Discussion :

[mister3957]

Bonjour à tous,

Je possède un Ubuntu Server 12.04 actuellement accessible uniquement au sein de mon réseau interne.

Afin de pouvoir travailler avec depuis chez moi, j'aimerais l'ouvrir à l'extérieur mais je me demande si ce n'est pas un peu risqué lorsque l'on a que peu de notions concernant la sécurité.

Ses services à exposer sont :
- ftp (sans mode anonymous)
- ssh
- postgresql
- apache
- subversion

Pour le moment, je compte exposer ces services en utilisant des ports externes différents de ceux par défaut, configurés au niveau du routeur. Cela permettra par d'éviter les gens qui scannent une plage IP par exemple sur le port 21 pour scruter les services ftp ouverts (avant de chercher à s'y introduire), ne puissent détecter mon serveur.

A part ça, je ne vois pas trop quoi faire, mais est-ce suffisant comme procédure pour être confiant quant à l'exposition de son serveur ?

En vous remerciant par avance,

Bonne journée

[paissad]

Bonjour,

c'est déjà une bonne pratique que t'aies changé les ports par défaut.
Mais une autre chose, voire deux que tu pourrais faire aussi, c'est :

1°) utiliser iptables pour bloquer toutes les connexions entrantes (voire et sortantes) et ensuite n'autoriser que les ports/services qui doivent être disponibles pour l'extérieur.

2°) Utiliser fail2ban pour bloquer (en tous minimiser) les attaques ddos ou multitudes tentatives de connexion échouées sur un service (ftp, ssh ...) Cela permettra de bloquer par exemple un utilisateur (en général , un bot plutôt) qui essaie de se connecter via un service en faisant plusieurs tentatives.

Encore une fois, ceci est juste un minimum et non une sécurité maximale.
Mais ce qui est sûr, c'est que ça t'évitera déjà plein de petits soucis.

Cordialement,

[mister3957]

Ok merci c'est super !

Ça devrait suffire.

Merci pour ces conseils,

A bientôt

[overider]

Bonjour.

Pour moi changer les ports par défaut, c'est de la sécurité par l'obscurantisme et n'apporte qu'une illusion de sécurité. Un bon scanner de port, testeras également le protocole et la façon de répondre du serveur.
De plus,d'experience, cela risque de poser probleme pour des protocoles de type ftp (en mode passif)

Je suis d'accord avec paissad concernant iptables et fail2ban.

En matière de sécurité, rien ne vaut de la pro réactivité et une analyse des logs fréquentes (voir quotidiennes).

[ram-0000]

+1 pour les ports par défaut, c'est assez illusoire.

Même si tu changes le port de ssh et que tu mets 6000, un logiciel comme nmap va très vite découvrir que le port 6000 n'est pas X11 mais ssh.

C'est donc un plus pour les scripts kiddies qui ne scannent que le port 22 mais en aucun cas une bonne sécurité (moi, je suis protégé, ssh ne tourne pas sur le port 22 ).

Sinon, d'accord avec les autres propositions (iptables et fail2ban)

[messinese]

Peut etre aussi éventuellement voir si tu peux via ta box ou un routeur, mettre ce serveur en DMZ quant a ssh , permitrootlogin = no et auth par certificat, FTP SFTP etc.. en fait essayer de faire avec des protocoles plus sécure + iptable bien costaud + un fail2ban et un Snort surtout si tu as un apache avec un CMS ou un truc maison (pire encore).

A cela , on ajout l'importance des MaJ meme si c'est relou il FAUT les faires!

Cdlt.

[mister3957]

+1 pour les ports par défaut, c'est assez illusoire.

Même si tu changes le port de ssh et que tu mets 6000, un logiciel comme nmap va très vite découvrir que le port 6000 n'est pas X11 mais ssh.

C'est donc un plus pour les scripts kiddies qui ne scannent que le port 22 mais en aucun cas une bonne sécurité (moi, je suis protégé, ssh ne tourne pas sur le port 22 ).

Sinon, d'accord avec les autres propositions (iptables et fail2ban)

Au départ j'avais pensé à modifier les ports d'écoute des différents services, mais je me suis dis que ce serait plus simple d'effectuer la modification au niveau du router..

Il y a une différence de sécurité entre les deux ?

[ram-0000]

Au départ j'avais pensé à modifier les ports d'écoute des différents services, mais je me suis dis que ce serait plus simple d'effectuer la modification au niveau du router..

Le router a peut être autre chose à faire. Laisse ce genre de choses au niveau de l'OS. Et puis cela peut induire des confusions : de l'extérieur, ton serveur est joignable en ssh sur le port 666 et en interne, il est joignable en ssh sur le port 22. C'est un coup à se faire détester des utilisateurs .

Il y a une différence de sécurité entre les deux ?

Non, je ne pense pas.

[mister3957]

Le router a peut être autre chose à faire. Laisse ce genre de choses au niveau de l'OS. Et puis cela peut induire des confusions : de l'extérieur, ton serveur est joignable en ssh sur le port 666 et en interne, il est joignable en ssh sur le port 22. C'est un coup à se faire détester des utilisateurs .


Non, je ne pense pas.

C'était en réponse à "moi, je suis protégé, ssh ne tourne pas sur le port 22", du coup je pensais que niveau sécurité, c'était différent entre le fait de le changer en inter ou dans le routeur.

[Tlams]

Tu peux aussi configurer sshd pour qu'il fonctionne avec une clé + passphrase.

-> Si des 'Pirates' trouvent le port, ils ne pourront pas utiliser d'attaque par Brute force car pas de clé.
-> Si quelqu'un se procure ton fichier clé, il faut encore casser la passphrase.

[razmous]

Salut,
Si tu peux mettre un OpenVPN sur ton serveur c'est mieux (c'est du SSL VPN), seul le port OpenVPN est accessible depuis l'internet


Cdt