Modifier iptables à distance via un script php/cgi
Bonjour,
je ne sais pas si ce forum est l'endroit le plus approprié du web pour poser ma question, mais comme j'ai l'habitude d'y trouver des réponses à plein d'autres sujets quand je cherche sur google...
Voici mon problème:
- Je dispose d'un hébergement partagé classique, mais j'ai dû investir dans un serveur dédié (sous CENT OS 5) car le site sur lequel je travaille nécessite la discussion de mon code avec un binaire Linux que je n'ai pas réussi à exécuter sur un hébergement partagé, malgré toutes les astuces que j'ai essayé.
- N'étant pas spécialiste (comprendre débutant absolu) en sécu Linux, j'ai décidé de n'héberger que le strict minimum sur ce privé: le binaire et un cgi qui fait l'interface entre l'exécutable et mon code (sur le partagé) qui l'interroge. En plus de ces deux fichiers, j'ai mis un .htaccess refusant toute connexion en dehors de l'adresse ip de mon hébergement partagé.
- J'avais décidé de faire la sécu un peu plus avancée plus tard et je m'y met maintenant: je viens d'ouvrir les fichiers /var/log/btmp et /var/log/secure et j'ai été atterré! Si je connaissais l'existence des scripts kiddies et de leurs scanners, je me rend compte que mon serveur essuie plus de 20.000 attaques par jour (!!) quasiment 5 par seconde. De ce que j'en vois, c'est de la force brute par dictionnaire, les passwords par défaut (fournis à l'installation, de 10 caractères incompréhensibles) ont à priori résisté.
- Je souhaite donc sécuriser un peu, la solution étant naturellement de n'autoriser que mon adresse ip et celle de mon hébergement partagé, mais mon ENORME souci est que je ne dispose d'aucune adresse ip statique... mon idée est donc de n'autoriser que l'ip de mon hébergement partagé (qui est doublement sécurisé: par mon hébergeur, et par moi même) et de créer un fichier PHP sur le privé qui me permette (à partir de l'administration de mon partagé donc) d'ajouter des adresses ip à l'iptables... cela me permettrait d'ajouter mon adresse ip actuelle quand j'ai besoin de me connecter en SSH sur mon serveur.
Mais je présume que je vais tomber sur le souci que l'utilisateur httpd (apache) ne dispose pas des droits suffisants pour modifier le fichier iptables, ni à redémarrer le service netfilter.
En cherchant un peu j'arriverai certainement à trouver comment lui attribuer ces droits, mais je préfèrerais avoir l'avis d'utilisateurs plus expérimentés avant de faire des bétises: s'il n'y aurait pas une méthode plus propre pour donner les droits à un fichier PHP exécuté par apache d'insérer des lignes dans iptables et de redémarrer le service.
Je sais que cette approche est dangereuse, mais je pense que:
- La restriction en dehors de ca par iptables à toute adresse ip autre que mon partagé
+ le .htaccess qui confirme ces même droits
+ revérification de cette même adresse ip par le fichier php en lui même
+ un système de mot de passe tarabiscoté en perpétuel changement passant par l'url qui donnera une ultime confirmation au fichier php cible d'être bien requesté par ma page légitime
... sera toujours plus sûr que les portes quasi grandes ouvertes que j'ai maintenant
Voilà, j'attends avec impatience vos réactions, remarques, conseils et orientations
Merci d'avance.
ps: j'ai bien cherché une solution pour filtrer plutôt par adresse MAC, mais j'ai cru comprendre que si cela marche bien en réseau local, ce n'est pas le cas par internet.
Répondre avec citation
Partager