Annonce

Réduire
Aucune annonce.

Securisation de votre serveur dédié

Réduire
Ceci est une discussion importante.
X
X
 
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • Tutoriel Securisation de votre serveur dédié

    Salut a tous, comme vous le savez il y a de plus en plus de hack en se moment ! il est donc important de sécuriser vos machines au plus vite.

    Oui mais comment faire pour sécuriser ma machine au plus vite ?

    Je suis la pour vous le dire. Tout d'abord nous allons installer Fail2ban.

    Il sert a quoi Fail2ban et comment l'installer ?

    Fail2ban est un logiciel qui lit les logs du serveur et bannit les adresses IP qui ont on eu un trop grand nombres d'echec lors de l'authentification.

    Insatllation de Fail2Ban :

    Taper les commandes suivantes dans la console de votre serveur (sous linux).

    Code:
    apt-get update
    Code:
    apt-get install fail2ban
    Pour Gentoo Release 2

    Code:
    emerge fail2ban
    Pour la configuration.

    Code:
    vi /etc/fail2ban/fail2ban.conf
    Pour Gentoo Release 2

    Code:
    nano /etc/fail2ban/jail.conf
    [ssh]

    enabled = true
    logfile = /var/log/auth.log
    port = ssh
    filter = sshd
    timeregex = S{3}s{1,2}d{1,2} d{2}:d{2}:d{2}
    timepattern = %%b %%d %%H:%%M:%%S
    failregex = : (??:Authentication failure|Failed [-/\w+]+) for(?: illegal user)?|Illegal user|Did not receive identification) .* from (?P<host>\S*)
    maxretry = 3
    findtime = 600
    bantime = 1800
    La la protection SSH est activer dans certaine ligne la ligne "enabled = true" est "enabled = false" quand c'est en false ce n'est pas activer pour l'activer mettez le en "enabled".

    on redémarre FAIL2BAN :

    Code:
    /etc/init.d/fail2ban restart
    Voila vous avez installer FAIL2BAN sur votre machine.

    Comment je peux encore plus le sécuriser ?

    Pour encore plus le sécuriser il faut changer le port du ROOT et bloquer l'accés au root !

    Changer le port root et bloquer l'accés au root :

    Avant toutes chose créer un autre utilisateur !

    Code:
    adduser nomDutilisateur
    Si il ne vous demande pas de rentrer un mot de passe, tapez :

    Code:
    passwd leMotDePasse
    On change le port du root :

    Code:
    vi /etc/ssh/sshd_config
    Pour Gentoo Release 2

    Code:
    nano /etc/ssh/sshd_config
    Modifier :

    # What ports, IPs and protocols we listen for
    Port 4367
    bloquons l'acces au root et autorisons l'acces a votre user que vous avez créé précédemment.

    ATTENTION : avant de faire sa vérifiez bien que votre utilisateur a bien été créé !

    Code:
    vi /etc/ssh/sshd_config
    et ajouter la ligne

    AllowUsers leNomDeLutilisateurCree
    Et modifier la ligne :

    PermitRootLogin yes
    en :

    PermitRootLogin no
    On redémarre :

    Code:
    /etc/init.d/ssh restart
    Attention après ça si vous voulez vous connecter avec putty ce n'est plus le port 22 ! mais le port que vous avez mis !

    Voila vous avez sécurisé votre serveur dédié !

  • #2
    Merci pour ce tuto court et concis. J'avais déjà mis en place la partie du SSH (changement du port, pas de root au login) mais pas le fail2ban. C'est chose faite désormais.

    Commentaire


    • #3
      Oui, enfin, garde à l'esprit que là, c'est très minimaliste !

      Concernant Fail2ban :
      - à-propos des valeurs 'bantime' et 'findtime', elles sont respectivement trop faibles ... plutôt utilisez des valeurs telles que '604800' pour la première et '86400'
      - définir la valeur 'maxretry' à 2, comme ça, il n'est permit qu'un seul essai de tentative, à la deuxième erreur, jeté !

      Concernant SSH :
      - utilisez la dernière version disponible, ou à défaut, la dernière disponible dans les dépôts officiels (ceci valable pour les distrib Linux)
      - Changement du port : Ok, mais pas au-dessus de 1024, car "non sécurisé".
      - changement de l'utilisateur "admin" : ok.
      - Bien vérifier que le protocol 2 soit utilisé et que lui.
      - authentification par usage de clés, et non par mot de passe - et, surtout pas de mots de passe vides !
      - utilisez le mode sandbox
      - utilisez les options LoginGraceTime, MaxStartups, MaxAuthTries, voire emprisonner les utilisateurs par l'usage de la directive ChrootDirectory (un peu galère à utiliser celle-là ! - faut vraiment que j'écrive un mot dessus)
      - n'utilisez que les modes de chiffrements reconnus sûrs, idem pour les messages MACs, l'échange de clés, durcir la valeur ServerKeyBits ...

      J'ai d'ailleurs écrit quelques babouilles à ce propos sur mon blog - là où c'est intéressant, c'est que je renvoie vers des documentations techniques sérieuses, à ce propos.
      Fais en un très bon usage !
      Dernière modification par _42_, 17 février 2016, 13h23.
      "Un hacker est un justicier du monde libre, du libre partage, de la libre information... "
      Quel slogan !
      Tout un programme ... une sacrée vision ... comme je les aime !

      Commentaire

      Chargement...
      X