asy-rsa
# Configuration
$ sudo vim vars
</code>
<file>
...
</file>
<code bash>
# sourcer le fichier exportant les variables
source ./vars
# par précaution... /openvpn/server.conf** avec le contenu suivant:
<file txt server.conf>
mode server
proto udp
dev tun
to... 10 120
comp-lzo
persist-key
persist-tun
verb 3
</file>
A propos des directives du fichier ci-dessus:
*authoritative** et modifier les temps de prêt:
<file>
default-lease-time 86400;
max-lease-time 604800;
</file>
Déclarer au moins un réseau. Dans l'exemple ci-dessous on propose quelques options usuelles:
<file>
subnet 192.168.0.0 netmask 255.255.255.0 {
opt... 8.0.254;
option ntp-servers ntp.test.lan;
}
</file>
<note>
La portée de la directive **option** dif
code>
Ci-dessous un exemple de fichier minimal:
<file conf hostapd.conf>
interface=ap
driver=nl80211
... cl=0
# Shared key authentification
auth_algs=1
</file>
Modifier le fichier ''/etc/default/hostapd'' définir la variable **DAEMON_CONF**
<file>
...
# Uncomment and set DAEMON_CONF to the absolute path of a hostapd configuration
# file and hostapd will be started during system boot. A
omatiquement ajouter la déclaration **gateway**
<file>
auto lan
iface lan inet static
...
gateway 192.168.1.1
</file>
==== Ajouter une route ====
<code bash>
$ sudo... utilisée par le script de démarrage du système.
<file>
# Interface automatiquement activée au démarrage
# du système
auto lan0
</file>
Il est possible d’exécuter des commandes à l'ac
built in. Only mountd is still used for exporting file shares, but not in the client-server connection. ... sactiver la version 3 et activer la version 4 :
<file>
...
[nfsd]
# debug=0
# threads=8
# host=
# port=... s4.1=n
vers4.2=y
# rdma=n
# rdma-port=20049
...
</file>
Après modification du fichier de configuration... ersistent après reboot, modifier ''/etc/fstab''
<file>
# Dossiers partagés via NFSv4
/srv/data /ex
w/before.rules (en root) et ajoutez ces lignes:
<file>
# icmp codes allowed for output
-A ufw-before-ou... put -p icmp --icmp-type echo-request -j ACCEPT
</file>
Si l'on souhaite journaliser le trafic sortant:
<code file>
# icmp logged and allowed for output
-A ufw-befo... sctl.conf'' et dé-commenter les lignes 10 à 12
<file>
9 # Uncomment this to allow this host to route
imple, le fichier peut avoir le contenu suivant:
<file conf resolv.conf>
nameserver 208.67.222.222
</file>
Dans ce premier exemple un seul serveur de nom est... le système si le premier n'est pas accessible:
<file conf resolv.conf>
nameserver 208.67.222.222
nameserver 208.67.220.220
</file>
La directive **search** permet de définir un ou
écifier des IPs à ignorer (à ne jamais bannir).
<file>
[DEFAULT]
ignorself = true
ignoreip = 127.0.0.1/8 ::1
</file>
===== Notifications email =====
Définir les va... ivantes dans le fichier /etc/fail2ban/jail.local
<file>
destemail = user@domain
sendername = Fail2ban
se... ender@domain
mta = mail
action = %(action_mwl)s
</file>
===== Protection du service ssh =====
Pour act
guration de squid pour qu'il utilise squidguard:
<file>
url_rewrite_program /usr/bin/squidGuard -c /etc/... rite_children 10 startup=0 idle=1 concurrency=0
</file>
Modifier le fichier de configuration **/etc/squ... *.
Indiquer le répertoire conteneur des listes:
<file>
</file>
Déclarer les sources
<file>
</file>
Déclarer les destinations
<file>
</file>
Déclarer les
n tant que fichier de configuration du service:
<file>
$ sudo cp /usr/share/doc/examples/unbound/unbound.conf /etc/unbound/
</file>
Après modifications, vérifier la syntaxe avec l... al-zone**, **local-data** et **local-data-ptr**
<file>
private-address: 192.168.0.0/24
private-domain: ...
local-data-ptr; "192.168.0.254 firewall.lan"
</file>
===== Contrôle du service =====
Arrêt et redém
/exports**''.
Chaque ligne respecte la syntaxe:
<file>
<dossier à partager> <hôte autorisé 1 > <options 1 > ... <hôte autorisé n > <options n >
</file>
* **<dossier à partager>** chemin absolu vers... et utiliser les options **user** et **noauto**.
<file>
server:/path/dir /path/mnt-pt nfs user,noauto,noexec,nosuid,ro 0 0
</file>
===== Anomalies =====
La commande **nfsstat**
gné **lan** auquel on donnera le droit d’accès.
<file>
acl lan src 192.168.0.0/24
</file>
Avant la directive d'interdiction globale, autoriser le réseau **lan** précédemment déclaré
<file>
http_access allow lan
http_access deny all
</file>
===== Contrôle du service =====
Afficher la versi
Créer un fichier dans **/etc/systemd/network/**
<file conf 10-renaming-lan.link>
#/etc/systemd/network/...
MACAddress=01:23:45:67:89:ab
[Link]
Name=lan0
</file>
Pour des informations détaillées sur les fichie... nterfaces'' pour qu'il utilise le nouveau nom :
<file>
# The primary network interface
allow-hotplug lan0
iface lan0 inet dhcp
</file>
Redémarre le service réseau :
<code bash>
syst
echarger la configuration
==== Objet host ====
<file>
define host{
host_name webserver
...
contact_groups administrators
}
</file>
Quelques remarques à propos de cette définition... ,flapping,unreachable.
==== Objet service ====
<file>
define service{
service_description http_se... f,u
contact_groups administrators
}
</file>
Quelques remarques à propos de cette définition
os.cfg** pour qu'il utilise ce nouveau fichier:
<file txt>
...
# Definitions for monitoring the local (Linux) host
# cfg_file=/usr/local/nagios/etc/objects/localhost.cfg
cfg_file=/usr/local/nagios/etc/objects/nagios-lab.cfg
...
</file>
Modification du fichier objets/nagios-lab.cfg