logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 16-01-2020 20:40:08

ahote
Membre
Lieu : 42
Distrib. : bullseye
Noyau : Linux 5.8
(G)UI : Cinnamon
Inscription : 09-12-2018
Site Web

Sécurité serveur

Bonjour/Bonsoir a tous
j'ai un petit serveur sous Debian Buster chez moi qui me sert pour pas mal de choses :

- Hébergement site vitrine de ma société (Nginx, PHP7.3, MariaDB, Wordpress)
- Hébergement Dolibarr pour ma compta
- "Cloud Privé"
- Serveur Média (minildna)
- NAS
- Serveur Mail complet (Quand j'aurais le courage...) ça semble encore un peut complexe pour mon niveau !
- peut être un serveur Plex d'ici peu ( je me tâte encore ^^ )
- Dans un future assez lointains.... je pense le faire évolué en NAT/Proxy afin de sécurisé et filtré le contenu pour les Pc du réseau local

et comme tout bon serveur il doit bien sur être sécurisé :-)

j'ai fait un petit script pour Iptables pour sécurisé tout ça
j'aurais aimé avoir qqus avis pour savoir si il est suffisamment efficace

#!/bin/sh

# Réinitialise les règles
iptables -t filter -F
iptables -t filter -X

# Bloque tout le trafic
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

# Autorise les connexions déjà établies et localhost
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

#Accepter tout ce qui se passe sur le réseau local
iptables -t filter -A INPUT -s 192.168.1.0/24 -j ACCEPT
iptables -t filter -A OUTPUT -d 192.168.1.0/24 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.1.0/24 -j ACCEPT

# ICMP (Ping)
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT

# SSH
iptables -t filter -A INPUT -p tcp --dport "monportssh" -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport "monportssh" -j ACCEPT

# DNS
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT

# HTTP + HTTPS Out
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 8080 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT

# HTTP + HTTPS In
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8080 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT

# FTP et sFTP

iptables -t filter -A OUTPUT -p tcp --dport 20:22 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 20:22 -j ACCEPT

# Mail SMTP
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 465 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 465 -j ACCEPT

# Mail POP3
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 995 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 995 -j ACCEPT

# Mail IMAP
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT

# NTP (horloge du serveur)
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT

# Anti scan
iptables -t filter -A INPUT -p tcp --tcp-flags ALL NONE -m limit --limit 1/h -j ACCEPT
iptables -t filter -A INPUT -p tcp --tcp-flags ALL ALL -m limit --limit 1/h -j ACCEPT

 



en plus de ça j'utilise Fail2ban et j'ai modifié le port SSH pour plus de clarté dans les logs


voila je ne sais pas si c'est suffisant ou pas
je l'utilise depuis un bon moment déjà sans avoir eu de problème mais comme dorénavant je l'utilise pour la société il vaut mieux que je sois sur de mon coup ^^
Merci d'avance pour vos conseils :-)

Hors ligne

Pied de page des forums