OVH Community, votre nouvel espace communautaire.

[Securité] APF+BFD + DDOS DEFLATE


fugitif
14/05/2011, 11h48
Citation Envoyé par bisvan
Bonjour

merci tout d'abord pour ce HOW TO

J'ai plesk sur une ip dédiée et 2 IP FAIL OVER routé sur mon dédié.

Dans le fichier de conf. de APF il y a ces paramètres :
IFACE_IN="eth0"
IFACE_OUT="eth0"

Mes IP FAIL OVER sont montées sur eth0:0 et eth0:1
Dois je laisser APF sur etho0 (l'ip principale du serveur mais qui ne gère aucun domaine) ou alors renseigner les autres ? et comment les rajouter dans APF ?

Merci pour votre aide
Tu doit laisser APF sur eth0

bisvan
14/05/2011, 10h46
Bonjour

merci tout d'abord pour ce HOW TO

J'ai plesk sur une ip dédiée et 2 IP FAIL OVER routé sur mon dédié.

Dans le fichier de conf. de APF il y a ces paramètres :
IFACE_IN="eth0"
IFACE_OUT="eth0"

Mes IP FAIL OVER sont montées sur eth0:0 et eth0:1
Dois je laisser APF sur etho0 (l'ip principale du serveur mais qui ne gère aucun domaine) ou alors renseigner les autres ? et comment les rajouter dans APF ?

Merci pour votre aide

mafois2005
29/12/2010, 14h57
J'ai relevé un prob assez génant depuis quelque temps.
A chaque fois qu'un utilisateur accède à son email via l'accès webmail, l'ip qu'il utilise est bannie au bout de quelques secondes suite à un nombre important de connexions (entre 280 et 300 en moyenne). La bannissement ne dure quelques minutes (tel que définis dans le script) mais bon c'est chiant. L'un de vous voit-il une solution hormis augmenté le nombre de connexions ?

Merci

PS: à part cela, les 3 scripts fonctionnent à merveille !

someoneinthe
13/12/2010, 15h26
a tout hasard, tu aurais la solution pour automatiser le brute force au démarrage?

quentinheb
13/12/2010, 14h13
si tu peux tout installer sur plesk10 sans problème.

someoneinthe
08/12/2010, 13h04
toujours personne qui a trouvé l'automatisation de L'anti bruteforce BFD -- Brute Force Detection?

someoneinthe
24/11/2010, 15h05
hello tout le monde!

j'aurais aimé votre retour utilisateur pour savoir si c'était valable sur la version 10 de plesk,et, si par rapport a cette version, c'etait recommandé (par rapport aux outils intégrés de plesk qu'ils ont pu ajouter)

merci d'avance

Lapinhurlant
10/12/2009, 10h24
C'est bizarre, de temps en temps, l'adresse IP qui se trouve dans le fichier allow_hosts.rules est bannie quand meme et pass dans le fichier deny_hosts.rules

Est ce que qq'un a une idée ?

Merci d'avance

Rikle_S
15/10/2009, 20h19
Et comment redémarrer un process ?

papykun
14/08/2009, 14h56
Compatible debian... Merci pour les liens

quentinheb
14/08/2009, 14h47
oui ..

mindor
11/08/2009, 09h04
Salut,

Je remonte ce message car je suis à la recherche de solutions pour protéger correctement mon Plesk. Est-ce que la procédure donnée ici est valable pour la 9.2.2 ?

h4ni
23/07/2009, 20h20
Un tuto pour debian Etch
http://www.iandron.cn/?p=101

Rikle_S
23/07/2009, 14h18
C'est lié à un iptable ou pas ?

fugitif
22/07/2009, 12h09
Il faudrait spécifier que c'est pour Centos et non Debian / Ubuntu.
Dans le script d'install il y a ceci :

/sbin/chkconfig --add apf
/sbin/chkconfig --level 345 apf on
chkconfig n'existe pas sous Ubuntu / Debian. Mais il y a un patch pour Ubuntu ici http://codeblog.palos.ro/2008/02/28/...ewall-patches/
Et comme vous pouvez le voir sur cette page, il y a une version de dispo pour ubuntu.


Et le script se lance tout seul au démarrage (je parle de apf)

if [ -f "/etc/rc.local" ]; then
val=`grep -i apf /etc/rc.local`
if [ "$val" == "" ]; then
echo "/etc/apf/apf -s >> /dev/null 2>&1" >> /etc/rc.local
fi
fi

redb
21/07/2009, 21h37
Si je ne m'abuse c'est dans le fichier /usr/local/ddos/ddos.conf

Merci pour tout ça, j'ai l'impression d'être en sécurité.
Mais comment accéder à ces logiciels (sous plesk ?)

Rikle_S
13/07/2009, 13h52
Je ne trouve pas cette valeur, je dis 200 mais c'est aléatoire...

quentinheb
11/07/2009, 23h52
Pour l'ip statique c'est uniquement pour éviter de te faire bannir.
Ici tu en as pas besoin.
Pour les paramètres des ban suffit de changer la valeur 200 en ce que tu veux.

Rikle_S
10/07/2009, 23h17
Ben j'ai rien mis mais je peux m'y connecter... et heureusement

Par contre, je vois que le ban se fait au bout de 200 tentatives, ca se paramêtre ça ?

Blady
10/07/2009, 11h55
ça doit surement être pour autoriser seulement TON ip à se connecter a ta machine

Rikle_S
10/07/2009, 11h37
Bon j'ai suivis le tuto a la lettre, juste un petit soucis :
i vous avez une ip statique :
/etc/apf/allow_hosts.rules et ajoutez votre ip
Quel est l'objectif de cette ligne je comprends pas trop :/

J'attends la réponse sur l'auto au démarrage et ce sera parfait merci

quentinheb
14/05/2009, 12h21
Héhé je pense qu'on va mettre ca sur le dos de la fatigue
L'idéal est de coupler le tout avec fail2ban ( ce que j'ai fais !)

Pour lancer bfd au démarrage tu te rappel de la commande ?
/usr/local/sbin/bfd -s car il n'apparait pas dans les services ^^ et la j'ai franchement un trou de mémoire

Patouf
14/05/2009, 01h02
je confirme :

dans /etc/cron.d, il y a bien un fichier de cron pour DDOS ;-)

Patouf
14/05/2009, 00h55
yop !

merci pour ce tuto !

/usr/local/ddos/ddos.sh -c
=> inutile, car déjà fait par "install.sh"

citation install.sh
=>/usr/local/ddos/ddos.sh --cron

quentinheb
13/05/2009, 20h28
Bonjour à tous,

Voici un tuto qui vous sera je pense très utile !
Installation d'un firewall + anti-bruteforce + anti-DDOS

Le firewall : APF Advanced Policy-based Firewall

cd /usr/src
mkdir protection
cd protection
wget http://rfxnetworks.com/downloads/apf-current.tar.gz
tar xfz apf-current.tar.gz
cd apf-*
./install.sh

Si vous avez une ip statique :
/etc/apf/allow_hosts.rules et ajoutez votre ip


Puis vi /etc/apf/conf.apf
Changez la ligne :
DEVEL_MODE="0" => mode de développement pour les tests
Puis cette ligne
EGF="1"
# Common inbound (ingress) TCP ports
IG_TCP_CPORTS="20,21,22,25,53,80,110,143,443,465,9 93,995,3306,5224,8443,8880,10000,11444,11443,35000 _35999"

# Common inbound (ingress) UDP ports
IG_UDP_CPORTS="37,53,873,11444,11443"

# Common outbound (egress) TCP ports
EG_TCP_CPORTS="20,21,22,25,53,37,43,80,113,443,465 ,873,5224,11444,11443"

# Common outbound (egress) UDP ports
EG_UDP_CPORTS="20,21,22,53,873,11444,14443"

Et enfin la ligne : SET_MONOKERN="1"

On lance le prog
apf -s
si tout va bien
Puis vi /etc/apf/conf.apf
Changez la ligne :
DEVEL_MODE="1"

L'anti bruteforce BFD -- Brute Force Detection


cd /usr/src/protection
wget http://rfxnetworks.com/downloads/bfd-current.tar.gz
tar xfz bfd-current.tar.gz
cd bfd-*
./install.sh

Editez la config /usr/local/bfd/conf.bfd.
cherchez ALERT="0" and et remplacez le par ALERT="1"
cherchez EMAIL_USR="root" et remplacez le par EMAIL_USR="username@yourdomain.com"

Editez /usr/local/bfd/ignore.hosts pour ajouter votre ip statique pour éviter de vous faire bannir (si vous en avez une)
On lance l'appli
/usr/local/sbin/bfd -s

L'anti DDOS DDoS Deflate

cd /usr/src/protection
mkdir ddos
cd ddos
wget http://www.inetbase.com/scripts/ddos/install.sh
sh install.sh

Editez la config, /usr/local/ddos/ddos.conf, et ensuite lancez le DDOS.

/usr/local/ddos/ddos.sh -c

Si tout va bien , automatisez le lancement des services au démarrage de votre distri !

Pour centos :
chkconfig --levels 235 apf on
Heu pour lancer les deux autres service je me rappel plus la commande ... je pensais à
chkconfig --levels 235 /usr/local/sbin/bfd -s on
chkconfig --levels 235 /usr/local/ddos/ddos.sh -c on
mais apparement ce n'est pas cela.. quelqu'un pourrait-il me la donner ?

Voila j'attends vos commentaires
Si vous connaissez d'autres méthodes de sécurité n'hésitez pas à les faire partager !

Voici la liste des ports utilisés par plesk
#20 ftp-data
#21 ftp
#22 ssh
#25 smtp
#53 dns (TCP and UDP)
#80 http (web server and Plesk updater)
#106 poppassd (for localhost only)
#110 pop3
#113 auth
#143 imap
#443 https
#465 smtps
#587 mail message submission
#990 ftps
#993 imaps
#995 pop3s
#3306 mysql
#5224 (outgoing connections only) plesk-license-update
#5432 postgres
#8443 plesk-https
#8880 plesk-http
#9080 tomcat
#11443 sw-cp-serverd
#11444 sw-cp-serverd

Pour ceux qui veulent utiliser apf avec un autre panel que plesk :
-----cPanel -----
IG_TCP_CPORTS="20,21,22,25,26,53,80,110,143,443,46 5,993,995,2082,2083,2086,2087,2095,2096"
IG_UDP_CPORTS="21,53,873"

EGF="1"
EG_TCP_CPORTS="21,22,25,26,27,37,43,53,80,110,113, 443,465,873,2089"
EG_UDP_CPORTS="20,21,37,53,873"



----Ensim -----
IG_TCP_CPORTS="21,22,25,53,80,110,143,443,19638"
IG_UDP_CPORTS="53"

EGF="1"
EG_TCP_CPORTS="21,22,25,53,80,110,443"
EG_UDP_CPORTS="20,21,53"



----Plesk -----

IG_TCP_CPORTS="20,21,22,25,53,80,110,143,443,465,9 93,995,8443"
IG_UDP_CPORTS="37,53,873"

EGF="1"
EG_TCP_CPORTS="20,21,22,25,53,37,43,80,113,443,465 ,873,5224"
EG_UDP_CPORTS="53,873"