Debian Debian-France Debian-Facile Debian-fr.org Debian-fr.xyz Debian ? Communautés

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#126 06-03-2021 22:24:07

tux12
Membre
Lieu : ./
Distrib. : stable
Noyau : celui de la stable
(G)UI : KDE
Inscription : 27-02-2008

Re : Sécuriser un VPS

Bonjour,

Pour tenter de clarifier un peu les choses pour griggione, netfilter constitue la partie du noyau chargée du filtrage des paquets. iptables, qui est maintenan remplacé par nftables depuis Debian 10, permet de créer et manipuler les règles de filtrages utilisées par netfilter. Ces 2 composants font partie du système, il n'est pas nécessaire de les installer.

fail2ban pour sa part est un programme qu'il faut installer pour pouvoir l'utiliser. Il permet de créer des règles iptables ou nftables à partir de la lecture des logs système pour modifier la configuration courante du filtrage. C'est ce qui va permettre de s'adapter dynamiquement à la situation, typiquement limiter un flood (ddos ou brute force) sans intervention humaine (il faut quand même avoir écrit préalablement des règles adaptées et vérifier périodiquement leur efficacité).

Si ça peut aider à clarifier les choses...

Tout est un sauf zéro. - Wau Holland

Hors ligne

#127 06-03-2021 23:13:12

vv222
Administrateur
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : Linux ≥ 5.10 (amd64)
(G)UI : Openbox
Inscription : 18-11-2013
Site Web

Re : Sécuriser un VPS

tux12 a écrit :

Pour tenter de clarifier un peu les choses pour griggione, netfilter constitue la partie du noyau chargée du filtrage des paquets. iptables, qui est maintenan remplacé par nftables depuis Debian 10, permet de créer et manipuler les règles de filtrages utilisées par netfilter. Ces 2 composants font partie du système, il n'est pas nécessaire de les installer.


Attention pour iptables/nftables : aucun des deux n’est installé par défaut avec une installation minimale de Debian.
Si nano n’était pas installé sur la machine de griggione, il y a de bonnes chances qu’on soit dans ce cas d’une installation minimale.


Jouer sous Debian ? Facile !

Hors ligne

#128 07-03-2021 00:17:53

tux12
Membre
Lieu : ./
Distrib. : stable
Noyau : celui de la stable
(G)UI : KDE
Inscription : 27-02-2008

Re : Sécuriser un VPS

Huuuu... j'ai dit des bétises neutral iptables/nftables ne fait en effet pas partie du système minimal. Il faut donc l'installer si ce n'est pas déjà fait.

Tout est un sauf zéro. - Wau Holland

Hors ligne

#129 07-03-2021 01:14:01

vv222
Administrateur
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : Linux ≥ 5.10 (amd64)
(G)UI : Openbox
Inscription : 18-11-2013
Site Web

Re : Sécuriser un VPS

Il fait partie je crois de ce qui est installé quand on demande l'installation des « utilitaires usuels du système » (formulation de mémoire), iptables par exemple était installé sur mon VPS Debian Buster qui inclut ce groupe de logiciels (dont aussi nano). Mais quand on commande un VPS, on ne sait pas forcément par avance ce qui sera posé dessus wink

Jouer sous Debian ? Facile !

Hors ligne

#130 07-03-2021 01:54:38

tux12
Membre
Lieu : ./
Distrib. : stable
Noyau : celui de la stable
(G)UI : KDE
Inscription : 27-02-2008

Re : Sécuriser un VPS

Tu as bonne mémoire vv222, c'est en effet l'appelation de cette tâche (en bas de page)
C'est effectivement la seule tâche que je conserve systématiquement, même sur une install minimale, car sans celà on est rapidement très limité. D'ou ma confusion. Merci de cette précision. smile

Dernière modification par tux12 (07-03-2021 01:56:08)


Tout est un sauf zéro. - Wau Holland

Hors ligne

#131 07-03-2021 08:19:13

griggione
Adhérent(e)
Inscription : 25-02-2021

Re : Sécuriser un VPS

Bonjour tous,

tux12 a écrit :

Bonjour,
Pour tenter de clarifier un peu les choses pour griggione, ..... Si ça peut aider à clarifier les choses...


Completement et ces échanges sont interessant pour ma progression.

vv222 a écrit :


Attention pour iptables/nftables : aucun des deux n’est installé par défaut avec une installation minimale de Debian.
Si nano n’était pas installé sur la machine de griggione, il y a de bonnes chances qu’on soit dans ce cas d’une installation minimale.


C'est un VPS Debian Buster mais surement au minimum.
Je vais donc visiter le wiki pour savoir comment lister les paquets.

Ensuite, est-ce que pour le VPS que je veux faire, iptables/nftables est inévitable, conseillé ou inutile ?

EDIT :
https://debian-facile.org/doc:systeme:apt:apt

Versions utilisées: Debian 8.2 / apt 1.0.9.8.1


Est-ce que pour mon Debian 10 Buster, je peux m'appuyer dessus.
.

Dernière modification par griggione (07-03-2021 08:51:40)

Hors ligne

#132 07-03-2021 09:58:54

griggione
Adhérent(e)
Inscription : 25-02-2021

Re : Sécuriser un VPS

RE

Pas facile de trouver comment lister las paquets dans Buster, apparement , ils se trouvent dans /var/lib/dpkg/info
Par contre, lister sous ssh ??? attention, pas lister les mises à jours, apt update, mais toute la liste des paquets installés.

Bref en suivant  /var/lib/dpkg/info :
856.png
Donc je suppose que iptables est présent ?
Rien pour nftables, faut-il l'installer ?
Pas de fail2ban non plus, donc à mettre.

Hors ligne

#133 07-03-2021 10:07:36

cyrille
CA Debian-Facile
Distrib. : SID + FreeBSD. Stable sur serveurs.
(G)UI : Xfce/Openbox
Inscription : 21-06-2020
Site Web

Re : Sécuriser un VPS

lister les paquets

avec dpkg

dpkg -l



Faire défiler, ctl +c pour quitter

ou

dpkg -l > paquetsInstall.txt
cat paquetsInstall.txt




avec aptitutde

aptitude search ~i




(au besoin installer aptitude si pas installé apt install aptitude)


Savoir si iptable est installé

aptitude show iptables




ou sans la description

aptitude search ~iiptables




(l'option ~i dans le motif de recherche permet de ne lister que les paquets installé)

https://doc.ubuntu-fr.org/aptitude


ou simplement

whereis iptables

Dernière modification par cyrille (07-03-2021 10:10:21)


"Ils ne me comprennent point, je ne suis pas la bouche qu’il faut à ces oreilles."

Association Debian-Facile | Les cahiers du débutant | ISO Debian-FacilePage perso. sur #df

Hors ligne

#134 07-03-2021 10:12:50

cyrille
CA Debian-Facile
Distrib. : SID + FreeBSD. Stable sur serveurs.
(G)UI : Xfce/Openbox
Inscription : 21-06-2020
Site Web

Re : Sécuriser un VPS

nftables est le successeur d'iptables. Il me semble que pour l'instant, il faut mieux rester sous iptables (à confirmer)

nftables replaces the old popular iptables, ip6tables, arptables and ebtables.

Dernière modification par cyrille (07-03-2021 10:13:02)


"Ils ne me comprennent point, je ne suis pas la bouche qu’il faut à ces oreilles."

Association Debian-Facile | Les cahiers du débutant | ISO Debian-FacilePage perso. sur #df

Hors ligne

#135 07-03-2021 10:53:44

griggione
Adhérent(e)
Inscription : 25-02-2021

Re : Sécuriser un VPS

Bonjour cyrille,

cyrille a écrit :

nftables est le successeur d'iptables. Il me semble que pour l'instant, il faut mieux rester sous iptables (à confirmer)


OK donc j'attend.


iptables 1.8.2-4 est installé smile_fete.gif
aptitude est installé
les paquets sont listés, même en .txt (plus facile)
les commandes sont notées (comme toujours)

Maintenant : 5. Installer et configurer fail2ban

Hors ligne

#136 07-03-2021 12:04:33

griggione
Adhérent(e)
Inscription : 25-02-2021

Re : Sécuriser un VPS

RE

Installer fail2ban est facile, defaults-debian.conf :

[sshd]
enabled = true



Ensuite, il est dit,  Configurer fail2ban pour ssh :

$ cat /etc/fail2ban/jail.d/mon_serveur.conf

[DEFAULT]
findtime = 3600
bantime = 86400
maxretry = 3

[sshd]
port = 6789

[sshd-ddos]
port = 6789


mon_serveur.conf est je suppose mon host.conf ?
Et je suppose que je dois créer ce fichier puisque il n'existe pas ?

Dernière modification par griggione (07-03-2021 12:07:33)

Hors ligne

#137 07-03-2021 12:31:40

tux12
Membre
Lieu : ./
Distrib. : stable
Noyau : celui de la stable
(G)UI : KDE
Inscription : 27-02-2008

Re : Sécuriser un VPS

Bonjour,

Je conseillerais d'utiliser plutôt nftables puisque c'est celui qui est recommandé par Debian.

Tout est un sauf zéro. - Wau Holland

Hors ligne

#138 07-03-2021 15:24:49

vv222
Administrateur
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : Linux ≥ 5.10 (amd64)
(G)UI : Openbox
Inscription : 18-11-2013
Site Web

Re : Sécuriser un VPS

griggione a écrit :

Ensuite, est-ce que pour le VPS que je veux faire, iptables/nftables est inévitable, conseillé ou inutile ?


Inévitable sûrement pas, je m’en passe depuis des années sans souci notable. Probablement pas inutile pour autant, sinon on n’en aurait pas autant causé dans cette discussion wink

Je laisse les deux camarades donner leurs avis dessus, contrairement à moi ils ont l’air de l’utiliser.


Jouer sous Debian ? Facile !

Hors ligne

#139 07-03-2021 15:59:53

tux12
Membre
Lieu : ./
Distrib. : stable
Noyau : celui de la stable
(G)UI : KDE
Inscription : 27-02-2008

Re : Sécuriser un VPS

Re,

J'installe systématiquement fail2ban avec une règle DROP sur le SSH et un port non standard, vu que j'autorise les accès root pour du scp/rsync.
Après ça peut servir ponctuellement pour limiter des floods comme déjà dit, en fonction des évènements inscrits dans les logs pour tous les services exposés (mail, http,...).

edit: L'important c'est de comprendre les risques, et ce que l'on peut ou ne peut pas faire avec le filtrage (je pense au web ou des règles de ré-écriture d'URL peuvent être plus adaptées au besoin).

Dernière modification par tux12 (07-03-2021 16:07:54)


Tout est un sauf zéro. - Wau Holland

Hors ligne

#140 07-03-2021 21:27:54

cyrille
CA Debian-Facile
Distrib. : SID + FreeBSD. Stable sur serveurs.
(G)UI : Xfce/Openbox
Inscription : 21-06-2020
Site Web

Re : Sécuriser un VPS

mon_serveur.conf est je suppose mon host.conf ?
Et je suppose que je dois créer ce fichier puisque il n'existe pas ?


Tu mets le nom que tu veux. Ce sont des variables qui seront lues après les variables par défaut, ça permet de personnaliser le tout
oui tu le crées et copie le code donné

@vv222
pas tort, j'ai longtemps utiliser un serveur sans aucune protection et sans soucis. Puis j'ai mis fail2ban pour voir et j'ai été surpris de voir le nb d'ip bannies.
Je pense qu'un serveur out of the box est déjà bien armé. fail2ban me rassure car si le nombre de tentation de connexion était immense, elles seraient jetées au bout de 3 essais et ne pomperaient pas des ressources inutilement.
Ensuite sur mon serveur de mail, ne voulant pas être blacklisté, j'ai opté pour une protection maximale (yunohost) afin d'être sûr de recevoir tout les mails et d'avoir une machine propre.


iptables n'est pas obligatoire. nftables d'apèrs ce que j'ai lui, c'est surtout de la doc diffcilement accessible, ensuite iptables c'est de la doc au kilo et parfois contradictoire. Pas évident de choisir.


"Ils ne me comprennent point, je ne suis pas la bouche qu’il faut à ces oreilles."

Association Debian-Facile | Les cahiers du débutant | ISO Debian-FacilePage perso. sur #df

Hors ligne

#141 08-03-2021 11:30:06

griggione
Adhérent(e)
Inscription : 25-02-2021

Re : Sécuriser un VPS

Bonjour tous,

cyrille a écrit :


Tu mets le nom que tu veux.
oui tu le crées et copie le code donné


OK, c'est bien noté

cyrille a écrit :


iptables n'est pas obligatoire.


Bon, sur ce coup, j'ai de la chance puisqu'il est dans mon Buster.
Sinon, comme dans Nextcloud il y a possibilité de serveur mail, je suppose qu'il vaut mieux l'avoir ?

Hors ligne

#142 08-03-2021 11:42:00

cyrille
CA Debian-Facile
Distrib. : SID + FreeBSD. Stable sur serveurs.
(G)UI : Xfce/Openbox
Inscription : 21-06-2020
Site Web

Re : Sécuriser un VPS

configurer un serveur de mail est une autre histoire (dovecot, posttix... gestion des cetificats, kdim...)
Tu aurais mieux fait de partir sur du yunohost... Mais oui tu peux installer un serveur de mail.

"Ils ne me comprennent point, je ne suis pas la bouche qu’il faut à ces oreilles."

Association Debian-Facile | Les cahiers du débutant | ISO Debian-FacilePage perso. sur #df

Hors ligne

#143 08-03-2021 14:10:44

griggione
Adhérent(e)
Inscription : 25-02-2021

Re : Sécuriser un VPS

RE

cyrille a écrit :


Tu aurais mieux fait de partir sur du yunohost...


cyrille, comme dit bien avant, pas de yunohost à cause du départ de Nextcloud wink

cyrille a écrit :

Mais oui tu peux installer un serveur de mail.


Ce n'est pas que je veux installer un serveur de mail mais que Nextcloud le propose, donc la question, dans ce cas, faut-il avant installer iptables ?
C'est pour poursuivre la discution sur iptables.

Je reviens à ton tuto https://cbiot.fr/dokuwiki/ssh-fail2ban , 5. Installer et configurer fail2ban
J'ai bien fait comme précisé et j'en suis à : Vérifier que la prison est bien effective

root@45:~# fail2ban-client status
Status
|- Number of jail:      1
`- Jail list:   sshd
 


De même , si je veux savoir si des IP ont été bannies :


root@45:~# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     2
|  `- File list:        /var/log/auth.log
`- Actions
   |- Currently banned: 0
   |- Total banned:     0
   `- Banned IP list:
 



Par contre, pas de trace de sshd-ddos.
Déjà dans le fichier defaults-debian.conf :

[sshd]
enabled = true


Ey si on regarde fail2ban-client status, ça n'apparait pas non plus.
Bien sur, si j'essaie :

root@45:~# fail2ban-client status sshd-ddos
 NOK: ('sshd-ddos',)
Sorry but the jail 'sshd-ddos' does not exist
 


.

Dernière modification par griggione (08-03-2021 14:15:42)

Hors ligne

#144 08-03-2021 14:40:08

cyrille
CA Debian-Facile
Distrib. : SID + FreeBSD. Stable sur serveurs.
(G)UI : Xfce/Openbox
Inscription : 21-06-2020
Site Web

Re : Sécuriser un VPS

faudrait voir ce que tu as mis dans ton fichier de conf

normalement, il doit comporter qq chose de ce style

[sshd-ddos]
port = 6789

Dernière modification par cyrille (08-03-2021 14:40:22)


"Ils ne me comprennent point, je ne suis pas la bouche qu’il faut à ces oreilles."

Association Debian-Facile | Les cahiers du débutant | ISO Debian-FacilePage perso. sur #df

Hors ligne

#145 08-03-2021 14:56:05

griggione
Adhérent(e)
Inscription : 25-02-2021

Re : Sécuriser un VPS

RE

Je continue le tuto ; 6. Gérer les notifications.
Donc il faut faire une tache cron, je vérifie ma liste de paquets, cron est installé, sauf que :

root@45:~# crontab -l
no crontab for root
 


Les fichiers /etc/cron.allow et /etc/cron.deny permettant de définir les droits d'utilisation sur crontab, n'existent pas.
Je tente une réinstallation de cron :

root@45:~# apt-get install cron
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances
Lecture des informations d'état... Fait
cron est déjà la version la plus récente (3.0pl1-134+deb10u1).
0 mis à jour, 0 nouvellement installés, 0 à enlever et 8 non mis à jour.
 


Faut-il créer ces fichiers pour qu'aprés je puisse aller à : https://debian-facile.org/doc:systeme:crontab

Hors ligne

#146 08-03-2021 15:11:04

griggione
Adhérent(e)
Inscription : 25-02-2021

Re : Sécuriser un VPS

RE

J'ai respecté ton tuto.

cyrille a écrit :

faudrait voir ce que tu as mis dans ton fichier de conf


[DEFAULT]
findtime = 3600
bantime = 86400
maxretry = 3
 
[sshd]
port = 41952
 
[sshd-ddos]
port = 41952

Hors ligne

#147 09-03-2021 11:15:58

griggione
Adhérent(e)
Inscription : 25-02-2021

Re : Sécuriser un VPS

.

Dernière modification par griggione (09-03-2021 18:56:27)

Hors ligne

#148 09-03-2021 18:55:46

griggione
Adhérent(e)
Inscription : 25-02-2021

Re : Sécuriser un VPS

RE

Je viens de créer ces fichiers, /etc/cron.allow et /etc/cron.deny, et j'ai mis le nom utilisateur dans cron.allow

cyrille a écrit :

faudrait voir ce que tu as mis dans ton fichier de conf


J'ai affiché le fichier host.conf en espérant que c'est bien celui demandé ?
.

Hors ligne

#149 10-03-2021 14:02:03

griggione
Adhérent(e)
Inscription : 25-02-2021

Re : Sécuriser un VPS

Bonjour tous,

J'espère que je n'ai pas fait d'imper sur DF ?

Hors ligne

#150 10-03-2021 18:46:49

vv222
Administrateur
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : Linux ≥ 5.10 (amd64)
(G)UI : Openbox
Inscription : 18-11-2013
Site Web

Re : Sécuriser un VPS

griggione a écrit :

J'espère que je n'ai pas fait d'imper sur DF ?



Aucun impair à ma connaissance, mais c’est normal que les différents intervenants du forum ne soient pas disponibles tous les jours wink


Jouer sous Debian ? Facile !

Hors ligne

Pied de page des forums