Sécuriser le système

Même si la sécurité absolue sur Internet n'existe pas réellement, voici quelques astuces utiles pour protéger un peu mieux votre serveur web:

Fail2ban

apt-get install fail2ban

pour récupérer les paquets et les installer

On édite le fichier

/etc/fail2ban/jail.conf

et on règle les services à monitorer.

Pour ma part, j'ai agit sur SSH, postfix, proftpd et apache, pour lesquels j'ai réglé le nombre de tentatives de connexions à 3, et le temps de bannissement à 900sec.

Chaque section possède ses propres paramètres qui prennent le pas sur les globaux s'ils sont mentionnés :

enabled

  • Monitoring activé (true) ou non (false)

ignoreip

  • Liste des adresses IP de confiance à ignorer par fail2ban

bantime

  • Temps de ban en secondes

maxretry

  • Nombre d'essais autorisés pour une connexion avant d'être banni

destmail

  • Adresse e-mail destinataire des notifications

port

  • Port IP concerné

logpath

  • Fichier de log à analyser pour détecter des anomalies

filter

  • Filtre utilisé pour l'analyser du log

Rkhunter

rkhunter (pour Rootkit Hunter) est un programme Unix qui permet de détecter les rootkits, portes dérobées et exploits. Pour cela, il compare le hash MD5 des fichiers importants avec les hash connus, qui sont accessibles à partir d'une base de données en ligne. Ainsi, il peut détecter les répertoires généralement utilisés par les rootkit, les permissions anormales, les fichiers cachés, les chaînes suspectes dans le kernel et peut effectuer des tests spécifiques à Linux et FreeBSD. (Source: Wikipedia)

apt-get install rkhunter

....comme d'hab

Configuration: editer le fichier

/etc/default/rkhunter
REPORT_EMAIL="monitoring@test.com"

indiquer l'adresse mail de réception des notifications
CRON_DAILY_RUN="yes"

déclencher rkhunter tous les jours

Vous pouvez lancer les commandes suivantes, une fois l'installation terminée :

rkhunter --update
rkhunter -c --createlogfile

Si vous faites des mises à jour du système, il faut lancer la commande suivante

rkhunter --propupd

Pour éviter de recevoir un mail tous les jours avec le message :

Warning: The modules file '/proc/modules' is missing

Il suffit de rajouter "os_specific" (sans les guillements) à la ligne 199 du /etc/rkhunter.conf :
Ce qui donne :

DISABLE_TESTS="suspscan hidden_procs deleted_files packet_cap_apps os_specific"

Sécurisation de SSH

Editez le fichier

/etc/ssh/sshd_config

Port 2222                  # Changer le port par défaut
PermitRootLogin no         # Ne pas permettre de login en root
Protocol 2                 # Protocole v2
AllowUsers ooznet             # N'autoriser qu'un utilisateur précis

et on redémarre:

/etc/init.d/ssh restart

Surveiller son serveur

En cas de doutes, consultez les logs (/var/log)

Toutes les tentatives de connexions sont inscrites dans le fichier de log : /var/log/auth.log

Plus d'infos sur la sécurisation:

http://www.alsacreations.com/tuto/lire/622-Securite-firewall-iptables.html