Weekend project : Alya FireWall – Part 2

Après une absence relative, je vous présente ici la suite de notre projet Alya Firewall. Dans cette partie nous allons mettre à jour notre linux, installer les prérequis, redimensionner le stockage, et mettre en place les accès et la politique de sécurité du boitier.

Mise à jour du système

Sur notre distribution archlinux, les installations et les mises à jour se feront avec l’utilitaire “pacman”, nous allons commencer par un Full Upgrade du système via la commande suivante :

pacman –Syu

Suivre les étapes indiquées à l’écran. Pour rappel nous executons toujours en local, avec un clavier et un écran connecté à notre box et un accès internet biensûr sur le port ethernet de la carte.
Ensuite, nous allons créer les clés de pacman afin de construire l’index :

pacman-key –init

ce process prendra plusieurs minutes, une astuce trouvée sur le net consiste à ouvrir plusieurs instances du shell (ALT+F2 ou F3) et d’executer des commandes classiques “ls”, “cat”, “pwd” afin d’accélerer le processus.
Recommencer ensuite le process de mise à jour complète :

pacman -Syu

Ensuite installer les packages suivants :

pacman –S vim
pacman –S htop
pacman –S tcpdump

et finalement un redémarrage :

reboot

On vérifie la mémoire allouée via la commande htop installée précédemment :

htop

Cette commande va nous indiquer que la mémoire totale allouée au système est de 128Mo, ceci vient du fait que le système alloue la moitié de la mémoire de la carte (la moitié de 256 donc 128Mo) au GPU, vu que nous n’allons pas utiliser d’interface graphique, nous allons augmenter la part allouée au système en lui même et diminuer celle allouée au GPU pour avoir de meilleures performances et ceci via la procédure suivante :

cd /boot
mv ./start.elf ./start.elf.old
cp ./arm224_start.elf ./start.elf
reboot

Préparation du Stockage

Archlinux n’utilise pas encore la totalité de la carte SD, nous avons besoin d’agrandir la partition afin de prendre le plus d’espace possible sur la carte SD pour les besoin de notre projet. Nous allons utiliser pour cela le fameux FDISK :

fdisk /dev/mmcblk0p2

Supprimer la partition :

d
2

Créer une nouvelle partition (new, primary, 2):

n
p
2
Enter
Enter

Ecrire les changements sur le disque :

w

Redémarrer pour appliquer les changements :

reboot

Le temps de ce redémarrage dépendra de la taille de la carte SD.

Sécurité des accès

Première règle de sécurité des systèmes unix : cache ton root !
Jusque là, Archlinux nous a tout laissé installer et configurer avec l’accès par défaut root, nous allons créer un utilisateur “alya” pour les besoins de notre projet, nous allons minimiser pour celà l’accès à root, et imposer la saisie de mot de passe root via la commande SU à chaque escalade de privilèges necessaire.
It’s no good idea to do everything as root. if this account gets compromized, we’ve got some serious problems. To avoid this we will now create a user who will not be root, but who will be allowed to run commands as root when needed.
Pour créer l’utilisateur :

useradd -m -g users -G optical,storage,video,wheel,power -s /bin/bash alya

Pour créer le mot de passe (attention, choisir un meilleur mot de passe que moi!)

passwd @ly@123

Nous allons maintenant installer sudo :

pacman -S sudo

ici nous allons donner le droit à notre utilisateur pour utiliser sudo :

visudo
# Uncomment to allow members of group wheel to execute any command
%wheel ALL=(ALL) ALL

Se déconnecter de root et resaisir le nouvel utilisateur alya et le mot de passe :
logout
Dorénavant notre bash prompt sera “$” au lieu du “#” du root, ce qui signifie que nous n’avons plus les privilèges root avec notre utilisateur alya. Utiliser su au besoin.

Fin de la deuxième partie

Nous avançons doucement, nous avons à présent un système optimisé et avec des accès nettement plus sécurisés, la suite sera d’installer SSH pour l’accès distant et les premières règles de filtrage de traffic “noisy”. See you soon folks !


Posted

in

by

Tags:

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *