Sécuriser son serveur Linux



Documents pareils
Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

Administration réseau Firewall

TP4 : Firewall IPTABLES

Formation Iptables : Correction TP

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

Sécurité des réseaux Firewalls

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

pare - feu généralités et iptables

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

Sécurité et Firewall

Environnements informatiques

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

Sécurité GNU/Linux. Iptables : passerelle

FILTRAGE de PAQUETS NetFilter

ATELIER NETFILTER : LE FIREWALL LINUX EN ACTION

EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES ACTIVITE N 1. Thème de l activité : Configuration d un firewall

Le filtrage de niveau IP

Serveur Linux : FTP. Mise en place d un service FTP sous Linux. Bouron Dimitri 20/04/2014

Configuration d un firewall pour sécuriser un serveur WEB

TP SECU NAT ARS IRT ( CORRECTION )

Exemples de commandes avec iptables.

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Devoir Surveillé de Sécurité des Réseaux

Iptables. Table of Contents

avec Netfilter et GNU/Linux

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

MISE EN PLACE DU FIREWALL SHOREWALL

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P

1/ Introduction. 2/ Schéma du réseau

Les différentes méthodes pour se connecter

Installation et Configuration de Squid et SquidGuard sous Debian 7

Sécurité d IPv6. Sécurité d IPv6. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

Installation d'un serveur sftp avec connexion par login et clé rsa.

Retour d expérience sur Prelude

Administration Réseaux

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Serveur de messagerie sous Debian 5.0

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

CONFIGURATION FIREWALL

Les firewalls libres : netfilter, IP Filter et Packet Filter

Linux Firewalling - IPTABLES

Secure SHell. Faites communiquer vos ordinateurs! Romain Vimont ( R om)

SECURIDAY 2013 Cyber War

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Master 1 ère année. UE Réseaux Avancés I. Corrections décembre Durée : 2h Documents autorisés

Compte rendu d'activité PTI n 2

Figure 1a. Réseau intranet avec pare feu et NAT.

QoS Réseaux haut débit et Qualité de service

Services Réseau SSH. Michaël Hauspie. Licence Professionnelle Réseaux et Télécommunications

JOMARON Sébastien BTS SIO 2012/2014. Titre de l activité: Surveiller des hôtes et des services avec NAGIOS

acpro SEN TR firewall IPTABLES

Configuration de Gentoo 12.x

Projet de mise en œuvre d un serveur ftp sur serveur dédié

Sécurité des réseaux Les attaques

Table des matières Hakim Benameurlaine 1

Security and privacy in network - TP

SSH. Romain Vimont. 7 juin Ubuntu-Party

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Sécurité GNU/Linux. FTP sécurisé

Architectures sécurisées

Préparation LPI. Exam Securité. Document sous licence Creative commons «by nc sa» nc sa/2.

CASE-LINUX CRÉATION DMZ

PROXY SQUID-SQARD. procédure

Live box et Nas Synology

Introduction. Conclusion. Sommaire. 1. Installation de votre routeur Coyote Linux Configuration requise et installation du matériel.

DIGITAL NETWORK. Le Idle Host Scan

Proxy et reverse proxy. Serveurs mandataires et relais inverses

FTP-SSH-RSYNC-SCREEN au plus simple

TP 3 Réseaux : Subnetting IP et Firewall

Serveur proxy Squid3 et SquidGuard

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité

Tutoriel Création d une source Cydia et compilation des packages sous Linux

Sécurité sous Linux. Les hackers résolvent les problèmes et bâtissent...

Documentation FOG. 3. Choisir le nom de la machine, le nom d utilisateur et le mot de passe correspondant (par exemple : fog, password)

il chiffrer les flux d'authentification et les flux de données il n'y a pas de soucis d'ouverture de ports avec des modes actif/passif à gérer

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

Rapport du projet Qualité de Service

SQUID Configuration et administration d un proxy

TP LINUX : MISE EN PLACE DU SERVEUR DE MESSAGERIE QMAIL

Installation et mise en œuvre de OpenSSH sous AIX 5L

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

Manuel des logiciels de transferts de fichiers File Delivery Services

Conférence Starinux Introduction à IPTABLES

Cours Linux. Cours en ligne Administrateur Systèmes Linux. Académie Libre

Atelier Le gestionnaire de fichier

Parallels Plesk Panel. Module Pare-feu de Parallels Plesk Panel 10 pour Linux/Unix. Guide de l'administrateur

SSH et compagnie : sftp, scp et ssh-agent

Utilisation des ressources informatiques de l N7 à distance

Installation d un Serveur de Messagerie

Découvrir Debian pour mettre en place un serveur LAMP complet Version 1.0

Table des matières. Date : Version : 29/06/ Objet : OpenVas 6.0

Accès aux ressources informatiques de l ENSEEIHT à distance

Fonctionnement et mise en place d un reverse proxy sécurisé avec Apache. Dimitri ségard 8 mai 2011

Transcription:

Sécuriser son serveur Linux Fontaine Thibaut - 1 janvier 2016 FONTAINE THIBAUT 1

Sommaire I) Pourquoi sécuriser un serveur? II) Les sécurités SSH Clé asymétrique Fail2ban IPtable FONTAINE THIBAUT 2

I) Pourquoi sécuriser un serveur? La sécurité des données est une choses extrêmement importante, surtout de nos jours. Alors pourquoi le sécuriser? il suffit de mettre un mot de passe différents de 8 caractères et le tour est joué. Et bien non car on peut facilement «cracker» les mots de passe en lançant une attaque en brute force. Il existe différents moyen pour sécuriser un serveur linux, qui permettent de se protéger un minimum. II) Les Sécurités : Configurer son ssh Par défaut le port qu utilise SSH pour se connecter est le port 22 heureusement pour nous nous pouvons le changer. Ensuite on remplace 22 par le nombre de notre choix. FONTAINE THIBAUT 3

On redémarre ensuite le service ssh : Maintenant quand vous vous connecterez à votre serveur, il faudra indiquer le numéro de port ici le port 2244 ( ssh -p 2244 thibaut@serveur.com ) Il est conseillé d interdire la connexion en root au serveur, il suffit seulement de mettre no Connexion SSH avec clé privé/clé public La connexion SSH avec un système de clé permet de se connecter à son serveur sans avoir à rentrer de mot de passe. On auras besoin d un serveur et d un poste client. Pour ma part j utilise un de mes serveurs et de mon Macbook. Les clés SSH se trouve dans le dossier.ssh Sur votre poste client générer une clé SSH Il vous demanderas de donner un nom à votre clé ici ks-docker et une passphrase l équivalent «d un mot de passe» FONTAINE THIBAUT 4

On va ensuite envoyer notre clé public générer sur notre serveur. Maintenant aller dans /etc/ssh/sshd_config pour autoriser la connexion avec notre clé De base si vous générer une clé RSA il n y a pas besoin de modifier le sshd_config En revanche si vous avez utilisé DSA il faut que vous décommantez la ligne HostKey /etc/ssh/ssh_host_dsa_key Vous pouvez également gérer le temps de la session de ou il sera possible de rentrer son login. Autoriser après la connexion avec votre clé et décommenter AuthorizedKeysFile.ssh/authorized_keys Désactiver les autres moyens de connexion RSAAuthentication no UsePAM no KerberosAuthentication no GSSAPIAuthentication no FONTAINE THIBAUT 5

PasswordAuthentication no Une fois paramétrer redémarré le service SSH : /etc/init.d/ssh restart La connexion avec le système de clé est maintenant opérationnel. Fail2Ban Le Fail2Ban permet de mettre de bannir une IP, lorsqu il détecte un certain nombre d erreurs de tentative de connexion en se basant sur IPtable Une fois installer passons à la configuration Il est recommandé de faire une copie du jail.conf en jail.local qui sera utiliser à la place. Ensuite c est bon on peut configurer notre Fail2ban. FONTAINE THIBAUT 6

ignorip Pour la liste des adresse IP de confiance que doit ignorer le Fail2ban bantime Pour le temps de ban en seconde, j ai mis 1h pour mon cas maxretry Pour le nombre de tentative ( je mets 6 car je tape vite ) desmail Pour l adresse mail ou veut recevoir des notifications action Permet de définir des actions en cas ou le nombre de tentative serais dépassé pour cela il faut aller dans le dossier /etc/fail2ban/action.d/ Voici tous les fichiers de configuration. Chaque fichiers de configuration possède ses propres paramètres qui prennent le dessus sur le fichier de configuration jail.local si elle sont configuré. Bref vous pouvez configurer votre fail2ban à votre guise, règles pour le ftp, mail, web etc. IPtable IPTable est un firewall ou pare-feu qui permet de filtrer le traffic entrant et sortant sur votre serveur permettant d autoriser ou non l accès, pour ce faire le firewall utilise des règles. Ces règles peuvent filtrer des adresses IP, des ports, des protocoles, etc. De base IPtable est installé sur le noyau linux, si ce n est pas le cas : apt-get install iptables FONTAINE THIBAUT 7

Pour voir les règles iptables actifs tapez : iptables -L -v /**** Pour ne pas nous bloquer l accès par inadvertance en créant une règle, on va crée un script bash contenant toute nos règles ****\ Commençons par créer le script : Les paramètres IPtable : -t >Filtrer -A > Indiquer le sens du traffic INPUT /OUTPUT -p > Le type de protocole TCP ou UDP dport et sport > Port de destination ou port source -j > La façon dont il faut traiter le paquet, si il faut accepter ou refuser ( ACCEPT ou DROP ) Exemple de script : FONTAINE THIBAUT 8

Une fois votre script crée nous allons pouvoir le lancer Pour vous donner le droit d exécution : chmod +x /etc/init.d/firewall Pour le lancer : /etc/init.d/firewall Afin d être protéger même en cas de reboot : update-rc.d firewall defaults Vous pouvez également ajouter d autre règles comme pour le DDOS ( ou dénis de service ) iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT Bannir une IP : iptables -A INPUT -s @IP_a_bannir -j DROP Si vous voulez tester la vulnérabilité de votre serveur, pouvez installer nmap qui est un outils de scannage de port. #apt-get install nmap #nmap -v ip_de_la_machine On peut rajouter l argument -p si on souhaite scanner un port en particulier. FONTAINE THIBAUT 9

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back