Chapitre4

Conclusion et perspectives

Ce Stage de Fin d'Études vient clôturer ma formation à la faculté des sciences de Tunis, préparée en vue de l'obtention du Diplôme d'ingénieur en Informatique pour l'année universitaire 2015-2016.Il a été réalisé au sein de la société SOTUTECH et consiste à sécuriser, optimiser et virtualiser un serveur Linux .Tout au long de l'élaboration du projet, j'ai rencontré plusieurs difficultés aussi bien sur le niveau conceptuel que sur le niveau de la réalisation.Mais tout de même, j'ai réussi à les surmonter pour présenter à la fin une solution opérationnelle.En plus de cela ce projet m'a permit de maîtriser plusieurs environnements de travail et plusieurs techniques innovantes et d'exploiter mes connaissances théoriques et pratiques, que j'ai acquises tout au long de ma formation..D'autres parts, il m'a donné l'occasion d'enrichir ma formation.Je souhaite enfin que ce modeste travail apporte progrès, évolution et satisfaction aux responsables de la société SOTUTECH, aux membres du jury et aux étudiants intéressés par le sujet.

Les perspectives de ce travail sont nombreuses et les possibilités sont multiples comme par exemples :

Assurer la confidentialité et l'intégrité des données du clients.

Optimiser l'expérience du client avec la navigation.

faciliter les travaux de l'équipe de la société.

Ce projet pourrait être suivi par le développement d'une application mobile tel que android , ios afin d'être informer instantanément par tous les alertes et surveiller n'importe quand et où l'état des serveurs .

78

Annexe

B

Bridge

Configuration du bridge bro :

1- Ajout du bridge : nmcli c add type bridge autoconnect yes con-name br0 ifname br0

2- Définir IP pour br0 : nmcli c modify br0 ipv4.addresses 10.0.0.30/24 ipv4.method manual

3- Définir Passerelle pour br0 : nmcli c modify br0 ipv4.gateway 10.0.0.1

4- Définir DNS pour bro : nmcli c modify br0 ipv4.dns 10.0.0.1

5- Supprimer le réglage actuel : nmcli c delete eno16777736

6- Ajouter une interface à nouveau en tant que membre br0 : nmcli c add type bridge-slave autoconnect yes con-name eno16777736 ifname eno16777736 master br0 .

7- Redémarrage : reboot

Bacula

Configurer Bacula Server

Notre topologie est comme ci dessous :

79

FIGURE 4.1 - Topologie de backup avec bacula

1- Installation de Directeur et démon de stockage sur le serveur de contrôle Bacula : yum -y install bacula-director bacula-storage bacula-conso

2- Ajout de la base de données pour Bacula à MariaDB : /usr/libexec/bacula/grant-mysql-privileges -p , /usr/libexec/bacula/create-mysql-database -p , /usr/libexec/bacula/make-mysql-tables -p .

FIGURE 4.2 - Liste des tableaux de la base bacula

3- Configurer Bacula Director : il est configurable à partir des fichiers /etc/bacula/bacula-dir.conf , /etc/bacula/bconsole.conf , /usr/libexec/bacula/ make-catalog-backup.pl

, /etc/bacula/bacula-sd.conf .

Configurer Bacula client

Avant tout dans la poste client , il faut installer le client bacula qui es disponible pour linux et windows : yum -y install bacula-client bacula-console . Puis on configure le client bacula

80 Chapitre 4. Conclusion et perspectives

FIGURE 4.3 - Fichier de configuration du client bacula

E

Etckeeper

Installation et configuration

Etckeeper s'installe directement avec la commande "yum install etckeeper" , Une installation réussie de etckeeper installera automatiquement git et d'autres dépendances.on peut personnaliser la configuration de etckeeper en éditant le fichier de configuration situé à /etc/etckeeper/etckeeper.conf .

On peut faire traiter /etc/ comme une répertoire git de travail en exécutant les commandes suivantes : "cd /etc" , "etckeeper init" , la sous-commande "init" va créer un fichier nommé .gitignore et un répertoire nommé .git dans /etc/ .Le .gitignore contient une liste prédéfinie de fichiers et ne nécessite pas de gestion avec le contrôle de version. Si nécessaire,il inclus la possibilité d' ajout ou de suppression des noms de fichiers dans ce que vous voulez

81

FIGURE 4.4 - Liste des fichiers ignorés

Puis on Effectue le commit initial avec "etckeeper commit "<nom du comit >""

F

Fail2ban

Installation et configuration:

on installe fail2ban à l'aide du commande "yum install fail2ban", le fichier de configuration se situe sous /etc/fail2ban/ ,on le modifie selon nos besoins , par exemple le loglevel , niveau de détail des logs allant de 1 à 5 ,on le fixe à niveau intermediaire 3.on modifie aussi logtarget chemin vers le fichier de log.

Pour surveiller les services à assurer leurs sécurités comme ssh , apache ,mysql ..., il faut modifier la fichier jail.local de fail2ban selon des nécessites spécifiques .

FIGURE 4.5 - Configuration de fichier jail.conf

82 Chapitre 4. Conclusion et perspectives

Après modification de la configuration, n'oubliez pas de redémarrer fail2ban avec "Service fail2ban restart"

G

Git est un logiciel de gestion de versions décentralisé.

O

OSSEC

Installation OSSEC

On va le télécharger dans un répertoire temporaire

boucle - O http : // www.ossec.net/files/ossec-hids-2.8.1.tar.gz

Maintenant, on va Décompresser en utilisant cette commande:

tar - zxvf ossec *

On modifie dans le répertoire OSSEC , utilisant cd ossec * et on exécute

./ Installer . Sh

Configuration :

On doit décider si OSSEC fonctionne comme le serveur principal d'analyse (ser-

veur), un agent qui est en cours d'analyse par le serveur (agent) ou si cela est un

système autonome pas attaché à un plus grand réseau (local). Notez que le serveur

analyse également ses propres journaux, ainsi que les journaux de l'agent.

Les valeurs par défaut sont celles qu'on souhaite utiliser . Avoir l'adresse IP du

serveur pratique lorsque vous installez de nouveaux agents.

Une fois cela fait, assurez-vous que le démon OSSEC est redémarré à l'aide :

Service ossec restart

OSSEC va bloquer les attaques à chaque fois qu'ils se produisent, mais si un

attaquant persistant essaie quelque chose de un million de fois il finira par réussir.

OSSEC a une grande fonctionnalité pour éviter cela : la capacité de se rappeler

l'adresse IP d'un mec mal et le bloquer pour de plus longues durées. Il a appelé les

délinquants répétés.

Cela vous permet de spécifier la durée d'une IP est interdite (en minutes) et

d'augmenter l'intervalle que les attaques se déroulent. Malheureusement, l'option

est activée par défaut.

Pour l'ajouter manuellement, on ouvre

vim /etc/ossec/ossec.conf

et on ajoute les lignes suivantes

<actif-réponse> <repeated-offenders> 30,60,120,3600 </ repeated-offenders>

</ actif-réponse>

puis on redémarre ossec .

83

Snort

Installation et configuration

Sous Linux (comme sous windows) son installation est simple et se résume par les

commandes suivantes, une fois l'archive téléchargée de snort.org dans le répertoire

"/usr/local/snort" cd /usr/local/snort

tar -xvf SNORT-2.2.*.tar.gz

./configure mysql=/usr/lib/mysql make make install

Afin d'indiquer à snort la base où il doit envoyer ses alertes, il convient de modifier

la ligne suivante, dans le fichier de configuration "snort.conf" :

#output database :log,mysql,user=root password=test dbname=SNORT host=localhost

par

output database :log,mysql,user=***** password=****** dbname=snort host=37.59.*.*

Il faut ensuite créer la base SNORT ainsi que l'utilisateur user sous MySQL

insert into user values ('localhost', 'usersnort', password('password') , 'x', 'x',

'x', 'x', 'x', 'x', 'x'); grant ALL PRIVILEGES ON SNORT.* TO user@localhost

IDENTIFIED BY 'password' WITH GRANT OPTION;

Installation de snorby :

snorby est une application Ruby qui est utilisé pour afficher / rendre compte des

résultats de détection des logiciels de détection d'intrusion tels que Snort.

Avant d'installer Snorby nous devons installer cinq package prérequis :

yaml, ruby 1.9.x, des rails, imagemagick, wkhtmltopdf.

cd / usr/src/local/

wget pyyaml.org/download/libyaml/yaml-0.1.6.zip

unzip yaml.zip

cd yaml

./configure

make

sudo make install

cd /usr/src/local/

wget cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p547.tar.gz

tar -zxvf ruby-1.9.3-p547.tar.gz

cd ruby- 1.9.3-P547

./configure

make

sudo make install

sudo gem install rails

84 Chapitre 4. Conclusion et perspectives

sudo gem install nokogiri - -use-system-bibliothèques

sudo gem install bundler

cd /usr/src/local wget www.imagemagick.org/download/ImageMagick.tar.gz tar

-zxvf ImageMagick.tar.gz cd ImageMagick * ./configure

sudo make install

cd / usr / local / src

wget xJ wkhtmltoxlinuxmd640.12.0-03c001d.tar.xz

cd wkhtml *

sudo mv bin /wkhtmltopdf/usr/local/bin

Enfin, il est temps d'installer et configurer Snorby.

cd /usr/local/src locale

git clone https :// github.com/Snorby/snorby.git

cd snorby

sudo bundle installer -deployment

sudo cp /usr/local/src/snorby/config/database.yml.example /usr /local/src/snorby/config/datab

sudo cp /usr/local/src/snorby/config/snorbyconfig.yml.example /usr/local/src/snorby/config/sn

Enfin commencer tous les services nécessaires :

/etc/init.d/mysqld restart

/etc/init.d/httpd restart

/etc/init.d/snort start

/etc/init.d/snorby start

FIGURE 4.6 - Démarrage service snort

T

Tripwire

Installation et configuration

on l'installe à l'aide du commande "yum install tripiware"

Préparation essential avant la première utilisation de tripwire. il faut être root pour configurer Tripwire

.

Dans le répertoire tripwire : cd /etc/tripwire

Puis on fait une modification du fichier de configuration avant d'installer Tripwire . Faites une copie

de la première , bien sûr

cp /etc/tripiware/twpol.txt twpol.original.txt

cp twcfg.txt twcftoriginal.txt

maintenant changer :

"LOOSEDIRECTORYCHECKING =false" à "LOOSEDIRECTORYCHECKING =true"

Ce changement est nécessaire de se préparer pour la première fois le script est exécuté parce que tout

85

est sur votre ordinateur ne correspond pas au fichier de l'échantillon par défaut exactement . Après l' installation est terminée avec succès et le fichier de stratégie modifié , LOOSEDIRECTORYCHECKING devrait être restauré à "false"

FIGURE 4.7 - Initialisation tripwire

Apres avoir terminé la configuration de Tripwire ) , on peut le régénérer en exécutant la commande suivante : twadmin -print- polfile > /etc/tripwire/twpol.txt

assurez-vous que la base de données a été correctement changé , exécutez la première vérification de l'intégrité manuellement et afficher le contenu du rapport qui en résulte tripiware -check

FIGURE 4.8 - Vérification d'intégrité de fichier manuellement avec tripwire

Automatiser Tripwire avec Cron:

crontab -e puis on ajoute la ligne suivante

30 3 * * * /usr/sbin/tripwire -check | mail -s "Tripwire report for `uname -n`" sotutechsecurite@gmail.com

86