introduction
Un réseau privé virtuel, ou VPN, vous permet de chiffrer en toute sécurité le trafic lors de son acheminement sur des réseaux non fiables, tels que ceux du café, d'une conférence ou d'un aéroport.
IKEv2, ou Internet Key Exchange v2, est un protocole qui permet un tunnel IPSec direct entre le serveur et le client. Dans les implémentations VPN IKEv2, IPSec fournit un cryptage pour le trafic réseau. IKEv2 est pris en charge en mode natif sur les nouvelles plates-formes (OS X 10.11+, iOS 9.1+ et Windows 10), sans aucune application supplémentaire nécessaire, et gère sans problème les problèmes de clients.
Dans ce didacticiel, vous allez configurer un serveur VPN IKEv2 à l'aide deStrongSwan sur un serveur Ubuntu 16.04 et vous y connecter à partir de clients Windows, iOS et macOS.
Conditions préalables
Pour compléter ce tutoriel, vous aurez besoin de:
-
Un serveur Ubuntu 16.04 avec plusieurs processeurs, configuré en suivant lesthe Ubuntu 16.04 initial server setup guide, y compris un utilisateur sudo non root et un pare-feu.
De plus, vous devriez être familiarisé avec IPTables. VérifiezHow the Iptables Firewall Works avant de continuer.
[[step-1 -—- Installing-strongswan]] == Étape 1 - Installation de StrongSwan
Nous allons d’abord installer StrongSwan, un démon IPSec à source ouverte que nous allons configurer comme serveur VPN. Nous installerons également le plug-in StrongSwan EAP, qui permet l’authentification par mot de passe pour les clients, par opposition à l’authentification par certificat. Nous allons devoir créer des règles de pare-feu spéciales dans le cadre de cette configuration. Nous allons donc également installer un utilitaire nous permettant de rendre nos nouvelles règles de pare-feu persistantes.
Exécutez la commande suivante pour installer ces composants:
sudo apt-get install strongswan strongswan-plugin-eap-mschapv2 moreutils iptables-persistent[.note] #Note: Lors de l'installation deiptables-persistent, le programme d'installation vous demandera s'il faut ou non enregistrer les règles IPv4 et IPv6 actuelles. Comme nous souhaitons que toutes les configurations de pare-feu précédentes restent les mêmes, nous sélectionnerons oui sur les deux invites.
#
Maintenant que tout est installé, passons à la création de nos certificats:
[[step-2 -—- Creating-a-Certificate-Authority]] == Étape 2 - Création d'une autorité de certification
Un serveur IKEv2 nécessite un certificat pour s'identifier auprès des clients. Pour nous aider à créer le certificat requis, StrongSwan est fourni avec un utilitaire permettant de générer une autorité de certification et des certificats de serveur. Commençons par créer un répertoire pour stocker tous les éléments sur lesquels nous allons travailler.
mkdir vpn-certs
cd vpn-certsMaintenant que nous avons un répertoire pour tout stocker, générons notre clé racine. Ce sera une clé RSA de 4096 bits qui sera utilisée pour signer notre autorité de certification racine, il est donc très important que nous sécurisions également cette clé en veillant à ce que seul l'utilisateur deroot puisse la lire.
Exécutez ces commandes pour générer et sécuriser la clé:
ipsec pki --gen --type rsa --size 4096 --outform pem > server-root-key.pem
chmod 600 server-root-key.pemMaintenant que nous avons une clé, nous pouvons passer à la création de notre autorité de certification racine, en utilisant la clé pour signer le certificat racine:
ipsec pki --self --ca --lifetime 3650 \
--in server-root-key.pem \
--type rsa --dn "C=US, O=VPN Server, CN=VPN Server Root CA" \
--outform pem > server-root-ca.pemVous pouvez changer les valeursdistinguished name (DN), telles que le pays, l'organisation et le nom commun, en quelque chose d'autre si vous le souhaitez. Le nom commun ici n’est que l’indicateur, vous pouvez donc inventer quelque chose.
Plus tard, nous copierons le certificat racine (server-root-ca.pem) sur nos appareils clients afin qu'ils puissent vérifier l'authenticité du serveur lorsqu'ils se connectent.
Maintenant que notre autorité de certification racine est opérationnelle, nous pouvons créer un certificat que le serveur VPN utilisera.
[[step-3 -—- generation-a-certificate-for-the-VPN-server]] == Étape 3 - Génération d'un certificat pour le serveur VPN
Nous allons maintenant créer un certificat et une clé pour le serveur VPN. Ce certificat permettra au client de vérifier l’authenticité du serveur.
Tout d'abord, créez une clé privée pour le serveur VPN à l'aide de la commande suivante:
ipsec pki --gen --type rsa --size 4096 --outform pem > vpn-server-key.pemCréez et signez ensuite le certificat de serveur VPN avec la clé de l’autorité de certification créée à l’étape précédente. Exécutez la commande suivante, mais remplacez les champs Nom commun (CN) et Nom alternatif du sujet (SAN) par le nom DNS ou l’adresse IP de votre serveur VPN:
ipsec pki --pub --in vpn-server-key.pem \
--type rsa | ipsec pki --issue --lifetime 1825 \
--cacert server-root-ca.pem \
--cakey server-root-key.pem \
--dn "C=US, O=VPN Server, CN=server_name_or_ip" \
--san server_name_or_ip \
--flag serverAuth --flag ikeIntermediate \
--outform pem > vpn-server-cert.pemCopiez les certificats dans un chemin permettant à StrongSwan de lire les certificats:
sudo cp ./vpn-server-cert.pem /etc/ipsec.d/certs/vpn-server-cert.pem
sudo cp ./vpn-server-key.pem /etc/ipsec.d/private/vpn-server-key.pemEnfin, sécurisez les clés afin qu'elles ne puissent être lues que par l'utilisateurroot.
sudo chown root /etc/ipsec.d/private/vpn-server-key.pem
sudo chgrp root /etc/ipsec.d/private/vpn-server-key.pem
sudo chmod 600 /etc/ipsec.d/private/vpn-server-key.pemÀ cette étape, nous avons créé une paire de certificats qui serait utilisée pour sécuriser les communications entre le client et le serveur. Nous avons également signé les certificats avec notre clé racine afin que le client puisse vérifier l’authenticité du serveur VPN. Maintenant que tous les certificats sont prêts, nous allons passer à la configuration du logiciel.
[[step-4 -—- configuring-strongswan]] == Étape 4 - Configuration de StrongSwan
Nous avons déjà créé tous les certificats dont nous avons besoin, il est donc temps de configurer StrongSwan lui-même.
StrongSwan a un fichier de configuration par défaut, mais avant d’apporter des modifications, commençons par le sauvegarder afin que nous ayons un fichier de référence au cas où il y aurait un problème:
sudo cp /etc/ipsec.conf /etc/ipsec.conf.originalLe fichier d'exemple est assez long. Par conséquent, pour éviter les erreurs de configuration, nous allons effacer le fichier de configuration par défaut et écrire notre propre configuration à partir de zéro. Tout d'abord, effacez la configuration d'origine:
echo '' | sudo tee /etc/ipsec.confPuis ouvrez le fichier dans votre éditeur de texte:
sudo nano /etc/ipsec.confNous allons d’abord demander à StrongSwan de consigner les statuts de démon pour le débogage et d’autoriser les connexions en double. Ajoutez ces lignes au fichier:
/etc/ipsec.conf
config setup
charondebug="ike 1, knl 1, cfg 0"
uniqueids=noEnsuite, nous allons créer une section de configuration pour votre VPN. Nous demanderons également à StrongSwan de créer des tunnels VPN IKEv2 et de charger automatiquement cette section de configuration à son démarrage. Ajoutez les lignes suivantes au fichier:
/etc/ipsec.conf
conn ikev2-vpn
auto=add
compress=no
type=tunnel
keyexchange=ikev2
fragmentation=yes
forceencaps=yesEnsuite, nous indiquerons à StrongSwan les algorithmes de chiffrement à utiliser pour le VPN. Ajoutez ces lignes:
/etc/ipsec.conf
ike=aes256-sha1-modp1024,3des-sha1-modp1024!
esp=aes256-sha1,3des-sha1!Nous allons également configurer la détection des homologues morts pour effacer toutes les connexions "en suspens" en cas de déconnexion inattendue du client. Ajoutez ces lignes:
/etc/ipsec.conf
dpdaction=clear
dpddelay=300s
rekey=noEnsuite, nous allons configurer les paramètres IPSec du côté serveur (gauche). Ajoutez ceci au fichier:
/etc/ipsec.conf
left=%any
leftid=@server_name_or_ip
leftcert=/etc/ipsec.d/certs/vpn-server-cert.pem
leftsendcert=always
leftsubnet=0.0.0.0/0[.Remarque]##
Note: lors de la configuration de l'ID du serveur (leftid), n'incluez le caractère@ que si votre serveur VPN sera identifié par un nom de domaine:
Si le serveur sera identifié par son adresse IP, il suffit de mettre l'adresse IP dans:
leftid=111.111.111.111Ensuite, nous configurons les paramètres IPSec côté client (droit), tels que les plages d'adresses IP privées et les serveurs DNS à utiliser:
/etc/ipsec.conf
right=%any
rightid=%any
rightauth=eap-mschapv2
rightsourceip=10.10.10.0/24
rightdns=8.8.8.8,8.8.4.4
rightsendcert=neverEnfin, nous demanderons à StrongSwan de demander au client les informations d’identité de l’utilisateur lorsqu’il se connecte:
/etc/ipsec.conf
eap_identity=%identityLe fichier de configuration devrait ressembler à ceci:
/etc/ipsec.conf
config setup
charondebug="ike 1, knl 1, cfg 0"
uniqueids=no
conn ikev2-vpn
auto=add
compress=no
type=tunnel
keyexchange=ikev2
fragmentation=yes
forceencaps=yes
ike=aes256-sha1-modp1024,3des-sha1-modp1024!
esp=aes256-sha1,3des-sha1!
dpdaction=clear
dpddelay=300s
rekey=no
left=%any
leftid=@server_name_or_ip
leftcert=/etc/ipsec.d/certs/vpn-server-cert.pem
leftsendcert=always
leftsubnet=0.0.0.0/0
right=%any
rightid=%any
rightauth=eap-mschapv2
rightdns=8.8.8.8,8.8.4.4
rightsourceip=10.10.10.0/24
rightsendcert=never
eap_identity=%identityEnregistrez et fermez le fichier une fois que vous avez vérifié que vous avez configuré les choses comme indiqué.
Maintenant que nous avons configuré les paramètres VPN, passons à la création d’un compte afin que nos utilisateurs puissent se connecter au serveur.
[[step-5 -—- configuring-vpn-authentication]] == Étape 5 - Configuration de l'authentification VPN
Notre serveur VPN est maintenant configuré pour accepter les connexions client, mais nous n’avons pas encore d’identification configurée, nous devrons donc configurer quelques éléments dans un fichier de configuration spécial appeléipsec.secrets:
-
Nous devons indiquer à StrongSwan où trouver la clé privée de notre certificat de serveur afin que celui-ci puisse chiffrer et déchiffrer des données.
-
Nous devons également configurer une liste d'utilisateurs qui seront autorisés à se connecter au VPN.
Ouvrons le fichier de secrets pour édition:
sudo nano /etc/ipsec.secretsTout d'abord, nous indiquerons à StrongSwan où trouver votre clé privée.
/etc/ipsec.secrets
server_name_or_ip : RSA "/etc/ipsec.d/private/vpn-server-key.pem"Ensuite, nous allons créer les informations d'identification de l'utilisateur. Vous pouvez créer n'importe quelle combinaison de nom d'utilisateur ou de mot de passe, mais nous devons dire à StrongSwan d'autoriser cet utilisateur à se connecter depuis n'importe où:
/etc/ipsec.secrets
your_username %any% : EAP "your_password"Enregistrez et fermez le fichier. Maintenant que nous avons fini de travailler avec les paramètres VPN, nous allons recharger le service VPN afin que notre configuration soit appliquée:
sudo ipsec reloadMaintenant que le serveur VPN est entièrement configuré avec les options de serveur et les informations d’identité de l’utilisateur, il est temps de passer à la configuration de la partie la plus importante: le pare-feu.
[[step-6 -—- configuration-the-firewall-amp-kernel-ip-forwarding]] == Étape 6 - Configuration du pare-feu et de la redirection IP du noyau
Maintenant que le serveur VPN est configuré, nous devons configurer le pare-feu pour transférer et autoriser le trafic VPN. Nous allons utiliser IPTables pour cela.
Tout d’abord, désactivez UFW si vous l’avez configuré, car cela pourrait entrer en conflit avec les règles que nous devons configurer:
sudo ufw disableEnsuite, supprimez toutes les règles de pare-feu restantes créées par UFW:
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F
iptables -ZPour nous éviter d’être bloqués en dehors de la session SSH, nous accepterons les connexions déjà acceptées. Nous ouvrirons également le port22 (ou le port que vous avez configuré) pour les futures connexions SSH au serveur. Exécutez ces commandes:
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPTNous devrons également accepter les connexions sur l’interface de bouclage local:
sudo iptables -A INPUT -i lo -j ACCEPTEnsuite, nous dirons à IPTables d’accepter les connexions IPSec:
sudo iptables -A INPUT -p udp --dport 500 -j ACCEPT
sudo iptables -A INPUT -p udp --dport 4500 -j ACCEPTEnsuite, nous indiquerons à IPTables de transférer le traficESP (Encapsulation Security Payload) afin que les clients VPN puissent se connecter. ESP fournit une sécurité supplémentaire pour nos paquets VPN lorsqu’ils traversent des réseaux non approuvés:
sudo iptables -A FORWARD --match policy --pol ipsec --dir in --proto esp -s 10.10.10.10/24 -j ACCEPT
sudo iptables -A FORWARD --match policy --pol ipsec --dir out --proto esp -d 10.10.10.10/24 -j ACCEPTNotre serveur VPN servira de passerelle entre les clients VPN et Internet. Etant donné que le serveur VPN n'aura qu'une seule adresse IP publique, nous devrons configurer le masquerading pour lui permettre de demander des données à Internet au nom des clients. Cela permettra au trafic de circuler des clients VPN vers Internet, et inversement:
sudo iptables -t nat -A POSTROUTING -s 10.10.10.10/24 -o eth0 -m policy --pol ipsec --dir out -j ACCEPT
sudo iptables -t nat -A POSTROUTING -s 10.10.10.10/24 -o eth0 -j MASQUERADEPour éviter la fragmentation des paquets IP sur certains clients, nous dirons à IPTables de réduire la taille des paquets en ajustant la taille de segment maximale des paquets. Cela évite les problèmes avec certains clients VPN.
sudo iptables -t mangle -A FORWARD --match policy --pol ipsec --dir in -s 10.10.10.10/24 -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -j TCPMSS --set-mss 1360Pour une meilleure sécurité, nous abandonnerons tout le reste qui ne correspond pas aux règles que nous avons configurées:
sudo iptables -A INPUT -j DROP
sudo iptables -A FORWARD -j DROPNous allons maintenant rendre la configuration du pare-feu persistante, de sorte que tout notre travail de configuration ne soit pas effacé au redémarrage:
sudo netfilter-persistent save
sudo netfilter-persistent reloadEnfin, nous allons activer le transfert de paquets sur le serveur. Le transfert de paquets est ce qui permet à notre serveur de «router» les données d’une adresse IP à l’autre. Pour l’essentiel, nous faisons en sorte que notre serveur se comporte comme un routeur.
Modifiez le fichier/etc/sysctl.conf:
sudo nano /etc/sysctl.confNous devons configurer quelques éléments ici:
-
Premièrement, nous activerons le transfert de paquets IPv4.
-
Nous allons désactiver la découverte Path MTU pour éviter les problèmes de fragmentation de paquets.
-
Nous n'accepterons pas non plus les redirections ICMP ni n'enverrons les redirections ICMP pour empêcher les attaquesman-in-the-middle.
Les modifications à apporter au fichier sont mises en évidence dans le code suivant:
/etc/sysctl.conf
. . .
# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1
. . .
# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0
. . .
net.ipv4.ip_no_pmtu_disc = 1Apportez ces modifications, enregistrez le fichier et quittez l'éditeur. Puis redémarrez le serveur:
sudo rebootVous serez déconnecté du serveur lors de son redémarrage, mais cela est à prévoir. Une fois le serveur redémarré, reconnectez-vous au serveur en tant qu'utilisateur sudo, non root. Vous êtes prêt à tester la connexion sur un client.
[[step-7 -–- testing-the-VPN-connection-on-windows-ios-and-macos]] == Étape 7 - Test de la connexion VPN sous Windows, iOS et macOS
Maintenant que vous avez tout configuré, il est temps de l'essayer. Tout d’abord, vous devez copier le certificat racine que vous avez créé et l’installer sur votre ou vos périphériques clients qui se connecteront au VPN. Pour ce faire, le moyen le plus simple consiste à vous connecter à votre serveur et à exécuter cette commande pour afficher le contenu du fichier de certificat:
cat ~/vpn-certs/server-root-ca.pemVous verrez une sortie semblable à celle-ci:
Output-----BEGIN CERTIFICATE-----
MIIFQjCCAyqgAwIBAgIIFkQGvkH4ej0wDQYJKoZIhvcNAQEMBQAwPzELMAkGA1UE
. . .
EwbVLOXcNduWK2TPbk/+82GRMtjftran6hKbpKGghBVDPVFGFT6Z0OfubpkQ9RsQ
BayqOb/Q
-----END CERTIFICATE-----Copiez cette sortie sur votre ordinateur, y compris les lignes-----BEGIN CERTIFICATE----- et-----END CERTIFICATE-----, et enregistrez-la dans un fichier avec un nom reconnaissable, tel quevpn_root_certificate.pem. Assurez-vous que le fichier que vous créez a l'extension.pem.
Alternativement,use SFTP to transfer the file to your computer.
Une fois le fichiervpn_root_certificate.pem téléchargé sur votre ordinateur, vous pouvez configurer la connexion au VPN.
Se connecter depuis Windows
Commencez par importer le certificat racine en procédant comme suit:
-
Appuyez sur
WINDOWS+Rpour afficher la boîte de dialogueRun et entrezmmc.exepour lancer la console de gestion Windows. -
Dans le menuFile, accédez àAdd or Remove Snap-in, sélectionnezCertificates dans la liste des composants logiciels enfichables disponibles et cliquez surAdd.
-
Nous voulons que le VPN fonctionne avec n'importe quel utilisateur, alors sélectionnezComputer Account et cliquez surNext.
-
Nous configurons les éléments sur l’ordinateur local, alors sélectionnezLocal Computer, puis cliquez surFinish.
-
Sous le nœudConsole Root, développez l'entréeCertificates (Local Computer), développezTrusted Root Certification Authorities, puis sélectionnez l'entréeCertificates:
-
Dans le menuAction, sélectionnezAll Tasks et cliquez surImport pour afficher l'assistant d'importation de certificat. Cliquez surNext pour passer devant l'introduction.
-
Sur l'écranFile to Import, appuyez sur le boutonBrowse et sélectionnez le fichier de certificat que vous avez enregistré. Cliquez ensuite surNext.
-
Assurez-vous queCertificate Store est défini surTrusted Root Certification Authorities et cliquez surNext.
-
Cliquez surFinish pour importer le certificat.
Configurez ensuite le VPN en procédant comme suit:
-
LancezControl Panel, puis accédez auxNetwork and Sharing Center.
-
Cliquez surSet up a new connection or network, puis sélectionnezConnect to a workplace.
-
SélectionnezUse my Internet connection (VPN).
-
Entrez les détails du serveur VPN. Entrez le nom de domaine ou l'adresse IP du serveur dans le champInternet address, puis remplissezDestination name avec quelque chose qui décrit votre connexion VPN. Cliquez ensuite surDone.
Votre nouvelle connexion VPN sera visible dans la liste des réseaux. Sélectionnez le VPN et cliquez surConnect. Vous serez invité à entrer votre nom d'utilisateur et votre mot de passe. Saisissez-les, cliquez surOK et vous serez connecté.
Se connecter depuis iOS
Pour configurer la connexion VPN sur un périphérique iOS, procédez comme suit:
-
Envoyez-vous un email avec le certificat racine joint.
-
Ouvrez l'e-mail sur votre appareil iOS et appuyez sur le fichier de certificat joint, puis appuyez surInstall et entrez votre mot de passe. Une fois installé, appuyez surDone.
-
Accédez àSettings,General,VPN et appuyez surAdd VPN Configuration. Cela fera apparaître l'écran de configuration de la connexion VPN.
-
Tapez surType et sélectionnezIKEv2.
-
Dans le champDescription, entrez un nom court pour la connexion VPN. Cela pourrait être tout ce que vous aimez.
-
Dans les champsServer etRemote ID, saisissez le nom de domaine ou l’adresse IP du serveur. Le champLocal ID peut être laissé vide.
-
Entrez votre nom d'utilisateur et votre mot de passe dans la sectionAuthentication, puis appuyez surDone.
-
Sélectionnez la connexion VPN que vous venez de créer, appuyez sur le commutateur en haut de la page et vous serez connecté.
Connexion depuis macOS
Suivez ces étapes pour importer le certificat:
-
Double-cliquez sur le fichier de certificat. Keychain Access apparaîtra avec une boîte de dialogue indiquant «Keychain Access essaie de modifier le trousseau système. Entrez votre mot de passe pour autoriser cela. "
-
Entrez votre mot de passe, puis cliquez surModify Keychain
-
Double-cliquez sur le certificat VPN nouvellement importé. Cela ouvre une petite fenêtre de propriétés dans laquelle vous pouvez spécifier les niveaux de confiance. DéfinissezIP Security (IPSec) surAlways Trust et vous serez à nouveau invité à saisir votre mot de passe. Ce paramètre est automatiquement enregistré après la saisie du mot de passe.
Maintenant que le certificat est important et approuvé, configurez la connexion VPN en procédant comme suit:
-
Accédez àSystem Preferences et choisissezNetwork.
-
Cliquez sur le petit bouton «plus» en bas à gauche de la liste des réseaux.
-
Dans la fenêtre contextuelle qui apparaît, définissezInterface surVPN, définissez lesVPN Type surIKEv2 et donnez un nom à la connexion.
-
Dans les champsServer etRemote ID, saisissez le nom de domaine ou l’adresse IP du serveur. Laissez lesLocal ID vides.
-
Cliquez surAuthentication Settings, sélectionnezUsername et entrez votre nom d'utilisateur et mot de passe que vous avez configurés pour votre utilisateur VPN. Cliquez ensuite surOK.
Enfin, cliquez surConnect pour vous connecter au VPN. Vous devriez maintenant être connecté au VPN.
Dépannage des connexions
Si vous ne parvenez pas à importer le certificat, assurez-vous que le fichier possède l'extension.pem et non.pem.txt.
Si vous ne parvenez pas à vous connecter au VPN, vérifiez le nom du serveur ou l’adresse IP que vous avez utilisée. Le nom de domaine ou l’adresse IP du serveur doit correspondre à ce que vous avez configuré comme nom commun (CN) lors de la création du certificat. Si elles ne correspondent pas, la connexion VPN ne fonctionnera pas. Si vous configurez un certificat avec le CN devpn.example.com, vousmust utilisezvpn.example.com lorsque vous entrez les détails du serveur VPN. Revérifiez la commande que vous avez utilisée pour générer le certificat et les valeurs que vous avez utilisées lors de la création de votre connexion VPN.
Enfin, revérifiez la configuration VPN pour vous assurer que la valeurleftid est configurée avec le symbole@ si vous utilisez un nom de domaine:
Et si vous utilisez une adresse IP, assurez-vous que le symbole@ est omis.
Conclusion
Dans ce tutoriel, vous avez créé un serveur VPN utilisant le protocole IKEv2. Maintenant, vous pouvez être assuré que vos activités en ligne resteront sécurisées où que vous alliez!
Pour ajouter ou supprimer des utilisateurs, jetez simplement un coup d’œil à l’étape 5. Chaque ligne correspond à un utilisateur. Il est donc simple d’ajouter ou de supprimer des utilisateurs, c’est aussi simple que de modifier le fichier.
À partir de là, vous voudrez peut-être envisager de configurer un analyseur de fichier journal, car StrongSwan vide ses journaux dans syslog. Le tutorielHow To Install and Use Logwatch Log Analyzer and Reporter on a VPS a plus d'informations sur la configuration.
Vous pourriez également être intéressé parthis guide from the EFF about online privacy.