Ubuntu-fr

Cybertoy

Script de démarrage : "missing LSB tags and overrides"

Bonjour tout le monde,

Je suis sur Ubuntu server 16.04.2 LTS
Je souhaite configurer mon pare-feu et filtrer les ports, j'ai placé le script nommé "firewall" ci-dessous dans "/etc/init.d"

#!/bin/sh

###BEGIN INIT INFO
#Provides :	    firewall
#Required-Start:    $remote_fs $syslog
#Required-Stop:     $remote_fs $syslog
#Default-Start:     2 3 4 5
#Defautl-Stop:      0 1 6
#Short-Description: Démarre les règles iptables
#Description:       Charge la configuration du pare-feu iptables
### END INIT INFO

# Efface toutes les règles précédentes du pare-feu
iptables -t filter -F
iptables -t filter -X

# Bloque tout le trafic
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

# Conserve les connexions déjà établies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Autorise le loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

# Autorise les pings
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT


# Autorise les échanges SSH sur le port 22 (uniquement sur l'interface eth0 et avec adresse IP fixe)
iptables -t filter -i enp12s0 --src 192.168.1.13/24 -A INPUT -p TCP --dport 22 -j ACCEPT
iptables -t filter --dst 192.168.1.13/24 -A OUTPUT -p TCP --sport 22 -j ACCEPT

# Autorise les échanges HHTP sur le port 80 (uniquement sur l'interface Ethernet)
iptables -t filter -i eth0 -A INPUT -p TCP --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p TCP --dport 80 -j ACCEPT


# Anti-DDS
iptables -A FORWARD -p TCP --syn -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p UDP -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p ICMP --icmp-type echo-request -m limit --limit 1/second -j ACCEPT

# Anti scan de port
#iptables -A FORWARD -p TCP --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

J'ai rendu ce script exécutable à l'aide de chmod et afin de le lancer au démarrage j'ai tapé la commande :

sudo update-rc.d firewall defaults

Résultat :

insserv: warning: script 'K01firewall' missing LSB tags and overrides
insserv: warning: script 'firewall' missing LSB tags and overrides

J'ai pu remarquer plusieurs post sur différent forum rapportant ce problème mais les causes sont systématiquement :
           - L'en-tête "#BEGIN INIT INFO" qui ne sont pas configuré (ce qui n'est pas mon cas)
           ou
           - Des espaces problématiques après les # toujours dans "#BEGIN INIT INFO" (effectivement j'ai tester moi même avec espace, le résultat est pire)

J'ai tester les configurations d'en-tête présente dans "/etc/init.d/README" et "/etc/init.d/skeleton", sans succès.
Je ne suis pas encore bien familier avec les scripts de démarrage donc je ne sais pas si le problème vient vraiment de l'en-tête.

Soit dit en passant, après avoir exécuté le script manuellement et testé les ports ouvert via nmap j'ai pu observer que le scan détecte plusieurs port ouvert qui ne devraient pas l'être :
           - 25/tcp    open     SMTP
           - 110/tcp  open     POP3
           - et bien d'autre comme microsoft-ds, domain ...
Alors qu'il ne détecte pas le port SSH qui lui est ouvert (je travail dessus donc il est forcément ouvert)
Donc soit il ne sont pas fermé car ils faisaient partie des connexions "ESTABLISHED" soit mon script ne marche pas, soit nmap est complètement soûl.

Merci d'avance pour vos réponses.

Dernière modification par Cybertoy (Le 24/02/2017, à 22:06)

Cybertoy

Re : Script de démarrage : "missing LSB tags and overrides"

On m'a fait parvenir ces 2 liens :
https://help.directadmin.com/item.php?id=379
http://raspberrypi.stackexchange.com/qu … -overrides

Visiblement il faudrait que je désinstalle insserve. Mais (comme expliqué ici : https://packages.debian.org/fr/sid/insserv) ça risque de poser énormément de problème ?
Comment vont se chargé les scripts au démarrage ? (Dans l'ordre alphabétique ?)

J'ai quand même voulu testé :

sudo apt remove insserv

Résultat :

Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances
Lecture des informations d'état... Fait
Certains paquets ne peuvent être installés. Ceci peut signifier
que vous avez demandé l'impossible, ou bien, si vous utilisez
la distribution unstable, que certains paquets n'ont pas encore
été créés ou ne sont pas sortis d'Incoming.
L'information suivante devrait vous aider à résoudre la situation :

Les paquets suivants contiennent des dépendances non satisfaites :
 initramfs-tools : Dépend: initramfs-tools-core (= 0.122ubuntu8.8) mais ne sera pas installé
E: Erreur, pkgProblem::Resolve a généré des ruptures, ce qui a pu être causé par les paquets devant être gardés en l'état.

J'ai regardé par là : https://packages.debian.org/fr/sid/initramfs-tools
J'ai essayé :

sudo apt-get install -f

Résultat :

Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances
Lecture des informations d'état... Fait
Les paquets suivants ont été installés automatiquement et ne sont plus nécessaires :
  libblas-common libblas3 liblinear3 liblua5.2-0 lua-lpeg ndiff python-bs4 python-chardet python-html5lib python-lxml python-pkg-resources python-six
Veuillez utiliser « sudo apt autoremove » pour les supprimer.
0 mis à jour, 0 nouvellement installés, 0 à enlever et 2 non mis à jour.

Alors avant de désinstaller tout les paquets de mon serveur je voulais savoir si tout ça est normal où si ça ne serai pas mon os qui est corrompu.

Merci

Dernière modification par Cybertoy (Le 25/02/2017, à 18:42)