Fichiers de - Installation configuration et sécurisation d un serveur web et ftp

FileZilla

ANNEXE 3 Fichiers de

configuration

Geoffroy Rabouin Page 51 le 09/06/2005 Lycée Bel Air

a- OpenSSH

/etc/ssh/sshd_config

# sshd_config

# Port d'écoute du serveur ssh, par défaut 22, il est utile de le changer pour éviter les attaque par brute force sur

# ce port Port 2916

# On n’autorise SSh que sur une seule carte réseau ListenAddress 192.168.3.1

# Uniquement SSH2 sera autorisé, il es nettement plus sécurisé que le SSH1 Protocol 2

# Fichiers clé du serveur

HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key

# Pour des raisons de sécurité, on doit laisser yes à ce paramètre UsePrivilegeSeparation yes

# Temps de vie d'une sessions et taille des clé de SSH1 (obsolète mais nécessaire pour compatibilité) KeyRegenerationInterval 3600

ServerKeyBits 768

# Fichier journaux SyslogFacility AUTH LogLevel INFO

# Droit d'authentification, 600s d'inactivité déconnecte le client, root ne peut pas se connecter LoginGraceTime 600

PermitRootLogin no StrictModes yes RSAAuthentication yes PubkeyAuthentication yes IgnoreRhosts yes

RhostsRSAAuthentication no

# On n’autorise qu'un seul utilisateur, belair, root devra se connecter par celui-ci, puis faire un "su" pour

# s’enregistrer.

AllowUsers belair

# Interdit les mot de passe vide PermitEmptyPasswords no

# Interdit le passage du texte en clair, il va donc crypter toute la connection PasswordAuthentication yes

# Interdit l’envoi de données X11, tout ce qui touche à l’interface graphique X11Forwarding no

X11DisplayOffset 10 PrintMotd no

# Permet de ne pas supprimer instantanément les connexions inactives KeepAlive yes

UsePAM yes

Geoffroy Rabouin Page 52 le 09/06/2005 Lycée Bel Air

b- apache

/etc/apache-ssl/Httpd.conf

## httpd.conf -- Fichier de configuration d'Apache

# Les serveurs SSL DOIVENT être standalone.

ServerType standalone

# ServerRoot: La racine du répertoire où les fichiers de configuration,

# logs et erreurs sont conservés ServerRoot /etc/apache-ssl

# LockFile: A laisser par défaut, sauf si apache est sur un lecteur réseau LockFile /var/lock/apache-ssl.lock

# PidFile: Fichier dans lequel le serveur va enregistrer son numéro de

# processus quand il démarrera PidFile /var/run/apache-ssl.pid

# ScoreBoardFile: Fichier utilisé pour stocker les fichiers de configuration

# de chaque serveur. Ici, nous n'en utilisons qu'un seul, laissons la valeur

# par défaut.

ScoreBoardFile /var/run/apache-ssl.scoreboard

# Timeout: Temps en seconde avant d'envoyer ou de recevoir un timeout Timeout 300

# KeepAlive: Autoriser ou non plusieurs requêtes par connection.

# le serveur étant protégé par un firewall et un noyau sécurisé,

# on peut se permettre d'autoriser cela.

KeepAlive On

# MaxKeepAliveRequests: Nombre maximum de requête autoriser durant

# une connection persistante.

MaxKeepAliveRequests 100

# KeepAliveTimeout: Temps en secondes d'attente maximum pour avoir la prochaine

# requête d'un même client sur la même connection KeepAliveTimeout 15

# Apache est capable de gérer dynamiquement le nombre d'instances

# nécessaires pour contenter toutes les requêtes.

# les deux paramètre correspondent au nombre minimal et maximal

# ces 2 nombres peuvent être dépassés durant une courte période MinSpareServers 5

MaxSpareServers 10

Geoffroy Rabouin Page 53 le 09/06/2005 Lycée Bel Air

# StartServers: Nombre d'instances à démarrer initialement StartServers 5

# MaxClients: Limite maximale d'instance fonctionnant en même temps.

MaxClients 150

# MaxRequestsPerChild: Nombre maximum de requête que chaque processus

# hérité peut créer avant de mourir MaxRequestsPerChild 100

# Listen: Permet de faire écouter apache sur des ports spécifiques

# 443 est le port défaut pour le SSL Listen 443

# On ajoute aussi le port 80, celui par défaut Listen 80

# Permet d'accepter les modules, PHP par exemple Include /etc/apache-ssl/modules.conf

# ExtendedStatus: Indique le niveau de détail que apache doit fournir

# (version, numéro de PID, ...) quand on le lui demande

# Pour plus de sécurité, on lui demande de ne rien fournir

ExtendedStatus Off

</IfModule>

# Port: Le port que apache écoutera par défaut Port 443

# Propriétaire et groupe de l'utilisateur apache User www-data

Group www-data

# ServerAdmin: Mail de l'administrateur du serveur,

# ce mail servira pour envoyer les rapports d'erreurs ServerAdmin a-chick.vui@educagri.fr

# ServerName: Permet d'envoyer un nom aux clients à la place de l'ip ServerName www.lyceebelair.fr

# NameVirtualHost: définit les différents serveurs virtuels que l'on utilisera NameVirtualHost servweb:80

NameVirtualHost servweb:443

# NameVirtualHost www.lyceebelair.fr:80

# NameVirtualHost www.lyceebelair.fr:443

Geoffroy Rabouin Page 54 le 09/06/2005 Lycée Bel Air

# NameVirtualHost www.lyceebelair.com:80

# NameVirtualHost www.lyceebelair.com:443

# DocumentRoot: Répertoire qui contient les différents documents,

# par défaut toutes les requêtes dirigent vers ce répertoire DocumentRoot /var/www

# On interdit à apache d'accéder au répertoire / et à tous les dossiers qui en dépendent.

Options SymLinksIfOwnerMatch AllowOverride None

</Directory>

# On autorise la lecture du répertoire www pour tous

Options Indexes Includes FollowSymLinks MultiViews AllowOverride None

Order allow,deny Allow from all

</Directory>

# Contrôle l'accès aux répertoires HOME. Cela est interdit par raison de sécurité

UserDir public_html

AllowOverride FileInfo AuthConfig Limit

Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec

Order deny,allow Deny from all </Limit>

</Directory>

</IfModule>

# DirectoryIndex: Nom des fichiers qui serviront de première page par ordre de préférence.

DirectoryIndex index.php index.html index.htm index.shtml index.cgi

</IfModule>

# AccessFileName: Nom du fichier qui permet la gestion des droits par répertoire AccessFileName .htaccess

# Interdit aux butineurs de voir les fichiers .htaccess

Order allow,deny Deny from all

</Files>

Geoffroy Rabouin Page 55 le 09/06/2005 Lycée Bel Air

# UseCanonicalName: On préfèrera une adresse de type nom_serveur:port UseCanonicalName Off

# TypesConfig: donne le chemin du fichier mime.types, ce fichier contient

# les différentes extensions de fichier TypesConfig /etc/mime.types

# DefaultType: C'est le type de fichier par défaut si on n'arrive pas à le déterminer DefaultType text/plain

# Cette utilitaire permet de trouver le type d'un fichier par son contenu.

# on donne à apache le chemin pour y accéder

MIMEMagicFile /usr/share/misc/file/magic.mime

</IfModule>

# HostnameLookups: N'enregistre que l'ip du client dans les logs, pas son nom.

# par exemple: www.apache.org (on) ou 204.62.129.132 (off).

HostnameLookups Off

# ErrorLog: Emplacement du fichier d'erreurs ErrorLog /var/log/apache-ssl/error.log

# LogLevel: Indique le niveau de danger qui doit être retenu dans les fichiers log.

# soit: debug, info, notice, warn, error, crit, alert, emerg.

LogLevel warn

# On crée ces alias de manière a simplifier l'appel aux procédures suivantes

LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" \"%{forensic-id}n\" %T %v"

full

LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" \"%{forensic-id}n\" %P %T"

debug

LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" \"%{forensic-id}n\"" combined LogFormat "%h %l %u %t \"%r\" %>s %b \"%{forensic-id}n\"" forensic

LogFormat "%h %l %u %t \"%r\" %>s %b" common LogFormat "%{Referer}i -> %U" referer

LogFormat "%{User-agent}i" agent

# On définit le format des données enregistrées CustomLog /var/log/apache-ssl/access.log combined

# Ce module n'est plus utilisé, mais pour des raisons de comptabilité,

# il est conseillé de laisser sa configuration

ForensicLog /var/log/apache-ssl/forensic.log

</IfModule>

Geoffroy Rabouin Page 56 le 09/06/2005 Lycée Bel Air

# Les 2 mode suivants ne servent que pour enlever les erreurs de compilation, inutile ici

EnableExceptionHook On

</IfModule>

EnableExceptionHook On

</IfModule>

# ServerSignature: on interdit qu'apparaisse le nom du serveur dans les pages erronées ServerSignature Off

# On ajoute ici tous les alias nécessaires aux fonxtionnement de apache.

# Ici, si on tape l'adresse /icons, on sera redirigé vers /usr/share/apache/icons

Alias /icons/ /usr/share/apache/icons/

Options Indexes MultiViews AllowOverride None Order allow,deny Allow from all </Directory>

</IfModule>

# Nous n'utilisons pas de script, mais par mesure de sécurité nous laissons

# quand même un répertoire pour ceux-ci, de manière à ne pas permettre

# à quelqu’un d'exécuter n'importe quel fichier

ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/

AllowOverride None

Options ExecCGI -MultiViews +SymLinksIfOwnerMatch Order allow,deny

Allow from all </Directory>

</IfModule>

# Permet d'afficher les fichiers d'un répertoire si aucun fichier index n'est présent.

# Nous n'afficherons pas tout pour des raisons de sécurité

IndexOptions FancyIndexing NameWidth=*

AddIconByEncoding (CMP,/icons/compressed.gif) x-compress x-gzip

AddIconByType (TXT,/icons/text.gif) text/*

AddIconByType (IMG,/icons/image2.gif) image/*

AddIconByType (SND,/icons/sound2.gif) audio/*

AddIconByType (VID,/icons/movie.gif) video/*

AddIcon /icons/binary.gif .bin .exe AddIcon /icons/binhex.gif .hqx AddIcon /icons/tar.gif .tar

Geoffroy Rabouin Page 57 le 09/06/2005 Lycée Bel Air

AddIcon /icons/world2.gif .wrl .wrl.gz .vrml .vrm .iv AddIcon /icons/compressed.gif .Z .z .tgz .gz .zip AddIcon /icons/a.gif .ps .ai .eps

AddIcon /icons/layout.gif .html .shtml .htm .pdf AddIcon /icons/text.gif .txt

AddIcon /icons/c.gif .c AddIcon /icons/p.gif .pl .py AddIcon /icons/f.gif .for AddIcon /icons/dvi.gif .dvi AddIcon /icons/uuencoded.gif .uu

AddIcon /icons/script.gif .conf .sh .shar .csh .ksh .tcl AddIcon /icons/tex.gif .tex

AddIcon /icons/bomb.gif core AddIcon /icons/deb.gif .deb

AddIcon /icons/back.gif ..

AddIcon /icons/hand.right.gif README AddIcon /icons/folder.gif ^^DIRECTORY^^

AddIcon /icons/blank.gif ^^BLANKICON^^

DefaultIcon /icons/unknown.gif

ReadmeName README.html HeaderName HEADER.html

IndexIgnore .??* *~ *# HEADER.html HEADER.txt RCS CVS *,v *,t

</IfModule>

# Tous les types de document connus

AddEncoding x-compress Z AddEncoding x-gzip gz tgz AddLanguage da .dk AddLanguage nl .nl AddLanguage en .en AddLanguage et .ee AddLanguage fr .fr AddLanguage de .de AddLanguage el .el AddLanguage it .it AddLanguage ja .ja

AddCharset ISO-2022-JP .jis AddLanguage pl .po

AddCharset ISO-8859-2 .iso-pl AddLanguage pt .pt

AddLanguage pt-br .pt-br AddLanguage lb .lu AddLanguage ca .ca AddLanguage es .es AddLanguage sv .se AddLanguage cs .cz

LanguagePriority en da nl et fr de el it ja pl pt pt-br lb ca es sv </IfModule>

Geoffroy Rabouin Page 58 le 09/06/2005 Lycée Bel Air

AddType application/x-tar .tgz AddType image/bmp .bmp

AddType text/x-hdml .hdml <IfModule mod_include.c>

AddType text/html .shtml AddHandler server-parsed .shtml </IfModule>

</IfModule>

# Le DefaultCharset est le iso-8859-1, il correspond au clavier occidental sans accents AddDefaultCharset on

# On définit ici les paramètres propres aux différents navigateurs

BrowserMatch "Mozilla/2" nokeepalive

BrowserMatch "MSIE 4\.0b2;" nokeepalive downgrade-1.0 force-response-1.0 BrowserMatch "RealPlayer 4\.0" force-response-1.0

BrowserMatch "Java/1\.0" force-response-1.0 BrowserMatch "JDK/1\.0" force-response-1.0

</IfModule>

# Cela est spécifique au plugiciel perl, de même qu'avant, cela ne sert qu'à la compatibilité

Alias /perl/ /var/www/perl/

</IfModule>

SetHandler perl-script PerlHandler Apache::Registry Options +ExecCGI

</Location>

</IfModule>

# On charge un nombre aléatoire de 1024 bits, de manière à générer un certificat valide et sécurisé SSLRandomFile file /dev/urandom 1024

SSLRandomFilePerConnection file /dev/urandom 1024

# On active SSL par défaut partout, on pourra le désactiver si besoin SSLEnable

# Définit le chemin vers le cache du serveur ainsi que son port et son timeout SSLCacheServerPath /usr/lib/apache-ssl/gcache

SSLCacheServerPort /var/run/gcache_port SSLSessionCacheTimeout 15

# Chemin pour accéder au certificat

SSLCertificateFile /etc/apache-ssl/apache.pem

Geoffroy Rabouin Page 59 le 09/06/2005 Lycée Bel Air

# Ici, on indique que le client n'a pas besoin d'un certificat pour se connecter au serveur

# et autorise le client à se connecter même si le certificat du serveur est périmé SSLVerifyClient 0

SSLVerifyDepth 10 SSLUseCRL SSLCRLCheckAll

SSLOnRevocationSetEnv SSL_REVOKED SSLOnCRLExpirySetEnv SSL_CRL_EXPIRED SSLOnNoCRLSetEnv SSL_NO_CRL

# Définit un fichier de notification d'évènement personnalisé pour chaque sessions SSL CustomLog /var/log/apache-ssl/ssl.log "%t %{version}c %{cipher}c %{clientcert}c"

# Ici on définit tous les VirtualHost nécessaires

# Exemple :

# <VirtualHost test:2916>

# ServerName Nom_Serveur

# SSLEnable

# DocumentRoot /var/www/testtest/

# </VirtualHost>

# On accèdera au serveur via le nom test, par le port 2916

# La connection sera sécurisé en SSL

# On se retrouvera dans le répertoire /var/www/testtest/

ServerName 192.168.3.1 SSLEnable

DocumentRoot /var/www/https/

</VirtualHost>

ServerName 192.168.3.1 SSLDisable

DocumentRoot /var/www/http/

</VirtualHost>

ServerName 192.168.3.1 SSLEnable

DocumentRoot /var/www/stage/

</VirtualHost>

ServerName 192.168.3.1 SSLEnable

DocumentRoot /var/www/grr/

</VirtualHost>

# Automatiquement inclut pour favoriser la migration vers apache2 Include /etc/apache-ssl/conf.d

Geoffroy Rabouin Page 60 le 09/06/2005 Lycée Bel Air

c- VsFTPd

/etc/vsftpd.conf

# /etc/vsftpd.conf

# vsftpd sera lancé via init.d listen=YES

# On interdit les utilisateurs anonymes anonymous_enable=NO

# Autorise les utilisateurs du système à se loguer local_enable=YES

# On autorise l'écriture write_enable=YES

# Le umask par défaut, on autorise lecture pour tous, mais écriture uniquement pour le propriétaire local_umask=022

# Désactive le message de bienvenue à chaque changement de répertoire dirmessage_enable=NO

# On log toutes les connections et tous les transferts xferlog_enable=YES

# On se connecte via le port 20 (ftp-data) connect_from_port_20=YES

# Interdit la suppression brusque d'un transfert, cela aurait pu planter le serveur async_abor_enable=NO

# Interdit l'envoi et la réception de donnée en mode ascii, ce mode n’est plus assez sécurisé

# et on peut faire planter le serveur avec ce type de transfert ascii_upload_enable=NO

ascii_download_enable=NO

# Message de bienvenue à la connection

ftpd_banner=Bienvenue sur le serveur FTP du lycée Bel-Air.

# On bloque les utilisateurs dans leurs répertoire HOME, il leurs est interdit d'en sortir chroot_local_user=YES

chroot_list_enable=NO

# Interdit le "ls -R", cela évite de lister les répertoire successif, cela empêche les attaques par déni de service ls_recurse_enable=NO

# Répertoire de chroot du serveur ftp secure_chroot_dir=/var/run/vsftpd

# Service de gestion des mot de passe du système pam_service_name=vsftpd

# Crypte la connection en ssh2 ssl_enable=YES

Geoffroy Rabouin Page 61 le 09/06/2005 Lycée Bel Air

force_local_data_ssl=YES force_local_logins_ssl=YES

rsa_cert_file=/etc/ssh/vsftpd_cert.pem

Geoffroy Rabouin Page 62 le 09/06/2005 Lycée Bel Air

d- samba

/etc/samba/smb.conf

[global]

# ces paramètres vont s’appliquer partout par défaut

# Le nom du domaine NT/workgroup workgroup = EDULIP

# Description du serveur qui apparaîtra dans l'explorer de Windows server string = %h serveur (Samba %v)

# Interdit a Samba de chercher les noms netbios sur un serveur DNS, cela est beaucoup plus rapide dns proxy = no

# On utilise un fichier de log par machine du réseau log file = /var/log/samba/log.%m

# Définit la taille maximale du fichier de log en Kb max log size = 1000

# On ne log rien dans les fichiers journaux du système, mais tout dans les journaux de samba syslog = 0

# Action à effectuer si samba se plante

panic action = /usr/share/samba/panic-action %d

# Permet de n'autoriser un accès à samba qu’aux personnes ayant un compte sur le serveur Unix security = user

# Crypte les mots de passe encrypt passwords = true

# Définit la manière de crypter les mot de passe et la politique de sécurité passdb backend = tdbsam guest

obey pam restrictions = yes

# On interdit l'utilisateur root, root n'a pas besoin de samba, cela évite les attaques par ce serveur invalid users = root

# Permet la synchronisation entre les mots de passe samba et les mots de passe système passwd program = /usr/bin/passwd %u

passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n .

# Accélère la connection au serveur samba socket options = TCP_NODELAY

# Partage des fichiers HOMES des utilisateurs [homes]

# Commentaire de ce répertoire comment = Votre répertoire FTP

# Interdit la visualisation par les autres utilisateurs browseable = no

# Autorise l'écriture writable = true

Geoffroy Rabouin Page 63 le 09/06/2005 Lycée Bel Air

# Masque de création des fichiers et des répertoires (écriture et lecture pour l'auteur, lecture uniquement pour # les autres)

create mask = 0755 directory mask = 0755

Geoffroy Rabouin Page 64 le 09/06/2005 Lycée Bel Air

e- MySQL

/etc/mysql/my.cnf

[client]

# On définit le mot de passe et l’identifiant de connexion password = mot_de_passe

port = 3306

socket = /var/run/mysqld/mysqld.sock

[safe_mysqld]

# Fichier de log

err-log = /var/log/mysql/mysql.err

[mysqld]

user = mysql

pid-file = /var/run/mysqld/mysqld.pid

socket = /var/run/mysqld/mysqld.sock

# On définit le port découte

port = 3306

# Les différents répertoire de mysqld, le serveur mysql log = /var/log/mysql.log

basedir = /usr

datadir = /var/lib/mysql tmpdir = /tmp

language = /usr/share/mysql/french skip-locking

# Permet d'écouter sur le réseau via le port 3306 si cette ligne est commentée

# skip-networking

set-variable = key_buffer=16M

set-variable = max_allowed_packet=1M set-variable = thread_stack=128K skip-innodb

[mysqldump]

quick

set-variable = max_allowed_packet=1M [isamchk]

set-variable = key_buffer=16M

Geoffroy Rabouin Page 65 le 09/06/2005 Lycée Bel Air

f- Divers

1- /etc/hosts

# Sert à faire le lien entre le nom de la machine et son adresse ip

# Le format de ce fichier est :

# adresse_ip nom1 nom2 nom3 127.0.0.1 localhost.localdomain localhost

192.168.3.1 servweb.EDULIP servweb stage.servweb ressource.servweb

# Les lignes suivantes sont utiles pour les ordinateurs fonctionnant en IP version 6

# Elles peuvent rester non commentées dans le fichier, cela évitera de les oublier en cas de passage à IPv6 ::1 ip6-localhost ip6-loopback

fe00::0 ip6-localnet ff00::0 ip6-mcastprefix ff02::1 ip6-allnodes ff02::2 ip6-allrouters ff02::3 ip6-allhosts

2- /etc/resolv.conf

# Ce fichier sert à la recherche de noms sur un serveur DNS

# Nom du domaine search EDULIP

# Adresse du serveur DNS nameserver 194.2.0.20

3- /etc/shutdown.allow

# Ce fichier permet d’autoriser des utilisateurs à éteindre ou redémarrer l’ordinateur

# Ici, on n’autorise que root root

Geoffroy Rabouin Page 66 le 09/06/2005 Lycée Bel Air

g- apt

1- /etc/apt/apt-conf

//apt.conf

// La ligne suivante évite que "apt-get autoclean" n'efface de /var/cache/apt/archives les paquets installés // actuellement.

APT::Clean-Installed "false";

// Ce paramètre permet d'augmenter la valeur par défaut de la place allouée aux noms des paquets gérés par apt APT::Cache-Limit "12582912";

// Nombre d'essais en cas d'échec d'un téléchargement Acquire::Retries "5";

2- /etc/apt/preferences

// On définit ici les priorité des paquets

// On préfère la version stable, car stable et très sécurisé.

Package: *

Pin: release a=stable Pin-Priority: 990

Package: *

Pin: release a=testing Pin-Priority: 500

Package: *

Pin: release a=unstable Pin-Priority: 33

Package: *

Pin: release a=experimental Pin-Priority: 15

3- /etc/apt/sources.list.old

# Liste de tous les endroits où les paquets peuvent être téléchargés

# rendu obsolète par la nouvelle version de Debian

#stable

deb http://security.debian.org woody/updates main contrib non-free

deb http://ftp.fr.debian.org/debian-non-US woody/non-US main contrib non-free deb http://ftp.fr.debian.org/debian woody main contrib non-free

#testing

deb http://security.debian.org sarge/updates main contrib non-free

deb http://ftp.fr.debian.org/debian-non-US sarge/non-US main contrib non-free deb http://ftp.fr.debian.org/debian sarge main contrib non-free

Geoffroy Rabouin Page 67 le 09/06/2005 Lycée Bel Air

#UNSTABLE !

deb http://ftp.fr.debian.org/debian-non-US sid/non-US main contrib non-free deb http://ftp.fr.debian.org/debian sid main contrib non-free

deb ftp://ftp.oleane.net/pub/java-linux/debian woody non-free

4- /etc/apt/sources.list

# Liste de tous les endroits où les paquets peuvent être téléchargés

# non-us est devenu obsolète, et sarge est passé stable

#stable

deb http://security.debian.org sarge /updates main contrib non-free deb http://ftp.fr.debian.org/debian sarge main contrib non-free

#testing

deb http://security.debian.org echlt/updates main contrib non-free deb http://ftp.fr.debian.org/debian echlt main contrib non-free

#UNSTABLE !

deb http://ftp.fr.debian.org/debian sid main contrib non-free deb ftp://ftp.oleane.net/pub/java-linux/debian sarge non-free

Dans le document Installation configuration et sécurisation d un serveur web et ftp (Page 50-68)