diff --git a/.editorconfig b/.editorconfig new file mode 100644 index 0000000..40a5218 --- /dev/null +++ b/.editorconfig @@ -0,0 +1,18 @@ +root = true + +[*] +end_of_line = lf +insert_final_newline = true +charset = utf-8 +trim_trailing_whitespace = true + +[*.{php,xsl}] +indent_style = space +indent_size = 4 + +[{*.{html,json,js},.travis.yml}] +indent_style = space +indent_size = 2 + +[*.yml] +trim_trailing_whitespace = false diff --git a/.gitignore b/.gitignore new file mode 100644 index 0000000..45c1505 --- /dev/null +++ b/.gitignore @@ -0,0 +1,3 @@ +_site +.sass-cache +.jekyll-metadata diff --git a/404.html b/404.html new file mode 100644 index 0000000..c472b4e --- /dev/null +++ b/404.html @@ -0,0 +1,24 @@ +--- +layout: default +--- + + + +
+

404

+ +

Page not found :(

+

The requested page could not be found.

+
diff --git a/Gemfile b/Gemfile new file mode 100644 index 0000000..7b8a8e4 --- /dev/null +++ b/Gemfile @@ -0,0 +1,31 @@ +source "https://rubygems.org" + +# Hello! This is where you manage which Jekyll version is used to run. +# When you want to use a different version, change it below, save the +# file and run `bundle install`. Run Jekyll with `bundle exec`, like so: +# +# bundle exec jekyll serve +# +# This will help ensure the proper Jekyll version is running. +# Happy Jekylling! +gem "jekyll", "~> 3.8.4" + +# This is the default theme for new Jekyll sites. You may change this to anything you like. +gem "minima", "~> 2.0" + +# If you want to use GitHub Pages, remove the "gem "jekyll"" above and +# uncomment the line below. To upgrade, run `bundle update github-pages`. +# gem "github-pages", group: :jekyll_plugins + +# If you have any plugins, put them here! +group :jekyll_plugins do + gem "jekyll-feed", "~> 0.6" + gem "jekyll-menus" + gem "jekyll-sitemap" +end + +# Windows does not include zoneinfo files, so bundle the tzinfo-data gem +gem "tzinfo-data", platforms: [:mingw, :mswin, :x64_mingw, :jruby] + +# Performance-booster for watching directories on Windows +gem "wdm", "~> 0.1.0" if Gem.win_platform? diff --git a/Gemfile.lock b/Gemfile.lock new file mode 100644 index 0000000..e1f1105 --- /dev/null +++ b/Gemfile.lock @@ -0,0 +1,87 @@ +GEM + remote: https://rubygems.org/ + specs: + addressable (2.5.2) + public_suffix (>= 2.0.2, < 4.0) + colorator (1.1.0) + concurrent-ruby (1.0.5) + em-websocket (0.5.1) + eventmachine (>= 0.12.9) + http_parser.rb (~> 0.6.0) + eventmachine (1.2.7-x64-mingw32) + ffi (1.9.25-x64-mingw32) + forwardable-extended (2.6.0) + http_parser.rb (0.6.0) + i18n (0.9.5) + concurrent-ruby (~> 1.0) + jekyll (3.8.4) + addressable (~> 2.4) + colorator (~> 1.0) + em-websocket (~> 0.5) + i18n (~> 0.7) + jekyll-sass-converter (~> 1.0) + jekyll-watch (~> 2.0) + kramdown (~> 1.14) + liquid (~> 4.0) + mercenary (~> 0.3.3) + pathutil (~> 0.9) + rouge (>= 1.7, < 4) + safe_yaml (~> 1.0) + jekyll-feed (0.11.0) + jekyll (~> 3.3) + jekyll-menus (0.6.0) + jekyll (~> 3.1) + jekyll-sass-converter (1.5.2) + sass (~> 3.4) + jekyll-seo-tag (2.5.0) + jekyll (~> 3.3) + jekyll-sitemap (1.2.0) + jekyll (~> 3.3) + jekyll-watch (2.0.0) + listen (~> 3.0) + kramdown (1.17.0) + liquid (4.0.0) + listen (3.1.5) + rb-fsevent (~> 0.9, >= 0.9.4) + rb-inotify (~> 0.9, >= 0.9.7) + ruby_dep (~> 1.2) + mercenary (0.3.6) + minima (2.5.0) + jekyll (~> 3.5) + jekyll-feed (~> 0.9) + jekyll-seo-tag (~> 2.1) + pathutil (0.16.1) + forwardable-extended (~> 2.6) + public_suffix (3.0.3) + rb-fsevent (0.10.3) + rb-inotify (0.9.10) + ffi (>= 0.5.0, < 2) + rouge (3.2.1) + ruby_dep (1.5.0) + safe_yaml (1.0.4) + sass (3.6.0) + sass-listen (~> 4.0.0) + sass-listen (4.0.0) + rb-fsevent (~> 0.9, >= 0.9.4) + rb-inotify (~> 0.9, >= 0.9.7) + thread_safe (0.3.6) + tzinfo (1.2.5) + thread_safe (~> 0.1) + tzinfo-data (1.2018.5) + tzinfo (>= 1.0.0) + wdm (0.1.1) + +PLATFORMS + x64-mingw32 + +DEPENDENCIES + jekyll (~> 3.8.4) + jekyll-feed (~> 0.6) + jekyll-menus + jekyll-sitemap + minima (~> 2.0) + tzinfo-data + wdm (~> 0.1.0) + +BUNDLED WITH + 1.16.4 diff --git a/_config.yml b/_config.yml new file mode 100644 index 0000000..fe1c4db --- /dev/null +++ b/_config.yml @@ -0,0 +1,40 @@ +# Welcome to Jekyll! +# +# This config file is meant for settings that affect your whole blog, values +# which you are expected to set up once and rarely edit after that. If you find +# yourself editing this file very often, consider using Jekyll's data files +# feature for the data you need to update frequently. +# +# For technical reasons, this file is *NOT* reloaded automatically when you use +# 'bundle exec jekyll serve'. If you change this file, please restart the server process. + +# Site settings +# These are used to personalize your new site. If you look in the HTML files, +# you will see them accessed via {{ site.title }}, {{ site.email }}, and so on. +# You can create any custom variable you would like, and they will be accessible +# in the templates via {{ site.myvariable }}. +title: Adire Wiki +email: contact@adire.eu.com +description: >- # this means to ignore newlines until "baseurl:" + Bienvenue sur la base de connaissance de la société Adire. +baseurl: "" # the subpath of your site, e.g. /blog +url: "" # the base hostname & protocol for your site, e.g. http://example.com + +# Build settings +markdown: kramdown +theme: minima +plugins: + - jekyll-feed + - jekyll-menus + +# Exclude from processing. +# The following items will not be processed, by default. Create a custom list +# to override the default setting. +# exclude: +# - Gemfile +# - Gemfile.lock +# - node_modules +# - vendor/bundle/ +# - vendor/cache/ +# - vendor/gems/ +# - vendor/ruby/ diff --git a/_data/menus.yml b/_data/menus.yml new file mode 100644 index 0000000..1fc9df6 --- /dev/null +++ b/_data/menus.yml @@ -0,0 +1,13 @@ +header: + - title: AWS + identifier: aws + weight: 1 + - title: Git Documentation + identifier: git + weight: 2 + - title: Ubuntu + identifier: ubuntu + weight: 3 + - title: Solr + identifier: solr + weight: 4 diff --git a/_layouts/default.html b/_layouts/default.html new file mode 100644 index 0000000..e4aca0d --- /dev/null +++ b/_layouts/default.html @@ -0,0 +1,54 @@ + + + + + + {% include head.html %} + + + + + + + + +
+ {{ content }} +
+ + {% include footer.html %} + + + + + + + diff --git a/favicon.ico b/favicon.ico new file mode 100644 index 0000000..9f5ff0e Binary files /dev/null and b/favicon.ico differ diff --git a/images/ADIRE_Logo.png b/images/ADIRE_Logo.png new file mode 100644 index 0000000..62a5bde Binary files /dev/null and b/images/ADIRE_Logo.png differ diff --git a/images/Amazon-ELB.png b/images/Amazon-ELB.png new file mode 100644 index 0000000..cc9dcb5 Binary files /dev/null and b/images/Amazon-ELB.png differ diff --git a/images/puttygen-1.png b/images/puttygen-1.png new file mode 100644 index 0000000..07582aa Binary files /dev/null and b/images/puttygen-1.png differ diff --git a/images/startSSLcertificat.png b/images/startSSLcertificat.png new file mode 100644 index 0000000..d1917be Binary files /dev/null and b/images/startSSLcertificat.png differ diff --git a/index.md b/index.md new file mode 100644 index 0000000..bc8dc5d --- /dev/null +++ b/index.md @@ -0,0 +1,9 @@ +--- +# Feel free to add content and custom Front Matter to this file. +# To modify the layout, see https://jekyllrb.com/docs/themes/#overriding-theme-defaults + +layout: default +title: Home +menus: header +--- +## Bienvenue sur le site de connaissance de la société ADIRE. diff --git a/pages/aws/API_gateway.md b/pages/aws/API_gateway.md new file mode 100644 index 0000000..e148c39 --- /dev/null +++ b/pages/aws/API_gateway.md @@ -0,0 +1,98 @@ +--- +# Feel free to add content and custom Front Matter to this file. +# To modify the layout, see https://jekyllrb.com/docs/themes/#overriding-theme-defaults + +layout: default +permalink: /aws/api_gateway.html +tags: git +description: Note sur l'utilisation d'AWS gateway. + +title: Amazon API Gateway +menus: aws +--- +# Amazon API Gateway + +API Gateway permet d’exposer une API sur internet de manière sécurisée. +Cette article montre comment configurer API Gateway pour exposer une API exposée en HTTPS sur internet avec un accès restreint. + +## Exposition de l’API en HTTPS +API Gateway ne prend un compte qu’un certains nombre de certificat racine non listé dans la documentation. + +Des tests effectués le 5 janvier 2016 montre que les certificats gratuit [Start SSL](https://www.startssl.com/) et [letsencrypt](https://letsencrypt.org/) ne sont pas supportés. Ceci se traduit par le message d’erreur suivant lors des appels à API Gateway lorsque le certificat racine n’est pas accepté : +```` +{"message": "Internal server error"} +```` +Les certificats [Gandi](https://www.gandi.net/) sont supportés. + +## Configuration de l’authentification forte +L’authentification forte permet de s’assurer que seul API Gateway peut accèder à l’API que vous avez exposé sur internet. + +Dans API Gateway, il faut : +1. Créer un certificat client +2. Associer ce certificat client lors du déploiement +3. Configurer votre serveur pour autoriser uniquement ce certificat client + +## Configuration apache +Pour autoriser uniquement API gateway accéder à votre serveur apache, il faut ajouter le certificat client généré par AWS sur votre serveur (ici /etc/apache2/ssl/apigateway.pem) et mettre les lignes suivantes dans votre configuration apache : + +```` +SSLVerifyClient require +SSLVerifyDepth 1 +SSLCACertificateFile /etc/apache2/ssl/apigateway.pem +```` +## Configuration d’un domaine spécifique +API gateway permet d’être hébergé sous votre propre nom de domaine. +Pour cela, il vous faut votre certificat HTTPS ainsi que la possibilité d’ajouté un CNAME dans votre DNS. + +Dans la suite des exemples, nous aurons créé le domaine https://api.exemple.com +## Sécurisation de l’accès à API gateway +API gateway met à disposition deux éléments distincts pour sécuriser l’accès : gestion d’une clé dans le header et/ou signature de la requête. +Les deux options peuvent être activées indépendamment l’une de l’autre. +## Gestion de la clé dans le header +Pour activer cette option, il faut activer l’option API Key Required dans les paramètres d’autorisation de la requête. +Les clés peuvent être générées dans le section API Key. + +Les clients devront alors transmettre la clé dans le header sous cette forme : +```` +x-api-key: +```` +## Signature des requêtes +Pour activer cette option, il faut sélectionner l’option AWS_IAM dans les paramètres d’autorisation de la requête. +Les clients doivent alors signer les requêtes en respectant la [signature v4 d’aws](http://docs.aws.amazon.com/general/latest/gr/signature-version-4.html). +Les clés pour cette signature sont à gérer dans la console [IAM](https://aws.amazon.com/documentation/iam/). + +L’utilisateur créé doit avoir les droits suivants : +```` +{ + "Version": "2012-10-17", + "Statement": [ + { + "Sid": "Stmt1452017440000", + "Effect": "Allow", + "Action": [ + "execute-api:invoke" + ], + "Resource": [ + "ARN de l'API créee" + ] + } + ] +} +```` +### Exemple de signature en PHP + +```` +signRequest($request, $credentials); +$response = $client->send($req); +echo $response->getBody(); +```` diff --git a/pages/aws/ELB_startssl.md b/pages/aws/ELB_startssl.md new file mode 100644 index 0000000..dbed21c --- /dev/null +++ b/pages/aws/ELB_startssl.md @@ -0,0 +1,28 @@ +--- +# Feel free to add content and custom Front Matter to this file. +# To modify the layout, see https://jekyllrb.com/docs/themes/#overriding-theme-defaults + +layout: default +permalink: /aws/aelb_startssl.html +tags: git +description: Utilisation des certificats startssl avec un ELB. + +title: ELB et startssl +menus: aws +--- +# ELB et startssl +[ELB](http://aws.amazon.com/elasticloadbalancing/) est le load balancer managé mis à disposition par AWS. + +[StartSsl](https://www.startssl.com/) permet de fabriquer des certificats HTTPs gratuitement reconnu par tous les navigateurs. + +## Génération du certificat avec start SSL +```` +sudo openssl genrsa -out test.exemple.com.key 2048 +sudo openssl req -new -key test.exemple.com.key -out test.exemple.com.csr +```` +La clé privé est test.exemple.com.key, il faut mettre le contenu du fichier test.exemple.com.csr dans l’IHM de startSSL. + +## Configuration de ELB +Ci dessous les 3 noms de fichier à renseigner dans ELB pour installer les certificats SSL sur le load balancer +putty +putty diff --git a/pages/git/basic.md b/pages/git/basic.md new file mode 100644 index 0000000..dd81afe --- /dev/null +++ b/pages/git/basic.md @@ -0,0 +1,62 @@ +--- +# Feel free to add content and custom Front Matter to this file. +# To modify the layout, see https://jekyllrb.com/docs/themes/#overriding-theme-defaults + +layout: default +permalink: /git/basics.html +tags: git +description: Commandes basics d'utilisation de git + +title: Basics +menus: git +--- +# git +Git est un outil de gestion de configurations. + +Cette article liste 2/3 commandes facile à oublier 🙂 + +Une documentation plus complète est disponible ici. + +## Checkout + + git clone https://github.com/..../xxxxx.git + +## Créer un tag + +La création du tag se fait en deux étapes : + +1- Création du tag en locale : + + git tag -a -m + +2) Envoi du tag au serveur + + git push --tags + +## Supprimer un tag + + git tag -d TAG_NAME + git push origin :refs/tags/TAG_NAME + +## Commit + +1- Commit + + git commit FILE_NAME + +2- Envoi du tag au serveur + + git push + +## Changement de Git +Si le projet change de propriétaire, il faut + + git remote set-url origin + +## Création d’une branche + + git checkout -b BRANCHE_NAME + +Push de la branche sur le serveur : + + git push origin BRANCHE_NAME diff --git a/pages/git/rebase.md b/pages/git/rebase.md new file mode 100644 index 0000000..ad7c7e1 --- /dev/null +++ b/pages/git/rebase.md @@ -0,0 +1,25 @@ +--- +# Feel free to add content and custom Front Matter to this file. +# To modify the layout, see https://jekyllrb.com/docs/themes/#overriding-theme-defaults + +layout: default +permalink: /git/basics.html +tags: git rebase +description: Utilisation de la fonction rebase de git +title: Rebase +menus: git +--- + +# Fusion de plusieurs commit + +Le dernier chiffre correspond aux nombres de commits qui doivent être retravaillé : + + git rebase -i HEAD~4 + +Changer les marqueurs pour indiquer ce qu’il y a à faire pour chaque commit, le plus ancien est en haut. + + git rebase --continue + +Traiter les conflits s’il y a des conflits. + + git push origin BRANCH_NAME -f diff --git a/pages/solr/documents-enfant-et-parent.md b/pages/solr/documents-enfant-et-parent.md new file mode 100644 index 0000000..a28152a --- /dev/null +++ b/pages/solr/documents-enfant-et-parent.md @@ -0,0 +1,66 @@ +--- +# Feel free to add content and custom Front Matter to this file. +# To modify the layout, see https://jekyllrb.com/docs/themes/#overriding-theme-defaults + +layout: default +permalink: /solr/documents-enfant-et-parent.html +tags: git rebase +description: Gestion des documents enfants et parents dans solr. +title: Documents enfant et parent +menus: solr +--- +# Solr + +## Documents enfant et parent +[Solr](http://lucene.apache.org/solr/) permet de gérer des documents enfant et parent. + +Ceci peut être pratique pour modéliser des listes de documents. + +La documentation de solr est [ici](https://cwiki.apache.org/confluence/display/solr/Other+Parsers#OtherParsers-BlockJoinQueryParsers). + +### Création d’un document +La syntaxe permet de déclarer des enfants est relativement simple, il faut insérer une balise doc dans la balise docdu parent comme ceci : +```` + + + parent1 + parent 1 + parentDocument + + enfant1 + enfant multiple 1 + childDocument + + + enfant2 + enfant multiple 1 + childDocument + + + + parent2 + parent 2 + parentDocument + + enfant1 + enfant unique + childDocument + + + +```` + +### Recherche + +#### Recherche sur les parents + +Cette requête retourne tous les parents qui ont un enfant qui contient unique le champ comments : + +```` +{!parent which="content_type:parentDocument"} comments:unique +```` + +Cette requête retourne tous les parents qui ont un enfant qui contient enfant le champ comments : +```` +{!parent which="content_type:parentDocument"} comments:enfant +```` diff --git a/pages/ubuntu/securisation.md b/pages/ubuntu/securisation.md new file mode 100644 index 0000000..7bce8d1 --- /dev/null +++ b/pages/ubuntu/securisation.md @@ -0,0 +1,181 @@ +--- +# Feel free to add content and custom Front Matter to this file. +# To modify the layout, see https://jekyllrb.com/docs/themes/#overriding-theme-defaults + +layout: default +permalink: /git/basics.html +tags: git +description: Sécurisation des serveurs Ubuntu + +title: Sécurisation +menus: ubuntu +--- +# Sécurisation serveur ubuntu +Cette article liste les composants à installer et/ou configurer pour sécuriser un serveur Ubuntu 14.04 + +## Fail2ban + +Un module qui bannit les adresses IP des clients en fonction de règles prédéfinies : https://help.ubuntu.com/community/Fail2ban Le client est banni via des iptables sur un serveur au bout de N essai (maxretry) pour une durée paramétrable (bantime). On peut définir une liste blanche d’IP (ignore). Il y a un ensemble de filtre disponible sur ubuntu dans le répertoire : +```` +/etc/fail2ban/filter.d +```` +### Création d’une règle customisée +Vous pouvez créer des règles customisées pour interdire une adresse IP qui fait des tentatives infructueuses de login. +Pour cela, les tentatives infructueuses doivent être loguée dans l’application. + +## Mise à jour automatique des patchs de sécurité +Pour sécuriser un serveur, il faut appliquer les patchs de sécurité [diffusés régulièrement par Ubuntu](http://www.ubuntu.com/usn/). Pour ceci, il faut suivre la procédure qui est décrite [ici](https://help.ubuntu.com/community/AutomaticSecurityUpdates). Certains patch affecte le noyau, pour qu’ils soient pris ne compte, il faut redémarrer le serveur. De la même manière qu’il faut automatiser les patchs, il faut automatiser des reboot régulier des serveurs. + +## Gestion des clé d’accès au serveur +L’accès aux serveurs DOIT s’effectuer via des clés SSH, il ne faut jamais utiliser les login / mot de passe. La clé privée SSH NE DOIT PAS être échangée et DOIT être protégée par un mot de passe. Pour interdire les connexions ssh via mot de passe, il faut s’assurer que la directive ci dessous soit renseignée dans le fichier _sshd_config_ +```` +PasswordAuthentication no +```` +L’utilisateur Root ne doit pas pouvoir se loguer à distance. +```` +PermitRootLogin no +```` +## Génération d’une clé SSH sous windows +Il faut utilisé l’outil [puttyGen](http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html). Il faut lancer la programme et aller dans Key / « Generate Pair Key » (attention, il faut agiter la souris du PC pour générer de l’aléatoire). Dans la partie commentaire, il faut mettre un commentaire permettant d’identifier la clé, il faut aussi saisir un mot de passe pour protéger la clé. +putty + + +Enfin, il faut : +1. sauvegarder la clé privée (save private key) et ne l’envoyer à personne. +2. Envoyer le contenu de la fenêtre qui commence par ssh-rsa AAA…… à l’administrateur du serveur. Ce contenu correspond à la clé publique. +3. L’administrateur du serveur doit ajouter dans le fichier .ssh/authorized_keys de l’utilisateur unix avec lequel la clé pourra être utilisée. + +## Reboot +Il faut configurer un reboot régulier du serveur. + +## Ntpd +Permet de garder le serveur à l’heure : https://help.ubuntu.com/14.04/serverguide/NTP.html + +## Suppression des noyaux non utilisés +Les mises à jour de sécurité mettent à jour le noyau et laisse sur le serveur des noyaux non utilisé, pour les purger, il faut : +```` +/usr/bin/dpkg -l 'linux-*' | /bin/sed '/^ii/!d;/'"$(uname -r | /bin/sed "s/\(.*\)-\([^0-9]\+\)/\1/")"'/d;s/^[^ ]* [^ ]* \([^ ]*\).*/\1/;/[0-9]/!d' | /usr/bin/xargs sudo /usr/bin/apt-get -y purge +```` +## Apache +Ce chapitre décrit les différents paramètres à corriger dans la configuration apache suite à son installation. + +### Redirection des pages d’erreur +L’objectif de ce point est d’afficher des pages d’erreur propre aux utilisateurs et d’éviter d’afficher des pages d’erreur contenant le numéro de version du serveur ou tout autres informations. +Pour cela, il faut écrire une page d’erreur et la mettre dans le DocRoot de apache. +Fichier _/etc/apache2/conf-enabled/localized-error-pages.conf_ +```` +ErrorDocument 500 /error.html +ErrorDocument 404 /error.html +ErrorDocument 404 /error.html +ErrorDocument 402 /error.html +```` +### HTTPS +Supprimer les mécanismes HTTPs obsolète : +```` +SSLHonorCipherOrder on +SSLProtocol all -SSLv2 -SSLv3 +SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL +```` +### Signature du serveur +L’objectif est de faire en sorte que le serveur retourne le moins d’information possible. + +Editer le fichier /etc/apache2/conf-available/security.conf et ajuster les variables ci dessous : +```` +ServerSignature Off +ServerTokens Prod +```` +Installer le mod-security2 d’apache : +```` +apt-get install libapache2-mod-security2 +```` +Créer le fichier _/etc/modsecurity/modsecurity.conf_ et y mettre le contenu ci-dessous : +```` +SecServerSignature " " +```` +### Clickjacking +Empêcher le Clickjacking. +```` + + Header set X-XSS-Protection "1; mode=block" + Header always append X-Frame-Options SAMEORIGIN + Header set X-Content-Type-Options: "nosniff” + +```` +### Interdire de lister les répertoires +L’objectif est d’empecher des lires les répertoires présents sur le serveur et d’exposer des fichiers secret par accident. + +Supprimer toutes les options Indexes de la conf apache. + +## Php +Ce chapitre décrit les différents paramètres à corriger dans la configuration php suite à son installation. +### Sécurisation des cookies +Fichier _/etc/php5/apache2/php.ini_ +```` +session.cookie_secure = On (si mise en place du HTTPS) +session.cookie_httponly = On +```` +Si vous utilisez la fonction setcookie, il faut mette les paramètres secure et httponly à true. +```` +setcookie($_SERVER["cookie-name"],$result->access_token, time()+3600*24*365*10, "/", $_SERVER['HTTP_HOST'], true, true); +```` +### Suppression des headers +Dans le fichier _/etc/php5/apache2/php.ini_ mettre la variable expose_php à off +## AWS +Ce chapitre décrit comment profiter d’AWS pour augmenter la sécurité. +### Utilisateurs AWS +Chaque utilisateurs doit disposer un compte individuel d’accès à AWS. +### Groupe de sécurité +Chaque serveur doit être placé dans un groupe de séucité correspondant à son rôle. Seul les ports nécessaires doivent être autorisés par le groupe de sécurité. +### Logs des actions AWS +CloudTrail doit être activé sur la console AWS. +### Centralisation des logs +Les logs doivent être centralisés dans CloudWatch. + +Pour cela, il faut créer un clé dans IAM avec les droits ci dessous : +```` +{ + "Version": "2012-10-17", + "Statement": [ + { + "Effect": "Allow", + "Action": [ + "logs:*" + ], + "Resource": [ + "arn:aws:logs:*:*:*" + ] + } + ] +} +```` +Puis lancer les commandes ci-dessous : +```` +wget https://s3.amazonaws.com/aws-cloudwatch/downloads/latest/awslogs-agent-setup.py +sudo python ./awslogs-agent-setup.py --region eu-west-1 +```` +Renseigner les points demandés. + +Le fichier de configuration se trouve _/var/awslogs/etc/awslogs.conf_. + +Voici un exemple d’un bloc de configuration qu’il faut afficher par fichier : +```` +[/var/log/syslog] +datetime_format = %Y-%m-%d %H:%M:%S +file = /var/log/syslog +buffer_duration = 5000 +log_stream_name = /var/log/syslog +initial_position = start_of_file +log_group_name = AppliName +```` +### Création d’alarme sur les logs +Vous pouvez ajouter des alarmes sur des paterns présents dans les logs. Par exemple, 10 tentatives de connexion infructueuse en 5 minutes. + +## Outils de contrôle de sécurité + +1. OpenVAS +2. Nmap +3. Skipfish +4. Wapiti +5. Wikto +6. Lyris / lynis +7. Chkrootkit