- Modifié
Changelog:
- Modification du script de génération de page html pour alléger la taille le 01/03 Détail ici
Tuto sur la sécurisation de basePost remis en forme et complété, créé à l'origine par XciD69, je cite :
"Je partage aujourd'hui l’ensemble des petites astuces que j'ai pu trouver sur la toile."
Et c'était vraiment un bon tuto !
Mais venons-en au sujet : Sécurisation et Logs
Serveur Mail
On va commencer par mettre en place un serveur mail léger pour avoir un retour sur ce qui se passe sur notre serveur.
Installation de Postfix :
apt-get install -f postfix mailutils
Lors de l'installation, laisser la configuration par défaut et dans "Nom de courrier" mettre le nom de votre serveur.On teste :
echo 'Salut, je suis un email.' | mail -s 'Hello world' votre_mail@gmail.com
Redirection des mails root :nano /etc/aliases
Et rajouter à la fin :root: mail@gmail.com
Pour valider les changements :newaliases
Nouveau test :echo 'Salut, je suis un email.' | mail -s 'Hello world' root
Mail lors d'une connexion root :On va mettre en place un mail lors des connexions ssh root, vous recevrez ainsi un mail à chaque connexion sur le compte.
nano /root/.bashrc
Ajouter à la fin :echo 'Acces Shell Root le ' `date` `who` | mail -s 'Connexion serveur via root' root
Pour envoyer des mails via le système, on n'a pas besoin d'avoir Postfix qui écoute sur le port 25 :nano /etc/postfix/master.cf
Commenter la ligne suivante (avec #) :#smtp inet n - - - - smtpd
On relance Postfix :/etc/init.d/postfix restart
Si les mails coincent avec Gmail/Hotmail sur les nouveaux Kimsufi, c'est parce que par défaut l'IPV6 n'a pas de reverse configuré.Pour éviter le souci on va forcer l'IPV4 :
nano /etc/postfix/main.cf
Et ajouter à la fin :inet_protocols=ipv4
Relancer Postfix :/etc/init.d/postfix restart
On a fini de configurer le serveur pour qu'il nous envoie des mails en cas de problèmes.Logwatch
Logwatch est un programme qui vous envoie un récapitulatif de ce qui se passe sur votre serveur tout les jours.
Installation :
apt-get install -f logwatch
Configuration basique :nano /usr/share/logwatch/default.conf/logwatch.conf
Modifier les valeurs suivantes :Output = mail
MailTo = root
On enregistre et on sort.Configuration pour Lighttpd, On lance les 3 commandes suivantes :
cp /usr/share/logwatch/default.conf/logfiles/http.conf /usr/share/logwatch/default.conf/logfiles/lighttpd.conf
cp /usr/share/logwatch/default.conf/services/http.conf /usr/share/logwatch/default.conf/services/lighttpd.conf
cp /usr/share/logwatch/scripts/services/http /usr/share/logwatch/scripts/services/lighttpd
On en profite pour activer dans Lighttpd le fichier access.log qui n'est pas là par défaut à l'installation :lighttpd-enable-mod accesslog
Et on relance Lighttpd :/etc/init.d/lighttpd force-reload
On a maintenant bien le fichier en /var/log/lighttpd/access.log.Éditions des fichiers :
nano /usr/share/logwatch/default.conf/logfiles/lighttpd.conf
Modifier les valeurs :LogFile = lighttpd/*access_log
LogFile = lighttpd/*access.log.1
LogFile = lighttpd/*access.log
LogFile = lighttpd/*access.log.1
LogFile = lighttpd/*access.log
LogFile = lighttpd/*error.log.1
LogFile = lighttpd/*error.log
On ouvre :nano /usr/share/logwatch/default.conf/services/lighttpd.conf
Modifier les valeurs :Title = "lighttpd"
LogFile = lighttpd
On teste :logwatch
Et vous devriez recevoir un mail avec le récapitulatif et ensuite un mail journalier.Pour jeter un œil sur les logs du jour :
logwatch --range today