IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Installation et sécurisation d'une station Debian 3.0 stable

15/05/2004

[ Précédent ] [ Sommaire ] [ Suivant ] [ Télécharger ]

4. SECURISATION MODEREE
4.1. Notes sur le boot du système et sur le noyau
4.2. Sécurisation du système de fichiers
4.3. Sécurisation des comptes
4.4. Recherche et modifications de droits de fichiers
4.5. Les administrateurs n'ont pas besoin de passer root
4.6. Synchronisation horaire avec un serveur NTP
4.7. Génération automatiséd'un rapport système
4.8. Installation et premiers pas avec Modular-Syslog
4.9. Vérification des empreintes des packages à installer
4.10. Système de fichiers ext3 avec un noyau 2.4 : de ext2 à ext3
4.11. Backup du système sur une partition spécifique
4.12. Préparation d'une restauration du système en cas d'incident


4. SECURISATION MODEREE



4.1. Notes sur le boot du système et sur le noyau


NDR : Il est futile d'indiquer qu'un individu avec un accès physique au serveur implique que le serveur est compromis.
Un seul noyau doit être chargeable lors de l'invite par défaut.
Tout passage de paramètre au noyau lors du boot doit être interdit.
Le chargement dynamique de modules devrait être interdit.
Dans le cas ou cela est impossible, appliquez un patch permettant de bloquer le chargement des modules après le boot.

Il peut également être intéressant de modifier la séquence d'amorcage du BIOS de facon à débuter par le chargement du MBR du disque dur.


4.2. Sécurisation du système de fichiers


NDR : Après ces modifications, n'oubliez pas que certaines partitions sont montées en lecture seule. Vous pouvez remonter une partition en lecture/ écriture avec (par exemple) : 

mount -o remount,rw /local
Editez le fichier /etc/fstab de facon à monter les partitions présentées en 1.5 selon le principe suivante : 

/dev/sda1       /       ext2    errors=remount-ro       0       1
/dev/sda2       none    swap    sw                      0       0
proc            /proc   proc    defaults                0       0
/dev/fd0        /floppy auto    noauto,nosuid,nodev     0       0
/dev/cdrom      /cdrom  iso9660 ro,noauto,nosuid,nodev  0       0
/dev/sda3       /boot   ext2    ro,noexec,nosuid,nodev  0       2
/dev/sda5       /root   ext2    defaults                0       2
/dev/sda6       /var    ext2    nodev                   0       2
/dev/sda7       /var/log ext2   noexec,nosuid,nodev,sync        0       2
/dev/sda8       /tmp    ext2    noexec,nosuid,nodev     0       2
/dev/sda9       /usr    ext2    ro,nodev                0       2
/dev/sda10      /home   ext2    nodev                   0       2
/dev/sda11      /local  ext2    ro,noexec,nosuid,nodev  0       2
Si vous avez procédé à la préparation d'une partition pour un serveur web : 

/dev/sda11  /var/www ext2   rw,nosuid,nodev		    0       2
/dev/sda12  /local   ext2   ro,noexec,nosuid,nodev      0       2
Si vous avez procédé à la préparation d'une partition pour un serveur was : 

/dev/sda11  /var/www ext2   rw,nosuid,nodev		    0       2
/dev/sda12  /var/was ext2   rw,noexec,nosuid,nodev      0       2
/dev/sda13  /local   ext2   ro,noexec,nosuid,nodev      0       2
Pour prendre en compte ces modifications, rebootez le système ou remontez les partitions.
Man : fstab, mount.


4.3. Sécurisation des comptes


Durcissement de la politique de mots de passe :
Modifiez le fichier /etc/login.defs de la facon suivante : 

LOG_OK_LOGINS yes
SULOG_FILE /var/log/sulog
ENV_PATH PATH=/usr/local/bin:/usr/bin:/bin
UMASK 027
PASS_MAX_DAYS 30
DEFAULT_HOME no
MAN : login.defs
Suppression des utilisateurs et groupes inutiles :

unalias userdel
for i in `echo games sync sys irc` ; do (echo -n "Removing user $i : " &&  \
  userdel $i 2> /dev/null && echo "done.") || echo "failed."; done
for i in `echo irc dialout fax  voice  audio  dip  video` ;  do  (echo  -n \
  "Removing group $i : " && groupdel $i 2>  /dev/null &&  echo "done.") || \
  echo "failed."; done
source ~/.bashrc
Désactivation des comptes inutiles : 

for i in `echo lp list uucp news proxy postgres www-data nobody` ; do (echo\
  -n "Falsing $i : " && chsh -s /bin/false  $i &&  echo  "done.")  ||  echo\
  "failed."; done
MAN : userdel, chsh, false
Réappropriation des fichiers non affectés (N'oubliez pas les permissions du système de fichier /usr !) :

for i in `find / -nouser -o -nogroup` ; do echo  "Giving  $i  to  root" && \
  chown root:root $i && chmod 600 $i; done
Déconnexion des comptes en inactivité :
Ajoutez/Modifiez les lignes suivantes dans le fichier /etc/profile : 

export TMOUT=300
umask 027
Aggrégation des comptes dans des groupes :

Tous les comptes utilisateurs doivent faire partie de groupes appropriés. Nous nous basons dans ce documents sur deux groupes existant, mais cette déclinaison est arbitraire.

Le groupe adm est réservé aux administateurs (voir 4.5. Les administrateurs n'ont pas besoin de passer root).
Le groupe users est réservé aux utilisateurs non administrateurs.

Modifiez /etc/adduser.conf pour faire figurer : 

USERGROUPS=no
DIR_MODE=0700
Modification des squelettes de création de compte : 

/etc/skel/.bash_profile :
	umask 027
	if [ -f ~/.bashrc ]; then
	   source ~/.bashrc
	fi
	if [ -f ~/.alias ]; then
	   source ~/.alias
	fi

  /etc/skel/.alias :
	alias   ls='ls --color=auto'
	alias   md='mkdir'
	alias   rd='rmdir'
	alias   l='ls'
	alias   ll='l -l'
	alias   la='ll -a'
	alias   rm='rm -i'
	alias   cp='cp -i'
	alias   mv='mv -i'
Ajoutez les fichiers suivants : 

/etc/skel/.bash_logout :
	case "`tty`" in
	  /dev/tty[0-9]) clear
	esac

  /etc/skel/.inputrc :
	set bell-style none
Donnez les droits : 

chmod 640 /etc/skel/.bash_logout /etc/skel/.inputrc'
Mettez en place la méthode de suppression de comptes :
Modifiez /etc/deluser.conf pour faire figurer : 

REMOVE_HOME = 1
BACKUP = 1
Créez le répertoire de backup des comptes supprimés : 

mkdir /home/system/deleted_accounts
chown root:adm /home/system/deleted_accounts
chmod 1750 /home/system/deleted_accounts
Créez le fichier suivant : 

mount -o remount,rw /usr
/usr/local/sbin/deluser.local : 

#!/bin/sh
  if [ -d /home/system/deleted_accounts ] && [ $1 ]
  then
  
	echo "  deluser.local :"
	echo "  Moving $1.tar.bz2 to /home/system/deleted_accounts..."
  
	if  [ $PWD ]   &&  [ $PWD != "/home/system/deleted_accounts" ]  && \
  [ -f $1.tar.bz2 ]
	then
	  mv $1.tar.bz2 /home/system/deleted_accounts/$1.tar.bz2
	fi
  
	if [ -f /home/system/deleted_accounts/$1.tar.bz2 ]
	then
	  echo  "    Giving  admins  permissions  to  /home/system/deleted_\
	accounts/$1.tar.bz2"
	  chown root:adm /home/system/deleted_accounts/$1.tar.bz2
	else
	  echo "  Error : $1.tar.bz2 is no regular file !?!?!"
	fi
  
  else
  
	echo "deluser.local error:"
	if [ $1 ]
	then
	  echo "No backup directory to store $1.tar.bz2."
	else
	  echo "Error in arguments !?!?!"
	fi
  fi
Puis : 

chmod 700 /usr/local/sbin/deluser.local
mount -o remount,ro /usr

4.4. Recherche et modifications de droits de fichiers


Recherche de tous les fichiers sgid et suid : 

cd /root/tmp
find / -type f \( -perm -004000 -o -perm -002000 \) -exec ls -la {} \;  2> \
  /dev/null > sguid_original_list.txt
Suppression du flag suid/sgid quand cela n'est pas indispensable : 

mount -o remount,rw /usr/
for i in `echo /bin/ping /bin/mount /bin/umount /usr/bin/at /usr/bin/newgrp\
  /usr/bin/chfn   /usr/bin/chsh   /usr/bin/gpg   /usr/bin/lpq  /usr/bin/lpr\
  /usr/bin/lprm /usr/bin/mtr`; do  echo "Removing  sguid bit  from  $i." &&\
  chmod -s $i ; done
mount -o remount,ro /usr/
Note : Attention à ces suppressions de privilèges si vos démons en ont besoin.

Restreignez l'usage de l'utilitaire cron en créant un fichier /etc/cron.allow:

touch /etc/cron.allow
chmod 640 /etc/cron.allow
=> Pour qu'un utilisateur soit autorisé à utiliser l'utilitaire cron et ses dérives, vous devrez l'enregitrer dans ce fichier.

MAN : cron, crontab


4.5. Les administrateurs n'ont pas besoin de passer root


Installation de sudo : 

mount -o remount,rw /usr/
dselect => Installez le package sudo
mount -o remount,ro /usr/
Ajoutez les utilisateurs ADMINISTRATEURS requis {UserName} dans le groupe adm:

usermod -g {UserName} -G adm,users {UserName}
Configuration de sudo :
Lancez visudo et éditez le fichier de facon à ajouter (raccourcis vi) : 

# Cmnd alias specification
Cmnd_Alias REBOOT=/sbin/reboot
%adm ALL=NOPASSWD:REBOOT
MAN : usermod, sudoers visudo, sudo


4.6. Synchronisation horaire avec un serveur NTP


Installez les packages requis. 

mount -o remount,rw /usr
dselect et installation des packages ntp, ntpdate, ntp-simple et ntp-doc :
  * Ne pas specifier de serveur NTP
  * Overwrite ntp.conf : Yes.
mount -o remount,ro /usr
Configurez le client ntp et le nouveau flux au niveau du firewall :
Ajoutez l'adresse IP de votre serveur NTP dans /etc/default/ntp-servers Ajoutez l'adresse IP de votre serveur dans le fichier de configuration du firewall. 

/etc/init.d/init_ipchains.sh restart
Stoppez le démon NTP et exécutez la synchronisation 

/etc/init.d/ntp stop
update-rc.d -f ntp remove
/etc/init.d/ntpdate start
Ajoutez un appel au client ntp toutes les 6 heures dans /etc/crontab : 

# Met a jour la date et l'heure du système grâce au serveur NTP
0 */6 * * * root /etc/init.d/ntpdate start > /dev/null
MAN : ntpdate


4.7. Génération automatiséd'un rapport système


Le script présent en annexe 'ANNEXE 2 - Génération automatisée de rapport système' peut être éxécute par la crontab à intervalles périodique. Il génère un rapport système succinct qui peut être envoyé par mail aux administrateurs ou stocké dans un répertoire.

NDR : Attention à respecter l'indentation !

NDR : Je vous conseille de vérifier le script de façon à ce qu'il n'exécute que les commandes que vous désirez. Ainsi, le script récupère par exemple les fichiers de logs présentés en '4.8. Installation et premiers pas avec Modular-Syslog'.

Installation du script (nous utilisons le script présent en annexe qui envoie le rapport par mail) : 

mkdir /home/system/scripts/reports/
chmod 750 /home/system/scripts/reports/system_report.sh
Configuration de /etc/crontab pour lancer le script tous les jours à 09H00 AM: 

# Genere le rapport system
0 9 * * * root /home/system/scripts/reports/system_report.sh
chmod 640 /etc/crontab

4.8. Installation et premiers pas avec Modular-Syslog


Modular-Syslog est disponible à : http://sourceforge.net/projects/msyslog/

Compilation :

cd /home/system/applis
/usr/bin/md5sum /home/system/download/msyslog-v1_08e-src_tar.gz 
  c3700571c675d8896c643c276f5e2dad     /home/system/download/msyslog-v1_08e\
	-src_tar.gz
tar zxvf /home/system/download/msyslog-v1_08e-src_tar.gz
find ./msyslog-v1.08e/ -type f \( -perm -004000 -o -perm -002000 \)  -exec \
  ls -la {} \;
chown -R root:root msyslog-v1.08e/
cd msyslog-v1.08e/
./configure
make
NDR : Vous pouvez très bien décider, si vous en comprennez l'intérèt de modifier le chemin du fichier de configuration par défaut avant de compiler le démon modular-syslog.

Installation : 

mount -o remount,rw /usr/
make install
On sauvegarde l'ancien syslogd et son fichier de configuration : 

cp /etc/syslog.conf /etc/syslog.conf.orig2
cp /sbin/syslogd /sbin/syslogd.orig
On remplace l'ancien syslogd par le notre : 

mv /usr/local/sbin/syslogd /sbin/syslogd
chown root:root /sbin/syslogd && chmod 755 /sbin/syslogd
mount -o remount,ro /usr/
On modifie le script d'initialisation du démon /etc/init.d/sysklogd : 

SYSLOGD="-i linux -i unix"
On stoppe le démon klogd dont nous nous passerons désormais : 

/etc/init.d/klogd stop
On le supprime des runlevels correspondants : 

update-rc.d -f klogd remove
On redémmare le nouveau démon syslogd : 

/etc/init.d/sysklogd start
Correction du script syslogd-listfiles :

Ce script permet de lister les fichiers de logs pour permettre leur rotation. Il se sert pour cela du fichier de configuration /etc/syslog.conf. Or, ce fichier de configuration peut désormais contenir des lignes au format modular-syslog, ce qui empêche une rotation correcte.

Le patch est disponible en 'ANNEXE 3 - syslogd-listfiles.msyslog.patch' 

mount -o remount,rw /usr/
cp /usr/sbin/syslogd-listfiles /usr/sbin/syslogd-listfiles.orig
cd /usr/sbin
patch -l -p0 < /root/tmp/syslogd-listfiles.msyslog.patch
mount -o remount,ro /usr/
MAN : syslogd, syslog.conf, im_* , om_* , syslogd-listfiles

Premiers pas avec Modular-Syslog :

NDR : Si vous ajoutez des fichiers de log dans la configuration, prenez garde à faire un touch du fichier destination dans le répertoire concerné. Nous ajoutons deux régles qui permettent de filtrer les messages envoyés par le firewall ipchains à /etc/syslog.conf ainsi que deux régles permettant : l'enregistrement des evenements liés aux demandes de connexion et les évenèments libsafe. 

#
# Filtres Modular-Syslog
#
# Filtres sur les evenements du firewall
kern.*	       %regex -m "Packet log.*LogDrop" %classic \
	/var/log/fw_deny.log
kern.*	       %regex -m "Packet log.*LogAcc"  %classic \
	/var/log/fw_accept.log
# Filtres sur divers evenements sécurité
auth,authpriv.*  %regex -m "(sshd.*password)|(PAM.*ssh)|(PAM.*su)\
	|(PAM.*failure)" %classic /var/log/sécurité.log
auth,authpriv.*  %regex -m "libsafe.so" %classic /var/log/sécurité.log
auth.*	       %regex -m "not receive identification" %classic\
	/var/log/sécurité.log
kern.*           %regex -m "Security" %classic /var/log/sécurité.log
kern.* 	       %regex -m "device.*promiscuous" %classic\
	/var/log/sécurité.log
Nous mettons en place les fichiers destination et redémarrons le serveur syslog :

touch /var/log/{sécurité,fw_{deny,accept}}.log
chown root:adm /var/log/{sécurité,fw_{deny,accept}}.log
Et si votre umask n'est pas conforme à celui de cette doc : 

chmod 640 /var/log/{sécurité,fw_{deny,accept}}.log
/etc/init.d/sysklogd restart
Prise en compte des nouveaux fichiers pour la rotation des logs :

Nous créons (s'il n'existe pas) un répertoire qui nous servira à stocker nos scripts appellés par la crontab et dont l'objectif est d'assurer la stabilité du système : 

mkdir /home/system/scripts/crond
Nous éditons un fichier /home/system/scripts/crond/sysklogd (à l'image de celui présent dans /etc/cron.daily) : 

#! /bin/sh
 
  test -x /usr/sbin/syslogd-listfiles || exit 0
  test -x /sbin/syslogd || exit 0
  test -d /usr/share/doc/sysklogd || exit 0
  set -e
 
  cd /var/log
  for SECU in `syslogd-listfiles -a | grep -E "fw|secu"`
	do
	   if [ -s $SECU ] ; then
		 savelog -g adm -m 640 -u root -c 7 $SECU > /dev/null   
	   fi
	done
  /etc/init.d/sysklogd reload-or-restart

chmod 750 /home/system/scripts/crond/sysklogd
Nous éditons /etc/crontab pour ajouter ce script : 

# Tourne les logs sécurité chaque jour
5 0 * * * root /home/system/scripts/crond/sysklogd

4.9. Vérification des empreintes des packages à installer


Consultez d'abord : 'I. INFORMATIONS SUR LA GESTION DE PACKAGES DEBIAN - Mise à jour du système avec apt'

[ A compléter ] 

mount -o remount,rw /usr
dselect => installation de 'debsums'
mount -o remount,ro /usr       

mkdir /home/system/debsums
cd /home/system/debsums
Obtenez la liste des packages ne possédant pas de signature :

/usr/bin/debsums -l > nosig.txt
NDR : Si vous voulez vérifier les empreintes des fichiers d'un package :

debsums -s package_name.
MAN : debsums


4.10. Système de fichiers ext3 avec un noyau 2.4 : de ext2 à ext3


Pour modifier le système de fichier d'une partition de facon à passer de ext2 à ext3, sans perte de données et sans reboot (si votre noyau est déja compilé avec ce support bien sur), vous pouvez suivre la procédure suivante.

Commencons par recompiler le noyau en ajoutant le support ext3 : Ajoutez 'File systems -> Ext3 journalling file system support'. Recompilez et installez le nouveau noyau. Modifiez /etc/lilo.conf Rebootez. Après le reboot, n'oubliez pas de mettre à jour la configuration lilo et de sauvegarder la configuration du noyau.

Prenons comme exemple la partition /backup du type (précisé dans /etc/fstab) suivant : 

/dev/hda13 /backup ext2 ro,noexec,nosuid,nodev,sync 0 2
La procédure à suivre est la suivante : 

umount /dev/hda13
tune2fs -j /dev/hda13
Editez /etc/fstab pour remplacer l'ancienne ligne /dev/hda13 par :
  /dev/hda13 /backup auto ro,noexec,nosuid,nodev,sync 0 2
mount /dev/hda13

4.11. Backup du système sur une partition spécifique


Nous présentons ici un moyen de sauvegarde des données système sur une partition réservée à cet usage.

Le backup du systéme est réalisé par un script 'fait maison' permettant une sauvegarde complète ou incrémentale des fichiers/répertoires à sauvegarder et autorisant le backup chiffre (avec openssl) des répertoires/fichiers parametrés.

Ne sont pas presentes ici : La restauration du système à partir des données sauvegardées. Reférez vous à la partie '4.12. Préparation d'une restauration du système en cas d'incident'. L'accès à cette partition depuis un serveur distant pour un stockage de backup spécialisé. Vous pouvez vous reférer à 'VII. INSTALLATION D'UN SERVEUR SAMBA POUR UNE GESTION DE BACKUP' pour un accès Netbios via Samba. Vous devez avoir une partition /dev/sda13 dans /etc/fstab du type : 

/dev/sda13  /backup ext2   ro,noexec,nosuid,nodev,sync  0  2
				
  mkdir /home/system/scripts/backup
  Et installez le  script /home/system/scripts/backup/system_backup.sh  présente
  en 'ANNEXE 8 - Script de backup'.
  chmod 750 /home/system/scripts/backup/system_backup.sh
Editez le script pour configurer les fichiers ou répertoires que vous désirez sauvegarder en modifiant la variable 'BACKUP_FROM' :

Créez un fichier '/home/system/scripts/backup/include_but_ciphered' qui contiendra les fichiers ou répertoires que vous voulez ajouter dans l'archive chiffrée. Ce fichier doit exister mais peut être vide si vous ne voulez pas utiliser cette fonctionnalité :
NDR : Le backup chiffre est toujours en mode 'full'. Le script de backup effectuant un 'cd /', configurez ce fichier en supprimant le premier '/' devant le chemin vers votre fichier/répertoire. J'ai personnellement renseigné ce fichier de la manière suivante :
/home/system/scripts/backup/include_but_ciphered : 

etc/gshadow	
etc/gshadow-
etc/passwd
etc/passwd-
etc/samba/smbpasswd
etc/shadow
etc/shadow-
var/backups
NDR : Est il trivial d'indiquer que : vous devriez noter le mot de passe de chiffrement que vous utilisez dans le script ? le script ne doit être accessible que par root ? Créez un fichier '/home/system/scripts/backup/exclude' qui contiendra les fichiers ou répertoires que vous ne désirez pas sauvegarder par rapport aux arborescences que vous aurez définies dans la variable 'BACKUP_FROM'.
NDR : Ce fichier doit exister mais peut être vide si vous ne désirez rien exclure. Le script de backup effectuant un 'cd /', configurez ce fichier en supprimant le premier '/' devant le chemin vers votre fichier/répertoire. J'ai personnellement renseigné ce fichier de la manière suivante : 

usr/src
var/lock
var/run
var/tmp
Créez un fichier '/home/system/scripts/backup/cpioed' qui contiendra les répertoires dont vous souhaitez conserver les localisations et permissions grâce à une archive cpio. Ce fichier doit exister mais peut être vide si vous ne désirez rien exclure. Le script de backup effectuant un 'cd /', configurez ce fichier en supprimant le premier '/' devant le chemin vers votre fichier/répertoire. SEULS LES REPERTOIRES INDIQUES SONT SAUVEGARDES ! J'ai personnellement renseigné ce fichier de la manière suivante (je ne tiens pas à sauvegarder /usr/src) : 

backup
cdrom
floppy
initrd
local
lost+found
mnt
opt
proc
tmp
var/lock
var/run
var/tmp
Lancez le script pour le premier backup : 

/home/system/scripts/backup/system_backup.sh
Backup: Full backup
Backup:   Remounting rw /backup
Backup:     Backuping /backup/full_060503-144947/bin_060503-144947.tar.gz
Backup:       Hash : c8f1b2863146f03ef686fa04d1fd0da5\
	/backup/full_060503-144947/bin_060503-144947.tar.gz
Backup:     Backuping /backup/full_060503-144947/boot_060503-144948.tar.gz
Backup:       Hash : 4bfd31759e05e14ed65b63dee26feb8d\
	/backup/full_060503-144947/boot_060503-144948.tar.gz
Backup:     Backuping /backup/full_060503-144947/dev_060503-144950.tar.gz
Backup:       Hash : e5fd2dd7df68aba2f176faed07f44cd5\
	/backup/full_060503-144947/dev_060503-144950.tar.gz
Backup:     Backuping /backup/full_060503-144947/etc_060503-144951.tar.gz
Backup:       Hash : 348d9dd3f309c23703a3c24c83dda609\
	/backup/full_060503-144947/etc_060503-144951.tar.gz
Backup:     Backuping /backup/full_060503-144947/home_060503-144952.tar.gz
Backup:       Hash : 5495f04c230f7feaecb893f879297753\
	/backup/full_060503-144947/home_060503-144952.tar.gz
Backup:     Backuping /backup/full_060503-144947/lib_060503-144954.tar.gz
Backup:       Hash : dce418f7fd12bd9621f5429141eaddbb\
	/backup/full_060503-144947/lib_060503-144954.tar.gz
Backup:     Backuping /backup/full_060503-144947/root_060503-144957.tar.gz
Backup:       Hash : 012a1be6fb9686c6ca49c3edd8a94c38\
	/backup/full_060503-144947/root_060503-144957.tar.gz
Backup:     Backuping /backup/full_060503-144947/sbin_060503-144958.tar.gz
Backup:       Hash : 0bf5b00b86826e195a9de88ef8d68a9f\
	/backup/full_060503-144947/sbin_060503-144958.tar.gz
Backup:     Backuping /backup/full_060503-144947/usr_060503-144959.tar.gz
Backup:       Hash : f3ec8f659a17daa0cb318d0f687d632c\
	/backup/full_060503-144947/usr_060503-144959.tar.gz
Backup:     Backuping /backup/full_060503-144947/var_060503-145357.tar.gz
Backup:       Hash : e200713da542da4c1bb0e8910b6aa76f\
	/backup/full_060503-144947/var_060503-145357.tar.gz
Backup:     Backuping excluded files into a cpio archive
Backup:       Hash : a323d013c942bf30a6e0c76f5ae2ed2b\
	/backup/full_060503-144947/excluded.cpio
Backup:     Backuping /home/system/scripts/backup/include_but_ciphered\
  files
Backup:       Ciphering /backup/full_060503-144947/\
	ciphered_060503-145357.tar.gz
Backup:       Removing /backup/full_060503-144947/\
	ciphered_060503-145357.tar.gz
Backup:       Hash : 228dc72dd72ab99b2e58e3d083e72e5f\
	/backup/full_060503-144947/\
	ciphered_060503-145357.tar.gz.des3
Backup:   Syncing disks
Backup:   Remounting ro /backup
ll -R /backup/
      /backup/:
      total 28
      drwxr-x--- 2 root  root       4096 May  6 14:54 full_060503-144947
      -rw-r----- 1 root  root         94 May  6 14:49 full_060503-144947.log
      -rw-r----- 1 root  root       1023 May  6 14:54 full_060503-144947.md5
      		
      /backup/full_060503-144947:
      total 335096
      -rw-r----- 1 root  root    1016158 May  6 14:49 bin_060503-144947.tar.gz
      -rw-r----- 1 root  root    4390293 May  6 14:49 boot_060503-144948.tar.gz
      -rw-r----- 1 root  root     592280 May  6 14:54 ciphered_060503-145357\
      .tar.gz.des3
      -rw-r----- 1 root  root      57067 May  6 14:49 dev_060503-144950.tar.gz
      -rw-r----- 1 root  root     478588 May  6 14:49 etc_060503-144951.tar.gz
      -rw-r----- 1 root  root      65024 May  6 14:54 excluded.cpio
      -rw-r----- 1 root  root    1152206 May  6 14:49 home_060503-144952.tar.gz
      -rw-r----- 1 root  root    2298150 May  6 14:49 lib_060503-144954.tar.gz
      -rw-r----- 1 root  root     418679 May  6 14:49 root_060503-144957.tar.gz
      -rw-r----- 1 root  root    1203847 May  6 14:49 sbin_060503-144958.tar.gz
      -rw-r----- 1 root  root   285132220 May  6 14:53 usr_060503-144959.tar.gz
      -rw-r----- 1 root  root   45928823 May  6 14:54 var_060503-145357.tar.gz

    du -ch /backup/
      328M    /backup/full_060503-144947
      328M    /backup
      328M    total
Vous avez désormais dans /backup : Une sauvegarde 'full' des fichiers ou répertoires que vous avez spécifiés. Un fichier de log contenant les erreurs rencontrées - vide si aucune erreur. Un fichier d'empreinte md5 des archives créées pour chaque fichier/répertoire specifié. Dans /home/system/scripts/backup/.last_done (ou dans le fichier que vous avez vous meme specifie), vous avez la date de ce dernier backup.

Note : Les 328M de sauvegarde full réalisée précédemment l'ont été en environ ~5 minutes sur un PIII 700 avec 160Mo de RAM.

Vous pouvez désormais réaliser un backup incrémental des données sauvegardées précédemment.

En appelant à nouveau le script : 

Backup: Incremental backup beginning : Tue May  6 14:49:47 CEST 2003
Backup:   Remounting rw /backup
Backup:     Backuping /backup/incr_060503-152213/bin_060503-152213.tar.gz\
  (incremental)
Backup:       Hash : 081a6113dd90eb892d01548cd7179b62\
	/backup/incr_060503-152213/bin_060503-152213.tar.gz
Backup:     Backuping /backup/incr_060503-152213/\
  boot_060503-152213.tar.gz (incremental)
Backup:       Hash : ae60b98501c0978f362e2f7826b671a5\
	/backup/incr_060503-152213/boot_060503-152213.tar.gz
Backup:     Backuping /backup/incr_060503-152213/\
  dev_060503-152213.tar.gz (incremental)
Backup:       Hash : 3dcc660a2a296b8356ffa29d4c52d8d1\
	/backup/incr_060503-152213/dev_060503-152213.tar.gz
Backup:     Backuping /backup/incr_060503-152213/\
  etc_060503-152214.tar.gz (incremental)
Backup:       Hash : b9649a2474ec6f8858841fa4eb3f1e5b\
	/backup/incr_060503-152213/etc_060503-152214.tar.gz
Backup:     Backuping /backup/incr_060503-152213/\
  home_060503-152214.tar.gz (incremental)
Backup:       Hash : b91a69fceb9d176050d69fd300850d26\
	/backup/incr_060503-152213/home_060503-152214.tar.gz
Backup:     Backuping /backup/incr_060503-152213/\
  lib_060503-152214.tar.gz (incremental)
Backup:       Hash : 718f76f85543429bbd32df86ce23e5b7\
	/backup/incr_060503-152213/lib_060503-152214.tar.gz
Backup:     Backuping /backup/incr_060503-152213/\
  root_060503-152214.tar.gz (incremental)
Backup:       Hash : d357d47b59e75595087ab7d8cba58fdb\
	/backup/incr_060503-152213/root_060503-152214.tar.gz
Backup:     Backuping /backup/incr_060503-152213/\
  sbin_060503-152214.tar.gz (incremental)
Backup:       Hash : 1688044981053d9e8e0d333509c54149\
	/backup/incr_060503-152213/sbin_060503-152214.tar.gz
Backup:     Backuping /backup/incr_060503-152213/\
  usr_060503-152214.tar.gz (incremental)
Backup:       Hash : 2f95fb3bb6b8d9a0ab247bde96611baf\
	/backup/incr_060503-152213/usr_060503-152214.tar.gz
Backup:     Backuping /backup/incr_060503-152213/\
  var_060503-152223.tar.gz (incremental)
Backup:       Hash : 668d117769137b003cf427394d65b1a3\
	/backup/incr_060503-152213/var_060503-152223.tar.gz
Backup:     Backuping /home/system/scripts/backup/\
  include_but_ciphered files
Backup:       Ciphering /backup/incr_060503-152213/\
	ciphered_060503-152223.tar.gz
Backup:       Removing /backup/incr_060503-152213/\
	ciphered_060503-152223.tar.gz
Backup:       Hash : 9d11b72e4bfa25cbf81b4295717133cf /backup/\
	incr_060503-152213/ciphered_060503-152223.tar.gz.des3
Backup:   Syncing disks
Backup:   Remounting ro /backup
ll -R /backup/
  /backup/:
  total 36
  drwxr-x--- 2 root  root       4096 May  6 15:22 incr_060503-152213
  -rw-r----- 1 root  root          0 May  6 15:22 incr_060503-152213.log
  -rw-r----- 1 root  root        949 May  6 15:22 incr_060503-152213.md5
  
  /backup/incr_060503-152213:
  total 656
  -rw-r----- 1 root  root        166 May  6 15:22 bin_060503-152213.tar.gz
  -rw-r----- 1 root  root        196 May  6 15:22 boot_060503-152213.tar.gz
  -rw-r----- 1 root  root     592280 May  6 15:22 \
  ciphered_060503-152223.tar.gz.des3
  -rw-r----- 1 root  root        352 May  6 15:22 dev_060503-152213.tar.gz
  -rw-r----- 1 root  root       2179 May  6 15:22 etc_060503-152214.tar.gz
  -rw-r----- 1 root  root       1344 May  6 15:22 home_060503-152214.tar.gz
  -rw-r----- 1 root  root        543 May  6 15:22 lib_060503-152214.tar.gz
  -rw-r----- 1 root  root        275 May  6 15:22 root_060503-152214.tar.gz
  -rw-r----- 1 root  root        167 May  6 15:22 sbin_060503-152214.tar.gz
  -rw-r----- 1 root  root      29773 May  6 15:22 usr_060503-152214.tar.gz
  -rw-r----- 1 root  root       7973 May  6 15:22 var_060503-152223.tar.gz
Un simple 'tar ztvf {archive}.tar.gz | grep -v " 0 "' vous donnera la liste des fichiers qui ont été modifiés et pris en compte lors de cette sauvegarde incrémentale.

Vous pouvez appeler le script avec l'option '-f' : cela le forcera à suivre la procédure de sauvegarde 'full' en ne tenant pas compte du contenu du fichier '.last_done'.

Nous pouvons maintenant éditer notre fichier /etc/crontab pour appeler notre script de backup : 

# Backup Full du système toutes les semaines à 00H30
30 0 * * 7 root /home/system/scripts/backup/system_backup.sh -f

# Backup incrémental du système toutes les 6 heures a xx:15
15 */6 * * * root /home/system/scripts/backup/system_backup.sh
Nous modifions également /etc/syslog.conf pour que les messages de backup soient consignés dans notre fichier de log sécurité : 

syslog.notice        %regex -m "Backup" %classic /var/log/sécurité.log
Puis : 

/etc/init.d/sysklogd restart
MAN : tar, gzip


4.12. Préparation d'une restauration du système en cas d'incident


Notre objectif est de préparer un moyen de restauration du système simple à mettre en place et rapide à mettre en oeuvre en cas d'incident. Nous allons pour ce faire créer une 'image' de notre système que nous graverons sur un CD. Dans le cas d'un crash, il sera possible de booter sur le CD et de restaurer le système.

NDR : La création de cette image nécessite l'installation du package mkisofs (n'installez pas le package cdrecord sauf si vous disposez d'un graveur sur la station) et l'ajout du support 'Block devices -> Loopback device support' au noyau. Vous devriez dédier une station à cet usage et non installer ces fonctionnalités sur votre serveur de production. L'espace disque requis est d'environ 1Go (~650Mo environ, mais il vaut mieux voir large :>). Nous allons tout d'abord créer un système de fichier root contenant les binaires nécessaires à l'exécution du CD puis ajouter nos archives dans un répertoire et pour finir utiliser un script qui exécutera la restauration du système.
Pour ce faire, nous allons nous baser sur les fichiers fournis dans le jeu de CD Debian.

Récupération des fichiers nécessaires au boot et d'un système de fichier root minimal :

NDR : Je vais par la suite utiliser la partition /local comme partition de travail. Cette partition est, si vous avez suivi cette documentation, une partition Ext2 inutilisée et occupant l'espace disque restant après installation du système.

Insérez le CD numero 1 de votre jeu Debian et montez le cdrom (/cdrom dans notre exemple). 

mount -o remount,rw /local
mkdir /local/Debian
cp /cdrom/isolinux/isolinux* /local/Debian
cp /cdrom/isolinux/idepci.bin /local/Debian
mkdir /local/Debian/kernel
cp /cdrom/install/linpci /local/Debian/kernel/
Editez le fichier isolinux.cfg : 

TIMEOUT 0
PROMPT 1
DEFAULT /kernel/linpci
APPEND root=/dev/ram ro initrd=idepci.bin ramdisk_size=16384\
	disksize=1.44 flavor=idepci
LABEL linux
	kernel /kernel/linpci
DISPLAY isolinux.txt
Editez le fichier isolinux.txt :
Debian-Secinst v0.1.5 Boot CD

Modification du système de fichier root original :

Nous montons maintenant le système de fichier root original : 

cd /local
cp Debian/idepci.bin .
gunzip -S ".bin" idepci.bin
mount -t ext2 idepci /mnt/ -o loop
Modification de l'initialisation du CD pour executer notre script de restauration : 

cd /mnt/
Editez le fichier etc/inittab : 

# main setup program
<::respawn:/sbin/udbootstrap
>::respawn:-/restore.sh
Clavier Français et alias : 

cd /mnt/etc/
tar zxvf keymaps.tgz i386/azerty/fr-latin1.bmap
echo "/sbin/loadkmap < /etc/i386/azerty/fr-latin1.bmap" > profile
echo "alias l='ls'" >> profile
echo "alias ll='l -l'" >> profile
echo "alias la='ll -a'" >> profile
echo "alias cp='cp -i'" >> profile
echo "alias rm='rm -i'" >> profile
echo "alias mv='mv -i'" >> profile
Ajout du binaire cpio : 

cd /mnt
cp /lib/libnsl.so.1 ./lib/
cp /bin/cpio ./bin/
Ajout d'un binaire tar compilé en statique :
Récupérez la version 1.13.25 sur l'un des miroirs de www.gnu.org.
Compilez la en statique (avec le support uclibc par exemple) ou tout simplement avec : 

env LDFLAGS=-static ./configure
make LDFLAGS=-static

cd /mnt
mv ./bin/tar ./bin/oldtar
Copiez votre nouveau binaire dans /mnt/bin/tar
chmod 755 /mnt/bin/tar
Ajoutez le script de restauration présent en 'ANNEXE 9 - Script de restauration' à la racine (/mnt/restore.sh) et donnez lui les droits 

chmod 755 /mnt/restore.sh'.
Ajout des informations de backup :

NDR : Ces informations sont évidemment celles du système à restaurer et non celles du système sur lequel vous créez ce CD ! 

mkdir /mnt/backup && chmod 755 /mnt/backup
Editez le fichier '/mnt/backup/server_infos' (ou le fichier que vous avez configuré dans le script de restauration) pour ajouter les informations que vous jugerez utile. Par exemple (/mnt/backup/server_infos) : This backup was created for {HOSTNAME} the 5 of May at 12:03. The server backuped is a Apache/Websphere server.

Ajoutez les fichiers suivants dans '/mnt/backup' : un fichier 'disk_name' contenant le nom de votre périphérique (ex : /dev/sda). un fichier 'fdisk_script' contenant les instructions à suivre pour créer les partitions sur le disque (voir 'ANNEXE 10 - Exemple de script Fdisk') un fichier 'fstab_file' du type de celui obtenu par la commande : grep -E "ext|swap" /etc/fstab | awk '{ print $1" "$2" "$3 }' => Les points de montage logique (fd0, cdrom et proc) ne sont pas obligatoires. => Seuls les supports ext2 et swap sont geres pour l'instant. un fichier 'lilo_file' : copie de votre /etc/lilo.conf a restaurer => Attention au mot de passe en clair !!! un fichier 'partitions_table' : résultat de la commande '/sbin/fdisk -l' démontez le système de fichier et sauvegardez le : 

cd /local
umount -d /mnt
gzip -S ".bin" idepci
mv idepci.bin Debian/
On ajoute maintenant le backup de notre système :
Connectez vous au système à sauvegarder et lancez un backup full via le script de backup fourni en 'ANNEXE 8 - Script de backup' ou récuperez les archives de votre dernier backup full. Sur la station que vous utilisez pour créer le cdrom de backup, créez le répertoire '/local/Debian/archives' et copiez vos archives à sauvegarder à l'intérieur (en respectant le nommage des archives en .tar.gz ou .cpio !). Une fois cette copie éffectuée, créez un fichier /local/Debian/archives/infos.txt contenant les chemins vers les fichiers qui seront présents dans /mnt/archives/ (une fois le système de fichier monté par le script de restauration). Je vous reccomande de créer ce fichier à la main plutôt que d'utiliser un find. J'ai personnellement renseigné ce fichier de la manière suivante (Notez la présence de var_xxx avant usr_xxx) :

/mnt/archives/infos.txt :
	/mnt/archives/bin_070503-153510.tar.gz
/mnt/archives/boot_070503-153511.tar.gz
/mnt/archives/dev_070503-153513.tar.gz
/mnt/archives/etc_070503-153514.tar.gz
/mnt/archives/home_070503-153515.tar.gz
/mnt/archives/lib_070503-153517.tar.gz
/mnt/archives/root_070503-153520.tar.gz
/mnt/archives/sbin_070503-153520.tar.gz
/mnt/archives/var_070503-153925.tar.gz
/mnt/archives/usr_070503-153522.tar.gz
/mnt/archives/deciphered_070503-153925.tar.gz
/mnt/archives/excluded.cpio
NDR : Je vous reccomande bien entendu de comparer le md5sum des fichiers générés par votre script de backup avec le md5sum des fichiers copiés sur la station utilisée pour créer l'ISO et de renouveller cette opération pour les fichiers qui seront présents sur le CD gravé.

Dans /local/Debian/archives, vous devez avoir un fichier protégé par le mot de passe présent dans votre script de backup. Déprotegez ce fichier avant de procéder à la création de l'ISO NDR : J'insiste sur le fait que ce CD de restauration contient une sauvegarde de fichiers critiques et doit être protégé physiquement !!!

Préparation de l'ISO :
Préparation de l'image iso à graver : 

cd /local
mkisofs -o debian.iso -b isolinux.bin -c boot.cat -no-emul-boot\
	-boot-load-size 4 -boot-info-table -l -r Debian/
Vous avez désormais une image 'debian.iso' que vous pouvez graver sur un CD.

Ce CD sera bootable et vous donnera accès au menu suivant :

Debian-Secinst v0.1.5 Restore script

Enter alt-[F1-F4] to : have this menu, have a shell, look at the logs.
To reboot : ctrl-alt-del
				
      -------
      
      This backup was created for {HOSTNAME} the 25 of April at 16:52.
      
      The server backuped is a Apache/Websphere server.
      
      -------
      
      Menu
       (1) : Show actual partition table.
       (2) : Show backuped partition table.
       (3) : Show backuped fstab file.
       *****
       (4) : Write the backuped partition table to disk.
       (5) : Format disk using backuped fstab file.
       (6) : Mount disk partitions using backuped fstab file.
       (7) : Restore the system.
       (8) : Lilo the system using backuped lilo file.
       (9) : Syncing and unmounting restored system.
       *****
       (A) : Automated script (4-5-6-7-8-9).

       What do you want ?
NDR : La restauration du système pris comme en exemple en '4.11. Backup du système sur une partition spécifique' m'a pris 15 minutes sur un PIII 500 avec 128 Mo de RAM.

[ Précédent ] [ Sommaire ] [ Suivant ] [ Télécharger ]
Copyright (c) 2003 Simon Castro, scastro [ at ] entreelibre.com.

Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with the Invariant Sections being LIST THEIR TITLES, with the Front-Cover Texts being LIST, and with the Back-Cover Texts being LIST.
You must have received a copy of the license with this document and it should be présent in the fdl.txt file.
If you did not receive this file or if you don't think this fdl.txt license is correct, have a look on the official http://www.fsf.org/licenses/fdl.txt licence file.