background preloader

Sécurisation du serveur (SSH, firewall iptables, fail2ban...)

Sécurisation du serveur (SSH, firewall iptables, fail2ban...)
Règles de base pour sécuriser : mise en place d'un firewall avec IPtables et de règles de filtrage. Ajout de fail2ban et rkhunter. Ces étapes sont à étudier avec soin. Elles ne constituent pas de parade ultime, mais sont un premier pas nécessaire. Vérifiez bien vos choix avant toute mise en place pour éviter de vous exclure vous-même par une règle trop restrictive (il est recommandé de le faire en phase de tests lorsque vous pouvez encore réinitialiser totalement votre serveur). La première précaution consiste avant tout à se tenir informé : il existe des mailing-lists spécialisées dans la sécurité, telles que Debian Security Announce et à procéder à des mises à jour régulières (via apt-get upgrade par exemple). Modifier le mot de passe root N'hésitez pas à modifier le mot de passe surtout si celui-ci vous a été attribué par défaut. passwd root Configuration SSH Afin de sécuriser l'accès SSH au serveur, éditons le fichier /etc/ssh/sshd_config. vi /etc/ssh/sshd_config /etc/init.d/ssh restart Related:  Debianserveurs

Bind et DNS Bind BIND est le serveur DNS le plus utilisé sur Internet. Nous n'allons pas détailler sa configuration complète ici car elle nécessite beaucoup de développements, mais nous allons modifier son exécution pour qu'elle se fasse de façon plus sécurisée, dans une prison (en environnement chrooté). BIND est parfois exécuté avec des droits root, afin d'utiliser le port privilégié 53 (TCP, UDP), inférieur à 1024. Dans un environnement restreint, il ne pourra pas voir ou avoir accès aux fichiers à l'extérieur de sa propre arborescence. Cela permet de limiter la quantité d'accès que n'importe quel individu malveillant pourrait gagner en exploitant une vulnérabilité de BIND. Cela suffira dans le cadre de cet ensemble de tutoriels qui visent à mettre en place un serveur d'hébergement. Chroot est une commande des systèmes d'exploitation UNIX permettant de changer pour un programme le répertoire racine de la machine hôte. Commencez par arrêter le service (ici en version 9) : /etc/init.d/bind9 stop

subversion Installation Toute installation de SVN nécessitera l'installation du paquet subversion Une bonne base pour les futurs dépôts ("repository") est /var/svn : sudo mkdir /var/svn C'est dans ce dossier que vous créerez vos futurs repository. Nous considérerons cette base pour la suite de la documentation. Configuration SVN peut être installé de plusieurs façons : Seul, en local, l'accès au dépôt se faisant par seul, en mode serveur, c'est-à-dire que l'accès au dépôt SVN sera sous la forme , avec des utilisateurs SVN créés à cet effet; ou administré via un module d'Apache (dav_svn), c'est-à-dire que l'accès au dépôt SVN sera sous la forme avec des utilisateurs créés pour le module dav_svn pour l'authentification. Dans les 2 derniers cas, dans l'adresse d'accès à un dépôt, mon_serveur/ représente la base des dépôts. Serveur SVN seul Tout d'abord, créez un dépôt (nous considérerons le répertoire projet1). Lancer le serveur Accès #!

tutoriel firewall ou pare-feu Retour Le rôle du firewall (par-feu) est de contrôler le flux d’information entre votre ordinateur et Internet, il joue le rôle de filtre réseau. Dès que vous vous connectez sur Internet. Windows ouvre plus 65.536 ports de communication avec l'extérieur. Les informations échangées avec l'extérieur circulent par paquets qui contiennent les données à transmettre. Chacun de ces paquets contient l'adresse IP, et le port de sa destination ainsi que ceux de sa source. Un port est comme une porte permettant d'entrer sur votre machine Le firewall doit protéger tous vos ports des attaques provenant de l'internet En effet, une intrusion pourrait vous coûter des fichiers de données précieuses, vol de mot de passe, numéro de carte bancaire, etc. copie des données, voire la destruction du système Conclusion : Configurez-le en fonction de votre utilisation. refusant l'entrée ou la sortie de données. Vérifiez la vulnérabilité de votre firewall assurez vous qu'il a bien fermez tous vos ports: testez ici

Serveur FTP avec Proftpd Serveur FTP ProFTPd est un serveur FTP libre très puissant, bien documenté avec une configuration simple d'accès, possédant une syntaxe proche de celle d'Apache. Proftpd Installation apt-get install proftpd Configuration Edition de la configuration : vi /etc/proftpd/proftpd.conf Nous allons modifier les options suivantes : UseIPv6 off Ne pas utiliser IPv6 si ce n'est pas nécessaire DefaultRoot ~ Le répertoire de destination par défaut des utilisateurs est leur propre home directory. IdentLookups off Désactive l'identification distante RequireValidShell off Permet la connexion des utilisateurs qui ne possèdent pas d'accès shell (cas de ce tutoriel) ServerIdent on "FTP Server ready." Message minimaliste affiché à la connexion ShowSymlinks off Ne pas afficher les liens symboliques AllowStoreRestart on Autoriser la reprise d'un upload de fichier (resuming) AllowRetrieveRestart on Autoriser la reprise d'un téléchargement de fichier vi /etc/proftpd/modules.conf Redémarrer le tout : /etc/init.d/proftpd restart

Installation et configuration d’un serveur Web complet sous Debian 7 | WOoOinux | Linux, Développement, Geekerie Publié le 7 janvier 2014 Par WOoOinux Dans ce tutoriel, nous allons mettre en place un serveur Web (donc destiné à héberger des sites Internet) avec une configuration similaire à celle d’un hébergement mutualisé. Nous verrons donc comment installer LAMP ainsi qu’un serveur FTP. Attention ce tutoriel nécessite tout de même des connaissances de base en administration de système Linux. LAMP c’est quoi ? Un serveur LAMP est un serveur Web. Linux : le système d’exploitation constituant la base du système.Apache : le serveur HTTP qui gère la communication avec le client.MySQL : le système de gestion de base de données.PHP : le langage de script utilisé pour générer les pages dynamiques. 1 – Installation d’Apache : Dans un terminal (en tant qu’utilisateur root), entrez la commande suivante : Afin de tester le bon fonctionnement d’Apache, lancez votre navigateur et saisissez l’une des adresses ci-dessous : (si vous êtes en local, donc si votre ordinateur fait office de serveur)

pare-feu Un pare-feu (ou coupe-feu, barrière de sécurité ou firewall), dans le contexte d'un réseau informatique, est un composant essentiel de la sécurité des réseaux informatiques. Son but est de protéger un réseau informatique des intrusions indésirables en filtrant les communications autorisées ou non entre deux réseaux informatiques (généralement dans un contexte domestique : votre réseau privé domestique et le réseau Internet). Le pare-feu pourrait être comparé à un agent de sécurité à l'aéroport. Pour entrer dans votre pays, un visiteur étranger doit passer par un poste-frontière et être contrôlé par un douanier qui, selon des instructions qu'il doit suivre, le laissera passer ou lui fera rebrousser chemin. Pareillement, un habitant de votre pays doit passer un contrôle avant de monter dans un avion vers une destination extérieure ; suite à son contrôle, le voyageur pourra continuer ou non sa route. Un pare-feu se présente essentiellement sous deux formes : À la maison Au bureau Voir aussi

Protéger son serveur Web Apache2 des attaques DoS DoS m'a tué Tous les serveurs connecté à Internet peuvent subir une attaque par déni de service ou Deny of Service ou DoS. Une attaque DoS consiste à tenter de bloquer l'accès à un serveur en monopolisant toutes ses ressources. Certaines actions préventives permettent de limiter la casse. Cet article vous présente quelques réglages de base pour vous protéger un serveur Linux Ubuntu des attaques DoS Le principe d'une attaque DoS Les ordinateurs ont une capacité de traitement limitée dans un temps donné. Les attaques DoS les plus connues sont : SYN flood qui consiste à initier une transaction TCP avec un serveur sans l'informer qu'elle est établie. Les outils ab et hping peuvent simuler une petite attaque DoS sur un serveur Web, mais en aucun cas ils ne sont représentatifs d'une vraie attaque dans leur version originale de code source. Des contremesures sont disponibles pour chaque type d'attaque. Linux contre les attaques DoS # netstat -an | grep SYN Redémarrez le service : Redémarrez Apache :

installer_un_serveur_debian Installation de Debian Téléchargez la version de votre choix depuis la page : Gravez l'image ISO puis insérez le CD dans le lecteur de votre futur serveur. Il est conseillé d'utiliser l'installation graphique qui est plus simple d'utilisation. Quand l'installation vous le proposera, décochez les cases "Environnement graphique de bureau" et "Utilitaires standard du système", nous allons installer uniquement ce dont nous avons besoin. Se connecter en root Sous Debian, root correspond à l'administrateur du serveur, il est le seul à pouvoir manipuler celui-ci. Mettre à jour le serveur Pour commencer, on vérifie que le serveur est à jour : Mise à jour des dépôts On commence par mettre à jour la liste des fichiers disponibles dans les dépôts APT présents dans le fichier de configuration /etc/apt/sources.list. # apt-get update Mise à jour des paquets L'option upgrade met à jour tous les paquets installés vers les dernières versions. # apt-get upgrade Voilà !

Liste de pare-feu Un article de Wikipédia, l'encyclopédie libre. Versions libres[modifier | modifier le code] Distributions Linux[modifier | modifier le code] Pare-feu identifiants[modifier | modifier le code] NuFW : Un pare-feu identifiant (authentifiant). Portails captifs[modifier | modifier le code] ALCASAR : Solution complète et intégrée pour contrôler et imputer les accès Internet. Boîtiers pare-feu[modifier | modifier le code] Pare-feu personnels[modifier | modifier le code] Pare-feu applicatifs[modifier | modifier le code] Références[modifier | modifier le code] Portail de la sécurité informatique

Installer et configurer OpenVPN sur Debian OpenVPN permet de créer des réseaux privés virtuels chiffrés avec OpenSSL. C'est une alternative crédible aux technologies telles que PPtP (Microsoft) ou IPSec. Disponible sur de nombreux systèmes d'exploitation (Microsoft Windows, GNU / Linux, MacOS X, ...), c'est une solution simple pour gérer un réseau privé virtuel composé de machines hétéroclites dans un environnement n'autorisant pas IPSec. Ce guide est testé sur: Debian 6.0 SqueezeDebian 7.0 Wheezy Prérequis Ce guide recommande: Installation Installez les logiciels: command apt-get install openvpn openssl module-init-tools zip dos2unix git Initialisez le module tun: command modprobe tun Intégrez le module au démarrage du système: if [[ -z "$(command grep '^tun$' '/etc/modules')" ]]; then command echo '# Needed by OpenVPNtun' >> '/etc/modules'fi Si nécessaire de créez le device associé: if [[ ! Installez Easy-RSA v3: command git clone ' '/etc/openvpn/easy-rsa' Mettez en place l'outil openvpn-tools: if [ ! où:

Installation d'un serveur mail complet sous debian : Dovecot (4/5) - Tictech Cet article est le cinquième d'une série sur l'installation d'un serveur mail sur debian wheezy. Accéder aux autres articles : Introduction : Introduction et notes sur le tutoInstallation des paquets et préparation du système : Comme son nom l'indiqueConfiguration de Postfixadmin : Gestion des domaines et utilisateurs virtuels.Configuration de Postfix : Le logiciel qui permet de faire du smtp : faire passer des mails de serveur en serveur.[Configuration de Dovecot] : Le logiciel qui permet de faire de l'imap : récupérer les mails qui sont arrivés et les mettre dans des jolis dossiers.Tester la configuration et utiliser un client mailInstallation de Roundcube : Le webmail, qui permet d'accéder à ses mails depuis un simple navigateur internet. Maintenant qu'on arrive à faire circuler les mails sur notre serveur, et qu'on les arrête quand ils sont pour nous, il faut pouvoir les récupérer pour les mettre dans les dossiers. Configuration auth : Le premier fichier à modifier est 10-auth.conf.

Firewall définition wikipedia Un article de Wikipédia, l'encyclopédie libre. Cette page d’homonymie répertorie les différents sujets et articles partageant un même nom. Sur les autres projets Wikimedia : firewall, sur le Wiktionnaire Firewall est un mot anglais signifie littéralement « mur de feu ». Œuvres[modifier | modifier le code] Voir aussi[modifier | modifier le code] Configurer un serveur DNS Bind sur Debian Bind est un serveur de noms de domaine très répandu dans le monde Unix. Sa grande puissance s'accompagne malheureusement d'une certaine complexité de configuration. Cet article essaye de regrouper les options de configuration importantes de Bind 9. Ce guide est testé sur: Debian 6.0 SqueezeDebian 7.0 Wheezy Installation Installez le serveur: command apt-get install bind9 La configuration du serveur est gérée par ces deux fichiers: /etc/bind9/named.conf.options: les options du DNS : autorisations d'accès, redirection de DNS, recursion, etc. Journaux Créez le dossier destiné à contenir les journaux de Bind: command mkdir --parent '/var/log/named/'command chown -R bind:bind '/var/log/named/' Activez la journalisation des événements concernant la sécurité du serveur: if [ ! Configurez la rotation des journaux: Rechargez la configuration: /etc/init.d/bind9 restart Sécurité Installez fail2ban: command apt-get install fail2ban Activez la sécurisation de Bind par fail2ban: if [ ! /etc/init.d/fail2ban restart

Serveur Debian complet sur KIMSUFI OVH 1.1. Généralités Cette section est consacrée à l’installation d’un serveur sur lequel tourneront tous les services, ainsi que les environnements virtuels (présentés dans la deuxième partie). 1.2. Nous présentons dans cette section les premières opérations à réaliser pour mettre à jour le serveur et le sécuriser. 1.2.1. Il faut tout d’abord se connecter à son serveur depuis son shell local, avec la commande ssh root@ks123456.kimsufi.com. root@ks123456:~# env | grep LANG LANG=fr_FR LANGUAGE=fr_FR:fr root@ks123456:~# Il faut donc spécifier que la valeur des locales à utiliser est fr_FR.UTF-8, de la façon suivante : root@ks123456:~# export LANG=fr_FR.UTF-8 root@ks123456:~# export LANGUAGE=fr_FR.UTF-8 root@ks123456:~# Il faut ensuite mettre à jour le shell pour conserver cette modification à la prochaine ouverture d’un shell, en ajoutant les lignes export LANG="fr_FR.UTF-8" et export LANGUAGE="fr\_FR.UTF-8" à son fichier .bashrc : 1.2.2. 1.2.3. 1.2.4. 1.2.5. 1.2.6. 1.2.7. 1.2.8. 1.2.9. 1.2.10.

Related: