Auteur : starmate

23 mai 2019 /

Création d’un partage entre un hyperviseur KVM et une de ses machines virtuelles

Activation de samba
systemctl enable smb nmb
systemctl start smb nmb
Virbr0 est le bridge linux créé par libvirt lors de son installation, il faut l'identifier
ip a show dev virbr0
SI on veut modifier l'adresse de virbr0
virsh net-edit default
On crée le partage et le compte utilisateur pour s'y connecter
mkdir /partage_vm
useradd -m -d /partage_vm partage
chown -R partage /partage_vm
chmod g+w /partage_vm
smbpasswd -a partage
On declare le partage dans le ficher /etc/samba/smb.conf
[global]
       workgroup = WorkGroup
       netbios name = Host
       server string = serveur %h (Samba %partagevm)
       # On souhaite n'autoriser l'accès que via certaines interfaces réseau
       bind interfaces only = Yes
       interfaces = 127.0.0.1, 192.168.122.1
       log file = /var/log/samba/log.%m
       max log size = 100

[partage_vm]
       path = /partage_vm/
       public = no
       browsable = yes
       valid users = partage
       guest ok = no
       writable = yes
       printable = no
       hide files = /lost+found/
       hide unreadable = yes
       # on force les permissions
       create mask = 777
       force create mode = 777
       security mask = 777
       force security mode = 777
On redemarre samba et on ouvre les ports samba
systemctl restart nmb.service smb.service 
firewall-cmd --add-service=samba --permanent --add-source=192.168.122.1/24
Test du serveur depuis l'hyperviseur
smbclient //192.168.122.1/partage_vm -U partage
Si SELinux est actif dans un dossier specifique
semanage fcontext -a -t samba_share_t '/partage_vm(/.*)?'
restorecon -R /partage_vm
Si SELinux est dans /home
setsebool -P samba_enable_home_dirs on
Pour vérifier le contexte de SELinux
ls -Z /partage_vm
-rw-rw-r--. partage partage unconfined_u:object_r:samba_share_t:s0 truc.txt

Sur la VM, le dossier est accessible à l’adresse \\ip_de_virbr0\partage_vm

 

23 mai 2019 /
for i in {1..65535}; do (echo < /dev/tcp/127.0.0.1/$i) &>/dev/null && printf "\n[+] Port Ouvert \n: \t%d\n" "$i" || printf "."; done
25 avril 2019 /
Avec tree
tree -ihafF / | tr '[]' ' '| sort -k1hr | head -20
Avec find
find / -type f -exec du -h {} \; | sort -rh | head -20
28 mars 2019 /

Tout d’abord, assurez-vous que tous vos paquets système sont à jour en exécutant les commandes apt-get suivantes dans le terminal

sudo apt update
sudo apt upgrade

On va désactiver l’IPv6 via sysctl

vi /etc/sysctl.conf

On ajoute les lignes suivantes à la fin du fichier

net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
net.ipv6.conf.<nom_de_linterface>.disable_ipv6 = 1

Pour que les modifications soient prises en compte

sysctl -p

On peut également le désactiver via GRUG

vi /etc/default/grub

On modifie les paramètres  « GRUB_CMDLINE_LINUX » et « GRUB_CMDLINE_LINUX_DEFAULT » pour ajouter « ipv6.disable = 1 »

GRUB_CMDLINE_LINUX="ipv6.disable=1"
GRUB_CMDLINE_LINUX_DEFAULT="ipv6.disable=1"

On met à jour la configuration de GRUB et on redémarre

update-grub
systemctl reboot 
24 janvier 2019 /

Le 22 janvier 2019, Debian a publié un avis de sécurité (Référence: CERTFR-2019-ALE-001) indiquant que leur gestionnaire de paquets était vulnérable à une injection de code.

Par défaut, les mises à jour sont récupérées en HTTP. Toutefois des vérifications sont effectuées en local afin de vérifier l’intégrité des fichiers récupérés.

Un attaquant en position d’intercepteur actif (Man In The Middle) peut injecter un paquet malveillant qui sera considéré comme valide. Cette vulnérabilité n’est présente que dans le cadre de l’utilisation de redirections par APT.

Le logiciel APT s’exécute avec un niveau de privilège élevé, une attaque réussie garanti donc à l’attaquant une compromission totale du système.

Il s’agit donc d’une vulnérabilité sérieuse, d’autant plus qu’elle impacte directement le mécanisme de mise à jour. Il est nécessaire d’appliquer le correctif tout en minimisant les risques d’exploitation.

Uniquement dans le cadre de cette mise à jour, Debian recommande de désactiver les redirections par les commandes suivantes

apt -o Acquire::http::AllowRedirect=false update;
apt -o Acquire::http::AllowRedirect=false upgrade

Toutefois, cela peut ne pas fonctionner lorsque l’on est placé derrière un proxy et que l’on cherche à atteindre le miroir security.debian.org.

Dans ce cas, il est possible d’utiliser la source suivante : http://security-cdn.debian.org/debian-security/

Si la mise à jour d’APT sans la désactivation des redirections est impossible, il est alors recommandé de télécharger manuellement le paquet. Il convient ensuite d’effectuer la vérification d’intégrité avant de l’installer.

Source