background preloader

Sécurisation du serveur (SSH, firewall iptables, fail2ban...)

Sécurisation du serveur (SSH, firewall iptables, fail2ban...)
Règles de base pour sécuriser : mise en place d'un firewall avec IPtables et de règles de filtrage. Ajout de fail2ban et rkhunter. Ces étapes sont à étudier avec soin. Elles ne constituent pas de parade ultime, mais sont un premier pas nécessaire. Vérifiez bien vos choix avant toute mise en place pour éviter de vous exclure vous-même par une règle trop restrictive (il est recommandé de le faire en phase de tests lorsque vous pouvez encore réinitialiser totalement votre serveur). La première précaution consiste avant tout à se tenir informé : il existe des mailing-lists spécialisées dans la sécurité, telles que Debian Security Announce et à procéder à des mises à jour régulières (via apt-get upgrade par exemple). Modifier le mot de passe root N'hésitez pas à modifier le mot de passe surtout si celui-ci vous a été attribué par défaut. passwd root Configuration SSH Afin de sécuriser l'accès SSH au serveur, éditons le fichier /etc/ssh/sshd_config. vi /etc/ssh/sshd_config /etc/init.d/ssh restart Related:  Debianserveurs

Bind et DNS Bind BIND est le serveur DNS le plus utilisé sur Internet. Nous n'allons pas détailler sa configuration complète ici car elle nécessite beaucoup de développements, mais nous allons modifier son exécution pour qu'elle se fasse de façon plus sécurisée, dans une prison (en environnement chrooté). BIND est parfois exécuté avec des droits root, afin d'utiliser le port privilégié 53 (TCP, UDP), inférieur à 1024. Dans un environnement restreint, il ne pourra pas voir ou avoir accès aux fichiers à l'extérieur de sa propre arborescence. Cela permet de limiter la quantité d'accès que n'importe quel individu malveillant pourrait gagner en exploitant une vulnérabilité de BIND. Cela suffira dans le cadre de cet ensemble de tutoriels qui visent à mettre en place un serveur d'hébergement. Chroot est une commande des systèmes d'exploitation UNIX permettant de changer pour un programme le répertoire racine de la machine hôte. Commencez par arrêter le service (ici en version 9) : /etc/init.d/bind9 stop

subversion Installation Toute installation de SVN nécessitera l'installation du paquet subversion Une bonne base pour les futurs dépôts ("repository") est /var/svn : sudo mkdir /var/svn C'est dans ce dossier que vous créerez vos futurs repository. Nous considérerons cette base pour la suite de la documentation. Configuration SVN peut être installé de plusieurs façons : Seul, en local, l'accès au dépôt se faisant par seul, en mode serveur, c'est-à-dire que l'accès au dépôt SVN sera sous la forme , avec des utilisateurs SVN créés à cet effet; ou administré via un module d'Apache (dav_svn), c'est-à-dire que l'accès au dépôt SVN sera sous la forme avec des utilisateurs créés pour le module dav_svn pour l'authentification. Dans les 2 derniers cas, dans l'adresse d'accès à un dépôt, mon_serveur/ représente la base des dépôts. Serveur SVN seul Tout d'abord, créez un dépôt (nous considérerons le répertoire projet1). Lancer le serveur Accès #!

Serveur FTP avec Proftpd Serveur FTP ProFTPd est un serveur FTP libre très puissant, bien documenté avec une configuration simple d'accès, possédant une syntaxe proche de celle d'Apache. Proftpd Installation apt-get install proftpd Configuration Edition de la configuration : vi /etc/proftpd/proftpd.conf Nous allons modifier les options suivantes : UseIPv6 off Ne pas utiliser IPv6 si ce n'est pas nécessaire DefaultRoot ~ Le répertoire de destination par défaut des utilisateurs est leur propre home directory. IdentLookups off Désactive l'identification distante RequireValidShell off Permet la connexion des utilisateurs qui ne possèdent pas d'accès shell (cas de ce tutoriel) ServerIdent on "FTP Server ready." Message minimaliste affiché à la connexion ShowSymlinks off Ne pas afficher les liens symboliques AllowStoreRestart on Autoriser la reprise d'un upload de fichier (resuming) AllowRetrieveRestart on Autoriser la reprise d'un téléchargement de fichier vi /etc/proftpd/modules.conf Redémarrer le tout : /etc/init.d/proftpd restart

Installation et configuration d’un serveur Web complet sous Debian 7 | WOoOinux | Linux, Développement, Geekerie Publié le 7 janvier 2014 Par WOoOinux Dans ce tutoriel, nous allons mettre en place un serveur Web (donc destiné à héberger des sites Internet) avec une configuration similaire à celle d’un hébergement mutualisé. Nous verrons donc comment installer LAMP ainsi qu’un serveur FTP. Attention ce tutoriel nécessite tout de même des connaissances de base en administration de système Linux. LAMP c’est quoi ? Un serveur LAMP est un serveur Web. Linux : le système d’exploitation constituant la base du système.Apache : le serveur HTTP qui gère la communication avec le client.MySQL : le système de gestion de base de données.PHP : le langage de script utilisé pour générer les pages dynamiques. 1 – Installation d’Apache : Dans un terminal (en tant qu’utilisateur root), entrez la commande suivante : Afin de tester le bon fonctionnement d’Apache, lancez votre navigateur et saisissez l’une des adresses ci-dessous : (si vous êtes en local, donc si votre ordinateur fait office de serveur)

Protéger son serveur Web Apache2 des attaques DoS DoS m'a tué Tous les serveurs connecté à Internet peuvent subir une attaque par déni de service ou Deny of Service ou DoS. Une attaque DoS consiste à tenter de bloquer l'accès à un serveur en monopolisant toutes ses ressources. Certaines actions préventives permettent de limiter la casse. Cet article vous présente quelques réglages de base pour vous protéger un serveur Linux Ubuntu des attaques DoS Le principe d'une attaque DoS Les ordinateurs ont une capacité de traitement limitée dans un temps donné. Les attaques DoS les plus connues sont : SYN flood qui consiste à initier une transaction TCP avec un serveur sans l'informer qu'elle est établie. Les outils ab et hping peuvent simuler une petite attaque DoS sur un serveur Web, mais en aucun cas ils ne sont représentatifs d'une vraie attaque dans leur version originale de code source. Des contremesures sont disponibles pour chaque type d'attaque. Linux contre les attaques DoS # netstat -an | grep SYN Redémarrez le service : Redémarrez Apache :

installer_un_serveur_debian Installation de Debian Téléchargez la version de votre choix depuis la page : Gravez l'image ISO puis insérez le CD dans le lecteur de votre futur serveur. Il est conseillé d'utiliser l'installation graphique qui est plus simple d'utilisation. Quand l'installation vous le proposera, décochez les cases "Environnement graphique de bureau" et "Utilitaires standard du système", nous allons installer uniquement ce dont nous avons besoin. Se connecter en root Sous Debian, root correspond à l'administrateur du serveur, il est le seul à pouvoir manipuler celui-ci. Mettre à jour le serveur Pour commencer, on vérifie que le serveur est à jour : Mise à jour des dépôts On commence par mettre à jour la liste des fichiers disponibles dans les dépôts APT présents dans le fichier de configuration /etc/apt/sources.list. # apt-get update Mise à jour des paquets L'option upgrade met à jour tous les paquets installés vers les dernières versions. # apt-get upgrade Voilà !

Installer et configurer OpenVPN sur Debian OpenVPN permet de créer des réseaux privés virtuels chiffrés avec OpenSSL. C'est une alternative crédible aux technologies telles que PPtP (Microsoft) ou IPSec. Disponible sur de nombreux systèmes d'exploitation (Microsoft Windows, GNU / Linux, MacOS X, ...), c'est une solution simple pour gérer un réseau privé virtuel composé de machines hétéroclites dans un environnement n'autorisant pas IPSec. Ce guide est testé sur: Debian 6.0 SqueezeDebian 7.0 Wheezy Prérequis Ce guide recommande: Installation Installez les logiciels: command apt-get install openvpn openssl module-init-tools zip dos2unix git Initialisez le module tun: command modprobe tun Intégrez le module au démarrage du système: if [[ -z "$(command grep '^tun$' '/etc/modules')" ]]; then command echo '# Needed by OpenVPNtun' >> '/etc/modules'fi Si nécessaire de créez le device associé: if [[ ! Installez Easy-RSA v3: command git clone ' '/etc/openvpn/easy-rsa' Mettez en place l'outil openvpn-tools: if [ ! où:

Installation d'un serveur mail complet sous debian : Dovecot (4/5) - Tictech Cet article est le cinquième d'une série sur l'installation d'un serveur mail sur debian wheezy. Accéder aux autres articles : Introduction : Introduction et notes sur le tutoInstallation des paquets et préparation du système : Comme son nom l'indiqueConfiguration de Postfixadmin : Gestion des domaines et utilisateurs virtuels.Configuration de Postfix : Le logiciel qui permet de faire du smtp : faire passer des mails de serveur en serveur.[Configuration de Dovecot] : Le logiciel qui permet de faire de l'imap : récupérer les mails qui sont arrivés et les mettre dans des jolis dossiers.Tester la configuration et utiliser un client mailInstallation de Roundcube : Le webmail, qui permet d'accéder à ses mails depuis un simple navigateur internet. Maintenant qu'on arrive à faire circuler les mails sur notre serveur, et qu'on les arrête quand ils sont pour nous, il faut pouvoir les récupérer pour les mettre dans les dossiers. Configuration auth : Le premier fichier à modifier est 10-auth.conf.

Configurer un serveur DNS Bind sur Debian Bind est un serveur de noms de domaine très répandu dans le monde Unix. Sa grande puissance s'accompagne malheureusement d'une certaine complexité de configuration. Cet article essaye de regrouper les options de configuration importantes de Bind 9. Ce guide est testé sur: Debian 6.0 SqueezeDebian 7.0 Wheezy Installation Installez le serveur: command apt-get install bind9 La configuration du serveur est gérée par ces deux fichiers: /etc/bind9/named.conf.options: les options du DNS : autorisations d'accès, redirection de DNS, recursion, etc. Journaux Créez le dossier destiné à contenir les journaux de Bind: command mkdir --parent '/var/log/named/'command chown -R bind:bind '/var/log/named/' Activez la journalisation des événements concernant la sécurité du serveur: if [ ! Configurez la rotation des journaux: Rechargez la configuration: /etc/init.d/bind9 restart Sécurité Installez fail2ban: command apt-get install fail2ban Activez la sécurisation de Bind par fail2ban: if [ ! /etc/init.d/fail2ban restart

Serveur Debian complet sur KIMSUFI OVH 1.1. Généralités Cette section est consacrée à l’installation d’un serveur sur lequel tourneront tous les services, ainsi que les environnements virtuels (présentés dans la deuxième partie). 1.2. Nous présentons dans cette section les premières opérations à réaliser pour mettre à jour le serveur et le sécuriser. 1.2.1. Il faut tout d’abord se connecter à son serveur depuis son shell local, avec la commande ssh root@ks123456.kimsufi.com. root@ks123456:~# env | grep LANG LANG=fr_FR LANGUAGE=fr_FR:fr root@ks123456:~# Il faut donc spécifier que la valeur des locales à utiliser est fr_FR.UTF-8, de la façon suivante : root@ks123456:~# export LANG=fr_FR.UTF-8 root@ks123456:~# export LANGUAGE=fr_FR.UTF-8 root@ks123456:~# Il faut ensuite mettre à jour le shell pour conserver cette modification à la prochaine ouverture d’un shell, en ajoutant les lignes export LANG="fr_FR.UTF-8" et export LANGUAGE="fr\_FR.UTF-8" à son fichier .bashrc : 1.2.2. 1.2.3. 1.2.4. 1.2.5. 1.2.6. 1.2.7. 1.2.8. 1.2.9. 1.2.10.

Backporter un packet Debian de testing vers stable Cet article facilite la mise à jour un logiciel par création d'un paquet Debian à partir des sources disponibles dans les dépôts testing. Ce guide est testé sur: Debian 7.0 Wheezy Ce guide est testé avec ces logiciels: iproute2openvpn (dépend de iproute, iproute2) Avertissement Le succès d'un backport de paquet dépends grandement des dépendances du paquet backporté. Prérequis Ce guide nécessite: l'ajout des dépôts de sources testing, comme décrit par Configurer les dépôts de sources Testing sur Debian stable. Paramètres Renseignez le nom du paquet à backporter: PACKAGE="openvpn" Mise en place Détectez le nom du paquet des sources du paquet à backporter: Préparation de l'environnement Installez les logiciels nécessaires: command apt-get install build-essential fakeroot Installez les dépendances de construction du paquet backporté: command apt-get build-dep "${SRC_PACKAGE}" Remarque: En cas d'échec de la commande ci-dessus, essayez de backporter les paquets bloquants. Obtention des sources command popd

Configurer un sous domaine avec #Apache sur votre serveur dédié #ubuntu Ces derniers jours j’ai été confronté deux fois au problème de mise en place de sous domaine sur un serveur dédié, et à chaque fois ce fut une galère. Entre la documentaion trop complète et les différents tutos sur le web qui racontent tout et n’importe quoi j’ai passé plusieurs heures à chercher, modifier, effacer des fichiers de config. Pour éviter de me reprendre la tête, et en espérant que cela puisse servir à quelques personnes, voici la marche à suivre : Cas n°1 : Votre domaine pointe déjà vers le serveur dédié, vous voulez juste créer un sous domaine associé à un répertoire C’est le plus simple, même si, sur le web, on trouve tout et son contraire pour résoudre ce problème simple en apparence … Vous avez donc un domaine – toto.me – dont le champs A des DNS pointe vers l’IP de votre serveur . Donc première chose à faire il faut ajouter un champ CNAME à vos résolutions DNS, afin que sub.toto.me pointe vers toto.me Ensuite il suffit de redémarrer Apache avec un et le tour est joué !

[Debian 7 - TrinityCORE - 4.3.4] Installer TrinityCORE sur Debian 7 Bonjour chère amis Power-ON. Ce tutoriel a pour but d'installer TrintyCORE 4.3.4 sur la distribution GNU/Linux Debian 7. Il vient en complément de la version ArkCORE 4.0.6 déjà posté plus tôt. Toutes les manipulations s'effecturons bien sûr a l'aide de la console via SSH ou directement sur l'OS. Pré-requis: Aptitude: Avant de continuer, je vous conseil de mettre à jours les listes Aptitudes étant donner que Power-On effectue des installation Hors-Ligne de Débian. Editer le fichier /etc/apt/sources.list en y ajoutant ces lignes: Code : # stable deb wheezy main deb-src wheezy main deb wheezy/updates main deb-src wheezy/updates main # wheezy-updates, previously known as 'volatile' deb wheezy-updates main deb-src wheezy-updates main N'oubliez pas de commenter les lignes correspondant au lecteur CD/DVD avec un "#". .

Clés SSH avec Puttygen : Server refused our key - Juan Sorroche Si comme moi vous avez généré votre paire de clés SSH depuis l'outil Puttygen (Windows) et que vous avez collé la clé publique dans ~/.ssh/authorized_keys à la barbare avec un "copier-coller" (oui, je sais, c'est sale), vous avez dû tomber sur ce joli message lors de votre tentative de connexion avec Putty : login as : USER Server refused our key Le problème vient du format de la clé publique générée par Puttygen. Si vous l'avez simplement collé dans authorized_keys, elle doit ressembler à ça : ---- BEGIN SSH2 PUBLIC KEY ---- Comment: "Generation test" AAAAB3NzaC1yc2EAAAABJQAAAQEAp1ZV6N1Q3z7zhbelrVKZQDXc3DVmAt24ukLM YBPEhaokXs+TmqcmuKw4oLqAOZABRODj4yLlmpBf7XaPzZaD2E87DiUIRt55ikKm hq26tIQBqU+xfYSObk4xdO/9aXxUGNWyMD2MG/tppZrtcGF3+q7WoNNTK0x2BE5S LAxIJytbJzkY3RhojwAxageXPCImaRT2uJBupQoEtGJWQjSvXLts6y3hrzFqpX4V 2li9eLlBE9COOXlfYD9xVWFk+eXYM7uCje0VCKEe93SmSQvxZu4MnbIO9zDrBJY0 jK3lz2qRQ4dKyCDwM+Ay9fx8iL6VxIZ10ixuH2ADgowzhwG/aw== ---- END SSH2 PUBLIC KEY ----

Related: