Catégorie : Mémo
23 mai 2019 /

Dossier partagé dans KVM

Création d’un partage entre un hyperviseur KVM et une de ses machines virtuelles

1. Activation de samba

systemctl enable smb nmb
systemctl start smb nmb
2. Identifier le bridge libvirt
ip a show dev virbr0
3. Modifier l’adresse du réseau default (virbr0)
virsh net-edit default
4. Création du répertoire partagé et du compte utilisateur Samba
mkdir /partage_vm
useradd -m -d /partage_vm partage
chown -R partage /partage_vm
chmod g+w /partage_vm
smbpasswd -a partage
5. Configuration dans /etc/samba/smb.conf
[global]
        workgroup = WorkGroup
        netbios name = Host
        server string = serveur %h (Samba %partagevm)
        # On souhaite n’autoriser l’accès que via certaines interfaces réseau
        bind interfaces only = Yes
        interfaces = 127.0.0.1, 192.168.122.1
        log file = /var/log/samba/log.%m
        max log size = 100

[partage_vm]
        path = /partage_vm/
        public = no
        browsable = yes
        valid users = partage
        guest ok = no
        writable = yes
        printable = no
        hide files = /lost+found/
        hide unreadable = yes
        # on force les permissions
        create mask = 777
        force create mode = 777
        security mask = 777
        force security mode = 777
6. Redémarrage Samba et ouverture firewall
systemctl restart nmb.service smb.service 
firewall-cmd --add-service=samba --permanent --add-source=192.168.122.1/24
firewall-cmd --reload
7. Test du partage depuis l’hyperviseur
smbclient //192.168.122.1/partage_vm -U partage
8. Correction SELinux pour un dossier spécifique
semanage fcontext -a -t samba_share_t '/partage_vm(/.*)?'
restorecon -R /partage_vm
9. Autoriser Samba dans /home avec SELinux
setsebool -P samba_enable_home_dirs on
10. Vérification du contexte SELinux
ls -Z /partage_vm
-rw-rw-r--. partage partage unconfined_u:object_r:samba_share_t:s0 truc.txt

Sur la VM, le dossier est accessible à l’adresse \\ip_de_virbr0\partage_vm

 
23 mai 2019 /

Scanner tous les ports ouverts (sans programme externe) 

for i in {1..65535}; do (echo < /dev/tcp/127.0.0.1/$i) >/dev/null 2>&1 && printf "\n[+] Port Ouvert \n: \t%d\n" "$i" || printf "."; done
25 avril 2019 /

Trouver les 20 fichiers les plus gros

1. Avec tree (liste les 20 plus gros éléments par taille)
tree -ihafF / | tr '[]' ' ' | sort -k1hr | head -20
2. Avec find (liste les 20 plus gros fichiers uniquement)
find / -type f -exec du -h {} \; 2>/dev/null | sort -rh | head -20
28 mars 2019 /

Désactiver IPV6 sur Ubuntu

Tout d’abord, assurez-vous que tous vos paquets système sont à jour en exécutant les commandes apt-get suivantes dans le terminal

1. Mise à jour du système
sudo apt update
sudo apt upgrade

On va désactiver l’IPv6 via sysctl

2. Éditer le fichier sysctl.conf
vi /etc/sysctl.conf

On ajoute les lignes suivantes à la fin du fichier

3. Lignes à ajouter à la fin de /etc/sysctl.conf
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
net.ipv6.conf.<nom_de_linterface>.disable_ipv6 = 1
(Remplace <nom_de_linterface> par le nom réel de ton interface réseau, ex. eth0, enp0s3, etc. Tu peux le trouver avec ip a.)

Pour que les modifications soient prises en compte

4. Appliquer les modifications sysctl immédiatement
sysctl -p

On peut également le désactiver via GRUG

5. Éditer le fichier de configuration GRUB
vi /etc/default/grub

On modifie les paramètres  « GRUB_CMDLINE_LINUX » et « GRUB_CMDLINE_LINUX_DEFAULT » pour ajouter « ipv6.disable = 1 »

6. Modifier (ou ajouter) ces lignes dans /etc/default/grub
GRUB_CMDLINE_LINUX="ipv6.disable=1"
GRUB_CMDLINE_LINUX_DEFAULT="ipv6.disable=1"
(Note : si d’autres paramètres existent déjà, ajoute simplement ipv6.disable=1 à la fin de la chaîne entre les guillemets.)

On met à jour la configuration de GRUB et on redémarre

7. Mettre à jour GRUB et redémarrer
update-grub
systemctl reboot
24 janvier 2019 /

Vulnérabilité du gestionnaire de paquets APT

Le 22 janvier 2019, Debian a publié un avis de sécurité (Référence: CERTFR-2019-ALE-001) indiquant que leur gestionnaire de paquets était vulnérable à une injection de code.

Par défaut, les mises à jour sont récupérées en HTTP. Toutefois des vérifications sont effectuées en local afin de vérifier l’intégrité des fichiers récupérés.

Un attaquant en position d’intercepteur actif (Man In The Middle) peut injecter un paquet malveillant qui sera considéré comme valide. Cette vulnérabilité n’est présente que dans le cadre de l’utilisation de redirections par APT.

Le logiciel APT s’exécute avec un niveau de privilège élevé, une attaque réussie garanti donc à l’attaquant une compromission totale du système.

Il s’agit donc d’une vulnérabilité sérieuse, d’autant plus qu’elle impacte directement le mécanisme de mise à jour. Il est nécessaire d’appliquer le correctif tout en minimisant les risques d’exploitation.

Uniquement dans le cadre de cette mise à jour, Debian recommande de désactiver les redirections par les commandes suivantes:
apt -o Acquire::http::AllowRedirect=false update
apt -o Acquire::http::AllowRedirect=false upgrade

Toutefois, cela peut ne pas fonctionner lorsque l’on est placé derrière un proxy et que l’on cherche à atteindre le miroir security.debian.org.

Dans ce cas, il est possible d’utiliser la source suivante : http://security-cdn.debian.org/debian-security/

Si la mise à jour d’APT sans la désactivation des redirections est impossible, il est alors recommandé de télécharger manuellement le paquet. Il convient ensuite d’effectuer la vérification d’intégrité avant de l’installer.

Source