[Securité] APF+BFD + DDOS DEFLATE

Tu doit laisser APF sur eth0

Bonjour

merci tout d'abord pour ce HOW TO

J'ai plesk sur une ip dédiée et 2 IP FAIL OVER routé sur mon dédié.

Dans le fichier de conf. de APF il y a ces paramètres :
IFACE_IN="eth0"
IFACE_OUT="eth0"

Mes IP FAIL OVER sont montées sur eth0:0 et eth0:1
Dois je laisser APF sur etho0 (l'ip principale du serveur mais qui ne gère aucun domaine) ou alors renseigner les autres ? et comment les rajouter dans APF ?

Merci pour votre aide

J'ai relevé un prob assez génant depuis quelque temps.
A chaque fois qu'un utilisateur accède à son email via l'accès webmail, l'ip qu'il utilise est bannie au bout de quelques secondes suite à un nombre important de connexions (entre 280 et 300 en moyenne). La bannissement ne dure quelques minutes (tel que définis dans le script) mais bon c'est chiant. L'un de vous voit-il une solution hormis augmenté le nombre de connexions ?

Merci

PS: à part cela, les 3 scripts fonctionnent à merveille !

a tout hasard, tu aurais la solution pour automatiser le brute force au démarrage?

si tu peux tout installer sur plesk10 sans problème.

toujours personne qui a trouvé l'automatisation de L'anti bruteforce BFD -- Brute Force Detection?

hello tout le monde!

j'aurais aimé votre retour utilisateur pour savoir si c'était valable sur la version 10 de plesk,et, si par rapport a cette version, c'etait recommandé (par rapport aux outils intégrés de plesk qu'ils ont pu ajouter)

merci d'avance

C'est bizarre, de temps en temps, l'adresse IP qui se trouve dans le fichier allow_hosts.rules est bannie quand meme et pass dans le fichier deny_hosts.rules

Est ce que qq'un a une idée ?

Merci d'avance

Et comment redémarrer un process ?

Compatible debian... Merci pour les liens

oui ..

Salut,

Je remonte ce message car je suis à la recherche de solutions pour protéger correctement mon Plesk. Est-ce que la procédure donnée ici est valable pour la 9.2.2 ?

Un tuto pour debian Etch
http://www.iandron.cn/?p=101

C'est lié à un iptable ou pas ?

Il faudrait spécifier que c'est pour Centos et non Debian / Ubuntu.
Dans le script d'install il y a ceci :

chkconfig n'existe pas sous Ubuntu / Debian. Mais il y a un patch pour Ubuntu ici http://codeblog.palos.ro/2008/02/28/...ewall-patches/
Et comme vous pouvez le voir sur cette page, il y a une version de dispo pour ubuntu.


Et le script se lance tout seul au démarrage (je parle de apf)

Si je ne m'abuse c'est dans le fichier /usr/local/ddos/ddos.conf

Merci pour tout ça, j'ai l'impression d'être en sécurité.
Mais comment accéder à ces logiciels (sous plesk ?)

Je ne trouve pas cette valeur, je dis 200 mais c'est aléatoire...

Pour l'ip statique c'est uniquement pour éviter de te faire bannir.
Ici tu en as pas besoin.
Pour les paramètres des ban suffit de changer la valeur 200 en ce que tu veux.

Ben j'ai rien mis mais je peux m'y connecter... et heureusement

Par contre, je vois que le ban se fait au bout de 200 tentatives, ca se paramêtre ça ?

ça doit surement être pour autoriser seulement TON ip à se connecter a ta machine

Bon j'ai suivis le tuto a la lettre, juste un petit soucis :
Quel est l'objectif de cette ligne je comprends pas trop :/

J'attends la réponse sur l'auto au démarrage et ce sera parfait merci

Héhé je pense qu'on va mettre ca sur le dos de la fatigue
L'idéal est de coupler le tout avec fail2ban ( ce que j'ai fais !)

Pour lancer bfd au démarrage tu te rappel de la commande ?
/usr/local/sbin/bfd -s car il n'apparait pas dans les services ^^ et la j'ai franchement un trou de mémoire

je confirme :

dans /etc/cron.d, il y a bien un fichier de cron pour DDOS ;-)

yop !

merci pour ce tuto !

/usr/local/ddos/ddos.sh -c
=> inutile, car déjà fait par "install.sh"

citation install.sh
=>/usr/local/ddos/ddos.sh --cron

Bonjour à tous,

Voici un tuto qui vous sera je pense très utile !
Installation d'un firewall + anti-bruteforce + anti-DDOS

Le firewall : APF Advanced Policy-based Firewall

cd /usr/src
mkdir protection
cd protection
wget http://rfxnetworks.com/downloads/apf-current.tar.gz
tar xfz apf-current.tar.gz
cd apf-*
./install.sh

Si vous avez une ip statique :
/etc/apf/allow_hosts.rules et ajoutez votre ip


Puis vi /etc/apf/conf.apf
Changez la ligne :
DEVEL_MODE="0" => mode de développement pour les tests
Puis cette ligne
EGF="1"
# Common inbound (ingress) TCP ports
IG_TCP_CPORTS="20,21,22,25,53,80,110,143,443,465,9 93,995,3306,5224,8443,8880,10000,11444,11443,35000 _35999"

# Common inbound (ingress) UDP ports
IG_UDP_CPORTS="37,53,873,11444,11443"

# Common outbound (egress) TCP ports
EG_TCP_CPORTS="20,21,22,25,53,37,43,80,113,443,465 ,873,5224,11444,11443"

# Common outbound (egress) UDP ports
EG_UDP_CPORTS="20,21,22,53,873,11444,14443"

Et enfin la ligne : SET_MONOKERN="1"

On lance le prog
apf -s
si tout va bien
Puis vi /etc/apf/conf.apf
Changez la ligne :
DEVEL_MODE="1"

L'anti bruteforce BFD -- Brute Force Detection


cd /usr/src/protection
wget http://rfxnetworks.com/downloads/bfd-current.tar.gz
tar xfz bfd-current.tar.gz
cd bfd-*
./install.sh

Editez la config /usr/local/bfd/conf.bfd.
cherchez ALERT="0" and et remplacez le par ALERT="1"
cherchez EMAIL_USR="root" et remplacez le par EMAIL_USR="username@yourdomain.com"

Editez /usr/local/bfd/ignore.hosts pour ajouter votre ip statique pour éviter de vous faire bannir (si vous en avez une)
On lance l'appli
/usr/local/sbin/bfd -s

L'anti DDOS DDoS Deflate

cd /usr/src/protection
mkdir ddos
cd ddos
wget http://www.inetbase.com/scripts/ddos/install.sh
sh install.sh

Editez la config, /usr/local/ddos/ddos.conf, et ensuite lancez le DDOS.

/usr/local/ddos/ddos.sh -c

Si tout va bien , automatisez le lancement des services au démarrage de votre distri !

Pour centos :
chkconfig --levels 235 apf on
Heu pour lancer les deux autres service je me rappel plus la commande ... je pensais à
chkconfig --levels 235 /usr/local/sbin/bfd -s on
chkconfig --levels 235 /usr/local/ddos/ddos.sh -c on
mais apparement ce n'est pas cela.. quelqu'un pourrait-il me la donner ?

Voila j'attends vos commentaires
Si vous connaissez d'autres méthodes de sécurité n'hésitez pas à les faire partager !

Voici la liste des ports utilisés par plesk

Pour ceux qui veulent utiliser apf avec un autre panel que plesk :