Installer un serveur dédié Debian "Dedibox" #3

Résumé des épisodes précédents. Nous avons évité les freeze de notre Dédibox puis avons commencé à la sécuriser.

Nous allons maintenant terminer le boulot.

Seconde partie - Chapitre 2 : Un peu de /proc, une once de fail2ban et un soupçon de chkrootkit

1/ Sécuriser les accès réseau :

Pour cette partie, je vous conseille de vous référer à cette excellente documentation.

Protection contre le synflood :

Tapez^[1] :

# echo "1" > /proc/sys/net/ipv4/tcp_syncookies
# echo "1024" > /proc/sys/net/ipv4/tcp_max_syn_backlog
# echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

Protection contre les redirections ICMP :

# echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
# echo "0" > /proc/sys/net/ipv4/conf/all/secure_redirects

Logguer les Martiens^[2]

# echo "1" > /proc/sys/net/ipv4/conf/all/log_martians

Faire fi du Source Routing :

# echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route

Yo. Pas de Smurf Attack chez moi :

# echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

Vous pouvez compléter en fouillant plus avant dans les options sysctl, si vous le souhaitez.

2/ Installer fail2ban :

Fail2ban permet d'éviter les gros nazes - et ils sont nombreux - qui tentent de s'introduire chez vous en les bannissant dès lors que le nombre de tentatives de connexion défini par vous est dépassé.

Installons la bête :

# apt-get install fail2ban

puis, éditons le fichier de configuration de fail2ban :

# nano /etc/fail2ban/jail.conf

Modifions les lignes de jail.conf comme suit :

[ssh] 

enabled = true 
logpath = /var/log/auth.log 
port = ssh 
filter  = sshd 
timeregex = S{3}s{1,2}d{1,2} d{2}:d{2}:d{2} 
timepattern = %%b %%d %%H:%%M:%%S 
failregex = : (?:(?:Authentication failure|Failed [-/\w+]+) for(?: illegal user)?|Illegal user|Did not receive identification) .$ 
maxretry = 3 
findtime = 600 
bantime = 1800 

[postfix] 

enabled  = false 
port     = smtp 
filter   = postfix 
logpath  = /var/log/postfix.log

Redémarrons fail2ban-client et relançons le :

# fail2ban-client stop
# fail2ban-client start

Et pour terminer, vérifions le bon fonctionnement :

# fail2ban-client -d

Vous devriez obtenir les premiers signes de fonctionnement de l'engin.

3/ Un détecteur de rootkit

Nous allons maintenant passer à l'installation de chkrootkit. Nous programmerons un envoi de mail automatique du rapport quotidien ensuite :

Tapez :

# sudo apt-get install chkrootkit

et éditez votre crontab

# crontab -e

et insérez cette ligne :

0 3 * * *  chkrootkit 2>&1 | mail votre@adresse.mail -s "Rapport quotidien RootKit"

De cette manière, vous recevrez tous les matins à 3 heures l'état des tentatives rootkit éventuelles.

C'est tout pour l'instant. La suite est consacrée à l'installation de PHP5, Mysql et Apache

Notes

[1] Je le rappelle, une ligne précédée de $ se tape en utilisateur courant, et précédée de # en root

[2] Je me comprends

« août 2008 »
lun	mar	mer	jeu	ven	sam	dim
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31

« août 2008 »

lun

mar

mer

jeu

ven

sam

dim

1. gdo, le lundi 11 août 2008:

Salut,

dans ton fichier jail.conf il manque la section commande (et en fait tout l'entête) ce qui bloque fail2ban

cordialement

2. Val, le mardi 12 août 2008:

Je n'ai pas mis le fichier au grand complet (j'aurais dû mettre "..." avant et après pour être plus clair) mais juste ce qui nous préoccupait.

Merci de la précision, je corrige demain avec le prochain billet sur le sujet.

Installer un serveur dédié Debian "Dedibox" #3

Notes

Billets en relation

Leave a comment

Affaires à faire

Contact et recommandation

Pub

Divers

Syndication

Su l'blog (32 tiots curieux)

On en parle à c't'heure

Les 10 derniers billets publiés

Eul' top 10 eud'fourre-tout

Eud'la lecture saine

En relation avec fourre-tout

Archives:.