Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 17/02/2024, à 16:18

randoo

[Résolu] Sécurité de son serveur

Bonjour à tous.

En soit, je n'ai pas vraiment un problème mais plutôt vérifier que je ne fais pas de conneries et m'instruire.

J'ai 2 serveurs Ubuntu à la maison :
- un qui tourne sur un ancien PC qui me sert de serveur vidéo.
- un autre sur Raspberry avec serveur Apache et Nextcloud

J'ai une Livebox 5 pour me connecter à Internet. J'utilise un DynDNS via OVH pour avoir un sous domaine qui m'appartient qui renvoie vers mes serveurs selon les ports. J'ai ouvert 3 ports via la Livebox, un qui renvoie vers le premier serveur, et les 2 autres vers le deuxième.

Donc, on est d'accord, que la Livebox sert de pare-feu, et qu'on ne peut accéder depuis l'extérieur que sur mes 2 serveurs, et pas sur les autres appareils ?
Étant donné que je n'ai ouvert que certains ports, on ne peut pas accéder à mes serveurs via SSH par exemple depuis l'extérieur puisque je n'ai pas ouvert le port concerné ?

Je sais que ce n'est pas bien, mais je n'ai pas configuré les pare-feux de mes serveurs, parce qu'en fait, j'aimerais faire la différence entre les accès depuis l'extérieur avec certaines règles, et avoir des règles plus souple quand c'est depuis le local (donc via le réseau local géré par le Livebox), mais je ne sais pas comment trouvé comment faire et si ca peut se faire.

Voilà les questions que je me pose et en bonus, quels conseils me donneriez vous pour bien sécuriser mes serveurs ? Qu'est ce qui ne faut surtout pas faire ou faire absolument ?

Merci d'avance pour vos réponses et conseils
Cordialement
Randoo

Dernière modification par randoo (Le 20/02/2024, à 12:01)

Hors ligne

#2 Le 17/02/2024, à 17:44

jplemoine

Re : [Résolu] Sécurité de son serveur

Si un port n'est pas ouvert, coté Livebox, on ne pourra pas accéder à ce port depuis l'extérieur puisque la livebox ne saura pas quoi en faire.
Je ne retrouve plus l'article de forum qui expliquait l'inutilité d'un parefeu dans notre cas (quelques PC derrière un routeur [ie la box]).
Par contre, on peut (quelques pistes possibles) :
- limiter les utilisateurs possibles + mettre un mot de passe robuste sur ceux qui peuvent se connecter en SSH
- mettre une double authentification dans le cas d'une connexion ssh.
- mettre explicitement dans la configuration ssh permitrootlogin à no (ça évite de se demander si la valeur par défaut est bien no)
- mettre un fail2ban : sshd + recidive
- mettre en place un "geoip" afin d'exclure les IP non françaises (si on ne se connecte que depuis les IP françaises - à adapter sinon).

Dernière modification par jplemoine (Le 17/02/2024, à 17:45)


Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

Déconnecté jusqu’à nouvel ordre

Hors ligne

#3 Le 17/02/2024, à 20:32

sputnick

Re : [Résolu] Sécurité de son serveur

Je conseillerais de n'autoriser que le login ssh via paire de clefs. C'est plus fort qu'un mot de passe.

Et mettre un port entre 1025 et 65536.

Attention si la LiveBox est administrable à distance (je n'en sais rien): désactiver cette fonction ou la bétonner.

Toujours avoir des distros à jour.


On ne peut pas mettre d'array dans un string!
https://sputnick.fr/

Hors ligne

#4 Le 17/02/2024, à 20:57

jplemoine

Re : [Résolu] Sécurité de son serveur

sputnick a écrit :

Je conseillerais de n'autoriser que le login ssh via paire de clefs. C'est plus fort qu'un mot de passe.

Oui mais ça veut dire que tu limites le client potentiel puisqu'il faut présenter la clé.
Donc, tout dépend le besoin.

sputnick a écrit :

Et mettre un port entre 1025 et 65536.

Non. Ca retarde peut-être un peu une attaque (il faut trouver le port) et ça n'augmente pas la sécurité.
De plus, ça augmente la difficulté pour l'utilisateur légitime.

ssh util@fdqn

va devenir

ssh util@fdqn - p <no de port si pas 22>

.


Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

Déconnecté jusqu’à nouvel ordre

Hors ligne

#5 Le 17/02/2024, à 21:05

sputnick

Re : [Résolu] Sécurité de son serveur

jplemoine a écrit :

tu limites le client potentiel

? Moi pas comprendre. Les clefs sont asymétriques: la clef publique... Est publique by design.

C'est très bien foutu. Pour info, je suis sysadmin depuis presque 20 ans. Je partage ce que j'ai trouvé pertinent.

Pour paramétrer un port pour s'y connecter de façon transparente, un ~/.ssh/config avec

host nom_serveur
hostname 1.2.3.4
user fobar
port 62345

Ça n’empêche pas quelqu'un qui te connaît, mais par contre ça te cache des attaques par scan de range d'IP à base de nmap et consort: 99.9% des cas.


On ne peut pas mettre d'array dans un string!
https://sputnick.fr/

Hors ligne

#6 Le 17/02/2024, à 22:36

Nuliel

Re : [Résolu] Sécurité de son serveur

Les ports > 1024 sont à éviter pour sshd vu que ce sont des ports non privilégiés, qu'un utilisateur non privilégié sur la machine hébergeant le ssh peut aussi utiliser (quand il n'est pas utilisé par le ssh, par exemple quand il faut redémarrer le service). En d'autres termes un utilisateur non privilégié peut par exemple faire du déni de service sur le ssh. C'est déprimant de retrouver cette information absolument partout sur internet hmm

nmap remarquera dans tous les cas ton serveur ssh si tu lui demandes de scanner le port en question (par défaut il scanne que les ports classiques). C'est pour ça que ça sert pas à grand chose de changer le port, surtout qu'ici si j'ai bien suivi le ssh n'est que sur le réseau local.

Dernière modification par Nuliel (Le 17/02/2024, à 22:40)

Hors ligne

#7 Le 17/02/2024, à 22:43

sputnick

Re : [Résolu] Sécurité de son serveur

Je ne suis pas d'accord Nuliel, mais up to you.

Justement, les ports de 1 à 1024 sont scannés en priorité. Utiliser un port au delà permet de te noyer dans les calculs de probabilités.

Et on à pas abordés IPV6, mais un port > 1024 en IPV6, bon courage pour trouver ton port ssh en scannant des ranges d'IP.

Ton 'souci' de user qui peut lancer un ssh, ben avec un ssh sur un port de 1 à 1024, il peut déjà le faire par défaut, je ne suis pas ton raisonnement.


On ne peut pas mettre d'array dans un string!
https://sputnick.fr/

Hors ligne

#8 Le 17/02/2024, à 22:44

matrix-bx

Re : [Résolu] Sécurité de son serveur

Salut sputnick,

je suppose que jplemoine voulais dire que si tu n'as pas ta clef avec toi, tu ne peux pas te connecter chez toi.
Perso je change le port par défaut pour limiter les scans poussifs et alléger les logs, je n'autorise que les connexions par clef, seulement pour certains comptes, et avec une exception spécifique pour ceux pour lesquels je veux pouvoir quand même accéder sans la clef (et fail2ban se charge d'alléger le restant de log pour ceux qui insisteraient trop lourdement).

Port xxxxx
PasswordAuthentication no
AllowUsers toto titi

match user toto
PasswordAuthentication yes

Pour le client, j'ajoute dans mon ~/.ssh/config

Include ~/.ssh/*.conf

et j'ai des fichiers par destination ou famille.
Au quotidien, je ne fais que "ssh bidule" (sans jamais spécifier ni le fqdn ou l'ip, le port, le user, la clef, etc), c'est un grand confort une fois mis en place.

Bonne soirée.


Utilisations des balises de mises en formes.

Hors ligne

#9 Le 17/02/2024, à 23:05

Nuliel

Re : [Résolu] Sécurité de son serveur

Petit exemple plus parlant: si un service se fait compromettre et que l'attaquant a un accès non privilégié, si le port ssh est >1024, il pourra attendre une maj de sshd pour prendre le port, et ainsi se faire passer pour le serveur ssh (il y aura quand même un warning côté client vu que le serveur de l'attaquant fournira des clés différentes du vrai serveur ssh, histoire que le faux serveur ssh puisse déchiffrer la communication qu'il a avec le client). Alors que si le port utilisé était < à 1024, il faudrait que l'attaquant passe root avant pour s'attaquer au ssh.

Dernière modification par Nuliel (Le 17/02/2024, à 23:06)

Hors ligne

#10 Le 17/02/2024, à 23:22

jplemoine

Re : [Résolu] Sécurité de son serveur

sputnick a écrit :

C'est très bien foutu. Pour info, je suis sysadmin depuis presque 20 ans.

Perso, je ne suis qu'admin Linux N2 pro que depuis 4 ans (et avec Ubuntu / Xubuntu en privé sur mes postes personnels) mais ce que je mets en place :
- Sur le client, je génère un paire de clés (ou je les récupère si je veux garder les mêmes sur plusieurs serveurs)
- Dans le serveur, je mets la clé publique de mon utilisateur dans authorized_keys

Comme ça, si tu n'as pas la clé privé qui correspond à une des clés publiques autorisées, tu ne passes pas.

Pour le mettre en place :
- coté client : tu as dans ~.ssh, une paire de clés
- coté serveur : tu autorises le connexion par mot de passe mot de passe
- coté client : tu te connectes via ssh-copy-id avec l'utilisateur
- une fois que ça fonctionne, tu n'autorises plus que la connexion via échange de clés

matrix-bx a écrit :

ssh bidule

Ca ne peut pas fonctionner sur n'importe quel poste. Ca ne fonctionne que si le DNS connait le TLD (ou les mais j'ai un doute) a utiliser en cas de "nom court".
Par exemple, sur mon réseau local, j'ai mis en place le "domaine" charbo69.lan.
Donc tu peux utiliser : bidule --> le serveur DNS va compléter en bidule.charbo69.lan.
Et ça ne fonctionne que si l'utilisateur est le même entre les 2 machines.
Par exemple, dans mon LAN :
- je suis sur mon portable (machine1) connecté avec l'utilisateur toto :
- si je me connecte sur mon ordinateur de bureau (machine2), je fais

ssh machine2

-->

ssh toto@machine2.charbo69.lan

- Si je me connecte à un raspberry pi (machine3) dont l'utilisateur est titi (et qui ne connait pas toto)

ssh machine3

ne fonctionera pas --> il faut préciser titi
-->

ssh titi@machine3

Pour info, j'ai un ordinateur portable, un ordinateur de bureau, 3 raspberry pi et une bonne vingtaine de VM --> Et tout ça se connecte en SSH sans problème.


Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

Déconnecté jusqu’à nouvel ordre

Hors ligne

#11 Le 17/02/2024, à 23:37

matrix-bx

Re : [Résolu] Sécurité de son serveur

~/.ssh/bidule.conf

Host bidule # ou Host bidule truc machin
HostName FQDN # ou IP ou  HostName %h.domain.tld
Port 666
User titi
IdentityFile ~/.ssh/id_ed25519_pour_bidule
#Eventuelle autre option spécifique

Host bidule.lan
HostName 192.168.0.66
...

Fait ma joie quotidienne.


Utilisations des balises de mises en formes.

Hors ligne

#12 Le 17/02/2024, à 23:40

sputnick

Re : [Résolu] Sécurité de son serveur

jplemoine a écrit :

Ca ne peut pas fonctionner sur n'importe quel poste. Ca ne fonctionne que si le DNS connait le TLD (ou les mais j'ai un doute) a utiliser en cas de "nom court".

Tu n'a donc pas lu ma réponse où j'explique comment faire.

On peut faire

ssh nom_arbitraire

sans rien modifier dans les DNS ni dans resolv.conf.

J'utilise des noms différents en fonction du user cible, c'est très pratique.


On ne peut pas mettre d'array dans un string!
https://sputnick.fr/

Hors ligne

#13 Le 18/02/2024, à 00:20

jplemoine

Re : [Résolu] Sécurité de son serveur

Il faut bien passer du nom arbitraire à l'adresse IP puisque niveau réseau, seules les adresses IP sont connues.
Donc, il y a obligatoirement une résolution quelque part au niveau du client..
La preuve : si sur mon poste (un poste client quelconque qui n'est pas dans ton réseau local), je prends un nom arbitraire (jplemoine)

util@machine:~$ ssh jplemoine
ssh: Could not resolve hostname jplemoine: Name or service not known
util@machine:~$ 

Donc, comme décrit sur le poste #11 par matrix-bx, tu as une configuration spécifique sur le client (qui n'est donc pas quelconque).
Et si une machine change d'adresse IP ou tu ajoutes une machine, tu dois modifier la configuration de tous les postes clients.
Si tu as une solution centralisée type Ansible, ça peut être jouable si tu as peu de machines mais sinon, ça doit juste être prise de tête


Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

Déconnecté jusqu’à nouvel ordre

Hors ligne

#14 Le 18/02/2024, à 00:28

matrix-bx

Re : [Résolu] Sécurité de son serveur

On est il me semble dans le cadre d'un usage plutôt perso, pas pro.
Je n'ai guère besoin que mes config ssh persos soient déployées sur les machines de mon patron.
Quand par hasard, j'ai besoin d'une de mes config que j'ai omis de copier sur mon laptop, elle est dispo à la maison, un coup de sftp et elle est aussi en local.


Utilisations des balises de mises en formes.

Hors ligne

#15 Le 18/02/2024, à 00:49

sputnick

Re : [Résolu] Sécurité de son serveur

En milieu pro, on pousse avec Ansible les clefs publiques des admins/clients. En tout cas dans mes activités récentes.

Le souci dans ce milieu ne se pose pas de cette façon, car la nomenclature DNS est censée être logique, genre:

nom_client-nom_du_service.nom_datacenter.nom_hébergeur.TLD

Et oui, cela requiert une configuration ssh, comme je l'ai partagée et encore mieux détaillé par matrix-bx.


On ne peut pas mettre d'array dans un string!
https://sputnick.fr/

Hors ligne

#16 Le 18/02/2024, à 08:10

bruno

Re : [Résolu] Sécurité de son serveur

Bonjour,

Ceci a déjà été évoqué à plusieurs reprises.

Modifier le port par défaut de SSH c'est de la sécurité par l'obscurité. Un attaquant déterminé trouvera toujours le port et s'il est pressé il ira d'abord faire un tour sur un service comme shodan.io.
En outre comme expliqué l'utilisation d'un port non privilégié (> 1024) diminue au contraire la sécurité. @nuliel a 100% raison sur ce point

La sécurisation des accès SSH se fait en privilégiant l’authentification par clés (ED25519 de préférence) ou si nécessaire par mot de passe très fort.
Des outils comme fail2ban n'améliorent pas la sécurité, ils permettent simplement de ne pas trop encombrer les logs et d'aider à alimenter les listes noires.

Le pare-feu sert en principe à filtre les flux entre deux réseaux. Ici l'Internet et le réseau local. Sa place, s'il y en a un, est donc bien sur la box /routeur.
Là encore je rappelle les ports réseau ne sont accessibles que si un service est en écoute dessus. Un paquet à destination d'un port sur lequel aucun service n'est en écoute sera simplement ignoré par le noyau.

Bref, il faut avant tout sécuriser les services installés et en limiter l'accès si possible au niveau de leur propre configuration.

Dernière modification par bruno (Le 18/02/2024, à 08:36)

#17 Le 18/02/2024, à 08:33

NicoApi73

Re : [Résolu] Sécurité de son serveur

bruno a écrit :

port non privilégié (< 1024)

Bonjour,

Ce ne serait pas plutôt port non privilégié (<= 1024) ou port non privilégié (> 1024)

bruno a écrit :

Des outils comme fail2ban n'améliorent pas la sécurité, ils permettent simplement de ne pas trop encombrer les logs et d'aider à alimenter les listes noires.

fail2ban limite le nombre de tentative à partir de la même adresse IP. Ca améliore donc la sécurité, mais pas de manière déterminante, une véritable attaque mettant en oeuvre plusieurs machines

Hors ligne

#18 Le 18/02/2024, à 08:43

bruno

Re : [Résolu] Sécurité de son serveur

Merci corrigé wink

NicoApi73 a écrit :

fail2ban limite le nombre de tentative à partir de la même adresse IP

Oui mais pas plus, et non ce n'est pas une sécurité à proprement parler.
Les attaques par force brute par exemple (qui essaient des mots de passe faible ou connus) proviennent toujours de multiples IP et les logs étant analysés après coup le nombre de tentatives par IP peut largement dépasser les limites fixées. Donc si un service est mal sécurisé (mot de passe faible) il sera compromis avec ou sans fail2ban. Si j'insiste régulièrement là dessus, c'est que bon nombre d'admin système a un faux sentiment de sécurité avec cet outil en se croyant à l'abri des « pénibles ».

#19 Le 18/02/2024, à 10:18

jplemoine

Re : [Résolu] Sécurité de son serveur

Pour fail2ban : cela évite les attaques brut-force ou, en tout cas, limite la surface d'attaque.
J'ai bien précisé de mettre en oeuvre la prison (jail) récidive en plus de celle sshd.
S'il y a un "pénible", il va se faire banner via sshd (qq minutes) puis via recidive (1 voire plusieurs jours).
Le fait de le coupler à GeoIP (blocage des IP en fonction du pays) va permettre de limiter le nombre de machines possibles pour une attaque.

Donc, de manière indirecte, cela améliore la sécurité du serveur. Mais il faut déjà que les autres points aient été mis en oeuvre :
- limitation des utilisateurs autorisés au SSH (et surtout pas root ou un utilisateur "système")
- mot de passe (très) fort
- double authentification

bruno a écrit :

si un service est mal sécurisé (mot de passe faible) il sera compromis avec ou sans fail2ban.

Je suis d'accord mais pour moi, c'était de la sécurité basique qui devrait toujours être mis en place (client comme serveur).


Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

Déconnecté jusqu’à nouvel ordre

Hors ligne

#20 Le 18/02/2024, à 10:20

Nuliel

Re : [Résolu] Sécurité de son serveur

Petite explication sur le fait que les attaquants ont plein d'adresses IP: en fait ils ont des botnets, cad des réseaux de machines infectées (serveur, pc, bidule IoT, ...). Chaque machine a son adresse IP, et ces machines vont être coordonnées par un serveur contrôlé par l'attaquant pour trouver d'autres machines à infecter (par exemple utilisant des mots de passe faibles) afin qu'elles rejoignent à leur tour le botnet. Par exemple, si on regarde le code de Mirai (2016), malware qui s'attaque aux objets connectés pour s'installer dessus, on peut y voir les mots de passe testés: https://github.com/jgamblin/Mirai-Sourc … ner.c#L124 . Là le code est très basique avec peu de mots de passe car c'est destiné aux objets connectés (caméra connectée, ...), mais on pourrait avoir beaucoup plus de mdp testés, ce qu'ont d'ailleurs fait les fork de Mirai.

Donc fail2ban, c'est bien mais en réalité ça améliore pas tant que ça la sécurité (en tout cas faut pas baser sa sécurité là-dessus)

Dernière modification par Nuliel (Le 18/02/2024, à 10:22)

Hors ligne

#21 Le 18/02/2024, à 11:04

bruno

Re : [Résolu] Sécurité de son serveur

jplemoine a écrit :

Pour fail2ban : cela évite les attaques brut-force ou, en tout cas, limite la surface d'attaque.

Non cela n'évite rien, au mieux cela peut ralentir un tout petit peu, voir l'explication complémentaire de nuliel. Les attaques par force brutes ne peuvent être évitées que par la sécurisation des services (authentification forte).
Et cela n'a pas grand chose à voir avec ce que l'on appelle la surface d'attaque car cela ne joue pas sur l'exposition du système aux attaques.

Quant au filtrage par géolocalisation des IP je doute que cela ait une quelconque efficacité. Il suffit de regarder la diversité de localisation des dernières IP signalées ici par exemple.. Cela ne fait que rajouter de la complexité à la configuration et c'est périlleux en dehors de l'usage d'un serveur personnel accessibles aux connaissances.
Si tu veux faire du filtrage préventif par IP mieux vaut faire appel à des listes noires dynamiques, fiables et réputées (sans faux positifs).

Et attention ces mesures font généralement fi de l'Ipv6. Mais comme le fait remarquer justement @sputnick scanner 2^64 ou plus IP cela prend énormément de temps (enfin en première approche) wink

#22 Le 18/02/2024, à 11:32

jplemoine

Re : [Résolu] Sécurité de son serveur

Encore une fois, fail2ban (ou un équivalent) ne sécurise pas le serveur mais participe à limiter les possibilités que peux avoir un attaquant.
Imaginons qu'une machine puisse tester 1000 mot de passes à l'heure en tant normal.
Si tu mets un fail2ban avec un "jail" sshd seule (blocage de 2mn toutes les 5 tentatives) : tu ne pourras que tester (en gros) que 5x30 = 150 mot de passe.
Si tu y ajoutes un "jail" récidive, tu bloques pendant 1 semaine au bout de 3 ban --> 15 tentatives par semaine.
Tu vas donc augmenter le nombre de machines à utiliser et l'attaque va être plus complexe à mettre en oeuvre. Si en plus tu limites les IP, tu diminues les machines possibles : donc, indirectement, selon moi, tu augmentes la sécurité du serveur.

Après ça ne reste que mon avis et je n'oblige personne à le partager.


Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

Déconnecté jusqu’à nouvel ordre

Hors ligne

#23 Le 18/02/2024, à 11:47

sputnick

Re : [Résolu] Sécurité de son serveur

fail2ban ne sert pas juste à réduire les logs, mais à créer une règle iptable à la volée pour ban des tentatives de brute force.

Même si une personne te connaissant n'a pas accès à ton mot de passe, le fait d'être sensibilisé à la sécurité empêchera cette personne de réaliser plus d'un nombre limité de tentatives d'accès, grâce aux mécanismes de ban en place. De plus, si le service est régulièrement mis à jour, ben bonne chance tongue

La meilleure sécurité pour résumer, à mon avis, c'est:
- sensibilisation à la sécurité et aux bonnes pratiques via des ressources en ligne, des cours en ligne, des formations éligibles au CPF, etc. Il est primordial d'adopter une attitude de vigilance constante lors de la réception d'un lien sur lequel cliquer. Cette prise de conscience est essentielle, notamment pour le personnel non technique, en ce qui concerne les risques liés au social engineering, entre autres.
- gestion des mots de passe via un soft (utiliser keepassxc par exemple) et ne JAMAIS utiliser le même mot de passe partout.
- veiller à ne pas garder des mots de passes par défaut (routeurs etc...)
- mettre à jour les firmwares des routeurs (ils peuvent être faillibles)
- mettre à jour son serveur une fois par mois (minimum)
- s'abonner ou scripter les alertes de mises à jour importantes de softs particuliers pour mettre à jour le plus rapidement possible. Les services basés sur PHP (notamment) sont particulièrement exposés si non mis à jour
- utiliser unattented upgrade du système Debian/Ubuntu pour appliquer les mise à jour de sécurité automatiquement : https://wiki.debian.org/fr/unattended-upgrades
- faire attentions à la gestion des droits Unix. Par exemple, il ne sert à rien de mettre le bit eXecutable sur des fichiers PHP, et dieu sais si j'en ai vu passer des pseudo admins qui mettent du 777 partout: solution de facilité et le contraire de la sécurité
- auditer son serveur avec nmap chkrootkit... voir des outils de pentesting si c'est vraiment sensible
- être derrière un NAT n'est pas une solution miracle, voir https://www.bortzmeyer.org/nat-et-securite.html

Bortzmeyer est un pionnier de l'internet et référent en matière d'internet en France

et extrait de la page au sujet des ports sous 1025:

bortzmeyer a écrit :

Néanmoins, en matière de sécurité, ce n'est jamais tout blanc ou tout noir. Les programmes qui écoutent sur des ports inférieurs à 1024 sont en général particulièrement sensibles et l'idée de les protéger ne me semble pas mauvaise.

Dernière modification par sputnick (Le 19/02/2024, à 00:38)


On ne peut pas mettre d'array dans un string!
https://sputnick.fr/

Hors ligne

#24 Le 18/02/2024, à 12:26

bruno

Re : [Résolu] Sécurité de son serveur

@jplemoine : c'est ce que nous disons, au mieux cela peut ralentir l'attaque par force brute. Et de toute façon, si tes services sont bien configurés ils sont insensibles à ce type d'attaque, ce qui rend fail2ban encore plus inutile pour cet usage. Pour le dire d'une autre manière, ce n'est pas à fail2ban de limiter les possibilités ou de ralentir un attaquant, cela doit absolument être fait en amont en paramétrant les services et les comptes utilisateurs.

Je peux te garantir qu'une machine qui héberge un service bien ciblé par les bots (courrier, ssh) publiquement et ayant un compte utilisateur avec un mot de passe faible est compromise très rapidement même avec un fail2ban archi blindé.

Cela a un impact sur la sécurité quand c'est utilisé pour signaler les IP malveillantes au services abuse concernés ou à des gestionnaire de liste noires. Dans ce cas cela améliore globalement la sécurité de l'Internet.

#25 Le 18/02/2024, à 20:03

NicoApi73

Re : [Résolu] Sécurité de son serveur

bruno a écrit :

Je peux te garantir qu'une machine qui héberge un service bien ciblé par les bots (courrier, ssh) publiquement et ayant un compte utilisateur avec un mot de passe faible est compromise très rapidement même avec un fail2ban archi blindé.

+1

Quand je regarde les logs de mon serveur, on voit des bots qui essaient (je ne sais quoi d'ailleurs, je voudrais bien logguer les trames, mais je ne m'y suis jamais penché...) Dans ce cas, F2B est intéressant, pour éviter qu'un bot ne revienne encore et encore.

Je n'ai vu qu'une seule attaque. C'était des centaines de tentatives de connexion, quasi simultanée, et chaque adresse IP était différente. F2B ne servait à rien du tout dans ce cas. (Je bloquais à 3 tentatives d'une IP, il n'y en avait qu'une seule par IP)

Hors ligne