Debian minimale

Il s'agit d'installer Debian stable, version 8.5 (Jessie) de juin 2016, sans environnement graphique.

Vue d'ensemble du processus

  1. Obtenir le fichier ISO de Debian.
  2. Le copier sur une clé USB.
  3. Lancer l'installation sur le T500.

Télécharger le fichier ISO Debian netinst

Le fichier ISO installation par le réseau ne contient que le minimum requis pour l'installation de Debian. C'est exactement ce qu'il faut puisque je me servirai ni du mode graphique (donc pas de bureau) ni des logiciels qui accompagnent l'installation complète.

Je choisis image de CD d'installation par le réseau (via bittorrent). Le protocole BitTorrent a le double avantage de soulager les serveurs tout en étant beaucoup plus rapide que le téléchargement via http. Il suffit ensuite de cliquer sur l'architecture de l'ordinateur sur lequel on veut installer Debian; ici amd64 puisque le T500 est en 64 bits.

Copier l'ISO sur la clé

Pour écrire l'ISO sur une clef USB, j'utilise le créateur de clé USB bootable que l'on trouve dans le menu Mint Mate (via Accessoires). Si vous êtes malheureusement sous Windows, je conseille l'excellent Rufus.

Installer Debian

L'accès au BIOS du Thinkpad T500 se fait par la touche bleue sur le clavier (mais je crois avoir utilisé F1, à vérifier).

Le menu de ce BIOS est bien plus fourni en options que les autres portables que j'ai pu posséder. Je m'empresse de désactiver Intel Management Engine.

Je ne ferais pas ici la description détaillée de l'installation car c'est globalement la même procédure que celle de Linux Mint ou les autres. Quelques points à noter :

Puisque l'installation s'effectue sur un portable, il est demandé si on veut installer les microprogrammes pour le wi-fi : non car je veux brancher le T500 au routeur par un câble Ethernet uniquement. De plus, je suis dans une période anti-wifi, une crise, qui selon des études récentes, accompagne toujours celle de la vieille quarantaine.

Au redémarrage de Debian, après avoir renseigné le nom d'utilisateur toto et mon mot de passe, j'obtiens la console toto@projetx ~ $

sudo

La commande sudo permet d'effectuer des tâches d'administration système avec des privilèges élevés (par exemple pour installer un logiciel). Elle n’est pas installée par défaut. Si on fait par exemple sudo apt-get install ufw, on est servi avec le message suivant :

-bash: sudo : commande introuvable

Cette installation est optionnelle puisqu’on pourrait très bien utiliser la commande su avec le mot de passe administrateur pour toutes les opérations qui nécessitent d’être en mode SuperUtilisateur. Le risque est alors d'oublier de sortir du mode super utilisateur lorsque la tâche est terminée. Il ne faut jamais être connecté en permanence avec su. Ce mode a tous les droits sur votre machine. Préférer le compte utilisateur et passer en mode sudo qui autorise ce dernier à être Super Utilisateur temporairement.

Installer sudo

  1. su (touche entrée) puis le mot de passe administrateur créé lors de l’installation de Debian.
  2. apt-get install sudo

Attention ! Bien que sudo soit maintenant installé, l’utilisateur toto n’y a pas droit de facto. Autrement dit, si on tente encore une fois d'installer le gestionnaire de pare-feu sudo apt-get install ufw; on obtient ce message :

toto is not in the sudoers file. This incident will be reported.

Il faut donc ajouter l’utilisateur toto au groupe sudo.

  1. su + mdp administrateur.
  2. adduser toto sudo

Pour que le changement prenne effet, il faut que toto se déconnecte/reconnecte.

Les mises à jour

Après l'installation

Vérifier et/ou éditer le fichier des liens vers les dépôts de mises à jour (sources list).

sudo nano /etc/apt/sources.list et commenter la ligne deb cdrom si elle ne l'est pas.

Vérifier que les liens pointent vers ces trois miroirs :

  1. miroir principal (jessie main)
  2. miroir pour les mises à jour de sécurité (jessie/updates)
  3. « volatile » pour les mises à jour mineures (jessie-updates)

Je commente les lignes deb-src. Il s'agit de liens vers les paquets sources qu'on peut compiler. C'est un autre niveau...

Commenter une ligne (avec « # ») a le même effet que la supprimer. Je préfère commenter car cela permet de garder ainsi une trace des modifications apportées.

Maintenant faire apt-get update && apt-get upgrade en mode super utilisateur (su).

Les mises à jour au quotidien

Se tenir au courant des éventuelles mises à jour de sécurité grâce au flux RSS de la page Informations de sécurité.

Dans tout les cas, faire régulièrement l'opération de mise à jour : sudo apt update && sudo apt dist-upgrade

update fait la mise à jour des listes de paquets et dist-upgrade se charge alors d'effectuer les mises à jour nécessaires.

À voir également, le paquet unattended upgrade qui va installer automatiquement les mises à jour de sécurité.

Gérer le pare-feu avec UFW

Uncomplicated FireWall est l'outil de gestion du pare-feu.

sudo apt install ufw

Puis, activer le pare-feu : sudo ufw enable

Les règles par défaut sont Default: deny (incoming), allow (outgoing), c'est-à-dire que le trafic entrant est bloqué à moins d'avoir été initié par l'ordinateur, par exemple quand on demande une page web. Le trafic sortant est autorisé.

Quelques règles de base

Puisque les requêtes entrantes sont bloquées. Il faudra les autoriser au cas par cas, par exemple :

Pour autoriser un port, il faut écrire to any . Sans port spécifié, l'adresse IP entrante sera autorisée sur tous les ports et pour les protocoles TCP et UDP.

On pourrait écrire ssh en lieu et place du numéro de port 22. Pour une liste des services et les ports associés, faire less /etc/services (less permet de faire défiler la liste avec la touche « flèche bas »).

Gestion des règles

On peut aussi supprimer une règle de cette façon : sudo ufw delete allow from 192.168.1.5 to any port 22 proto tcp.

Enfin, loggin : on (low) ou journalisation : on (low) veut dire que les activités du pare-feu sont enregistrées dans un fichier journal (log) situé à /var/log/ufw.log. Si toutefois le log n’est pas ou plus activé : sudo ufw logging on.


Présentation du projetInstallation de OpenSSH