securiser son serveur de l'exterieur

securiser son serveur de l'exterieur - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 28-07-2015 à 00:46:59    

Bonjour,
 
J'ai enfin décidé d'ouvrir mon serveur à l'extérieur et j'aurai besoin de savoir si j'ai pratiqué les bonnes méthodes ou pas :
J'utilise ssh port 2222 et owncloud port 8443.
Je ne souhaite ouvrir que ces 2 acces de mon serveur owncloud est ce que ca parait choquant ?
J'ai donc fait le PAT de ma box depuis ces ports vers mon serveur aucun soucis de ce cote la.
 
Au niveau des softs j'ai installé fail2ban en passant a 3 le nombre de check et en banissant 10h de mémoire.
Le ban se fait uniquement sur ssh ssh-ddos et owncloud
 
J'ai également installé portsentry pour banir quelqu'un qui scanne mes ports une fois (bien que ce soit a moitie utile pour quelqu'un qui a une box sans adresse fixe qu'il aura juste a redemarrer)
 
J'ai desactiver le compte root pour ssh
 
 
Je voudrais cependant bloqué l'utilisateur que j'utilise pour me connecter en sftp est ce que c'est possible ?  
Avez vous d'autres recommendations a me faire ?
 
Demain on rentre chez moi, on peut me supprimer toutes mes données si j'ai bien compris c'est ca ?


---------------
Mon Feedback---Mes ventes
Reply

Marsh Posté le 28-07-2015 à 00:46:59   

Reply

Marsh Posté le 28-07-2015 à 11:43:47    

salut, tu n'as pas posté dans la bonne catégorie, il faut déplacer dans soho.
 
portsentry je ne connais pas mais est-ce que ça a bien un sens de vouloir détecter les scans de ports sur une machine accessible seulement sur deux ports avec un blocage fiat en amont sur ta box ?
 
A part ça n'oublie pas de mettre ton système à jour aussi souvent que possible, et ça devrait aller.


---------------
Que va-t-il se passer cette gelgamar ? vous le découvrirez janamont à 20h
Reply

Marsh Posté le 28-07-2015 à 12:01:07    

Ah désolée je pensais que c était la
 
Ok donc apparement il y a rien de plus a faire ?
 
Je peux faire un chron pour les maj ou c est pas une bonne idée ?


---------------
Mon Feedback---Mes ventes
Reply

Marsh Posté le 28-07-2015 à 13:55:50    

pour les majs un outils comme apticron peut aider à rester à jour, après est-ce qu'il faut les appliquer automatiquement je ne sais pas, j'aurais tendance à dire que tant qu'on s'en tient aux majs de sécurité on pourrait les mettre en auto mais je me trompe peut-être.


---------------
Que va-t-il se passer cette gelgamar ? vous le découvrirez janamont à 20h
Reply

Marsh Posté le 31-07-2015 à 10:22:11    

drao

Reply

Marsh Posté le 31-07-2015 à 11:37:20    

Pour ton fail to ban je te conseil une analyse sur 2 minute ou 3 max pour un ban de 24 a 48. Après rien que le fait de changer le port du SSH boycott pas mal d'attaques.

Reply

Marsh Posté le 31-07-2015 à 12:22:07    

pour le moment ca fait 3 jours que je tourne comme ca et je n'ai eu aucune tentative, je suis un peu surpris.
 
Plus le temps passe, plus on en a je suppose ?
 
Je me demande si c'est pas mieux d'avoir une ip dynamique au final pour ce genre de choses avec du ddns parce que tout ce qui est scan c'est avec l'ip et pas le nom dns que ca se fait le plus je suppose :)


---------------
Mon Feedback---Mes ventes
Reply

Marsh Posté le 31-07-2015 à 14:06:47    

+1 pour les mises à jour automatiques de sécurité (perso j'utilise le paquet unattended-upgrades)
 
Et maintenir à jour ton owncloud bien sûr.
 
Si tu installes un serveur de mail (postfix ou autre) tu vois tout de suite beaucoup plus de tentatives (scripts bêtes et méchants pour tenter d'utiliser ton serveur comme relais de spam) :)


---------------
http://agentoss.wordpress.com/
Reply

Marsh Posté le 31-07-2015 à 14:21:05    

matteu a écrit :

pour le moment ca fait 3 jours que je tourne comme ca et je n'ai eu aucune tentative, je suis un peu surpris.
 
Plus le temps passe, plus on en a je suppose ?
 
Je me demande si c'est pas mieux d'avoir une ip dynamique au final pour ce genre de choses avec du ddns parce que tout ce qui est scan c'est avec l'ip et pas le nom dns que ca se fait le plus je suppose :)


 
ça changerait rien d'avoir une IP dynamique. Ca sert à rien de tomber dans la parano de toute façon, tu ne représentes aucun intérêt particulier donc tu vas être attaqué uniquement par des scripts, donc tant que tu as ton système à jour et des mots de passe pas par défaut c'est bon. Avec fail2ban en plus c'est encore mieux mais y'a pas vraiment lieu de chercher à aller plus loin.


---------------
Que va-t-il se passer cette gelgamar ? vous le découvrirez janamont à 20h
Reply

Marsh Posté le 31-07-2015 à 15:35:43    

matteu a écrit :

pour le moment ca fait 3 jours que je tourne comme ca et je n'ai eu aucune tentative, je suis un peu surpris.
 
Plus le temps passe, plus on en a je suppose ?
 
Je me demande si c'est pas mieux d'avoir une ip dynamique au final pour ce genre de choses avec du ddns parce que tout ce qui est scan c'est avec l'ip et pas le nom dns que ca se fait le plus je suppose :)


 
J'ai une solution, remet ton ssh sur le port 22 :o Tu auras de suite bien plus d'attaque.  
En 48h je ban une 10ène d'ip en général. Mon ssh est sur le port 22. Le pire c'est que j'ai aussi d'activé le login en root et ils essaye tous de se connecter en root  [:ashjibe:1]  

Reply

Marsh Posté le 31-07-2015 à 15:35:43   

Reply

Marsh Posté le 31-07-2015 à 19:06:36    

bon donc la ca a l'air pas mal du cou !
ok pas de serveur de messagerie non pour le moment meme si je serai tenté d'en mettre un pour avoir un mail des que quelqu'un tente de forcer le passage.
 
J'ai rien comme données qui serviront à obtenir beaucoup d'argent mais j'ai quand meme des fichiers avec des codes en dur dedans xD comment sécuriser ca  correctement ?


---------------
Mon Feedback---Mes ventes
Reply

Marsh Posté le 31-07-2015 à 22:08:35    

Oui j'en avais mis un en place, tu n'a pas besoins de mettre un serveur de mail juste un Mail Transfert Agent (MTA) pour relayer les mail de fail to ban via Gmail par exemple.  
 
Pour t'es mots de passe écris en dure dans des documents par exemple, tu peux essayer des les chiffrer avec un algo (https://fr.wikipedia.org/wiki/Chiffre_de_Vigen%C3%A8re) par exemple.

Reply

Marsh Posté le 08-08-2015 à 17:47:09    

bon bé j'en profite pour une nouvelle question :
 
La j'etait sur un serveur avec OMV d'installé uniquement.
 
Prochainement je vais passer avec une solution de virtualisation (proxmox) et la création de plusieurs VM.
Une pour OMV / une pour mysql + php + owncloud  
pour le moment rien de plus de prevu.
 
A ce moment la, je dois installer fail2ban ou ?  
Sachant que depuis l'exterieur, je vais faire en sorte d'avoir acces a la GUI de proxmox + fichiers owncloud + ssh OMV  
 
il faut que je l'installe sur les 1 vm + l'hyperviseur du cou ? car il va y avoir 3 redirection vers 3 IP différentes.
 
Merci par avance


---------------
Mon Feedback---Mes ventes
Reply

Marsh Posté le 10-08-2015 à 16:38:28    

Je sais pas ou tu as vu qu'on pouvais installer des packet sur un Hyperviseur mais j'en doute fortement.
 
Si non oui tu peux le mettre sur t'es différentes machines.

Reply

Marsh Posté le 10-08-2015 à 16:51:59    

lolight a écrit :

Je sais pas ou tu as vu qu'on pouvais installer des packet sur un Hyperviseur mais j'en doute fortement.

 

ben si on peut, tout dépend de l'hyperviseur


Message édité par Misssardonik le 10-08-2015 à 16:52:35

---------------
Que va-t-il se passer cette gelgamar ? vous le découvrirez janamont à 20h
Reply

Marsh Posté le 10-08-2015 à 17:43:50    

Be ouais proxmox c est un debian :p
 
Bref du cou faut que je l ibstalle sur chaque endroit où je fais une redirection il y a pas moyen de centraliser tout ça si on utilise plusieurs vm ?  
Ou alors faire une vm routeur sur laquelle on met ma protection la mais c est un peu lourd


---------------
Mon Feedback---Mes ventes
Reply

Marsh Posté le 11-08-2015 à 09:36:31    

Ah je ne savais pas, c'est toujours bon a savoir.
J'utilise beaucoup ESX perso :3
Ba tu met un F2B sur chaque machine qui potentiellement peut se faire brute-force.

Reply

Marsh Posté le 11-08-2015 à 10:25:57    

OK OK bon be ça me fera apprendre bien comme il fait à devoir répéter :)


---------------
Mon Feedback---Mes ventes
Reply

Marsh Posté le 11-08-2015 à 11:55:50    

Oui, tu peux te faire une petit script d'installation en bash si tu as la flemme au pire x') C'est toujours sympa. :P

Reply

Marsh Posté le 11-08-2015 à 16:57:55    

mmmm sachant que ca va etre des config différentes a chaque fois je doute que le script soit le meilleur moyen ^^
 
par exemple, je vais ouvrir uniquement le port 443 pour proxmox donc uniquement surveiller https ensuite le port 80 pour omv et le port 8443 pour owncloud donc au final je vais pas surveiller les memes choses partout ^^ donc le script me servirait uniquement a l'instal xD
 
Bref, toute facon, faut que je regarde ca de plus pret parce que la version de proxmox a evolué depuis la derniere que j'avais teste et voir un peu comment je gère le raid et tout ca ^^


---------------
Mon Feedback---Mes ventes
Reply

Marsh Posté le 12-08-2015 à 10:27:29    

Ah oui effectivement, si le besoins n'es pas le même partout :/
 
Si tu veux un scipt basique qui se contente de dupliquer une conf ca sert pas a grand chose oui.
Après avec des variables tu peux tout adapter mais bon pas sur que tu gagne du temps au final, sauf peut être si tu as une âme de développeur. :o

Reply

Marsh Posté le 12-08-2015 à 23:01:07    

matteu a écrit :


 
J'ai desactiver le compte root pour ssh


 
Bien ! [:tarator:1]
rassure moi ton/tes user ne sont pas sudoers ?  

Reply

Marsh Posté le 12-08-2015 à 23:02:21    

Misssardonik a écrit :

salut, tu n'as pas posté dans la bonne catégorie, il faut déplacer dans soho.
 
portsentry je ne connais pas mais est-ce que ça a bien un sens de vouloir détecter les scans de ports sur une machine accessible seulement sur deux ports avec un blocage fiat en amont sur ta box ?
 
A part ça n'oublie pas de mettre ton système à jour aussi souvent que possible, et ça devrait aller.


 
le fond diffus informatique ... :o  

Reply

Marsh Posté le 12-08-2015 à 23:33:21    

duflotte a écrit :


 
Bien ! [:tarator:1]
rassure moi ton/tes user ne sont pas sudoers ?  


si bien sur...
sinon je fais comment pour administrer le serveur a distance ?


---------------
Mon Feedback---Mes ventes
Reply

Marsh Posté le 14-08-2015 à 09:24:45    

Configure bien ton fichier pour le sudo, ça ouvre d'innombrable faille, je pense que c'est ce qui le génais.
(Imagine ton useur crée un script dans un répertoire ou il a le doit de sudo, et que dedans il met genre la commande pour changer le pass de root ba t'es jambon.)
 
Peut être du côté de la commande "su" ou "su root".
Je déteste aussi l'utilisation de sudo parce que si tu le configure pas bien tu peux ouvrir masse porte au lieux d'en fermer. :fou:
(M'enfin faut quand même que le type ai trouvé un nom de user et qu'il ai aussi le mot de passe ... la t'aurais vraiment pas de chance.


Message édité par lolight le 14-08-2015 à 09:26:01
Reply

Marsh Posté le 14-08-2015 à 10:15:05    

Je sais pas comment faire en réalité pour pouvoir administrer tranquillement mon serveur depuis l extérieur mais je pense que la meilleure solution c est de monter un vpn au final ?  
Je vais devoir tout refaire dans pas longtemps donc va falloir que je sacje comment je veux gerr tout ça ...
Le vpn si je veux me connecter à partir de n importe quel PC ce sera pareil ça veut dire uniquement user mit de passe donc impossible de faire avec un certificat


---------------
Mon Feedback---Mes ventes
Reply

Marsh Posté le 14-08-2015 à 11:28:08    

Le ssh cinviens très bien a ton besoins, tu change le port comme tu as fait, tu interdis de se connecter en root, tu met un Fail2Ban derière et tu vire ou configure correctement le sudo.
La tu est assez blindé je pense.

Reply

Marsh Posté le 14-08-2015 à 13:09:30    

Le truc c est que comme je l ai dis je vais mettre proxmox et de ce fait je voudrais pouvoir gérer l ensemble de mes vms depuis n importe ou


---------------
Mon Feedback---Mes ventes
Reply

Marsh Posté le 14-08-2015 à 14:20:40    

Je ne connais pas bien proxmox mais bon je vois pas en quoi c'es nénant de faire une redirection ssh sur une machine et ensuite de cette machine tu tape tout les autre sur le réseau local en ssh aussi
Tu fais des rebonds en somme.

Reply

Marsh Posté le 14-08-2015 à 15:59:32    

Be proxmox à une gui donc c est et à la gui et en ssh que je veux avoir accès.
Donc redirection des ports mais je comprends pas le soucis de ssh dont vous parler avec les droits sudo ?
 
Si je fais un serveur vpn c est bien plus simple pour avoir l accès complet derriere


---------------
Mon Feedback---Mes ventes
Reply

Marsh Posté le 14-08-2015 à 22:29:52    

Pour ce qui est de la solution vpn tu peux partir sur une distribution pfsense en front c'est un firewall et tu peux en faire un serveur vpn dessus avec juste une sécu username et password.
Après ça se fais très bien aussi sur un debian mais ta pas d'interface web pour le configurer.
 
Pour se qui est du sudo c'est un logiciel qui permet a un user d'executer une ou plusieurs commande avec les droits d'admin c'est par défaut installé sur Ubuntu.
 

Reply

Marsh Posté le 14-08-2015 à 22:43:36    

bé je marche avec omv qui est une debian j'ai rajouter le compte avec lequel je me connecte au compte sudoers juste...
Mais si je passe par le vpn le systeme serait le meme...
Juste le compte utiliser pour la connexion vpn sera différent du compte avec les droits root
 
mettre un pfsense juste pour du vpn ca fait lourd non alors qu'un petit debian doit pouvoir faire ca


---------------
Mon Feedback---Mes ventes
Reply

Marsh Posté le 21-08-2015 à 15:42:31    

J'ai retrouvé un vieil article de korben qui réponds a un des besoin que tu as cité plus haut :  
http://korben.info/un-script-pour- [...] c-gpg.html

Reply

Marsh Posté le 23-09-2015 à 14:42:16    

:hello:
Ce topic tombe à poil, je me pose exactement les mêmes questions que toi matteu.. Sauf que je pense utiliser xenserver qui est aussi basé sur un Linux, donc pas très loin de promox. :)


Message édité par frenchieisverige le 23-09-2015 à 14:47:24

---------------
[TU]: Linux Mint | NAS Homemade | Noyau Linux | OpenMediaVault | Windows 11
Reply

Marsh Posté le 23-09-2015 à 16:00:55    

Ca revient au meme puisqu'au final t'ouvre pas forcément l'acces sur proxmox puis en fait j'ai pas assez reflechi mais t'es libre de faire ce que tu veux.
 
Tu peux tres bien dire a ta box le 2563 tu le redirige vers le 80 de proxmox et le 3850 vers le 80 de ta vm.
La ou c'est problematique c'est si tu as besoin de rediriger en interne le 80 sur la meme ip la c'est reverse proxy obligatoire.
 
Mais bref, dans mon cas, j'ai annuler la redirection de port hier car je ne l'utilise pas vraiment, et ca m'evitera qu'on me pique mes papiers ou me supprime des choses ^^  
J'avoue j'ai un peu la trouille donc j'ai pas envie de prendre ce risque plus longtemps ca me travaille trop et je le surveille pas.
Puis quand tu vois que pendant 4 jours personne essaye de t'attaquer mais qu'au bout de 3 semaine t'as 100ip bannies toutes les 24h j'ai pas de quoi me rassurer ^^


---------------
Mon Feedback---Mes ventes
Reply

Marsh Posté le 23-09-2015 à 19:19:14    

Du coup, tu arrêtes toutes la sécurité "accéder depuis l'extérieur" ?


Message édité par frenchieisverige le 23-09-2015 à 19:19:26

---------------
[TU]: Linux Mint | NAS Homemade | Noyau Linux | OpenMediaVault | Windows 11
Reply

Marsh Posté le 23-09-2015 à 20:12:10    

Je le laisse ca prend pas de cpu puisque ca travaille pas je suppose ^^
 
Mais j'ai desativer la redirection du cou je ne peux plus accéder à mon serveur depuis l'extérieur.


---------------
Mon Feedback---Mes ventes
Reply

Marsh Posté le 23-09-2015 à 22:29:01    

Arf dommage :/ j'étais vraiment emballé, je me posais les MÊMES questions que toi...
 
Je pensais faire:
- un VM avec un debian et tous les services qui ont besoin d'internet (VPN, nginx ou apache2, sickbeard)
- un VM OMV (offline si possible) si possible avec une connexion virtuelle avec la VM online (notemment pour pouvoir acceder à mes données depuis l'extérieur pour OMV)
- 1 VM pour git/jenkins...
- 1 VM pour PFSense (optionnel si sécurité est suffisante)
 
Et au final, je la gestion OMV et de proxmox se ferra offline. Puis je suis dans une résidence universitaire, je sais pas quels ports sont ouvert..


---------------
[TU]: Linux Mint | NAS Homemade | Noyau Linux | OpenMediaVault | Windows 11
Reply

Marsh Posté le 23-09-2015 à 23:17:56    

Non mis si sur une vm tu as le vpn dans ce cas la il y a pas à réfléchir tu redirigés juste le port pour le vpn tu te connectés en vpn et tu fais ce que tu veux faire !
Sauf cas des serveurs web ou faut rediriger aussi


---------------
Mon Feedback---Mes ventes
Reply

Marsh Posté le 23-09-2015 à 23:21:26    

kesako?
Je ne t'ai pas compris du tout :D


---------------
[TU]: Linux Mint | NAS Homemade | Noyau Linux | OpenMediaVault | Windows 11
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed