Interdire l’expiration des mots de passe sous Linux

Pour voir les paramètres d’expiration d’un mot de passe utilisateur, on tape la commande chage -l <utilisateur> :

root@serveur:# chage -l admin
Minimum:        0
Maximum:        90
Warning:        7
Inactive:       -1
Last Change:            Oct 08, 2009
Password Expires:       Jan 06, 2010
Password Inactive:      Never
Account Expires:        Never

Dans cet exemple, on remarque que le champ Maximum est réglé sur 90, ce qui signifie que le système forcera le changement du mot de passe courant dans 90 jours.

Pour empêcher l’expiration automatique d’un mot de passe utilisateur, on utilise la commande passwd -x -1 <utilisateur> :

root@serveur:# passwd -x -1 admin
Adjusting aging data for user admin.
passwd: Success

A présent, le mot de passe est réglé pour ne plus expirer

root@serveur:# chage -l admin
Minimum:        0
Maximum:        -1
Warning:        7
Inactive:       -1
Last Change:            Oct 08, 2009
Password Expires:       Never
Password Inactive:      Never
Account Expires:        Never

Réinitialiser le mot de passe root de MySQL

Il est possible de se connecter à MySQL en échappant à la phase d’authentification habituelle. C’est la solution ultime si vous avez perdu votre mot de passe root et que vous ne pouvez plus gérer votre SGBD.

Tout d’abord on arrête le serveur en lignes de commandes :

/etc/init.d/mysql stop

On redémarre ensuite MySQL en passant outre l’identification (–skip-grant-tables) et en désactivant l’écoute du réseau (–skip-networking). Cela permet d’éviter d’être piraté à ce moment précis où MySQL est vulnérable.

mysqld --skip-grant-tables --skip-networking &

Ensuite, on se connecte au serveur MySQL qui ne demandera donc pas de mot de passe…

mysql -u root

Ne reste enfin qu’à mettre à jour le mot de passe root via la commande MySQL UPDATE

UPDATE user SET password=PASSWORD('nouveaumotdepasse') WHERE user="root";

Enfin, on recharge les permissions pour prendre en compte les changements

flush privileges;

Relativisons tout de même cette technique. Sans plus de précautions sur votre serveur, certes vous venez de sortir d’une mauvaise passe, mais vous laissez en permanence la possibilité pour un intrus de prendre la main sur votre base de données. Attention donc à bien toujours sécuriser votre SSH.

Régler et automatiser les paramètres date et heure sous Debian Lenny

Régler la date et l’heure système

Pour régler la date et l’heure sur votre système, vous devez déjà connaître ces informations. Pour cela, tapez simplement date pour obtenir la date courante, puis date -u pour connaître l’heure internationale. Si vos informations sont cohérentes, vous observerez alors un décalage de deux heures.

serveur:~# date
Wed Sep 30 18:16:47 CEST 2009
serveur:~# date -u
Wed Sep 30 16:17:33 UTC 2009

Si jamais le décalage était plus important, cela pourrait indiquer que vous êtes sur un mauvais fuseau horaire. Reconfigurez alors votre fichier timezone (/etc/timezone) avec la commande dpkg-reconfigure tzdata. Un assistant vous demandera alors votre localisation géographique pour paramétrer automatiquement l’heure sur le fuseau qui vous convient.

serveur:/etc# dpkg-reconfigure tzdata

Current default timezone: 'Europe/Paris'
Local time is now:      Wed Sep 30 19:07:50 CEST 2009.
Universal Time is now:  Wed Sep 30 17:07:50 UTC 2009.

De plus, l’heure et la date peuvent se règler manuellement. Pour l’heure, pas de commentaire à faire. En revanche, prenez soin d’écrire la date au format américain sinon votre modification ne sera pas prise en compte.

serveur:/etc# date
Wed Sep 30 19:14:51 CEST 2009
serveur:/etc# date --set 19:15:10
Wed Sep 30 19:15:10 CEST 2009
serveur:/etc# date --set 2009-09-01
Tue Sep  1 00:00:00 CEST 2009

Régler l’heure carte mère

Votre heure système est désormais réglée. Néanmoins, un ordinateur se compose d’une heure système ET d’une heure “matérielle” que l’on retrouve dans la carte mère du PC. Pour être tout à fait en ordre, votre configuration devra être à jour à la fois au niveau système et matériel.

Pour connaître l’heure matérielle, tapez la commande hwclock -r.

root@serveur:~# hwclock -r
mer 30 sep 2009 19:54:15 CEST  -0.023154 seconds

• –systohc : permet de synchroniser l’heure système sur l’heure hardware
• –utc : permet de régler l’heure  par rapport à l’heure internationale

Tapez maintenant la commande suivante pour synchroniser votre heure système et votre heure matérielle.

hwclock --systohc --utc

Désormais, vos paramètres sont correctement configurés. Pourtant, il ne faut – par essence – pas faire entièrement confiance au réglage date et heure de sa machine. Celui-ci est en effet susceptible de se décaler progressivement dans le temps et ne devrait pas avoir sa place dans un environnement de production.

Automatiser les réglages date et heure grâce à un serveur de temps

Pour professionnaliser ses réglages date et heure, quelle meilleure solution que d’automatiser l’opération en se basant sur un ou des serveurs dont le seul rôle est de s’assurer qu’ils soient toujours à l’heure ? C’est pourquoi nous allons installer et configurer un serveur NTP (Network Time Protocol). Sous Debian Etch, installez le paquet ntp-simple.

apt-get install ntp

En éditant le fichier /etc/ntp.conf, vous pouvez observer la présence de serveurs de référence déjà configurés. Vous pouvez laisser ceux par défaut ou modifier la liste avec des serveurs plus proches de chez vous. Personnellement j’utilise les suivants :

server 0.fr.pool.ntp.org
server 1.fr.pool.ntp.org
server 2.fr.pool.ntp.org
server 3.fr.pool.ntp.org

Pour prendre en compte les modifications, redémarrez le service ntp.

serveur:/etc# /etc/init.d/ntp restart
Stopping NTP server: ntpd.
Starting NTP server: ntpd.

A présent, configurez le firewall (iptables…) de manière à autoriser les requêtes NTP.

iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT

Pour vérifier que votre configuration est fonctionnelle, tapez la commande ntpq -p. L’information importante à regarder concerne la colonne reach qui doit être différente de 0 (cela signifierait que les serveurs distants sont injoignables).

serveur:/etc# ntpq -p
 remote           refid           st t when poll reach  delay   offset  jitter
==============================================================================
-sp1.mycdn.fr    255.129.81.164   4 u   16   64  377    4.414   16.108   4.794
+sd-2844.dedibox 88.191.254.6     3 u   28   64  377    0.954  -14.837   4.079
+ntp.univ-poitie 224.22.30.230    3 u   42   64  377    5.898  -19.292   4.140
*web01.ookoo.org 130.207.244.240  2 u   20   64  377    4.283  -18.499   3.253

Enfin, tapez la commande ntp-wait -v pour connaître l’état de la synchronisation NTP.

serveur:/etc# ntp-wait -v
Waiting for ntpd to synchronize... OK!

Voilà, vous êtes maintenant capable de configurer manuellement ou automatiquement les réglages date et heure de vos serveurs. Je vous invite en outre à utiliser le site référence des serveurs NTP mondiaux pour vos projets professionels.