used by ifup(8) and ifdown(8). See the interfaces(5) manpage or
# /usr/share/doc/ifupdown/examples for more information.
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet dhcp
auto ath0
iface ath0 inet static
address XXX.XXX.XXX.XXX
netmask XXX.XXX.XXX.XXX
broadcast XXX.XXX.XXX.XXX
madwifi-base wifi0
wireless-mode Master
wireless-channel 9 # Utilisation du channel 9
up iwpriv ath0 mode 3 # Forcer la carte WIFI à fonctionner en mode 802.1g
up iwpriv ath0 hide_ssid 1 # Masque le SSID de la borne WIFI
#up iwpriv ath0 maccmd 1 # Utilisé cette option pour activer le contrôle des adresses
MAC avec iwpriv où utilisé hostapd
#up iwpriv ath0 addmac XX:XX:XX:XX:XX:XX # Adresse MAC autorisée
#up iwpriv ath0 addmac XX:XX:XX:XX:XX:XX # Adresse MAC autorisée
#up iwpriv ath0 addmac XX:XX:XX:XX:XX:XX # Adresse MAC autorisée
up iwconfig ath0 txpower 3
up iwconfig ath0 rate 54M
auto eth1
iface eth1 inet static
address XXX.XXX.XXX.XXX
netmask XXX.XXX.XXX.XXX
broadcast XXX.XXX.XXX.XXX
auto eth2
iface eth2 inet static
address XXX.XXX.XXX.XXX
netmask XXX.XXX.XXX.XXX
broadcast XXX.XXX.XXX.XXX
Configuration de hostapd
Editer le fichier hostapd du répertoire default
vi /etc/default/hostapd
RUN_DAEMON="yes" # Décommenter la ligne suivante pour démarrer le démon
Modifier le fichier hostapd.conf
vi /etc/hostapd/hostapd.conf
ssid=domaine
macaddr_acl=1 # Ici je demande de contôler l'adresse MAC à utiliser si IWPRIV est
désactivé
accept_mac_file=/etc/hostapd/hostapd.accept # Adresse MAC autorisées à se
connecter.
deny_mac_file=/etc/hostapd/hostapd.deny # Adresse MAC non autorisées.
wpa=1
wpa_passphrase=(secret passphrase)
wpa_key_mgmt=WPA-PSK
Configuration de dnsmasq
Editer le fichier dnsmasq.more.conf
vi /etc/dnsmasq.more.conf
bogus-priv
dhcp-leasefile=/var/tmp/dnsmasq.leases
# definition domaine
domain=ank7e.net
# range des adresse IP
dhcp-range=ath0,XXX.XXX.XXX.1,XXX.XXX.XXX.10,24h
dhcp-range=eth1,XXX.XXX.XXX.1,XXX.XXX.XXX.10,24h
dhcp-range=eth2,XXX.XXX.XXX.2,XXX.XXX.XXX.20,24h
# attibution adresse IP
# ethernet
dhcp-host=XX:XX:XX:XX:XX:XX,hostname,XXX.XXX.XXX.XXX
dhcp-host=XX:XX:XX:XX:XX:XX,hostname,XXX.XXX.XXX.XXX
dhcp-host=XX:XX:XX:XX:XX:XX,hostname,XXX.XXX.XXX.XXX
# wifi
dhcp-host=XX:XX:XX:XX:XX:XX,hostname,XXX.XXX.XXX.XXX
# Configuration DNS & g/w
dhcp-option=ath0, 3,XXX.XXX.XXX.254 #default g/w for ath0 clients
dhcp-option=eth1, 3,XXX.XXX.XXX.254 #default g/w for eth1 clients
dhcp-option=eth2, 3,XXX.XXX.XXX.254 #default g/w for eth2 clients
dhcp-option=ath0, 6,XXX.XXX.XXX.254 #default DNS for ath0 clients
dhcp-option=eth1, 6,XXX.XXX.XXX.254 #default DNS for eth1 clients
dhcp-option=eth2, 6,XXX.XXX.XXX.254 #default DNS for eth2 clients
Configuration du fichier hosts
vi /etc/hosts
# IP adresse Hostname Alias
127.0.0.1 localdomain localhost
XXX.XXX.XXX.254 xxxx.xxxx.xxx xxxxx # Pour eth1
XXX.XXX.XXX.254 xxxx.xxxx.xxx xxxxx # Pour eth2
XXX.XXX.XXX.254 xxxx.xxxx.xxx xxxxx # Pour ath0
# Configuration resolution de nom
XXX.XXX.XXX.1 xxxx.xxxx.xxx # Configuration Wifi DHCP sur ath0
XXX.XXX.XXX.100 xxxx.xxxx.xxx xxxxx # Configuration serveur sur eth1
XXX.XXX.XXX.100 xxxx.xxxx.xxx xxxxx # Configuration serveur NAS FIX sur eth2
XXX.XXX.XXX.99 xxxx.xxxx.xxx xxxxx # Configuration print FIX sur eth2
XXX.XXX.XXX.2 xxxx.xxxx.xxx xxxxx # Configuration ethernet DHCP sur eth2
Éditer le fichier /etc/hostname et changer le nom.
vi /etc/hostname
hostname
Configuration des données temporaires
Modifier le fichier /etc/default/voyage-util pour rajouter var/lib var/spool dans la variable VOYAGE_SYNC_DIRS=""
vi /etc/default/voyage-util
VOYAGE_SYNC_DIRS="var/lib var/spool"
Le premier boot du Router Linux
Lancer la commande remountrw en root pour modifier la password
Lancer les commades apt-get update puis apt-get upgrade pour maitre à jour le système
Installation des Packages
Installation de Vuurmuur
apt-get install libvuurmuur vuurmuur vuurmuur-conf
Activer le deamon au boot
vi /etc/defalt/vuurmuur
VUURMUUR_START=1
Pour configurer Vuurmuur il suffit de lancer la commande suivante
vuurmuur_conf
Installation de Psad
apt-get install psad
Si psadfifo n'a pas été créé lancer la commade suivante
mknod -m 600 "${ROOT}"/var/lib/psad/psadfifo p
Modifier le fichier /etc/psad/fw_search.conf et rajouter ces lignes
FW_MSG_SEARCH vrmr: DROP
FW_MSG_SEARCH vrmr: REJECT
FW_MSG_SEARCH vrmr: DROP PSAD
Et enfin dans le fichier /etc/psad/psad.conf configuré de cette manière
ENABLE_AUTO_IDS Y;
AUTO_IDS_DANGER_LEVEL 1;
AUTO_BLOCK_TIMEOUT 3600;
IPTABLES_BLOCK_METHOD Y;
IPTABLES_AUTO_RULENUM 1;
IPT_AUTO_CHAIN1 DROP, src, filter, PSAD-AUTO-IDS, PSAD_BLOCK_INPUT;
IPT_AUTO_CHAIN2 DROP, dst, filter, PSAD-AUTO-IDS, PSAD_BLOCK_OUTPUT;
IPT_AUTO_CHAIN3 DROP, both, filter, PSAD-AUTO-IDS, PSAD_BLOCK_FORWARD;
Configuration de vuurmuur pour psad
Rajouter ces rules
drop service any from world.inet to firewall options
log,logprefix="PSAD"
Chain service any from any to any options chain="PSAD-AUTO-IDS"
Configuration de syslog pour psad
Rajouter cette ligne dans le fichier /etc/syslog.conf
kern.info /var/lib/psad/psadfifo
Installation et configuration de exim4
Le routeur ne réceptionne pas de mail
apt-get install exim4 exim4-config
Voila la configuration de exim4
# This is a Debian specific file
dc_eximconfig_configtype='satellite'
dc_other_hostnames=''
dc_local_interfaces='127.0.0.1'
dc_readhost='domaine du provider'
dc_relay_domains='*'
dc_minimaldns='false'
dc_relay_nets='xxx.xxx.0.0/24'
dc_smarthost='smtp.provider.xx'
CFILEMODE='644'
dc_use_split_config='false'
dc_hide_mailname='true'
dc_mailname_in_oh='true'
dc_localdelivery='mail_spool'
Installation et configuration de logcheck
apt-get install logcheck logcheck-database logtail syslog-summary
Modifier la configuration
vi /etc/logcheck/logcheck.conf
REPORTLEVEL="server"
SENDMAILTO="votre adresse mail"
Décommenter les lignes suivantes
ATTACKSUBJECT="Security Alerts"
SECURITYSUBJECT="Security Events"
EVENTSSUBJECT="System Events"
Installation de rkhunter
apt-get install rkhunter
Configuration rkhunter
Lancer la commade rkhunter -update pour réaliser la mise à jour
Configuration rkhunter, modifier le fichier /etc/default/rkunter
REPORT_EMAIL="votre adresse mail"
CRON_DAILY_RUN="yes"
Les configurations à réaliser
Logrotate
Éditer les fichiers suivants pour modifer le comportment de la rotation des Logs
vi /etc/logrotate.d/inetutils-syslogd
vi /etc/logrotate.d/psad
vi /etc/logrotate.d/vuurmuur
vi /etc/logrotate.d/exim4-base
Rajouter ce qui suit:
rotate 2
daily
size=100k
compress
Déplacer le fichier logrotate dans cron.hourly
mv /etc/cron.daily /etc/cron.hourly
sshd
Changer le port du server ssh
Désactiver le login root
Désactiver l'autentification par mot de passe
Autoriser un utilisateur à se connecter
Désactiver le Forwarding X11
vi /etc/ssh/sshd_config
Port XXXXX
dd PermitRootLogin no
PasswordAuthentication no
Allowusers XXXXX ref
#X11Forwarding yes
#X11DisplayOffset 10
Monitoring du Router avec Nagios
installation snmp scli tkmib et snmpd
apt-get install snmp scli tkmib snmpd
Voici la configuration à réaliser pour le serveur snmpd
Enlever dans /etc/default/snmpd 127.0.0.1 pour avoir ce qui est dessous
vi /etc/default/snmpd
# snmpd options (use syslog, close stdin/out/err).
SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -I -smux -p /var/run/snmpd.pid'
Installer Nagios
Installater nagios-nrpe-server nagios-plugins*
apt-get install nagios-nrpe-server nagios-plugins*
Les astuces
Après avoir fait une apt-get upgrade de la distribution, voici les commandes à passer
apt-get clean
remove.docs
reboot
Après le reboot du router voici la commande à passer
rkhunter --propupd