Outils pour utilisateurs

Outils du site


securisation

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
securisation [2017/12/05 14:40]
matronix
securisation [2018/09/29 17:25] (Version actuelle)
matronix
Ligne 5: Ligne 5:
 Afin de sécuriser l'​accès SSH au serveur, éditons le fichier /​etc/​ssh/​sshd_config. Nous allons changer le port de connexion par défaut pour éviter quelques attaques par bruteforce sur le port 22, qui est bien connu pour héberger ce service. Afin de sécuriser l'​accès SSH au serveur, éditons le fichier /​etc/​ssh/​sshd_config. Nous allons changer le port de connexion par défaut pour éviter quelques attaques par bruteforce sur le port 22, qui est bien connu pour héberger ce service.
  
-<​code>​nano /​etc/​ssh/​sshd_config</​code>​+  ​nano /​etc/​ssh/​sshd_config
  
-<​code>​Port 1337                  # Changer le port par défaut +  ​PermitRootLogin no 
-PermitRootLogin no         # Ne pas permettre de login en root +  AllowUsers bob
-LoginGraceTime 15          # 15 secondes pour taper le mot de passe +
- +
-AllowUsers bob bobi        # A rajouter pour n'​autoriser que bob et bobi à se connecter</​code>​+
  
 **//​Attention !// Si vous bloquez root, pensez à créer un utilisateur (adduser bob) et l'​autoriser avant de redémarrer ssh, sans quoi vous ne pourrez plus du tout vous connecter !** **//​Attention !// Si vous bloquez root, pensez à créer un utilisateur (adduser bob) et l'​autoriser avant de redémarrer ssh, sans quoi vous ne pourrez plus du tout vous connecter !**
Ligne 17: Ligne 14:
 Redémarrez le service SSH après ces modifications : Redémarrez le service SSH après ces modifications :
  
-<​code>/​etc/​init.d/​ssh ​restart</​code>​+  systemctl ​restart ​fail2ban
  
 Pour récupérer les droits root, entrez la commande ''​su -'',​ puis tapez le mot de passe root. Pour récupérer les droits root, entrez la commande ''​su -'',​ puis tapez le mot de passe root.
Ligne 35: Ligne 32:
 Configuration : Configuration :
  
-<​code>​nano /​etc/​fail2ban/​jail.conf</​code>​+  ​nano /​etc/​fail2ban/​jail.d/custom.conf 
 + 
 +<​code>​[sshd] 
 +enabled = true 
 +port = 2222 
 +logpath = /​var/​log/​auth.log 
 +maxretry = 5</​code>​
  
 //Pensez à changer le port de surveillance dans le bloc SSH !// //Pensez à changer le port de surveillance dans le bloc SSH !//
  
-Lancement ​:+Appliquer les modifications ​:
  
-<​code>​fail2ban-client start</​code>​ +  systemctl restart ​fail2ban
- +
-Quelques paramètres globaux : +
- +
-  * ignoreip = 127.0.0.1 : Liste des adresses IP de confiance à ignorer par fail2ban (c'est une bonne idée de mettre votre IP si vous êtes en IP fixe) +
-  * bantime = 900 : Temps de ban en secondes (900 secondes = 15 min) +
-  * maxretry = 3 : Nombre d'​essais autorisés pour une connexion avant d'​être banni +
- +
-Après modification de la configuration,​ n'​oubliez pas de redémarrer fail2ban : +
- +
-<​code>​fail2ban-client reload</​code>​+
  
 Vous pouvez vérifier si les prisons sont correctement lancées avec Vous pouvez vérifier si les prisons sont correctement lancées avec
  
 <​code>​fail2ban-client status</​code>​ <​code>​fail2ban-client status</​code>​
- 
-====== Autres modifs de sécurité ====== 
- 
-  * Tout en même temps 
- 
-  echo "​1"​ > /​proc/​sys/​net/​ipv4/​icmp_echo_ignore_broadcasts && echo "​0"​ > /​proc/​sys/​net/​ipv4/​conf/​all/​accept_source_route && echo "​1"​ > /​proc/​sys/​net/​ipv4/​tcp_syncookies && echo "​1024"​ > /​proc/​sys/​net/​ipv4/​tcp_max_syn_backlog && echo "​1"​ > /​proc/​sys/​net/​ipv4/​conf/​all/​rp_filter && echo "​1"​ > /​proc/​sys/​net/​ipv4/​icmp_ignore_bogus_error_responses && echo "​0"​ > /​proc/​sys/​net/​ipv4/​conf/​all/​accept_redirects && echo "​0"​ > /​proc/​sys/​net/​ipv4/​conf/​all/​secure_redirects 
- 
-  * Smurf Attack 
- 
-<​code>​echo "​1"​ > /​proc/​sys/​net/​ipv4/​icmp_echo_ignore_broadcasts</​code>​ 
- 
-  * Source routing 
- 
-<​code>​echo "​0"​ > /​proc/​sys/​net/​ipv4/​conf/​all/​accept_source_route</​code>​ 
- 
-  * Syn Flood 
- 
-<​code>​echo "​1"​ > /​proc/​sys/​net/​ipv4/​tcp_syncookies 
-echo "​1024"​ > /​proc/​sys/​net/​ipv4/​tcp_max_syn_backlog 
-echo "​1"​ > /​proc/​sys/​net/​ipv4/​conf/​all/​rp_filter </​code>​ 
- 
-  * Bad error messages 
- 
-<​code>​echo "​1"​ > /​proc/​sys/​net/​ipv4/​icmp_ignore_bogus_error_responses</​code>​ 
- 
-  * Redirects 
- 
-<​code>​echo "​0"​ > /​proc/​sys/​net/​ipv4/​conf/​all/​accept_redirects 
-echo "​0"​ > /​proc/​sys/​net/​ipv4/​conf/​all/​secure_redirects</​code>​ 
- 
-====== Vérifications ====== 
- 
-  *  Windigo 
- 
-<​code>​ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "​System clean" || echo "​System infected"</​code>​ 
securisation.1512481259.txt.gz · Dernière modification: 2017/12/05 14:40 par matronix