Discussion :

[saturn1]

Bonjour je me suis lancé dans le dédié...

Je suis un peu angoissé et parfois je check mon site juste pour savoir si il c'est pas fait hacké


Que faire (tests) pour savoir si il est vraiment sur ?

Je ne parle pas des failles lié au site (sql xss ,rcsf ...)

Mais plutot des failles du serveurs !!

Merci

[ram-0000]

Quelques règles simples (pas forcémment dans l'ordre)

• Des mots de passe corrects (utilisateurs du système ou bien de l'applicatif)
• Des mises à jours appliquées régulièrement (système et applicatif)
• Un nombre limité et maitrisés de services réseau à l'écoute
• Une journalisation de tous les évènements système (décentralisée si possible) afin de pourvoir tracer ce qui s'est passé
• Un filtrage réseau qui ne laisse passer que ce qui est autorisé

[saturn1]

Quelques règles simples (pas forcémment dans l'ordre)

• Des mots de passe corrects (utilisateurs du système ou bien de l'applicatif)
• Des mises à jours appliquées régulièrement (système et applicatif)
• Un nombre limité et maitrisés de services réseau à l'écoute
• Une journalisation de tous les évènements système (décentralisée si possible) afin de pourvoir tracer ce qui s'est passé
• Un filtrage réseau qui ne laisse passer que ce qui est autorisé

Je sais que pour faire les maj c'est apt-get upgrade / update.
Mais comment on fait pour sélectionner les maj à installer .

Car je pense qu'il faut garder sa version de php pour éviter les bugs ?[*]Une journalisation de tous les évènements système (décentralisée si possible) afin de pourvoir tracer ce qui s'est passé

J'ai installé logcheck et je recois des logs et je vois deux choses : desfois des gens qui essaient de se connecter avec ssh à mon compte (mais failure) avec le compte root.

et un truc avec postfix :
postfix/smtpd[19855]: NOQUEUE: reject_warning: RCPT from 220-139-127-162.dynamic.hinet.net[220.139.127.xxx]: 450 4.1.7 <hjoyuo@hotmail.com>: Sender address rejected: undeliverable address: host mx1.hotmail.com[65.55.37.72] said: 550 Requested action not taken: mailbox unavailable (in reply to RCPT TO command); from=<hjoyuo@hotmail.com> to=<s2288@mail2000.com.tw> proto=SMTP helo=<


C'est normal ??

merci de ton aide ??

Faut il désactiver le compte root ??

Merci d'aider un gros débutant !!!

[thierry.chich]

Pour les mises à jour, il faut simplement mettre celles qui dépendent de security.
Normalement, ça suffit pour sécuriser un serveur web sur le plan des services (http et https). Reste après l'immense réservoir des failles php...

[saturn1]

Faille php avec symfony ?
j'y crois pas ^^

[gege2061]

Bonjour,

C'est surtout l'accès SSH qu'il faut sécuriser. Je te conseille de passer par une authentification via pgp et de désactiver l'authentification par mot de passe.

Il faut aussi sécurisé un minimum le serveur SMTP pour éviter de servir de relais au spameurs.

[saturn1]

As - tu des tutoriels sur sécuriser smtp ??
merci

[gege2061]

As - tu des tutoriels sur sécuriser smtp ??
merci

Je me suis basé sur celui-ci : http://wiki.auto-hebergement.fr/doku...trictions_smtp

Tu as aussi : Installation complète d'un serveur web sous Debian

Et plus généralement sur la sécurisation d'un serveur : Installation et sécurisation d'une station Debian 3.0 stable

[herzleid]

Désactiver l'accès à root est également une priorité.
On ne se connecte jamais en tant que root, mais avec un user qui peut le devenir !

[saturn1]

J'ai peur de faire une connerie donc je fais ça ça ne va pas casser mon système :


PermitRootLogin à no dans sshd_config


Mais après je pourrais toujours faire un su ou un sudo quand je suis connecté avec mon pseudo ????

[ram-0000]

Mais après je pourrais toujours faire un su ou un sudo quand je suis connecté avec mon pseudo ????

Oui, tu pourras

[saturn1]

Ok sinon j'aimerais bien recevoir un mail dès que quelqu'un se connecte à mon server !!

ça se fait avec logcheck ??

Edit : enfin ça sert peut être à rien car quand tu recois le mail il est trop tard lol !

[gege2061]

Ok sinon j'aimerais bien recevoir un mail dès que quelqu'un se connecte à mon server !!

ça se fait avec logcheck ??

Edit : enfin ça sert peut être à rien car quand tu recois le mail il est trop tard lol !

Avec les précautions que nous t'avons donné (accès ssh par clés pgp uniquement, désactivation du compte root), tu devrait être tranquille côté SSH. Maintenant tu auras toujours des bots qui essayerons de ce connecter par brut force, pour être tranquille, tu peux installer fail2ban qui peut envoyer un mail lorsqu'une ip est blacklistée.

[saturn1]

Je dois vraiment mal cherché mais je trouve rien sur l'accès ssh par pgp !!
Désolé !!


Merci

[thierry.chich]

Normal. On ne dit pas ça comme ça, d'ordinaire. Je pense que gege2001 doit proposer de s'authentifier par clé publique.
Cherche ssh-keygen et authorized_keys sur google, et tu dois bien tomber sur 5 millions de tutoriels qui explique comment faire.

[herzleid]

tu peux installer fail2ban qui peut envoyer un mail lorsqu'une ip est blacklistée.

+1, fail2ban est vraiment une bonne solution pour limiter les robots et crétins de tout poils. Au début je limitais le ban à 20 minutes. Mais je suis tombé sur un tétu, alors je suis monté à 3h. Le con il est revenu au bout de 3 heures !! Obligé de passer à 24h pour qui se lasse plus que ma machine ^^

[gege2061]

fail2ban est vraiment une bonne solution pour limiter les robots et crétins de tout poils. Au début je limitais le ban à 20 minutes. Mais je suis tombé sur un tétu, alors je suis monté à 3h. Le con il est revenu au bout de 3 heures !! Obligé de passer à 24h pour qui se lasse plus que ma machine ^^

C'est clair que c'est pénible

Je suis passé de la configuration par défaut (10 minutes), à 30 minutes et lorsque je vois l'IP revenir 3/4 fois je bannis définitivement (jusqu'au redémarrage d'iptable). C'est pénible de voir tout les logins de A à Z passer dans les logs...