PPE 3 Entreprise GSB

Texte intégral

(1)PPE 3 – Entreprise GSB. William PALLIER Pierre GUESNIER Siddik MOHAMAD ACHARAF. BTS SIO.

(2) SOMMAIRE Présentation du besoin. 3. Users Stories. 3. Partie 1 - Création du réseau de base. 4. Création du réseau GSB1. 4. Installation du pare feu pfSense. 4. Création des machines C1_siege et W1_siege. 17. Test des services HTTP, FTP, SSH et appli test. 34. Connexion du réseau à internet via R1_siege. 36. Vérification de l’accès des machines. 36. Partie 2 : Accès commercial en clientèle. 37. Création d’une DMZ avec le PGI. 37. Redirection des postes du WAN vers la DMZ. 42. Test des services HTTP, FTP et SSH depuis C1_siege vers la DMZ. 43. Test de la redirection de C4 vers la DMZ. 47. Partie 3 : Accès commercial à domicile. 53. Installation de C2_comm. 53. Installation d’OpenVPN sur PfSense. 53. Configuration d’OpenVPN Serveur. 60. Configuration d’OpenVPN Client. 60. Démonstration du tunnel VPN entre C2 et R1. 60. Partie 4 : Labo distant. 64. Tunnel VPN entre R2 et R1. 64. Création serveur DHCP D1_siege. 65. Test de C1_siege en DHCP. 65. Création serveur DHCP D2_labo. 65. Test de C3_labo en DHCP. 65. Installation de fail2ban W1 et W2. 65. Procédure du changement des MDPs. 66. Annexes. 66. Tableau adressage IP. 66. Comptes et mots de passe. 66.

(3) Présentation du besoin Users Stories Besoin Administrateurs : -. Personne anonymes et sans connexion VPN ne se connectent qu’au serveur internet Pouvoir centraliser la gestion de l’adressage IP de tous les postes siège et labos distants. Besoin Commercial : -. En tournée, pouvoir se connecter au serveur web de l’entreprise pour prendre des commandes ou présenter des produits A domicile, pouvoir se connecter aux logiciels de l’entreprise pour la saisie des frais sur le PGI ou modifier des documents. Besoin Employé : -. Dans un labo distant, pouvoir se connecter en accès libre aux ressources du siège. Liste des machines nécessaires : -. 1 poste client siège, 1 poste commercial, 1 poste employé labo, 1 poste hôte client 1 serveur web intranet, 1 serveur web PGI DMZ, 1 serveur DHCP siège, 1 serveur DHCP labo 1 routeur principal siège, 1 routeur labo distant.

(4) Partie 1 - Création du réseau de base Création du réseau GSB1 Installation du pare feu pfSense pfSense est un système d’exploitation qui transforme n’importe quel ordinateur en routeur/pare-feu. Prérequis : - Le logiciel Oracle VM Virtualbox, qui va nous permettre de créer une machine virtuelle. - l’ISO de pfSense à partir du site https://www.pfsense.org/ Configuration de la machine: Lancez Oracle VM VirtualBox et cliquez sur Nouvelle :.

(5) -. Nom: SERV-PFSENSE Type: BSD Taille de la mémoire 1024 Mo Disque dur ● Cochez : Créer un disque virtuel maintenant ● Type de fichier : VDI (Image Disque VirtualBox) ● Stockage : Dynamiquement alloué ● Choisir l’emplacement du fichier ● Choisir la taille de votre disque dur virtuel : 8 Go ● Créer. - Configuration < Menu : Machine / Configuration…> ● Réseau - Carte 1 : Activer la carte réseau ● Mode d’accès réseau : Accès par pont (WAN) ● Nom : Ethernet (NVIDIA nForce Networking Controller) ● Type de carte : Intel PRO/1000 MT Desktop ● Mode Promiscuité : Tout autoriser - Stockage ● Sous le contrôleur IDE (vide) : Sélectionner l’ISO pfSense Démarrez la VM :.

(6) Installation :. Au démarrage de la VM, cette image apparaitra. L’ISO va automatiquement choisir la seconde option Boot(Single User). La page pfSense Installer s’affiche : appuyez sur Entrée pour accepter la licence. Une nouvelle page s’affiche. Appuyez sur la touche “Entrée” pour lancer automatiquement l’installation de pfSense..

(7) L’installation va enfin pouvoir s’effectuer ! Naviguez dans le menu et choisissez le clavier “French (accent keys)” Appuyez sur la touche « Entrée » pour valider. Montez d’un cran pour sélectionnez “Continue with fr.acc.kbd keymap” et Entrée.

(8) Partitioning : Auto (UFS) : Entrée. Manual Configuration, laissez sur No : Entrée.

(9) Complete, Reboot : Entrée. Dans la foulée, menu Périphériques > Lecteurs optiques > Éjecter le disque du lecteur virtuel. Menu : Machine > Redémarrage.

(10) 2. Mise en place d’une interface DMZ, LAN, WAN sous Pfsense Une fois la machine redémarrée : Should VLANs be set up now [y|n]? n <Entrée> Enter the WAN interface name or ‘a’ for auto détection (em0 or a) : em0 <Entrée> Remarque : le clavier est en QWERTY, la lettre “m” c’est la touche “ ,?” Enter the LAN interface name or ‘a’ for auto detection (a or nothing if finished) : <Entrée>. Do you want to proceed [y|n]: y <Entrée>.

(11) Le menu pfSense s’affiche. Arrêtez la VM en appuyant sur : 6 < Entrée et confirmer>. Assignation des interfaces DMZ, LAN, WAN: Allez dans les paramètres de la VM : Configuration > Réseau : Carte 2 : Activer la carte réseau Mode d’accès réseau : Réseau interne (LAN) Nom : tapez LAN Avancé : Type de carte : Intel PRO/1000 MT Desktop Mode Promiscuité : Tout autoriser Carte 3 : Activer la carte réseau Mode d’accès réseau : Réseau interne (DMZ) Nom : tapez DMZ Avancé : Type de carte : I ntel PRO/1000 MT Desktop Mode Promiscuité : Tout autoriser Valider et démarrez la VM Affectez les interfaces en appuyant sur la touche 1 : Assign Interfaces Should VLANs be set up now [y|n]? n <Entrée>.

(12) WAN : Enter the WAN interface name or ‘a’ for auto detection (em0 or a) : em0 <Entrée> LAN : Enter the LAN interface name or ‘a’ for auto detection (em1 em2 a or nothing if finished) : em1 <Entrée> DMZ : Enter the Optional 1 interface name or ‘a’ for auto detection (em2 a or nothing if finished) : em2 <Entrée> Do you want to proceed [y|n]: y <Entrée>.

(13) Configuration IP WAN : Appuyez sur 2 pour Set Interface(s) IP address Choisir WAN : 1 <Entrée> (Notre adresse en DHCP est 10.1.4.107/16).

(14) Configuration IP LAN : Appuyez sur 2 pour Set Interface(s) IP address Choisir LAN : 1 <Entrée> (Nous avons adapté l’adresse pour notre réseau tel que 192.168.31.1/24). Configuration IP DMZ : Appuyez sur 2 pour Set Interface(s) IP address Choisir (OPT1) DMZ : 3 <Entrée> (Nous avons adapté l’adresse pour notre réseau tel que 192.168.32.1/24).

(15)

(16) Création des machines C1_siege et W1_siege Choix du système d’exploitation pour C1_siege Windows est le système d’exploitation le plus utilisé en entreprise et le plus démocratiser ensuite car Windows 7 sera bientôt obsolète car la prise en charge va se stopper en mi-janvier 2020 ainsi le support et les mises à jour ne seront plus assuré. Cela pourrait engendrer des problèmes de sécurité c’est pourquoi Windows 10 serait le plus adapté pour les besoins des clients.. Installation client Windows 10 Lancez Windows sur la machine virtuelle cela va vous amener sur l'écran de sélection de langue, choisissez français puis suivant :. Par la suite Windows va vous demander votre clé d'activation vous cliquez “je n’ai pas de clé de produit”.

(17) Vous allez ensuite devoir choisir la version de Windows ici professionnel :.

(18) Acceptez la licence puis suivant :. Choisissez l’installation personnalisé :.

(19) Choisissez le lecteur et faites suivant :. Attendez la fin de la mise en place.

(20) Installation des pilotes Ensuite vous devrez installer les pilotes de la machine fournis par VirtualBox. Pour cela cliquez sur insérer l'image CD des addition invités.. Faites un double-clique sur le lecteur CD dont le nom est : VirtualBox Guest Additions..

(21) Puis lancez le fichier : VBoxWindowsAdditions.exe. Le programme d’installation de Oracle VM VirtualBox Guest Additions démarre. Cliquez sur autoriser..

(22) Puis cliquez sur installer.. Ce programme d'installation installera plusieurs pilotes fournis par Oracle Corporation. L'éditeur qui développe actuellement VirtualBox. Cochez la case Toujours faire confiance aux logiciels provenant d’Oracle Corporation et cliquez sur Installer..

(23) A la fin de l'installation, vous devrez redémarrer la machine virtuelle. Vous avez installé une VM Windows 10 avec ses drivers.. Configuration du proxy Il faudra ensuite configurer le proxy sans oublier de mettre le réseau du serveur en exception sur Mozilla..

(24) Installation de la machine C1_siege Installation du serveur web Un serveur web est une machine qui permet d’afficher des pages aux formats HTML statique et des pages dynamiques grâce aux « stacks » : services et applications web qui permettent d’interpréter, utiliser les langages web comme SQL, PHP,ASP.NET et écouter les requêtes HTTP. Installation interpréteur de langage PHP : Un interpréteur PHP permet d'exécuter des scripts PHP pour envoyer les données au serveur web qui les envoient ensuite au client. On l’installe grâce à la commande :. On vérifie que l’interpréteur PHP est bien installé en tapant php –version Installation serveur http :.

(25) Pour installer le serveur web Apache, nous allons installer le paquet apache2, en exécutant cette commande.. Emplacement du contenu du site : /var/www/html/. Nous pouvons désormais accéder à notre site web à l’adresse IP publique de notre poste. http://<ip publique du poste> ou http://localhost/ qui est l’adresse de rebouclage qui permet d’envoyer des données à soi-même..

(26) Modifier le fichier class.pdogsb.inc.php dans l’emplacement /var/www/html/ppe3/src/include pour afficher « identification utilisateur » sur le gsb. Ajoutez l’adresse IP de votre machine à la place de « localhost ».. Installation du serveur MySQL : Pour installer MySQL Server, exécutez la commande suivante dans un terminal..

(27) Après l’installation terminé, démarrer MySQL Server, exécutez la commande suivant dans un terminal .. Pour se connecter à MySQL Server, exécutez la commande suivante dans un terminal.. Pour créer un nouvel utilisateur sur MySQL Server, exécutez la commande suivante.. create user ‘nomUtilisateur’@’adressseIP’ identified by ‘motDePasse’; Pour donner les privilèges à un utilisateur sur MySQL Server, exécutez la commande suivante.. grant all on dataBase_Name.*to ‘username’@’adresseIp’identified by ‘motDePass’; Installation phpMyAdmin à partir des paquets Ubuntu : Etape 1 : mettre à jour l’index du package Premièrement, nous devons nous assurer que notre serveur local extrait les dernière mises à jour..

(28) Etape 2 : Installez le paquet phpMyAdmin Nous pouvons maintenant installer la dernière version de phpMyAdmin. Etape 3 : Configurer le paquet phpMyAdmin 1. Après avoir installé phpMyAdmin, vous verrez l’écran de configuration du paquet. 2. Appuyer sur la barre ESPACE pour placer un « * » à côté de « apache2 ». 3. Appuyez sur TAB pour mettre « OK » en surbrillance, puis appuyez sur ENTRER.. 4. Sélectionnez « Yes », puis appuyez sur ENTRER sur l’écran dbconfig-common..

(29) 5. Vous serez invité à saisir le mot de passe de votre administrateur de base de données. Tapez-le, appuyez sur la touche de tabulation pour mettre en surbrillance « OK » puis appuyez sur la touche ENTRER.. 6. Ensuite, entrez un mot de passe pour l’application phpMyAdmin elle-même.

(30) 7. Confirmez le mot de passe de l’application phpMyAdmin.. Une fois le processus d’installation terminé, le fichier de configuration phpMyAdmin est ajouté ici : /etc/apache2/conf-enabled/phpmyadmin.conf Accéder à phpMyAdmin : Maintenant, vous pouvez vous connecter à phpMyAdmin en allant dur votre serveur suivi de /phpmyadmin. Vous pouvez simplement utiliser http://YOUR_SERVER_IP/phpmyadmin ou localhost si les domaines ne sont pas encore configurés..

(31) Connectez- vous avec l’utilisateur root et le mot de passe que vous avez défini pour l’application phpMyAdmin.. Vous verrez maintenant le tableau de bord phpMyAdmin..

(32) Pour importer un fichier base de données dans phpMyAdmin. Allez sur le tableau de bord phpMyAdmin et appuyer sur l’onglet « Import ». Dans le fichier à importer, appuyer sur « Parcourir » et sélectionner le fichier dans l’emplacement situé..

(33) Test des services HTTP, FTP, SSH et appli test Depuis le client : SSH Putty.

(34)

(35) FTP Filezilla. HTTP Mozilla.

(36) Connexion du réseau à internet via R1_siege Vérification de l’accès des machines. Partie 2 : Accès commercial en clientèle Création d’une DMZ avec le PGI En quoi consiste Odoo ? Odoo est anciennement connu sous le nom d’OpenERP. C’est une solution Open Source proposant une vaste suite de modules permettant de s’adapter à toutes sortes et toutes tailles d’entreprises. Un ERP tel que Odoo est un programme de gestion d’entreprises, c’est-à-dire qu’il va permettre de centraliser les données et les informations essentielles. Cet outil collaboratif, qui une fois implanté dans l'entreprise va activement solliciter tous les services de l’entreprise et une collaboration à travers cet outil va être mis en place. Odoo est l’ERP le plus évolutif et le plus utilisé au monde. Pourquoi ? Tous simplement car il ne dispose pas de licence payante, ce qui en fait un réel atout, mais également, car il propose un grand nombre de modules pouvant être installés. Ces modules permettant de rendre cet outil absolument indispensable et complet pouvant s’intégrer à toutes sortes de sociétés et sa simplicité d’utilisation et son intuitivité le rendent utilisable par tous. Source : https://www.supinfo.com/articles/single/9272-presentation-erp-odoo 1er Étape : Installer PostgreSQL PostgreSQL est un système de base de données relationnel objet open source puissant et riche de plus de 30 années de développement actif qui lui a valu une solide réputation en matière de fiabilité, de robustesse des fonctionnalités et de performances. Odoo a besoin d’un serveur PostgreSQL pour fonctionner correctement. La configuration par défaut du paquet «deb» Odoo consiste à utiliser le serveur PostgreSQL sur le même hôte que votre instance Odoo. Exécutez la commande suivante en tant qu'utilisateur root pour installer le serveur PostgreSQL :. Et exécuter la commande suivant pour installer PostgreSQL :.

(37) 2ème Étape : Récupérer le repository de Odoo Odoo SA fournit un référentiel qui peut être utilisé avec les distributions Debian et Ubuntu. Exécuter la commande suivante en tant que root :. 3ème Étape : Ajouter le lien Odoo dans sources.list D’abord il faut créer le fichier odoo.list en exécutant la commande suivante :. Ouvrir le fichier odoo.list en exécutant la commande suivante :. Et insérer la ligne suivante :. 4ème Étape : Installer Odoo Exécuter la commande suivante :.

(38) Avant de lancer odoo, il est nécessaire de quitter le sudo -i (root), en écrivant dans le terminal « exit ». Pour lancer serveur odoo, taper simplement « odoo » dans le terminal, et il se lancera.. 5ème Etape : Problème de port Une erreur sera affichée « [Errni 98] Adresse déjà utilisée » Cette erreur nous montre un conflit avec le port. Pour remédier à ce problème, il existe 2 termes : 1ère terme : « TEMPORAIRE » cette manière est moins compliqué, mais suggère une commande en plus de Odoo à chaque lancement de Odoo. Pour ceci, il suffit de lancer odoo avec la commande « odoo –xmlrpc-port [PORT] », par exemple : « odoo –xmlrpc-port 8080 » (A savoir que pour la version 13 de Odoo, cette commande risque de poser des soucis avec la base de données) 2ème terme : Le terme « PERMANENT », c’est-à-dire qu’après avoir fait cette manière-là, il suffira simplement de lancer « odoo » avec le terminal. Nous devons modifier un fichier .conf, avec la commande : sudo nano /etc/odoo/odoo.conf. Une fois dedans, rajouter la ligne « http_port = [VOTRE PORT] »..

(39) 6ème Étape : Lancer Odoo avec la commande « odoo » dans le terminal. Et aller sur navigateur, taper sur la barre de recherche votre adresse IP local de votre machine suivie de votre port. Exemple : Adresse IP : Port. Vous allez être diriger dans l’interface Odoo.

(40)

(41) Redirection des postes du WAN vers la DMZ Nous devons autoriser la connexion entre les deux réseaux. Pour ce faire, nous avons créer une règle sur OPT1 (la DMZ – 192.168.32.1/24) qui autorise la connexion vers le WAN (10.1.4.107/16).. Et inversement, nous avons ajouter une règle dans le transfert de port depuis le NAT qui autorise la connexion du WAN vers la DMZ sur le port 81 pour le service HTTP.. Test des services HTTP, FTP et SSH depuis C1_siege vers la DMZ Depuis C1_siege qui se trouve dans le LAN (192.168.31.1), lorsque que l’on rentre l’adresse 192.168.32.100:81 (serveur PGI), la connexion s’établie correctement. Donc le service HTTP fonctionne..

(42) Mozilla Firefox étant configuré de cette manière :.

(43) Pour le FTP, nous avons utilisé le logiciel Filezilla. En indiquant l’adresse IP du serveur PGI (192.168.32.100) avec l’identifiant et le mot de passe, nous accédons bien au serveur avec ses fichiers..

(44) Et enfin pour le SSH, nous avons utilisé le logiciel Putty sur C1_siege. En indiquant l’adresse du serveur PGI, la connexion se fait correctement..

(45) Test de la redirection de C4 vers la DMZ Test du service HTTP et blocage de FTP et SSH DHCP C4 :. Pour que l'adresse du poste soit définie par le serveur DHCP, Vous allez devoir faire un clic droit sur les paramètres réseau puis cliquer sur ouvrir le centre de réseau et partage..

(46) Vous allez arriver sur cet écran, vous allez cliquer sur Ethernet.. Ensuite vous allez cliquer sur propriétés.

(47) Et après cliquez sur protocole internet version 4. Et enfin cocher la case obtenir une adresse IP automatiquement. Votre pc va maintenant obtenir une adresse IP automatiquement depuis le serveur DHCP..

(48) Depuis C4 nous avons entrer l’adresse IP du WAN (10.1.4.107:81) sur le port 81. Nous arrivons bien à avoir le site GSB..

(49) La configuration de Mozilla Firefox étant :.

(50) pfSense blocage FTP et SSH :. Partie 3 : Accès commercial à domicile Installation de C2_comm Installation d’OpenVPN sur PfSense Openvpn est un service vpn qui vas nous permettre d’accéder au réseau de l’entreprise depuis l’extérieur. Configuration openvpn server Allez dans le gestionnaire de certificat Autorité de certification : OpenVPN CA Longueur de clé : 2048 bit Durée de vie : 3650 Pour le code du pays, la ville, l’entreprise… renseignez les paramètres de votre routeur..

(51)

(52)

(53) Il vous faut en premier lieu sélectionner local user access dans VPN>OpenVPN>Assistants et sélectionner Local User Access. Autorité de certification: OpenVPN CA.

(54) certificat:OpenVPN Serveur Certificat. Vous allez ensuite arriver sur les paramètres généraux d'Openvpn interface:WAN protocole:UDP IPV4 only(par défaut) local part: laissez par défaut description: OpenVPN Authentification TLS: cocher Generate TLS Key:cocher DH Parameters Length : 2048 bit Encryption Algorithm : AES-256-CBC Auth digest Algorithm : SHA1 chiffrement matériel : Pas d'accélération cryptographique Réseau tunnel:Un sous non utilisé + CIDR (ici 192.168.40.0/24) IPv4 local:l’adresse de votre LAN + CIDR (ici 192.168.31.0/24) IP dynamique:coché topologie:sous réseau - une adresse par sous réseau.

(55)

(56)

(57) dans la page suivante il vous faudra cocher Firewall Rule et OpenVPN Rule ensuite next il vous pourrez sauvegarder vous allez ensuite sélectionner l'adressage IPV4 dans Pare-Feu>Règles>OpenVPN.

(58) Configuration des utilisateurs Il va ensuite falloir ajouter des utilisateurs autorisés à se connecter au vpn Les utilisateurs possèdent tous un certificat généré lors de la création de l’utilisateur Pour exporter le client il va falloir installer le paquet openvpn-client-export disponible dans System>Gestionnaire de paquet>paquet disponibles ensuite il vous faut créé un utilisateur dans Système>Gestionnaire d’Usager>Utilisateur.

(59) Configuration d’OpenVPN Serveur Configuration d’OpenVPN Client Démonstration du tunnel VPN entre C2 et R1 Depuis C2, nous ouvrons le fichier télécharger depuis pfSense afin d’installer OpenVPN avec sa configuration.. Une nouvelle icône apparaît permettant de lancer le VPN.. Une fois lancé, nous avons saisi les informations utilisateur afin de se connecter.. Une fois la connexion établie, nous apercevons notre nouvelle adresse IP (192.168.40.2) et sa présence confirme la réussite..

(60) En entrant l’adresse IP du serveur web (192.168.31.100), nous accédons bien au site GSB..

(61) Mozilla Firefox étant configuré de cette manière :. Pour Filezila (FTP), on indique l’adresse IP, l’identifiant et le mot de passe et l’on accède bien au serveur..

(62) Pour Putty (SSH), on indique l’adresse IP, l’identifiant et le mot de passe et l’on accède bien au serveur.. Partie 4 : Labo distant Tunnel VPN entre R2 et R1 Nous avons créé un 2ème routeur R2_labo. Pour son installation et sa configuration nous avons procédé de la même manière que pour R1_siege. Nous avons juste configuré le WAN en DHCP et le LAN en 192.168.33.1/24..

(63) Le pc C3 étant configuré avec l’adresse IP 192.168.33.10.. En lançant le VPN et en se connectant avec le deuxième compte (openvpn 2), la connexion s'établit correctement..

(64) Création serveur DHCP D1 Siège Définition DHCP : Le protocole DHCP (Dynamic Host Configuration Protocol : « Protocole de configuration dynamique des hôtes » est un service réseau TCP/IP. Il permet aux ordinateurs clients l'obtention automatique d'une configuration réseau. Il évite la configuration de chaque ordinateur manuellement. Les ordinateurs configurés pour utiliser DHCP n'ont pas le contrôle de leur configuration réseau qu'ils reçoivent du serveur DHCP. La configuration est totalement transparente pour l'utilisateur. Installation : L’installation fonction sur Ubuntu et Debian. Pour installer le serveur « isc-dhcp-server », exécuter la commande suivante :. Configuration : Vous devrez changer la configuration par défaut en éditant le fichier « /etc/dhcp/dhcpd.conf » pour la faire correspondre à vos besoins et configurations particulières..

(65) Nous pouvons maintenant demander à notre serveur de prendre en compte nos modifications :. Test de C1_siege en DHCP Création serveur DHCP D2_Labo Test de C3_Labo en DHCP. Installation de fail2ban W1 et W2 Fonctionnement de Fail2ban : Je vais commencer par vous expliquer rapidement ce qu’est Fail2ban et comment ce paquet fonctionne. Fail2ban e st un logiciel libre, vous pouvez le distribuer et/ou le modifier sous les t ermes de la licence GNU General Public License. Fail2ban e st un paquet qui est capable de lire et d’analyser des fichiers de logs de t oute sortes comme /var/log/apache*/*error.log ou /var/log/mail.err ou encore /var/log/auth.log.

(66) Lors de l’analyse de ces logs, il est capable de bannir pour une durée à déterminer les adresses IP qui auront obtenues un nombre (à paramétrer) d’échecs lors de l’authentification à l’un des daemons installés sur votre serveur. Une fois que Fail2ban a décidé de bannir une adresse IP, Fail2ban est alors capable de créer et de mettre à jour les règles du pare-feu de votre serveur. Il est donc capable d’écrire des règles IPTables de la forme suivante : iptables -I INPUT 1 -s AdresseIpBannie -j DROP. Installation et configurer Fail2ban : Pour installer le paquet Fail2ban, taper la commande suivante : Sudo apt-get install fail2ban Une fois le paquet installé, il est conseillé de paramétrer Fail2ban, pour cela il faut créer le fichier dans /etc/fail2ban/jail.d/custom.conf (ou un autre nom de votre choix) : Sudo nano /etc/fail2ban/jail.conf Afin d’y ajouter les valeurs suivantes en fonction de vos besoins :. ignoreip permet de définir la liste des IP à ignorer. Il est utile d'y mettre sa propre IP afin de ne pas risquer de se faire bannir.. findtime qui définit en secondes le temps depuis lequel une anomalie est recherchée dans les logs. Il ne faut pas mettre une valeur trop élevée (1 heure.

(67) suffit) sans quoi la quantité de logs à analyser pourrait devenir très importante et donc avoir un impact sur les performances. bantime = 600 où bantime est le temps en seconde pour lequel une adresse IP est bannie. maxretry = 3 où maxretry est le nombre d’échecs d’authentification à partir duquel Fail2ban doit rejeter une adresse IP. Pour activer la surveillance des connexion SSH, il suffit d'ajouter dans le fichier /etc/fail2ban/jail.d/custom.conf :. Relancez la configuration avec :.

(68) Vous pouvez alors vérifier si les prisons ont été correctement lancées avec :. Côté serveur vous pouvez également surveiller ce qu’il se passe avec la commande :. Vous pouvez aussi examiner les logs de fail2ban pour voir les action effectuées :.

(69)

(70) Procédure du changement des MDPs Solution proposée Pour sécuriser les mots de passes des différents comptes, nous allons les générer via le site de Dashlane. L’arrière-plan étant vert cela signifie le mot de passe est fort. https://www.dashlane.com/fr/features/password-generator. Annexes Tableau adressage IP. Page 70 sur 70.

(71)