OVH Community, votre nouvel espace communautaire.

Sécuriser à 100% son serveur debian ?


Pascal [ZR]
29/08/2015, 00h34
Je plussoie les caupaings sur le fait qu'iptables n'est qu'une petite partie de la sécurité globale d'un serveur.
Cependant, je ne suis pas tout à fait d'accord sur l'inutilité d'un firewall restrictif. En standard, je fais comme Nowwhat, pas de règles particulières.
Mais sur certains serveurs, c'est bien utile, voir indispensable! Exemple:

Certains clients peuvent demander à utiliser des applications un peu "exotiques", ou carrément des versions de serveurs obsolètes, bourrés de failles (php, apache, etc..). Dans ce cas, faire tourner les daemons avec des utilisateurs limités et bloquer les ports en entrée ET sortie avec iptables permet d'interdire l'accès à un serveur backdoor même si celui-ci est effectivement lancé par un script véreux! Genre le gars arrive à lancer un netcat en attente sur le port 6666 mais il ne pourra pas s'y connecter depuis l’extérieur car iptables dropera les paquets..

Nowwhat
29/08/2015, 00h15
2072 a raison !

J'ajoute à la liste : rkhunter.
Pas vraiment un truc qu'on installe dans quelques minutes, mais une fois bien paramétré et adapté à son serveur (son OS en fait) il reste muet.
Dans le monde de nunix : 'silence' == "Ok, tout va bien !"
Jusqu'à un fichier 'système' ou autre fichier important a changé ....
Soit, c'est ok, car t'as appliqué une mise à jour
Soit, t'as rien compris, t'as rien fait ..... cherche-le et frappe fort !

2072
28/08/2015, 23h11
Un truc important aussi est d'installer un logiciel de surveillance de modification des fichiers systèmes tel que tripwire (assez ancien mais simple et toujours efficace).
Il y a aussi sshguard pour bloquer automatiquement les ip qui tentent de se connecter à ssh après un certain nombre d'erreur d'authentification (évite aussi les DOS sur ssh).
Penser également à Tiger scripts un système d'analyse automatique des logs et plus encore (TripWire y est inclu) qui avertit des choses suspectes ou même des failles de configuration de certains services.

Enfin il y a un manuel très complet sur le sujet : https://www.debian.org/doc/manuals/s...-debian-howto/

Yukokokokok
26/08/2015, 15h22
Ok merci pour vos réponses les gars

Nowwhat
26/08/2015, 13h55
Citation Envoyé par Yukokokokok
Hello, c'est possible ?
Non.
Dans les logiciels 'parfait' aujourd'hui, on trouve des failles demain.

La meilleur possibilité : suivre l’évolution de chaque application que tu utilise.
T'as un serveur web "apache2" => consulter les forum de support d'Apache ...
T'utilise OpenSSL (ce que est certainement le cas) : il suffit de suivre le journal de 20hh0 sur TF1. Le moindre faille urgent (deux fois en 2014 quand même) sera annoncé

T'a spas le temps / compétence / ou autre moyen d’assurer la suivi d'un application ? Pas de soucis, ne l'utilise plus ! (c'est si simple que ça)


Citation Envoyé par Yukokokokok
Actuellement j'ai iptables (drop partout sauf certains ports), désactivé connexion directe à root, désactivé toutes méthodes de connexion sauf clé ssh
Désolé t'informer que tu un victime de la pub "informatique".
"Install un bon antivirus et tu risque plus rien." Alors, c'est totalement faux.

Avec iptables tu as bloqué des portes ....... qui sont hors service !!!
Et pire : t'as OUVERT les portes qui ont un risque de sécurité : le 21,22,25,53,110,143,465,587,993,995 etc.
Car : JAMAIS un serveur a été hacké avec une porte non-asservi - le hack se passe toujours sur une porte qui a un service lié. Ces même portes que t'as expressément ouvert !!!

La sécurité d'un serveur est directement lié à deux vecteurs majeurs : le nombre des services que t'as installé, qui écoutent à l’extérieur et le paramétrage de chaque service.
Autrement dit: la sécurité d'un serveur est directement lié à la compétence de l'administrateur.
Malheureusement, il n'est pas possible de compenser (la manque de) compétence par un logiciel ou autre astuce.

Pour info : te présente ma paramétrage "parafeu" (iptables:
Code:
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
J'utilise ces règles depuis bien plus que 10 années : c'est simple comme gestion. UN truc en moins pour s'en occuper.

J'avoue que j'ai passé des centaines heures pour bien comprend e ce que c'est un serveur mail, POP, IMAP, SMTPS, SSH, SSL etc etc ...
La bonne compréhension de l'ensemble de services que tu utilise (que tu expose au monde entier) détermine le niveau de sécurité de ton serveur.

Citation Envoyé par pppplus
Sécuriser à 100% est très simple.
Eteignez le serveur
Ou : arrêter le NIC - comme ça le serveur peut continuer de travailler

janus57
26/08/2015, 13h27
Bonjour,

comme dit le 100% n'existe pas, ou alors vous enlever le RJ45 de votre serveur/PC et enlever le wifi/bluetooth ou bouchez tous les ports qui permet de connecter un appareil qui permet le transfert de données.

Sinon IPTables n'est en rien une sécurité, perso j'ai pas de script iptables depuis plusieurs années (tout comme @nowwhat), sa sert à rien de fermer un port sur lequel rien n'écoute, cela peu juste servir à éviter qu'un programme ouvre un port que l'on ne désire pas (et là y a danger si un programme ouvre nawak comme port sur on serveur).

Ensuite changer le port SSH est visiblement une très mauvaise idée (https://www.adayinthelifeof.nl/2012/...2-is-bad-idea/), la seule chose que cela apporte c'est moins de logs de tentative et encore si on utilise fail2ban et on bann à la première tentative on limite déjà pas mal, sinon si vous voulez vraiment pas de logs utiliser le "port knocking" qui ferme le port et l'ouvre avec une série d’opération spécifique (largement plus "sécure" que de changer de port).
Et bien sûr clé SSH à la place de password (bien que un password de 32 caractères soit aussi "sécure" si on veux).

Enfin comme cela a été dit toujours maintenir son serveur+logiciels+sites web (si vous en avez dessus) à jour sur le serveur.
Pour Debian bien suivre : https://www.debian.org/security/

Cordialement, janus57

lxwfr
26/08/2015, 05h16
bonjours,
juste que avec iptable n'est pas sécurisé à 100%
-mise à jours des logiciel(=régulier et stabilité)
-changer de port ssh et mail (=évite trop de clef partout, aux cas oú)
-correction des failles de sécurité (=à prévoir)

Yukokokokok
26/08/2015, 04h56
Hello, c'est possible ?

Actuellement j'ai iptables (drop partout sauf certains ports), désactivé connexion directe à root, désactivé toutes méthodes de connexion sauf clé ssh

Est-ce que c'est suffisant ou vous avez d'autres petits conseils ?