{"id":101,"date":"2016-03-23T02:10:19","date_gmt":"2016-03-23T01:10:19","guid":{"rendered":"http:\/\/www.erroussafi.com\/blog\/?p=101"},"modified":"2020-05-18T01:08:50","modified_gmt":"2020-05-18T01:08:50","slug":"weekend-project-alya-firewall-part-2","status":"publish","type":"post","link":"https:\/\/www.erroussafi.com\/index.php\/2016\/03\/23\/weekend-project-alya-firewall-part-2\/","title":{"rendered":"Weekend project : Alya FireWall \u2013 Part 2"},"content":{"rendered":"

Apr\u00e8s une absence relative, je vous pr\u00e9sente ici la suite de notre projet Alya Firewall. Dans cette partie nous allons mettre \u00e0 jour notre linux, installer les pr\u00e9requis, redimensionner le stockage, et mettre en place les acc\u00e8s et la politique de s\u00e9curit\u00e9 du boitier.
\n<\/p>\n

Mise \u00e0 jour du syst\u00e8me<\/h4>\n

Sur notre distribution archlinux, les installations et les mises \u00e0 jour se feront avec l’utilitaire “pacman”, nous allons commencer par un Full Upgrade du syst\u00e8me via la commande suivante :<\/p>\n

pacman \u2013Syu<\/pre>\n
Suivre les \u00e9tapes indiqu\u00e9es \u00e0 l’\u00e9cran. Pour rappel nous executons toujours en local, avec un clavier et un \u00e9cran connect\u00e9 \u00e0 notre box et un acc\u00e8s internet biens\u00fbr sur le port ethernet de la carte.
\nEnsuite, nous allons cr\u00e9er les cl\u00e9s de pacman afin de construire l’index :<\/p>\n
pacman-key \u2013init<\/pre>\n
ce process prendra plusieurs minutes, une astuce trouv\u00e9e sur le net consiste \u00e0 ouvrir plusieurs instances du shell (ALT+F2 ou F3) et d’executer des commandes classiques “ls”, “cat”, “pwd” afin d’acc\u00e9lerer le processus.
\nRecommencer ensuite le process de mise \u00e0 jour compl\u00e8te :<\/p>\n
pacman -Syu<\/pre>\n
Ensuite installer les packages suivants :<\/p>\n
pacman \u2013S vim\r\npacman \u2013S htop\r\npacman \u2013S tcpdump<\/pre>\n
et finalement un red\u00e9marrage :<\/p>\n
reboot<\/pre>\n
On v\u00e9rifie la m\u00e9moire allou\u00e9e via la commande htop install\u00e9e pr\u00e9c\u00e9demment :<\/p>\n
htop<\/pre>\n
Cette commande va nous indiquer que la m\u00e9moire totale allou\u00e9e au syst\u00e8me est de 128Mo, ceci vient du fait que le syst\u00e8me alloue la moiti\u00e9 de la m\u00e9moire de la carte (la moiti\u00e9 de 256 donc 128Mo) au GPU, vu que nous n’allons pas utiliser d’interface graphique, nous allons augmenter la part allou\u00e9e au syst\u00e8me en lui m\u00eame et diminuer celle allou\u00e9e au GPU pour avoir de meilleures performances et ceci via la proc\u00e9dure suivante :<\/p>\n
cd \/boot\r\nmv .\/start.elf .\/start.elf.old\r\ncp .\/arm224_start.elf .\/start.elf\r\nreboot<\/pre>\n
Pr\u00e9paration du Stockage<\/h4>\n
Archlinux n’utilise pas encore la totalit\u00e9 de la carte SD, nous avons besoin d’agrandir la partition afin de prendre le plus d’espace possible sur la carte SD pour les besoin de notre projet. Nous allons utiliser pour cela le fameux FDISK :<\/p>\n
fdisk \/dev\/mmcblk0p2<\/pre>\n
Supprimer la partition :<\/p>\n
d\r\n2<\/pre>\n
Cr\u00e9er une nouvelle partition (new, primary, 2):<\/p>\n
n\r\np\r\n2\r\nEnter\r\nEnter<\/pre>\n
Ecrire les changements sur le disque :<\/p>\n
w<\/pre>\n
Red\u00e9marrer pour appliquer les changements :<\/p>\n
reboot<\/pre>\n
Le temps de ce red\u00e9marrage d\u00e9pendra de la taille de la carte SD.<\/p>\n
S\u00e9curit\u00e9 des acc\u00e8s<\/h4>\n
Premi\u00e8re r\u00e8gle de s\u00e9curit\u00e9 des syst\u00e8mes unix : cache ton root !
\nJusque l\u00e0, Archlinux nous a tout laiss\u00e9 installer et configurer avec l’acc\u00e8s par d\u00e9faut root, nous allons cr\u00e9er un utilisateur “alya” pour les besoins de notre projet, nous allons minimiser pour cel\u00e0 l’acc\u00e8s \u00e0 root, et imposer la saisie de mot de passe root via la commande SU \u00e0 chaque escalade de privil\u00e8ges necessaire.
\nIt’s no good idea to do everything as root. if this account gets compromized, we’ve got some serious problems. To avoid this we will now create a user who will not be root, but who will be allowed to run commands as root when needed.
\nPour cr\u00e9er l’utilisateur :<\/p>\n
useradd -m -g users -G optical,storage,video,wheel,power -s \/bin\/bash\u00a0alya<\/pre>\n
Pour cr\u00e9er le mot de passe (attention, choisir un meilleur mot de passe que moi!)<\/p>\n
passwd @ly@123<\/pre>\n
Nous allons maintenant installer sudo :<\/p>\n
pacman -S sudo<\/pre>\n
ici nous allons donner le droit \u00e0 notre utilisateur pour utiliser sudo :<\/p>\n
visudo\r\n# Uncomment to allow members of group wheel to execute any command\r\n%wheel ALL=(ALL) ALL<\/pre>\n
Se d\u00e9connecter de root et resaisir le nouvel utilisateur alya et le mot de passe :
\nlogout
\nDor\u00e9navant notre bash prompt sera “$” au lieu du “#” du root, ce qui signifie que nous n’avons plus les privil\u00e8ges root avec notre utilisateur alya. Utiliser su au besoin.<\/p>\n
Fin de la deuxi\u00e8me partie<\/h4>\n
Nous avan\u00e7ons doucement, nous avons \u00e0 pr\u00e9sent un syst\u00e8me optimis\u00e9 et avec des acc\u00e8s nettement plus s\u00e9curis\u00e9s, la suite sera d’installer SSH pour l’acc\u00e8s distant et les premi\u00e8res r\u00e8gles de filtrage de traffic “noisy”. See you soon folks !<\/p>\n","protected":false},"excerpt":{"rendered":"
Apr\u00e8s une absence relative, je vous pr\u00e9sente ici la suite de notre projet Alya Firewall. Dans cette partie nous allons mettre \u00e0 jour notre linux, installer les pr\u00e9requis, redimensionner le stockage, et mettre en place les acc\u00e8s et la politique de s\u00e9curit\u00e9 du boitier.<\/p>\n","protected":false},"author":1,"featured_media":6812,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","enabled":false},"version":2}},"categories":[9],"tags":[],"class_list":["post-101","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technique"],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"https:\/\/www.erroussafi.com\/wp-content\/uploads\/2016\/04\/Raspberry_pi_working-640x3531-1.jpg","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/www.erroussafi.com\/index.php\/wp-json\/wp\/v2\/posts\/101","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.erroussafi.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.erroussafi.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.erroussafi.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.erroussafi.com\/index.php\/wp-json\/wp\/v2\/comments?post=101"}],"version-history":[{"count":0,"href":"https:\/\/www.erroussafi.com\/index.php\/wp-json\/wp\/v2\/posts\/101\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.erroussafi.com\/index.php\/wp-json\/wp\/v2\/media\/6812"}],"wp:attachment":[{"href":"https:\/\/www.erroussafi.com\/index.php\/wp-json\/wp\/v2\/media?parent=101"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.erroussafi.com\/index.php\/wp-json\/wp\/v2\/categories?post=101"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.erroussafi.com\/index.php\/wp-json\/wp\/v2\/tags?post=101"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}