Notre serveur est maintenant opérationnel et sert les pages du site. Il faut toutefois penser à le sécuriser un peu contre les attaques les plus communes.
Nous utilisons donc iptables – un firewall qui filtre activement nos ports utilisés et qui bloque les autres – et fail2ban qui scanne vos fichiers logs à la recherche de requêtes étranges pour bloquer les intrus à la porte lorsqu’ils deviennent trop insistants.
Installation et configuration d’iptables
Si ce n’est déjà fait, on installe iptables
:
apt-get install iptables
Code language: JavaScript (javascript)
Les règles peuvent porter sur 3 chaînes :
- INPUT en entrée,
- FORWARD dans le cas d’un routage réseau,
- OUPUT en sortie.
et les actions à entreprendre sont ACCEPT (accepter le paquet), DROP (le jeter), QUEUE et RETURN. Les arguments utilisés sont :
- i : interface d’entrée (input)
- o : interface de sortie (output)
- t : table (par défaut filter contenant les chaînes INPUT, FORWARD, OUTPUT)
- j : règle à appliquer (Jump)
- A : ajoute la règle à la fin de la chaîne (Append)
- I : insère la règle au début de la chaîne (Insert)
- R : remplace une règle dans la chaîne (Replace)
- D : efface une règle (Delete)
- F : efface toutes les règles (Flush)
- X : efface la chaîne
- P : règle par défaut (Policy)
- lo : localhost (ou 127.0.0.1, machine locale)
Pour lister les règles en place, on entre la commande :
iptables --list
Code language: PHP (php)
Créons un petit script pour accueillir nos règles de filtrage :
nano /etc/init.d/firewall
avec ces règles :
### BEGIN INIT INFO
# Provides: firewall rules
# Required-Start: $remote_fs $syslog
# Required-Stop: $remote_fs $syslog
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: Start daemon at boot time
# Description: Enable service provided by daemon.
### END INIT INFO
#!/bin/sh
# Vider les tables actuelles
iptables -t filter -F
# Vider les règles personnelles
iptables -t filter -X
# Interdire toute connexion entrante et sortante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
# Ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Autoriser le loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
# ICMP (ping)
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
# FTP (BACKUP)
iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT
# SSH
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT
# DNS (bind)
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
# APACHE : HTTP + HTTPS
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
# Mail SMTP:25
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
# Mail POP3:110
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
# Mail IMAP:143
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT
# Mail POP3S:995
iptables -t filter -A INPUT -p tcp --dport 995 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 995 -j ACCEPT
# WEBMIN
iptables -t filter -A INPUT -p tcp --dport 10000 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 10000 -m state --state ESTABLISHED -j ACCEPT
Code language: PHP (php)
et on rend notre fichier exécutable :
chmod +x /etc/init.d/firewall
On lance notre fichier :
sh /etc/init.d/firewall
Il vous faut maintenant tester vos services et vérifier que tout fonctionne : ouvrez une nouvelle session SSH, vérifiez que vous avez toujours accès à Webmin, qu’Apache est fonctionnel… c’est important.
Si quelque chose ne tourne pas rond, rebootez le serveur et toutes les règles seront oubliées.
Si tout fonctionne comme prévu, on ajoute le script au démarrage :
update-rc.d firewall defaults
Code language: CSS (css)
Pour le retirer, si besoin :
update-rc.d -f firewall remove
Code language: CSS (css)
Pour activez le filtrage, il suffit de redémarrer le serveur ou d’exécuter le script directement:
sh /etc/init.d/firewall
Installation et configuration de fail2ban
On installe fail2ban :
apt-get install fail2ban
Code language: JavaScript (javascript)
et on crée notre propre fichier de configuration:
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
avant de l’éditer :
nano /etc/fail2ban/jail.local
Dans la section [DEFAULT]
, configurez ainsi :
# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space separator.
ignoreip = 127.0.0.1 VOTREIP
# "bantime" is the number of seconds that a host is banned.
bantime = 600
# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime = 600
# "maxretry" is the number of failures before a host get banned.
maxretry = 3
Code language: PHP (php)
Pensez à mettre votre IP dans ignoreip
pour éviter le filtrage. Ensuite, il suffit de parcourir le fichier et d’activer les filtres relatifs aux services activés sur le serveur en passant le paramètre enabled
à “true” :
enabled = true
Code language: JavaScript (javascript)
Une fois les modifications effectuées, sauvegardez le fichier et redémarrez fail2ban pour prendre en compte les modifications :
/etc/init.d/fail2ban restart
Voilà, c’est déjà un bon début mais ce n’est pas fini. Dans un tutoriel ultérieur, nous verrons comment sécuriser les services réseaux.
Synopsis » Monter un serveur dédié de A à Z
- Serveur dédié : installation d’Apache, PHP, MySQL et Webmin
- Serveur dédié : créer la base de données MySQL et importer WordPress
- Serveur dédié : créer et activer un Virtual Host sous Apache
- Serveur dédié : changer les DNS du nom de domaine et le faire pointer vers le serveur
- Serveur dédié : sécurisation des services avec iptables et fail2ban
- Serveur dédié : sécurisation de la couche TCP/IP
- Serveur dédié : création d’un serveur mail Postfix (sécurisé avec Saslauthd et certificat SSL) et Courier (accès POP et IMAP) utilisant une base MySQL d’utilisateurs/domaines virtuels
- Serveur dédié : sécuriser Apache 2 avec ModSecurity
- Serveur dédié : CHMOD récursif sur des fichiers ou répertoires en ligne de commande
- Serveur dédié : installer APC comme système de cache et configurer Varnish comme reverse-proxy pour Apache pour améliorer les performances
- Serveur dédié : afficher la véritable IP derrière un reverse-proxy comme Varnish
- Serveur dédié : intégrer SSH à WordPress pour mettre à jour le core, les plugins et les thèmes
- Serveur dédié : installer la dernière version d’APC par SVN
- Serveur dédié : analyse des performances du serveur
- Serveur dédié : mettre à jour le noyau Debian de la Kimsufi
- Serveur dédié : sauvegarde automatique des fichiers avec Backup Manager sur le serveur de sauvegarde OVH
- Serveur dédié : configurer la limite mémoire pour PHP et Suhosin
- Bash : supprimer tous les fichiers et sous-répertoires d’un répertoire
- Serveur dédié : impossible de se connecter à un port distant
- Rsync: rapatrier les fichiers du serveur à la maison
- Bash : réparer les tables MySQL en cas de crash
- Serveur dédié : création d’une seedbox avec Transmission
- Serveur dédié : des paquets LAMP à jour sous Debian
- Serveur dédié : mise à jour vers Debian 7 Wheezy
- Serveur dédié : activer X11 forwarding pour SSH
- Serveur dédié : optimiser toutes les images JPG et PNG avec OptiPNG et JpegOptim
- Postfix : résoudre l’erreur “fatal: www-data(33): message file too big”
- Serveur dédié : mise en place de l’IPv6
- WordPress : accorder les bonnes permissions aux fichiers et dossiers avec chown et chmod
- WordPress : héberger les images sur un sous-domaine
- Serveur dédié : ajouter l’authentification SPF, Sender-ID et DKIM à Postfix et Bind9 avec opendkim
- Apache : lorsque le domaine seul (sans WWW) renvoie une erreur 403
- Serveur dédié : sécuriser Apache avec HTTPS (HTTP avec la couche TLS/SSL) en Perfect Forward Secrecy
- Serveur dédié : passer WordPress en HTTPS (TLS/SSL)
- Serveur dédié : configurer Webmin en TLS avec un certificat SSL
- Serveur dédié : configurer Transmission pour accéder au WebUI via TLS-SSL
- Serveur dédié : installer et configurer Varnish 4
- Serveur dédié : passage au mod FastCGI et PHP-FPM avec Apache MPM Worker
- Récupérer un serveur Kimsufi après un plantage de kernel avec le mode rescue OVH
- Serveur dédié : configurer Postfix et Courier pour utiliser TLS-SSL en Perfect Forward Secrecy
- Serveur dédié : retirer Varnish, devenu inutile avec HTTPS
- Serveur dédié : installer la dernière version d’OpenSSL sous Debian
- Serveur dédié : activer l’IP canonique du serveur sous Apache
- Serveur dédié : mise à jour vers PHP 5.6
- MySQL : convertir les tables MyISAM au format InnoDB
- Serveur dédié : optimiser toutes les images GIF avec GIFsicle
- Serveur dédié : migration de MySQL vers MariaDB
- BASH : lister, bloquer et débloquer des adresses IP avec iptables
- Serveur dédié : produire une meilleure réserve d’entropie avec haveged
- Serveur dédié : mettre en place DNSSEC pour sécuriser les DNS du domaine
- Serveur dédié : mise en place du protocole DANE
- 8 règles d’or pour bien déployer DNSSEC et DANE
- Serveur dédié : installer PHP7 FPM avec FastCGI sous Debian
- Serveur dédié : optimiser la couche TCP
- Fail2Ban: protéger Postfix contre les attaques DoS de types AUTH, UNKNOWN et EHLO
- Serveur dédié : mettre à jour Apache pour HTTP/2
- Serveur dédié : ajouter le domaine à la liste HSTS preload
- Serveur dédié : ajouter l’authentification DMARC à Postfix et BIND
- Serveur dédié : à la recherche de l’inode perdue ou comment résoudre le problème “no space left on device”
- Serveur dédié : installer NginX avec support HTTP2 et certificat SSL, PHP, MariaDB sous Debian
Recherchez-vous un expert WordPress ou WooCommerce sur qui vous pouvez compter? Ne cherchez plus.
Salut matt,
Merci pour ces super tutoriaux!
J’ai rencontrer un problème suite a l’utilisation du tuto fail2ban…
Sur kimsufi, fraichement installée debian. j’utilise le script virtual min pour administrer tout ca.
avant de faire un peu de securisation, les acces au ftp créers lors de la creation avec virtualmin d’un nouveau serveur virtuel, fonctionné par faitement.
Depuis je ne peux plus accedder a mes espac ftp qui sont reservé a chaque serveur virtuel…
Tu pourrais me donner quelque indice pour reparer tout ca
Salut Majeri,
Ce n’est pas au niveau de fail2ban que ça bloque mais au niveau des règles iptables : sur mon serveur, je n’ai pas installé de serveur FTP, je n’utilise qu’SSH qui est sécurisé donc je n’ai pas ouvert les ports FTP.
Rajoute ceci dans les règles iptables :
J’ai édité l’article pour refléter les changements.
Merci, j’avais finalement noté qu’il n’y avait pas de règles pour le ftp sur iptable :) D’autant que j’avais rajouter ces règles de ftp sur mon précédent serveur quand j’avais suvi ton tuto :)
tiens au passage un articles qui pourrait être rajouter a ta séries de tuto: L’optimisation de la config de mysql avec des script comme MySQL Tuner ou encore Tuning Primer…
++
Ah oui tiens, c’est une bonne idée (surtout que je me suis servi des 2 scripts pour tuner MySQL dès le départ). J’ajoute ça à ma todo-list !
Bonjour Matt et merci pour ce tuto
Une simple remarque, pour que les configurations soient prises au démarrage de la machine il faut ajouter dans l’en tête du fichier d’iptables :
#!/bin/sh
### BEGIN INIT INFO
# Provides: firewall
# Required-Start: $remote_fs $syslog
# Required-Stop: $remote_fs $syslog
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: Démarre les règles iptables
# Description: Charge la configuration du pare-feu iptables
### END INIT INFO
Ensuite -> uptate-rc.d fichier defaults
Le tour est joué :)
(Debian Wheezy)
Merci Julien! Entête du fichier rajoutée dans l’article.
Sur ma config, le #!/bin/sh n’étant pas en premier le fichier iptable crash chaque ligne :
‘ptables v1.4.21: Invalid target name `ACCEPT
Try `iptables -h’ or ‘iptables –help’ for more information.
/etc/init.d/firewall: line 63: $’r’: command not found
Alors que si le fichier commence par #!/bin/sh, aucun problème, mais je ne sais pas si ca passe pour le lancement automatique au démarrage.
Avec les commandes suivantes :
iptables -t filter -F
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
Je suis bon pour une journée de galère nan ? En l’espèce j’ai fait une réinstallation dans la mesure ou j’étais en test, mais en prod en me pose la question !!
Bonjour,
Sous Debian 6, 7 et 8 le fichier tel quel (avec les entêtes) fonctionne sans problème.
Vérifie la ligne 63, c’est celle qui semble poser problème au niveau de la syntaxe.
Salut,
J’ai un petit problème avec le firewall il fait planter la console SSH, j’aimerait comment résoudre ce “petit” problème .
Merci pour ce magnifique tuto,
GGLinnk.
Salut,
Est-ce que tu as bien ouvert le port SSH dans iptables? Le port doit être ouvert en input et output, sinon plus de SSH.