Openbsd

Nous allons l’installer par la méthode des ports BSD. Pour cela, allez dans le répertoire /usr/ports

Recherchons où se trouve le port MySQL:
$make search name=mysql

Installation du client MySQL
$make && make install clean

Installation du serveur MySQL
Au préalable il faut paramétrer la variable SUBPACKAGE nécessaire pour indiquer qu’on sous installer le server MySQL. $make show=FLAVORS ne donne rien, cherchons dans les SubPackages:
$make show=MULTI_PACKAGES
-server -tests

Ceci nous donne la valeur de la variable SUBPACKAGE à paramétrer enfin de compiler notre port MySQL Server…
$env SUBPACKAGE="-server" make install clean

C’est partit…

Démarrage du démon MySQL
Une fois l’installation terminée, démarrons le serveur:
#/usr/local/bin/mysqld_safe &

Configuration pour un démarrage automatique du serveur MySQL
Editons le fichier rc.local et insérons les lignes suivantes:
echo 'Starting Mysql daemon'
if [ -x /usr/local/bin/mysqld_safe ]; then
/usr/local/bin/mysqld_safe > /dev/null & echo -n ‘ mysql’

ou tout simplement: /usr/local/bin/mysqld_safe

Changement de mot de passe root de MySQL
#mysqladmin -u root password 'newpassword'

Voila… votre serveur MySql est opérationnel sur votre Open BSD box, amusez-vous bien

Voici des éléments pour renforcer la sécurité de votre serveur SSH sur OpenBSD. Les modifications s’appliquent au fichier sshd_conf.

Limitation d’accès aux utilisateurs ou groupes d’utilisateurs
Les arguments à compléter au choix sont: AllowUsers, AllowGroups, DenyGroups, DenyUsers.
Vous pouvez aussi restreindre les accès en fonction des adresses IP source: tartanpion@10.0.145.5 sourisdidi@10.0.12.23

Bloquer l’authentification via PAM
ChallengeResponseAuthentication est permis par défaut, ce qui authorise l’authentification avec le mode PAM et ceux spécifiés dans le fichier /etc/login.conf. Si vous n’utilisez ni PAM ni le mécanisme décrits dans le fichier login.conf, changer ChallengeResponseAuthentication à No.

Authentification par password
N’utilisez l’authentification par mot de passe que si cela est strictement nécessaire. Préférez l’utilisation de clés publiques qui sont beaucoup plus sûres et j’insiste sur ce point. Changez dans ce cas le paramètre PasswordAuthentication à No.

Authentification root
Pour bloquer l’authentification directe en superutilisateur ou root, changez l’argument de PermitRootLogin à No.

Protocole SSH
Les protocoles ssh versions 1 et 2 sont authorisées par défaut. Si vous n’utilisez pas le protocole 1 restreignez les connexions ssh au Protocol 2 uniquement.

Redirection X11 ou X11 Forwarding avec SSH
X Window System ou X11 ou encore tout simplement X permet l’affichage graphique en local ou à distance de votre serveur pour faire simple… Si vous n’utilisez pas X en redirection, désactivez les fonctionnalités X11Forwarding et X11UseLocalhost en les mettent à No.

Finalement pour que vos modifications soient prises en compte, relancez le démon sshd: killall -HUP sshd

Le SHELL est l’outil en ligne de commande le plus basique utilisé par un administrateur Unix digne de ce nom. Le plus commun est le bash sur les systèmes BSD. Mais il n’est pas le seul qui existe pour le superutilisateur root ou le user de base.

Il y a en autres, le C Shell ou csh et sa variante plus complexe le tcsh que nous allons aborder ici.

Historique et Auto-complétion
Vous pouvez utiliser les touches fléchées Haut, Bas et la tabulation pour vous faciliter la tâche.
Les touches Haut et Bas servent à naviguer parmi l’historique des commandes saisies précédemment.

La tabulation permet de compléter une commande ou un mot.
Par exemple en entrant sur le client Shell netst et Tab :
#nets
vous obtiendrez:
#netstat

Vous voyez, c’est assez pratique et efficace

Pour lister l’historique complet des commandes, utilsez la commande history ou simplement h:
srv1# h
1 9:06 sockstat
2 9:06 pwd
3 9:07 cd /usr/ports/
4 9:07 make search name=postfix
5 9:19 netstat
6 10:28 h

La commande point d’exclamation ! ou Bang!
Elle permet de récupérer une commande précise dans l’historique ou de compléter une commande précédemment entrée
srv1# !5
netstat
Active Internet connections
Proto Recv-Q Send-Q Local Address Foreign Address (state)
Proto Recv-Q Send-Q Local Address Foreign Address (state)
udp 0 0 srv1.39442 ns.lunique.fr.ntp
udp 0 0 localhost.noublo.biff *.*
udp 0 0 srv1.24489 eth0-castralrock.ntp
udp 0 0 srv1.16805 goelette.net.ntp
udp 0 0 srv1.12455 rtr-001.dsi13.ne.ntp

srv1~ !p
pwd
/usr/ports

Se déplacer plus rapidement dans les répertoires
Vous connaissez la commande cd, comme tout le monde. Mais saviez-vous que vous pouviez revenir au répertoire précédent gràce à un seul paramètre ?
Essayez cette commande magique et regardez le résultat:
~cd -

Utilisation de l’historique dans vos commandes
Vous pouvez utiliser les paramètres de la commande précédente dans celle que vous êtes en train de saisir dans votre CLI (Command Line Interface) avec l’argument !$.

Exemple:
#touch /tmp/dir/test.txt
#vi !$ vous éditera le fichier test.txt dans le répertoire /tmp/dir/. Génial, no ?

Voici comment configurer rapidement OpenBSD en tant que client NTP pour avoir toujours votre système on time…

Pour lancer le démon ntpd automatiquement au démarrage de votre serveur OpenBSD:
#vi /etc/rc.conf
Modifiez la variable suivante: ntpd_flags=”-s”

L’argument -s signifie qu’au démarrage, le démon ntpd va forcer la synchronisation de son l’heure sur les serveurs NTP listés dans ntpd.conf.

Configuration des serveurs NTP
Ajoutez les lignes suivantes au fichier ntpd.conf:
server 0.fr.pool.ntp.org
server 1.fr.pool.ntp.org
server 2.fr.pool.ntp.org
server 3.fr.pool.ntp.org

Brièvement, voici les étapes importantes pour installer Snort connecté à Mysql sous une machine OpenBSD.

Installation de snort via la méthode les ports:

Recherche du répertoire correspondant au port snort:

#cd /usr/ports

#make search name=snort

Installation du port snort:

#cd /usr/ports/net/snort

#make && make install && make clean

Par défaut le port installe les fichiers de configuration dans le répertoire /etc/snort.

Installation des règles ou rules de snort afin de filtrer les paquets:

Sur le site Web de snort, récupérez la version de l’archive correspondant à la version de votre port snort. Sous OpenBSD 4.0, il s’agit de snort-2.4.5p0 par défaut.

#cd /etc/snort
#wget http://www.snort.org/pub-bin/downloads.cgi/Download/vrt_pr/snortrules-pr-2.4.tar.gz

# tar xzf snortrules-pr-2.4.tar.gz

Le répertoire /etc/snort/rules est ansi créé avec les fichiers de configuration des rules de snort.

Préparation de MySQL pour snort:

Création de la base snort:

#mysql -u root -p

sql>

Configuration de snort: le fichier snort.conf

OpenBSD est un système d’exploitation libre de type Unix, dérivé de 4.4BSD. Créé en 1994 par Theo de Raadt, OpenBSD est issu de la séparation avec NetBSD, le plus ancien des trois autres principaux systèmes d’exploitation de la famille des BSD aujourd’hui en activité. Le projet OpenBSD est réputé pour son intransigeance sur la liberté du logiciel et du code source, la qualité de sa documentation, et l’importance accordée à la sécurité et la cryptographie intégrée.

OpenBSD inclut un certain nombre de mesures de sécurité absentes ou optionnelles dans d’autres systèmes d’exploitation. Ses développeurs ont pour tradition de réaliser des audits de code à la recherche de problèmes de sécurité et de bugs. Le projet suit des politiques strictes sur les licences et préfère la licence open source BSD et ses variantes : dans le passé, ceci a conduit à un audit exhaustif des licences et des remplacements, voir des suppressions de codes sous licences considérées comme moins acceptables.

À l’instar de la plupart des systèmes d’exploitation basés sur BSD, le noyau d’OpenBSD et ses programmes utilisateurs, tels que le shell et les outils habituels comme cat et ps, sont développés dans un seul et même dépôt CVS. Les logiciels tiers sont disponibles en paquets binaires, ou peuvent être compilés depuis leurs sources grâce à la collection des ports.

OpenBSD fonctionne sur 16 plate-formes matérielles différentes, notamment alpha, amd64, armish, hp300 (HP 9000 séries 300 et 400), hppa, i386, luna88k, mac68k, macppc (Power Macintosh), mvme68k, mvme88k, sgi, sparc, sparc64 (machines UltraSPARC), vax, zaurus. L’architecture cats ne sera plus supportée après la version 4.0. OpenBSD supporte également l’émulation des binaires SVR4 (Solaris), FreeBSD, Linux, BSD/OS, SunOS et HP-UX.

OpenBSD est actuellement en version 4.0, sortie le 1^er novembre 2006. Le projet est coordonné par Theo de Raadt de sa maison à Calgary, Alberta, Canada, et la mascotte du projet est Puffy, un poisson-lune.