Archives des Securité - CoffeeBreak Info https://coffeebreak.en-images.info/tag/securite-2/ Une petite pause :) Sun, 22 Oct 2023 11:00:32 +0000 fr-FR hourly 1 https://wordpress.org/?v=6.9.1 https://coffeebreak.en-images.info/wp-content/uploads/2021/07/cropped-Tasse_Cafe-scaled-1-32x32.jpg Archives des Securité - CoffeeBreak Info https://coffeebreak.en-images.info/tag/securite-2/ 32 32 MODOP – Connexion SSH via Google Authenticator (MFA) https://coffeebreak.en-images.info/modop-connexion-ssh-via-google-authenticator-mfa/ https://coffeebreak.en-images.info/modop-connexion-ssh-via-google-authenticator-mfa/#respond Sun, 22 Oct 2023 10:56:21 +0000 https://coffeebreak.en-images.info/?p=8608 MODOP sur la mise en place d'une identification "User password" + OTP via SSH.
Nous allons utiliser ici "Google Authenticator APP" permettant la génération de mots de passe à usage unique de 6 chiffres que l'utilisateur doit saisir lors de son authentification SSH.
Ce type de connexion permet l'authentification MFA et renforce grandement l'accès au serveur.
Dans le cas présent il faut connaitre plusieurs facteurs pour accéder au serveur cible.
1 - Connaitre le nom du serveur et l'utilisateur utilisant ce type d'accès.
2 - Connaitre le mot de passe de l'utilisateur sur le serveur cible
3 - Avoir l'accès à une session ouverte sur le smartphone de l'utilisateur@serveur avec l'application "Google Authenticator"

L’article MODOP – Connexion SSH via Google Authenticator (MFA) est apparu en premier sur CoffeeBreak Info.

]]> Inventaire
  • Machine : rocky01
  • OS : Rockylinux 8
  • IP : 192.168.1.148

Prérequis

Mise à jour de la machine

[root@rocky01 ~]# dnf upgrade –y

Désactiver SELinux

[root@rocky01 ~]# setenforce 0
[root@rocky01 ~]# sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config

Set TIMEDATE

[root@rocky01 ~]# timedatectl set-timezone Europe/Paris
[root@rocky01 ~]# timedatectl

Ajout User

[root@rocky01 ~]# adduser google_auth
[root@rocky01 ~]# passwd google_auth

Paquets nécessaires

[root@rocky01 ~]# dnf install  qrencode –y
[root@rocky01 ~]# dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm

Installation google-authenticator

[root@rocky01 ~]# dnf install google-authenticator –y

Génération QR code d’affiliation compte « google-authenticator »

[root@rocky01 ~]# su - google_auth
[google_auth@rocky01 ~]$ ssh-keygen

[google_auth@rocky01 ~]$ google-authenticator

Application APP google-authenticator

Installer sur votre mobile l’application « Authenticator » de google


« Ajouter un code »


« Scanner un code QR »

Affiliation Machine ⬄ App google-authenticator

Scanner le QR code afficher sur l’écran de votre terminal sur google authenticator
Saisir le code affiché sur l’application, ici 658742 , dans votre terminal
Enter code from app (-1 to skip): 658742

Continuer l’installation

Correction messages BUGS

[root@rocky01 ~]# su - google_auth
[google_auth@rocky01 ~]$ mv .google_authenticator .ssh/
[google_auth@rocky01 ~]$ chmod 400 ./ssh/.google_authenticator
[google_auth@rocky01 ~]$ ls -al .ssh/

Configuration de l’identification pamd via SSH

[root@rocky01 ~]# vi /etc/pam.d/sshd

Ajouter la ligne suivante

# Connexion Google-authentication
auth required pam_google_authenticator.so secret=/home/${USER}/.ssh/.google_authenticator

Activation « Challenge authentification » dans sshd

[root@rocky01 ~]# vi /etc/ssh/sshd_config


« Avant »


« Après »

Redémarrage du service SSH

[root@rocky01 ~]# systemctl restart sshd
[root@rocky01 ~]# systemctl status sshd

Check connexion SSH avec 2FA

Connexion client


Connexion Putty – HostName « rocky01 »


Login User « google_auth »

  • Saisir en Premier le mot de passe du compte « google_auth »

  • Saisir le code généré sur l’application « google authentificator »


Connecté sur une session via 2FA

Coté Serveur

Views: 12

L’article MODOP – Connexion SSH via Google Authenticator (MFA) est apparu en premier sur CoffeeBreak Info.

]]> https://coffeebreak.en-images.info/modop-connexion-ssh-via-google-authenticator-mfa/feed/ 0 MODOP – Partie 1 – Update OpenSSH To 9.3p1 https://coffeebreak.en-images.info/modop-partie-1-update-openssh-to-9-3p1/ https://coffeebreak.en-images.info/modop-partie-1-update-openssh-to-9-3p1/#respond Sat, 13 May 2023 12:18:01 +0000 https://coffeebreak.en-images.info/?p=8318 MODOP sur la mise à jour de OpenSSH pour des machines Centos/RockyLinux/Almalinux 7 et 8. OpenSSH permet la connexion sécurisée via les service ssh , sftp et ssh-agent. Il regroupe plusieurs binaires et notamment ssh-keygen et ssh-copy-id.Son but est la connexion distante sécurisée en offrant de nombreuses capacités en chiffrement et authentification. Il est le service incontournable pour vos connexions entre client/client ou client/serveur.

L’article MODOP – Partie 1 – Update OpenSSH To 9.3p1 est apparu en premier sur CoffeeBreak Info.

]]> Mise à jour 
[root@node01-ssh ~]# dnf update -y

Etat initial

[root@node01-ssh ~]# ssh -V

[root@node01-ssh ~]# cat /etc/os-release

Dépendance nécessaire

[root@node-hadoop01 ~]# dnf install -y pam-devel rpm-build rpmdevtools zlib-devel openssl-devel krb5-devel gcc wget gtk2-devel libXt-devel
[root@node-hadoop01 ~]# dnf -y install libX11-devel perl
[root@node-hadoop01 ~]# dnf --enablerepo=powertools install imake

Récupération des sources

[root@node-hadoop01 ~]# mkdir -p ~/rpmbuild/SOURCES && cd ~/rpmbuild/SOURCES

Source openssh

[root@node01-ssh SOURCES]# wget -c https://ftp.lip6.fr/pub/OpenBSD/OpenSSH/portable/openssh-9.3p1.tar.gz

[root@node01-ssh SOURCES]# wget -c https://ftp.lip6.fr/pub/OpenBSD/OpenSSH/portable/openssh-9.3p1.tar.gz.asc

Source askpass

  • https://mirrors.slackware.com/slackware/slackware-14.2/source/xap/x11-ssh-askpass/x11-ssh-askpass-1.2.4.1.tar.gz.mirrorlist
[root@node01-ssh SOURCES]# wget -c https://mirror.de.leaseweb.net/slackware/slackware-14.2/source/xap/x11-ssh-askpass/x11-ssh-askpass-1.2.4.1.tar.gz

Préparation du fichier spec

[root@node01-ssh SOURCES]# version=9.3p1
[root@node01-ssh SOURCES]# tar zxvf openssh-${version}.tar.gz
[root@node01-ssh SOURCES]# cp /etc/pam.d/sshd openssh-${version}/contrib/redhat/sshd.pam
[root@node01-ssh SOURCES]# mv openssh-${version}.tar.gz{,.orig}

[root@node01-ssh SOURCES]# tar zcpf openssh-${version}.tar.gz openssh-${version}
[root@node01-ssh SOURCES]# tar zxvf openssh-9.3p1.tar.gz openssh-${version}/contrib/redhat/openssh.spec

Ajustement du fichier spec

[root@node01-ssh SOURCES]# cd openssh-${version}/contrib/redhat/
[root@node01-ssh redhat]# chown root.root openssh.spec

[root@node01-ssh redhat]# sed -i -e "s/%define no_gnome_askpass 0/%define no_gnome_askpass 1/g" openssh.spec
[root@node01-ssh redhat]# sed -i -e "s/%define no_x11_askpass 0/%define no_x11_askpass 1/g" openssh.spec
[root@node01-ssh redhat]# sed -i -e "s/BuildPreReq/BuildRequires/g" openssh.spec
[root@node01-ssh redhat]# sed -i -e "s/PreReq: initscripts >= 5.00/#PreReq: initscripts >= 5.00/g" openssh.spec
[root@node01-ssh redhat]# sed -i -e "s/BuildRequires: openssl-devel < 1.1/#BuildRequires: openssl-devel < 1.1/g" openssh.spec
[root@node01-ssh redhat]# sed -i -e "/check-files/ s/^#*/#/" /usr/lib/rpm/macros

Création des RPM via les sources openssh 8.3p1

[root@node01-ssh redhat]# ls -al

[root@node01-ssh redhat]# rpmbuild -ba openssh.spec

[root@node01-ssh redhat]# cd /root/rpmbuild/RPMS/x86_64/
[root@node01-ssh x86_64]# ls -al

Création de l’Archive openssh 8.3p1

[root@node01-ssh x86_64]# tar zcvf /home/openssh-${version}-RPMs.el8.tar.gz openssh*

[root@node-hadoop01 x86_64]# rm -rf ~/rpmbuild ~/openssh-${version}

Installation des paquets (archive)

[root@node01-ssh x86_64]# cd /home
[root@node01-ssh home]# ls -al |grep RPM
[root@node01-ssh home]# tar -xzvf openssh-9.3p1-RPMs.el8.tar.gz

Sauvegarde des fichiers conf 9.0p1

[root@node01-ssh home]cp /etc/pam.d/sshd pam-ssh-conf-06052023

Installation Openssh 9.3p1

[root@node01-ssh home]# rpm -Uvh *.rpm

Restauration du fichier de conf 9.0p1

[root@node01-ssh home]# mv /etc/pam.d/sshd /etc/pam.d/sshd_93p1_06052023
[root@node01-ssh home]# cp pam-ssh-conf-06052023 /etc/pam.d/sshd

Autorisation root acces (option)

[root@node01-ssh ~]# cat /etc/ssh/sshd_config |grep PermitRootLogin

[root@node01-ssh ~]# sed -i 's/prohibit-password/yes/' /etc/ssh/sshd_config
[root@node01-ssh ~]# sed -i 's/#PermitRootLogin/PermitRootLogin/' /etc/ssh/sshd_config
[root@node01-ssh ~]# cat /etc/ssh/sshd_config |grep PermitRootLogin

Activation Identification PAM (option)

[root@node01-ssh ~]# cat /etc/ssh/sshd_config |grep UsePAM
[root@node01-ssh ~]# sed -i 's/#UsePAM no/UsePAM yes/' /etc/ssh/sshd_config
[root@node01-ssh ~]# cat /etc/ssh/sshd_config |grep UsePAM

Redémarrage du service sshd

[root@node01-ssh ~]# chmod 600 /etc/ssh/ssh*
[root@node01-ssh ~]# systemctl restart sshd
[root@node01-ssh ~]# systemctl status sshd

Correction de l’erreur « ssh_host_dsa_key.pub »

[root@node01-ssh ~]# ssh-keygen -t rsa -f /etc/ssh/ssh_host_dsa_key
[root@node01-ssh ~]# systemctl restart sshd
[root@node01-ssh ~]# systemctl status sshd

[root@node01-ssh ~]# ssh -V

Views: 1

L’article MODOP – Partie 1 – Update OpenSSH To 9.3p1 est apparu en premier sur CoffeeBreak Info.

]]> https://coffeebreak.en-images.info/modop-partie-1-update-openssh-to-9-3p1/feed/ 0 MODOP – Partie 2 – BASH Update to OpenSSH 9.3p1 https://coffeebreak.en-images.info/modop-partie-2-bash-update-to-openssl-9-3p1/ https://coffeebreak.en-images.info/modop-partie-2-bash-update-to-openssl-9-3p1/#respond Sat, 13 May 2023 11:40:32 +0000 https://coffeebreak.en-images.info/?p=8290 MODOP sur la mise à jour de OpenSSh automatisée à l'aide d'un script bash sur des machines Centos/RockyLinux/Almalinux 7 et 8.
le script va récupérer les sources et dépendances et générer des RPM qui seront par la suite installées automatiquement.

L’article MODOP – Partie 2 – BASH Update to OpenSSH 9.3p1 est apparu en premier sur CoffeeBreak Info.

]]>
  • https://github.com/chrisPB-fr/UpdateEL8_SSL.git

    • Lancement du Script BASH

    [root@node01-ssh chris]# dnf install -y git
[root@node01-ssh chris]# git clone https://github.com/chrisPB-fr/UpdateEL8_SSL.git

    [root@node01-ssh chris]# cd UpdateEL8_SSL/
[root@node01-ssh UpdateEL8_SSL]# ls -al

    [root@node01-ssh UpdateEL8_SSL]# ./update_openssh_9_3p1.sh

    Etape N°1 – Vérification de la version sur la machine


    Si la version OpenSSL est inférieur à 9.3p1


    Si la machine est déjà en version 9.3p1

    Etape N°2 – installation des dépendances nécessaire

    Etape N°3 – Récupération des sources

    Etape N°4 – Installation des sources sur la machine

    Etape N°5 – Ajustement sur le fichier spec

    Etape N°6 – Création des RPM OpenSSL 9.3p2 compilés

    Etape N°7 – Installation des RPM OpenSSL 9.3p2 compilés

    Etape N°8 – Ouverture du « root acces » en SSH

    • Si yes, alors PermitRootLogin yes
    • Si no, alors PermitRootLogin prohibit-password
    [root@node01-ssh UpdateEL8_SSL]# cat /etc/ssh/sshd_config|grep PermitRootLogin

    Etape N°9 – Activation PAM authentification


    Positionne UsePAM à yes

    [root@node01-ssh UpdateEL8_SSL]# cat /etc/ssh/sshd_config|grep UsePAM

    Etape N°10 – Correction BUG sur la partie Certificat

    Etape N°11 – Redémarrage sur service SSH v9.3p1

    [root@node01-ssh UpdateEL8_SSL]# ssh –V

    Script BASH

    #!/bin/bash
version=9.3p1
openSSH_repo="https://ftp.lip6.fr/pub/OpenBSD/OpenSSH/portable"
askPass_repo="https://mirror.de.leaseweb.net/slackware/slackware-14.2/source/xap/x11-ssh-askpass"
today=`date +%F`
array_valeur=(y n yes no)
rouge='\e[0;31m'
vert='\e[0;32m'
neutre='\e[0;m'
PATH_RPM="/root/rpmbuild/SOURCES"
OPENSSH_SPEC="${PATH_RPM}/openssh-${version}/contrib/redhat/openssh.spec"

function check_version_ssh () {
check_version=`rpm -qa |grep openssh-server |awk -F"-" '{print $3}'`
if [ ${check_version} == ${version} ]
then
echo ""
echo -e "${vert}#######################################${neutre}"
echo -e "${vert} OpenSSL est déja à la version 9.3p1${neutre}"
echo -e "${vert}#######################################${neutre}"
exit
fi
echo "Votre version est la ${check_version}"
}

function install_dependance () {
for install_packet in pam-devel rpm-build rpmdevtools zlib-devel openssl-devel krb5-devel gcc wget gtk2-devel libXt-devel libX11-devel perl
do
 echo "Installation du paquet ${install_packet}"
 dnf -y install ${install_packet} >> /dev/null
done
echo "Installation du paquet imake"
dnf --enablerepo=powertools install imake -y >> /dev/null
}

function recup_source () {
## Source OpenSSH
mkdir -p ${PATH_RPM} 
if [ -f ${PATH_RPM}/openssh-${version}.tar.gz ]
then 
 rm -f ${PATH_RPM}/openssh-${version}.tar.gz
 echo "Récupère les sources de openssh-${version}"
 wget c ${openSSH_repo}/openssh-${version}.tar.gz -P ${PATH_RPM}
else
 echo "Récupère les sources de openssh-${version}"
 wget -c ${openSSH_repo}/openssh-${version}.tar.gz -P ${PATH_RPM} 
fi

if [ -f ${PATH_RPM}/openssh-${version}.tar.gz.asc ]
then
 rm -f ${PATH_RPM}/openssh-${version}.tar.gz.asc
 echo "Récupère les clefs de openssh-${version}"
 wget -c ${openSSH_repo}/openssh-${version}.tar.gz.asc -P ${PATH_RPM}
else
 echo "Récupère les clefs de openssh-${version}"
 wget -c ${openSSH_repo}/openssh-${version}.tar.gz.asc -P${PATH_RPM} 
fi

## Source askpass
if [ -f ${PATH_RPM}/x11-ssh-askpass-1.2.4.1.tar.gz ]
then
 rm -f ${PATH_RPM}/x11-ssh-askpass-1.2.4.1.tar.gz
 echo "Récupère les sources x11-ssh-askpass"
 wget -c ${askPass_repo}/x11-ssh-askpass-1.2.4.1.tar.gz -P ${PATH_RPM} 
else
 echo "Récupère les sources x11-ssh-askpass"
 wget -c ${askPass_repo}/x11-ssh-askpass-1.2.4.1.tar.gz -P ${PATH_RPM}
fi
}

function prepa_spec () {
cd ${PATH_RPM}
tar -zxvf openssh-${version}.tar.gz 
yes | cp /etc/pam.d/sshd openssh-${version}/contrib/redhat/sshd.pam
mv openssh-${version}.tar.gz{,.orig}
tar -czpf openssh-${version}.tar.gz openssh-${version}
tar -zxvf openssh-9.3p1.tar.gz openssh-${version}/contrib/redhat/openssh.spec
}

function ajust_spec () {
OPENSSH_SPEC="${PATH_RPM}/openssh-${version}/contrib/redhat/openssh.spec"
chown root.root ${OPENSSH_SPEC}
sed -i -e "s/%define no_gnome_askpass 0/%define no_gnome_askpass 1/g" ${OPENSSH_SPEC}
sed -i -e "s/%define no_x11_askpass 0/%define no_x11_askpass 1/g" ${OPENSSH_SPEC}
sed -i -e "s/BuildPreReq/BuildRequires/g" ${OPENSSH_SPEC}
sed -i -e "s/PreReq: initscripts >= 5.00/#PreReq: initscripts >= 5.00/g" ${OPENSSH_SPEC}
sed -i -e "s/BuildRequires: openssl-devel < 1.1/#BuildRequires: openssl-devel < 1.1/g" ${OPENSSH_SPEC}
sed -i -e "/check-files/ s/^#*/#/" /usr/lib/rpm/macros
}

function create_RPM () {

cd ${PATH_RPM}/openssh-${version}/contrib/redhat/
rpmbuild -ba openssh.spec
cd /root/rpmbuild/RPMS/x86_64/
ls -al |grep openssh*
}

function install_RPM () {
## sauvegarde conf ssh PAM conf
cd /root/rpmbuild/RPMS/x86_64/
cp /etc/pam.d/sshd pam-ssh-conf-${today}

## Installation OpenSSL 9.3p1
rpm -Uvh *.rpm

## restauration ssh PAM conf
mv /etc/pam.d/sshd /etc/pam.d/sshd_93p1_${today}
yes | cp pam-ssh-conf-${today} /etc/pam.d/sshd
}

function autorise_root_acces () {
printf "souhaitez vous activer root acces [yes,no]: "
read -r reponse
while ! [[ "${array_valeur[@]}" =~ ${reponse} ]];do 
 autorise_root_acces
done

if [ ${reponse} == yes ] || [ ${reponse} == y ] 
then
 check_acces_root=`cat /etc/ssh/sshd_config |grep "PermitRootLogin prohibit-password" |wc -l`

 if [ ${check_acces_root} == 1 ]
 then
 sed -i 's/prohibit-password/yes/' /etc/ssh/sshd_config
 fi

 check_actif_acces_root=`cat /etc/ssh/sshd_config |grep "#PermitRootLogin" |wc -l`

 if [ ${check_actif_acces_root} == 1 ]
 then
 sed -i 's/#PermitRootLogin/PermitRootLogin/' /etc/ssh/sshd_config 
 fi

echo ""
echo -e "${vert}#####################################${neutre}"
echo -e "${vert} Root Acces est désormais activé ${neutre}" 
echo -e "${vert}#####################################${neutre}"
fi
}

function activation_pam () {

 check_pam_actif=`cat /etc/ssh/sshd_config |grep "#UsePAM yes" |wc -l`
 if [ ${check_pam_actif} == 1 ]
 then
 sed -i 's/#UsePAM no/UsePAM yes/' /etc/ssh/sshd_config
 fi 

echo ""
echo -e "${vert}#####################################${neutre}"
echo -e "${vert} Authentification PAM est activé ${neutre}"
echo -e "${vert}#####################################${neutre}"
}

function check_host_rsa_key () {

if [ ! -f "/etc/ssh/ssh_host_dsa_key" ]
then
 ssh-keygen -t rsa -f /etc/ssh/ssh_host_dsa_key -q -P ""
fi
chmod -R 600 /etc/ssh/
}

function restart_sshd () {
systemctl restart sshd
systemctl status sshd
}

clear
#### Lancement de l'installation 

echo ""
echo -e "${vert}############################${neutre}"
echo -e "${vert} Mise à jour de OpenSSL ${neutre}"
echo -e "${vert}############################${neutre}"
sleep 2

clear
echo ""
echo -e "${vert}######################################${neutre}"
echo -e "${vert} Etape 1 - Check la version OpenSSL ${neutre}"
echo -e "${vert}######################################${neutre}"
sleep 2
check_version_ssh

clear
echo ""
echo -e "${vert}##########################################${neutre}"
echo -e "${vert} Etape 2 - installation des dépendances ${neutre}"
echo -e "${vert}##########################################${neutre}"
sleep 2
install_dependance

clear
echo -e "${vert}##########################################${neutre}"
echo -e "${vert} Etape 3 - Récupération des sources ${neutre}"
echo -e "${vert}##########################################${neutre}"
sleep 2
recup_source

clear
echo -e "${vert}##########################################${neutre}"
echo -e "${vert} Etape 4 - Préparation du fichier spec ${neutre}"
echo -e "${vert}##########################################${neutre}"
sleep 2
prepa_spec

clear
echo -e "${vert}########################################${neutre}"
echo -e "${vert} Etape 5 - Ajustement du fichier spec ${neutre}"
echo -e "${vert}########################################${neutre}"
Sleep 2
ajust_spec

clear
echo -e "${vert}#################################################${neutre}"
echo -e "${vert} Etape 6 - Création des RPM OpenSSL ${version} ${neutre}"
echo -e "${vert}#################################################${neutre}"
sleep 2
create_RPM

clear
echo -e "${vert}######################################################${neutre}"
echo -e "${vert} Etape 7 - installation des RPM OpenSSL ${version} ${neutre}"
echo -e "${vert}######################################################${neutre}"
sleep 2
install_RPM

clear
echo -e "${vert}######################################${neutre}"
echo -e "${vert} Etape 8 - Ouverture root acces SSH ${neutre}"
echo -e "${vert}######################################${neutre}"
sleep 2
autorise_root_acces

clear
echo -e "${vert}#############################################${neutre}"
echo -e "${vert} Etape 9 - Activation authentification PAM ${neutre}"
echo -e "${vert}#############################################${neutre}"
sleep 2
activation_pam

clear
echo -e "${vert}###########################################${neutre}"
echo -e "${vert} Etape 10 - Correction Bug Vertificat RSA ${neutre}"
echo -e "${vert}###########################################${neutre}"
sleep 2
check_host_rsa_key

clear
echo -e "${vert}############################################${neutre}"
echo -e "${vert} Etape Finale - Redémarrage du service SSH ${neutre}"
echo -e "${vert}############################################${neutre}"
sleep 2
restart_sshd

    Views: 8

    L’article MODOP – Partie 2 – BASH Update to OpenSSH 9.3p1 est apparu en premier sur CoffeeBreak Info.

    ]]>     https://coffeebreak.en-images.info/modop-partie-2-bash-update-to-openssl-9-3p1/feed/ 0     MODOP – YubiKey – Cient SSH – GitHub https://coffeebreak.en-images.info/modop-yubikey-cient-ssh-github/ https://coffeebreak.en-images.info/modop-yubikey-cient-ssh-github/#respond Sat, 13 May 2023 10:41:34 +0000 https://coffeebreak.en-images.info/?p=8214 MODOP - Mise en place d'une connexion SSH entre un client et l'application Github via YubiKey. Depuis fin 2021 , les connexions à vos repository sur Git doivent se réaliser via des clefs SSH. Dans le cas présent , nous allons mettre en place une solution de connexion SSH à l'aide d'un second facteur d'authentification "physique" afin d'augmenter la sécurité. Tous vos push seront réalisés avec une clef SSH + Clef YubiKey.

    L’article MODOP – YubiKey – Cient SSH – GitHub est apparu en premier sur CoffeeBreak Info.

    ]]>     Prérequis

    Génération d’une paire de clef « privé & public » ed22519-sk

    /home/mobaxterm # ssh-keygen --help

    /home/mobaxterm # ssh-keygen -t ed25519-sk -f /home/mobaxterm/.ssh/UserGit


    « OK »


    « OK »


    « Insérer votre Yubico »


    Saisir votre code de Sécurité


    Toucher le logo « Y » de votre Key


    Les clefs sont générées

    /home/mobaxterm # ls /home/mobaxterm/.ssh/ |grep UserGit

    /home/mobaxterm # cat /home/mobaxterm/.ssh/UserGit.pub

    Copier la clef pub dans un notepad

    Intégrer la clef Public sur GitHub

    Se connecter à votre  compte github


    « Signed .. » et « Settings »


    « SSH and GPG Keys »


    « New SSH key »


    Ajouter votre clef Publique générée avec YubiKey

    Activer l’identification SSH sur le repositories


    Choisir votre « repositories »


    Sélectionner votre projet (ici Proxmox-Ansible-CllusterMysql )


    « Code » et « SSH »

    Test import DATA avec Clef sur GitHub

    Export du projet

    /home/mobaxterm # git clone git@github.com:chrisPB-fr/Proxmox-Ansible-CllusterMysql.git --config core.sshCommand="ssh -i /home/mobaxterm/.ssh/UserGit"


    Insérer la clef Yubikey


    Touche le « Y » de la clef


    Le dépôt de votre projet est récupéré sur votre machine

    /home/mobaxterm # cd Proxmox-Ansible-CllusterMysql
/home/mobaxterm/Proxmox-Ansible-CllusterMysql/master # ls -al

    Initialisation des variables du projet

    /home/mobaxterm/Proxmox-Ansible-CllusterMysql/master # git config --global user.email "mail@mail.com"
/home/mobaxterm/Proxmox-Ansible-CllusterMysql/master # git config --global user.name "chrisPB-fr"
/home/mobaxterm/Proxmox-Ansible-CllusterMysql/master # git remote set-url origin git@github.com:chrisPB-fr/Proxmox-Ansible-CllusterMysql.git

    Modification du projet

    Initialement le readme.md

    /home/mobaxterm/Proxmox-Ansible-CllusterMysql/master # echo " - Test SSH Key Yubico" >> README.md
/home/mobaxterm/Proxmox-Ansible-CllusterMysql/master # cat README.md

    Import du projet modifié avec SSH YubiKey

    /home/mobaxterm/Proxmox-Ansible-CllusterMysql/master # git add .
/home/mobaxterm/Proxmox-Ansible-CllusterMysql/master # git commit -am "Modification fichier readme"

    /home/mobaxterm/Proxmox-Ansible-CllusterMysql/master # git push origin master


    Insérez la clef pour identifier votre transaction via SSH


    Touchez le logo « Y »


    La connexion est réalisée

    Côté import sur Github

    /home/mobaxterm/Proxmox-Ansible-CllusterMysql/master # git log

    Views: 5

    L’article MODOP – YubiKey – Cient SSH – GitHub est apparu en premier sur CoffeeBreak Info.

    ]]>     https://coffeebreak.en-images.info/modop-yubikey-cient-ssh-github/feed/ 0     MODOP – Connexion SSH YubiKey – Linux Machine https://coffeebreak.en-images.info/modop-connexion-ssh-yubikey-linux-machine/ https://coffeebreak.en-images.info/modop-connexion-ssh-yubikey-linux-machine/#respond Sat, 13 May 2023 09:50:44 +0000 https://coffeebreak.en-images.info/?p=8189 MODOP - Mise en place d'une connexion SSH entre un client et un Serveur via une clef Yubikey .Cette connexion permet de renforcer la connexion sur des machines serveur et cela à l'aide d'un second facteur d'authentification "physique" prouvant son identité. Elle permet ainsi de s'affranchir de la mémorisation de mot de passe compliqués.

    L’article MODOP – Connexion SSH YubiKey – Linux Machine est apparu en premier sur CoffeeBreak Info.

    ]]>     Génération d’une paire de clef « privé & public » 
    /home/mobaxterm # ssh-keygen --help
    /home/mobaxterm # ssh-keygen -t ed25519-sk -f /home/mobaxterm/.ssh/key01

    « OK »

    « OK »

    « Introduire votre clef YubiKey »

    Taper votre mot de passe saisi lors de la configuration de votre clef puis « OK »

    Toucher le logo Y de votre clef Yubico

    Reste, ou pas , à saisir une « passphrasse » pour renforcer le certificat puis « enter »

    Lister la paire de clef « privé & public »

    /home/mobaxterm # ls -alt /home/mobaxterm/.ssh/key01*
    /home/mobaxterm # cat /home/mobaxterm/.ssh/key01.pub

    Copier votre clef publique sur le(s) serveur(s)

    /home/mobaxterm # ssh-copy-id -i /home/mobaxterm/.ssh/key01.pub root@floki03.house.cpb

    Connexion au serveur via YubiKey

    /home/mobaxterm # ssh -i /home/mobaxterm/.ssh/key01 -l root floki03.house.cpb

    « Insérez la clef YubiKey »

    « Touchez le logo Y »

    La connexion est réalisée via YubiKey et Clef ssh

    Cléf Publique sur Serveur

    root@floki03:~# cat .ssh/authorized_keys

    Views: 3

    L’article MODOP – Connexion SSH YubiKey – Linux Machine est apparu en premier sur CoffeeBreak Info.

    ]]>     https://coffeebreak.en-images.info/modop-connexion-ssh-yubikey-linux-machine/feed/ 0     MODOP – Installation Tunnel GRE/Ipsec – Host to Host https://coffeebreak.en-images.info/modop-installation-tunnel-gre-ipsec-host-to-host/ https://coffeebreak.en-images.info/modop-installation-tunnel-gre-ipsec-host-to-host/#respond Sun, 03 Jul 2022 11:24:20 +0000 https://coffeebreak.en-images.info/?p=6779 MODOP d'une encapsulation de paquets de données chiffrés via les services GRE et IPSec. Nous reprenons le MODP précédent sur la mise en place d'un tunnel GRE pour lui appliquer
    une couche de chiffrement avec clés partagées (IPSec) .Ce chiffrement va permettre de sécuriser les communications entre les deux équipements .Néanmoins quand on interconnecte deux sites avec
    cette solution , il n’y a aucun moyen de restreindre individuellement les accès des machines en cas de compromission de clef.

    L’article MODOP – Installation Tunnel GRE/Ipsec – Host to Host est apparu en premier sur CoffeeBreak Info.

    ]]>     Installation de la machine tun-hosta.house.cpb – RockyLinux

    Spécification de la machine tun-hosta.house.cpb

    Host : tun-hosta.house.cpb

    • IP :192.168.1.56
      • VIP : 10.10.10.1/24
    • OS : RockyLinux
    • vCPU : 2
    • DD : 8Go
    • Ram : 2Go

    Mise à jour de la machine 

    [root@tun-hosta ~]# dnf update -y

    TimeDate

    [root@tun-hosta ~]# timedatectl set-timezone "Europe/Paris"

    Ajouter les hosts (Si pas de DNS)

    [root@tun-hosta ~]# echo "192.168.1.56 tun-hosta tun-hosta.house.cpb" >> /etc/hosts
[root@tun-hosta ~]# echo "172.16.185.140 tun-hostb tun-hostb.house.cpb" >> /etc/hosts
[root@tun-hosta ~]# echo "10.10.10.1 tunipsec-grea tunipsec-grea.house.cpb" >> /etc/hosts
[root@tun-hosta ~]# echo "10.10.10.2 tunipsec-greb tunipsec-greb.house.cpb" >> /etc/hosts

    Installation epel

    [root@tun-hosta ~]# dnf install epel-release

    Chargement Module GRE – CLI

    [root@tun-hosta ~]# lsmod | grep ip_gre
[root@tun-hosta ~]# modprobe ip_gre
[root@tun-hosta ~]# lsmod | grep ip_gre

    Chargement Module GRE – On BOOT

    [root@tun-hosta ~]# echo ip_gre >> /etc/modules-load.d/tun.conf
[root@tun-hosta ~]# ls -al /etc/modules-load.d/tun.conf
-rw-r--r--. 1 root root 7 19 juin 12:13 /etc/modules-load.d/tun.conf

    Configuration Réseau Tunnel GRE

    Création du Tunnel tun0

    [root@tun-hosta ~]# ip tunnel add tun0 mode gre remote 172.16.185.140 local 192.168.1.56 ttl 255

    Activation de la connexion tun0

    [root@tun-hosta ~]# ip link set tun0 up

    Création de l’adresse VIP

    [root@tun-hosta ~]# ip addr add 10.10.10.1/24 dev tun0

    Chargement Tun0 – On BOOT

    [root@tun-hosta ~]# echo "ip tunnel add tun0 mode gre remote 172.16.185.140 local 192.168.1.56 ttl 255" >> /etc/rc.local
[root@tun-hosta ~]# echo "ip link set tun0 up" >> /etc/rc.local
[root@tun-hosta ~]# echo "ip addr add 10.10.10.1/24 dev tun0" >> /etc/rc.local
[root@tun-hosta ~]# chmod +x /etc/rc.local

    Check de la connexion tun0

    [root@tun-hosta ~]# nmcli connection

    [root@tun-hosta ~]# ip a show tun0

    Activer le Forward IPv4

    [root@tun-hosta ~]# echo "net.ipv4.ip_forward=1" > /etc/sysctl.conf
[root@tun-hosta ~]# echo "net.ipv4.conf.default.send_redirects=0
" > /etc/sysctl.conf
[root@tun-hosta ~]# echo "net.ipv4.conf.default.accept_redirects=0
" > /etc/sysctl.conf
[root@tun-hosta ~]# sysctl -p

    Activer/désactiver les rules Firewall GRE

    [root@tun-hosta ~]# firewall-cmd --remove-service={dhcpv6-client,cockpit} –permanent
[root@tun-hosta ~]# firewall-cmd --permanent --add-interface=tun0
[root@tun-hosta ~]# firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p gre -j ACCEPT
[root@tun-hosta ~]# firewall-cmd --reload

    Installation de la machine tun-hostb.house.cpb – AlmaLinux8

    Spécification de la machine tun-hostb.house.cpb

    Host : tun-hostb.house.cpb

    • IP :172.16.185.140
      • VIP : 10.10.10.2/24
    • OS : AlmaLinux
    • vCPU : 2
    • DD : 8Go
    • Ram : 2Go

    Mise à jour de la machine 

    [root@tun-hostb ~]# yum -y update

    TimeDate

    [root@tun-hostb ~]# timedatectl set-timezone "Europe/Paris"

    Ajouter les hosts (Si pas de DNS)

    [root@tun-hostb ~]# echo "192.168.1.56 tun-hosta tun-hosta.house.cpb" >> /etc/hosts
[root@tun-hostb ~]# echo "172.16.185.140 tun-hostb tun-hostb.house.cpb" >> /etc/hosts

[root@tun-hostb ~]# echo "10.10.10.1 tunipsec-grea tunipsec-grea.house.cpb" >> /etc/hosts
[root@tun-hostb ~]# echo "10.10.10.2 tunipsec-greb tunipsec-greb.house.cpb" >> /etc/hosts

    Chargement Module GRE – CLI

    [root@tun-hostb ~]# lsmod | grep ip_gre
[root@tun-hostb ~]# modprobe ip_gre

    Chargement Module GRE – On BOOT

    [root@tun-hostb ~]# echo ip_gre >> /etc/modules-load.d/tun.conf

    Configuration Réseau Tunnel GRE

    Création de l’interface tun0

    [root@tun-hostb ~]# ip tunnel add tun0 mode gre remote 192.168.1.56 local 172.16.185.140 ttl 255

    Activation de la connexion tun0

    [root@tun-hostb ~]# ip link set tun0

    Création de l’adresse VIP

    [root@tun-hostb ~]# ip addr add 10.10.10.2/24 dev tun0

    Chargement Tun0 – On BOOT

    [root@tun-hosta ~]# echo "ip tunnel add tun0 mode gre remote 192.168.1.56 local 172.16.185.140 ttl 255" >> /etc/rc.local
[root@tun-hosta ~]# echo "ip link set tun0 up" >> /etc/rc.local
[root@tun-hosta ~]# echo "ip addr add 10.10.10.2/24 dev tun0" >> /etc/rc.local
[root@tun-hosta ~]# chmod +x /etc/rc.local

    Check de la connexion tun0

    [root@tun-hostb ~]# ip a show tun0

    [root@tun-hostb ~]# nmcli connection

    Activer le Forward IPv4

    [root@tun-hostb ~]# echo "net.ipv4.ip_forward=1" > /etc/sysctl.conf
[root@tun-hostb ~]# echo "net.ipv4.conf.default.send_redirects=0
" > /etc/sysctl.conf
[root@tun-hostb ~]# echo "net.ipv4.conf.default.accept_redirects=0
" > /etc/sysctl.conf
[root@tun-hostb ~]# sysctl -p

    Activer/désactiver les rules Firewall GRE

    [root@tun-hostb ~]# firewall-cmd --remove-service=dhcpv6-client –permanent
[root@tun-hostb ~]# firewall-cmd --permanent --add-interface=tun0
[root@tun-hostb ~]# firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p gre -j ACCEPT
[root@tun-hostb ~]# firewall-cmd --reload

    Check des flux réseaux Public et Tunnel

    Serveur tun-hosta

    [root@tun-hosta ~]# ping -c 3 tunipsec-grea

    [root@tun-hosta ~]# ping -c 3 tunipsec-greb

    Serveur tun-hostb

    [root@tun-hostb ~]# ping -c 3 tunipsec-grea

    [root@tun-hostb ~]# ping -c 3 tunipsec-greb

    Installation Ipsec sur le Tunnel tun0

    Inventaire du réseau tun0/Machine

    Host : tunipsec-grea.house.cpb

    • IP tun0 : 10.10.10.1/24

    Host : tunipsec-greb.house.cpb

    • IP tun0 : 10.10.10.2/24

    Ipsec – Machine tunipsec-grea.house.cpb

    Désactiver « rp_filter »

    [root@tun-hosta ~]# echo "net.ipv4.conf.all.rp_filter = 0" >> /etc/sysctl.d/50-libreswan.conf
[root@tun-hosta ~]# sysctl --system

    Installer libreswan

    [root@tun-hosta ~]# yum install libreswan

    Initialisation de la base NSS

    [root@tun-hosta ~]# systemctl stop ipsec
[root@tun-hosta ~]# rm -f /etc/ipsec.d/*db
[root@tun-hosta ~]# ls -al /etc/ipsec.d/

    [root@tun-hosta ~]# ipsec initnss
Initializing NSS database

[root@tun-hosta ~]# ls -al /etc/ipsec.d/

    Ajouter les rules ipsec – firewall

    [root@tun-hosta ~]# firewall-cmd --add-service=ipsec --permanent && firewall-cmd –reload

    Démarrer Ipsec

    [root@tun-hosta ~]# systemctl enable ipsec --now

    Génerer une clef RSA pour hosta

    [root@tun-hosta ~]# ipsec newhostkey
Generated RSA key pair with CKAID e60a1b0aba69d1a0f7dfc055899db6597ef1996f was stored in the NSS database
The public key can be displayed using: ipsec showhostkey --left --ckaid e60a1b0aba69d1a0f7dfc055899db6597ef1996f

[root@tun-hosta ~]# ipsec showhostkey --left --ckaid e60a1b0aba69d1a0f7dfc055899db6597ef1996f
 # rsakey AwEAAdnx8 leftrsasigkey=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

    Ipsec – Machine tunipsec-greb.house.cpb

    Désactiver « rp_filter »

    [root@tun-hostb ~]# echo "net.ipv4.conf.all.rp_filter = 0" >> /etc/sysctl.d/50-libreswan.conf
[root@tun-hostb ~]# sysctl --system

    Installer libreswan

    [root@tun-hostb ~]# yum install libreswan

    Initialisation de la base NSS

    [root@tun-hostb ~]# systemctl stop ipsec
[root@tun-hostb ~]# rm -f /etc/ipsec.d/*db

[root@tun-hostb ~]# ipsec initnss
Initializing NSS database

[root@tun-hostb ~]# ls -al /etc/ipsec.d/

    Ajouter les rules ipsec – firewall

    [root@tun-hostb ~]# firewall-cmd --add-service=ipsec --permanent && firewall-cmd --reload

    Démarrer Ipsec

    [root@tun-hostb ~]# systemctl enable ipsec --now
[root@tun-hostb ~]# systemctl status ipsec

    Génerer une clef RSA pour hostb

    [root@tun-hostb ~]# ipsec newhostkey
Generated RSA key pair with CKAID 2f5cd8184f8878367711840329cd53904c8fc117 was stored in the NSS database
The public key can be displayed using: ipsec showhostkey --left --ckaid 2f5cd8184f8878367711840329cd53904c8fc117

[root@tun-hostb ~]# ipsec showhostkey --left --ckaid 2f5cd8184f8878367711840329cd53904c8fc117
 # rsakey AwEAAengQ
leftrsasigkey=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

    Création  Ipsec Host-to-Host

    Inventaire des Hosts de l’infrastructure

    Host : tunipsec-grea.house.cpb

    • IP tun0 : 10.10.10.1/24
    • RSA : 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

    Host : tunipsec-greb.house.cpb

    • IP tun0 : 10.10.10.2/24
    • RSA : 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

    Fichier de conf Ipsec sur hosta

    [root@tun-hosta ~]# vi /etc/ipsec.d/host_to_host.conf
    conn tunnelVPN
leftid=@west
left=10.10.10.1
leftrsasigkey=0sAwEAAdnx8WIZbGxrPh+bSDWuKhFLY0oNuFs68lfBrxCCH5UeeWrf53HFYBFKHvbUWQdu6CykibfB1SuJkvIojDhZbeKQg0MqMU/0jT29kncPOI+ar6DYIu0yXUnlIOYwqJQwFAWAXBPLA4b2JsePKZJFcjtlryRaItfWxdkDH39aO/WlSjLu/fMrHv9tDixH7kMfU/n5dSw3iCwix8I+PgXhdOTMRJEdcWnZEprDPlITmIB3gYN7x166V8DXLpFzAIFzD67wuReeq3z7V4podnfsLKtM+484SSpOjnLD9hs1DVP6V1N6SLPDgWjNXEaDjBXYfllrJzGl62If9+DiRHzA3XQn7XDXAxqzoDKpW4IBMVo6EHzK5Lj/GgC1qvJdBJLf7kG7PIZEv6LvbdmTm4JxSTCDtEM3DOk9wWwDdn5A2N3JbD5rwsxsGRa+dDadYS/KUxrYcKVOmh6UAFcP3AOuTaESaBy44PSWnG7jK/z8Lv4iyUxNAQQc9iMcuuSUZANpPvdX5ze3QXkr/ny7qw==
rightid=@east
right=10.10.10.2
rightrsasigkey=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
authby=rsasig
auto=start

    Mise en place du Tunnel Ipsec hosta – l’encapsulation tun0

    [root@tun-hosta ~]# systemctl restart ipsec
[root@tun-hosta ~]# ipsec auto --add tunnelVPN
002 "tunnelVPN": added IKEv2 connection

    Fichier de conf Ipsec sur hostb

    [root@tun-hosta ~]# scp /etc/ipsec.d/host_to_host.conf root@tun-hostb:/etc/ipsec.d/host_to_host.conf

[root@tun-hostb ~]# ls -al /etc/ipsec.d/host_to_host.conf
-rw-r--r--. 1 root root 1335 Jun 19 18:00 /etc/ipsec.d/host_to_host.conf

    Mise en place du Tunnel Ipsec hostb – l’encapsulation tun0

    [root@tun-hostb ~]# systemctl restart ipsec
[root@tun-hostb ~]# ipsec auto --add tunnelVPN
002 "tunnelVPN": added IKEv2 connection

    Monter le tunnelVPN sur les deux machines

    [root@tun-hostb ~]# ipsec auto --up tunnelVPN

    [root@tun-hosta ~]# ipsec auto --up tunnelVPN

    Check le tunnelVPN sur les deux machines

    [root@tun-hosta ~]# ipsec verify

    [root@tun-hostb ~]# ipsec verify

    [root@tun-hosta ~]# journalctl -e

    [root@tun-hostb ~]# journalctl -e

    [root@tun-hosta ~]# ipsec show
10.10.10.1/32 <=> 10.10.10.2/32 using reqid 16389

    [root@tun-hostb ~]# ipsec show
10.10.10.2/32 <=> 10.10.10.1/32 using reqid 16389

    Ajouter des logs pour Ipsec (les deux machines)

    [root@tun-hostx ~]# vi /etc/ipsec.conf
logfile=/var/log/pluto.log
[root@tun-hostx ~]# systemctl restart ipsec
    [root@tun-hosta ~]# tail -30 /var/log/pluto.log

    [root@tun-hostb ~]# tail -30 /var/log/pluto.log

    Check flux réseau

    [root@tun-hosta ~]# ping -c 3 tunipsec-grea

    [root@tun-hosta ~]# ping -c 3 tunipsec-greb

    [root@tun-hostb ~]# ping -c 3 tunipsec-grea
[root@tun-hostb ~]# ping -c 3 tunipsec-greb

    Views: 8

    L’article MODOP – Installation Tunnel GRE/Ipsec – Host to Host est apparu en premier sur CoffeeBreak Info.

    ]]>     https://coffeebreak.en-images.info/modop-installation-tunnel-gre-ipsec-host-to-host/feed/ 0     MODOP – Tuning Linux kernel parameters https://coffeebreak.en-images.info/modop-tuning-linux-kernel-parameters/ https://coffeebreak.en-images.info/modop-tuning-linux-kernel-parameters/#respond Sat, 19 Mar 2022 11:18:15 +0000 https://coffeebreak.en-images.info/?p=6171 MODOP – Configurer ou « tuner » son noyau linux est un besoin qui peut être nécessaire pour un administrateur système et surtout des spécificités d’un client. Le service le plus souvent utilisé est « sysctl » disponible sur toutes les types de Linux du marché. Sysctl permet de modifier les paramètres du kernel stockés dans /proc/sys dynamiquement, et donc très rapidement applicable à vos serveurs et clients.

    L’article MODOP – Tuning Linux kernel parameters est apparu en premier sur CoffeeBreak Info.

    ]]>

    1°) Paramètres KERNEL

    # arrêter les messages de bas niveau sur la console
kernel.printk = 4 4 1 7 

#Evite un panic KERNEL brute , Redémarre le Kernel aprs 10sec 
kernel.panic = 10 

# Désactive la journalisation de la Magic SysRq key 
kernel.sysrq = 0 

# Allocation maximale (bytes) autorisée d'un segment de mémoire partagée pour le Kernel
kernel.shmmax = 4294967296 

# Allocation minimale (bytes) d'un segment de mémoire partagée pour le Kernel
kernel.shmall = 4194304 

# Fixe comme PID le plus haut pour le fichier coredump
kernel.core_uses_pid = 1 

# Allocation maximale (octets) d'un seul fichier en standby
kernel.msgmnb = 65536 

# Allocation maximale (octets) autorisée d'un seul fichier en standby
kernel.msgmax = 65536
    [root@vps-e7276df3 chris]# vi /etc/sysctl.conf


    [root@vps-e7276df3 chris]# sysctl -p
kernel.printk = 4 4 1 7
kernel.panic = 10
kernel.sysrq = 0
kernel.shmmax = 4294967296
kernel.shmall = 4194304
kernel.core_uses_pid = 1
kernel.msgmnb = 65536
kernel.msgmax = 65536

    2°) Contrôle SWAP au niveau KERNEL

    # Limitation basse pour le swap géré au niveau Kernel
vm.swappiness = 20 

# Allocation maximale absolue de mémoire système avant d'écrire des données sur le disque
vm.dirty_ratio = 80 

# Pourcentage de mémoire système qui amène à écrire des données sur le disque
vm.dirty_background_ratio = 5
    [root@vps-e7276df3 chris]# vi /etc/sysctl.conf


    [root@vps-e7276df3 chris]# sysctl -p
vm.swappiness = 20
vm.dirty_ratio = 80
vm.dirty_background_ratio = 5

    3°) Contrôle Fichier au niveau KERNEL

    # Limitation de fichier ouverts sous linux 
fs.file-max = 2097152 
    [root@vps-e7276df3 chris]# vi /etc/sysctl.conf


    [root@vps-e7276df3 chris]# sysctl -p
fs.file-max = 2097152

    4°) Paramètres Socket Network au niveau KERNEL

    # Nombre maximum de paquets reçu par l'interface réseau 
net.core.netdev_max_backlog = 262144 

#Tampon de réception de socket par défaut 
net.core.rmem_default = 31457280 

# Tampon de réception de socket maximal 
net.core.rmem_max = 67108864 

# Tampon d'envoi de socket par défaut 
net.core.wmem_default = 31457280 

# Tampon d'envoi de socket maximal 
net.core.wmem_max = 67108864 

# Modifier le nombre de connexions entrantes 
net.core.somaxconn = 65535 

# Augmenter la quantité maximale de mémoire tampon 
net.core.optmem_max = 25165824
    [root@vps-e7276df3 chris]# vi /etc/sysctl.conf


    [root@vps-e7276df3 chris]# sysctl -p
net.core.netdev_max_backlog = 262144
net.core.rmem_default = 31457280
net.core.rmem_max = 67108864
net.core.wmem_default = 31457280
net.core.wmem_max = 67108864
net.core.somaxconn = 65535
net.core.optmem_max = 25165824
net.ipv4.tcp_timestamps = 0

    5°) Paramètres ARP Network au niveau KERNEL

    # taille du cache ARP interne du noyau
net.ipv4.neigh.default.gc_thresh1 = 4096 
net.ipv4.neigh.default.gc_thresh2 = 8192 
net.ipv4.neigh.default.gc_thresh3 = 16384 

# Fréquence avec laquelle on vérifie les entrées ARP valides
net.ipv4.neigh.default.gc_interval = 5 

#Fréquence de vérification des entrées ARP périmées
net.ipv4.neigh.default.gc_stale_time = 120
    [root@vps-e7276df3 chris]# vi /etc/sysctl.conf


    [root@vps-e7276df3 chris]# sysctl -p
net.ipv4.neigh.default.gc_thresh1 = 4096
net.ipv4.neigh.default.gc_thresh2 = 8192
net.ipv4.neigh.default.gc_thresh3 = 16384
net.ipv4.neigh.default.gc_interval = 5
net.ipv4.neigh.default.gc_stale_time = 120

    6°) Paramètres des messages Network au niveau KERNEL

    #Nombre maximal d'entrées de connexion autorisées
net.netfilter.nf_conntrack_max = 10000000 

# désactivons la récupération des connexions
net.netfilter.nf_conntrack_tcp_loose = 0 

# Délai (seconde) d'expiration de la connexion établie
net.netfilter.nf_conntrack_tcp_timeout_established = 1800 

# Délai (seconde)d'expiration pour une requête
net.netfilter.nf_conntrack_tcp_timeout_close = 10 

# Délai (seconde) d'attente avant l'expiration pour une requête
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 10

# Délai (seconde) de fin d'attente pour une requête
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 20 

# Délai (seconde) d'attente du dernier message
net.netfilter.nf_conntrack_tcp_timeout_last_ack = 20 

# Délai (seconde) d'attente synchro réception d'un message
net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 20 

# Délai (seconde) d'attente synchro envoi d'un message
net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 20 

# Délai (seconde) d'attente pour la fin d'un message
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 10
    [root@vps-e7276df3 chris]# vi /etc/sysctl.conf


    [root@vps-e7276df3 chris]# sysctl -p
net.netfilter.nf_conntrack_max = 10000000
net.netfilter.nf_conntrack_tcp_loose = 0
net.netfilter.nf_conntrack_tcp_timeout_established = 1800
net.netfilter.nf_conntrack_tcp_timeout_close = 10
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 10
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 20
net.netfilter.nf_conntrack_tcp_timeout_last_ack = 20
net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 20
net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 20
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 10

    7°) Paramètres IPv4 Network au niveau KERNEL

    #définit le port min/max d'une connexion réseau utilisable comme port source
net.ipv4.ip_local_port_range = 1024 65000 

# Désactivation de la fragmentation d'un message/packet IPv4
net.ipv4.ip_no_pmtu_disc = 1
    [root@vps-e7276df3 chris]# vi /etc/sysctl.conf


    [root@vps-e7276df3 chris]# sysctl -p
net.ipv4.ip_local_port_range = 1024 65000
net.ipv4.ip_no_pmtu_disc = 1

    Partie Routage 

    # Désactivation du routage IP IPv4
net.ipv4.ip_forward = 0 

# Désactivation updates table de routage 
net.ipv4.route.flush = 1 

# Nombre maximum d'entrées dans le cache Route
net.ipv4.route.max_size = 8048576 
    [root@vps-e7276df3 chris]# vi /etc/sysctl.conf


    [root@vps-e7276df3 chris]# sysctl -p
net.ipv4.ip_forward = 0
net.ipv4.route.flush = 1
net.ipv4.route.max_size = 8048576

    Partie ICMP 

    # Activer l'ignorance des requêtes ICMP 
net.ipv4.icmp_echo_ignore_all = 1

# Activer l'ignorance des requêtes Brodcoast
net.ipv4.icmp_echo_ignore_broadcasts = 1 

#Activer le rejet des trames non RFC
net.ipv4.icmp_ignore_bogus_error_responses = 1 
    [root@vps-e7276df3 chris]# vi /etc/sysctl.conf


    [root@vps-e7276df3 chris]# sysctl -p
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1

    Partie TCP

    # Désactiver le démarrage lent TCP
net.ipv4.tcp_slow_start_after_idle = 0 

# Définir Algo du contrôle de gestion TCP
net.ipv4.tcp_congestion_control = htcp 

# Allocation total du buffer maximum allouable TCP
net.ipv4.tcp_mem = 65536 131072 262144 

# Allocation total du buffer en lecture maximum allouable TCP
net.ipv4.tcp_rmem = 4096 87380 33554432

# Allocation total du buffer en écriture maximum allouable TCP
net.ipv4.tcp_wmem = 4096 87380 33554432 

# Allocation du pool de buckets tcp-time-wait (attaques DOS simples)
net.ipv4.tcp_max_tw_buckets = 1440000 

# Activer les SOCKET time_wait Recycle
net.ipv4.tcp_tw_recycle = 1

# Activer les SOCKET time_wait REUSE
net.ipv4.tcp_tw_reuse = 1 

# Nombre maximal de sockets TCP pour les HANDLE
net.ipv4.tcp_max_orphans = 400000 

# Activer window scaling défini par la norme RFC1323.
net.ipv4.tcp_window_scaling = 1 

# Activer le contrôle de la pile TCP
net.ipv4.tcp_rfc1337 = 1 

# Activer la protection des cookies TCP SYN 
net.ipv4.tcp_syncookies = 1 

# Nombre de SYNACK pour une tentative de connexion TCP
net.ipv4.tcp_synack_retries = 1 

# Nombre de SYN pour une tentative de connexion TCP
net.ipv4.tcp_syn_retries = 2 

# Nombre max de demandes de connexion mémorisées sans accusé de réception du client 
net.ipv4.tcp_max_syn_backlog = 16384 

# Activation de timestamps
net.ipv4.tcp_timestamps = 1 

# Activation acknowledgments (SACKS)
net.ipv4.tcp_sack = 1 
#net.ipv4.tcp_fack = 1 

# Activation ECN lors de connexion entrante
net.ipv4.tcp_ecn = 2 

# Durée de timeout des connexions orphelines 
net.ipv4.tcp_fin_timeout = 10 

# Fréquence d'envoi des message KEEPALIVE 
net.ipv4.tcp_keepalive_time = 600 

# Temps à laquelle les connexions sont KILL sans réponse
net.ipv4.tcp_keepalive_intvl = 60 

# Nombres de sondes keepalive TCP envoyé avant de KILL les connexions sans réponse
net.ipv4.tcp_keepalive_probes = 10 

# Active l'enregistrement des metrics TCP dans le cache route
net.ipv4.tcp_no_metrics_save = 1 
    [root@vps-e7276df3 chris]# vi /etc/sysctl.conf


    [root@vps-e7276df3 chris]# sysctl -p
net.ipv4.tcp_slow_start_after_idle = 0
net.ipv4.tcp_congestion_control = htcp
net.ipv4.tcp_mem = 65536 131072 262144
net.ipv4.tcp_rmem = 4096 87380 33554432
net.ipv4.tcp_wmem = 4096 87380 33554432
net.ipv4.tcp_max_tw_buckets = 1440000
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_max_orphans = 400000
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_rfc1337 = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_synack_retries = 1
net.ipv4.tcp_syn_retries = 2
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.tcp_timestamps = 1
net.ipv4.tcp_sack = 1
net.ipv4.tcp_ecn = 2
net.ipv4.tcp_fin_timeout = 10
net.ipv4.tcp_keepalive_time = 600
net.ipv4.tcp_keepalive_intvl = 60
net.ipv4.tcp_keepalive_probes = 10
net.ipv4.tcp_no_metrics_save = 1

    Partie UDP

    # Allocation total du buffer maximum allouable UDP
net.ipv4.udp_mem = 65536 131072 262144 

# Allocation total du buffer en lecture maximum allouable UDP
net.ipv4.udp_rmem_min = 16384

# Allocation total du buffer en écriture maximum allouable UDP
net.ipv4.udp_wmem_min = 16384 
    [root@vps-e7276df3 chris]# vi /etc/sysctl.conf


    [root@vps-e7276df3 chris]# sysctl -p
net.ipv4.udp_mem = 65536 131072 262144
net.ipv4.udp_rmem_min = 16384
net.ipv4.udp_wmem_min = 16384

    Partie Divers

    # Désactiver l'acceptation de la redirection des packets sur toutes les interfaces 
net.ipv4.conf.all.send_redirects = 0 

# Désactiver le routage source IP 
net.ipv4.conf.all.accept_source_route = 0 

# Activer la protection contre l'usurpation d'adresse IP
net.ipv4.conf.all.rp_filter = 1

# Activer la journalisation des paquets falsifiés, des paquets routés à la source et des paquets de redirection 
net.ipv4.conf.all.log_martians = 1

# Désactiver l'acceptation de la redirection ICMP 
net.ipv4.conf.all.accept_redirects = 0
    [root@vps-e7276df3 chris]# vi /etc/sysctl.conf


    [root@vps-e7276df3 chris]# sysctl -p
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.all.accept_redirects = 0

    Views: 8

    L’article MODOP – Tuning Linux kernel parameters est apparu en premier sur CoffeeBreak Info.

    ]]>     https://coffeebreak.en-images.info/modop-tuning-linux-kernel-parameters/feed/ 0