logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

Pages : 1

#1 09-10-2024 22:36:29

wardidi
Adhérent(e)
Lieu : Bretagne
Distrib. : DF 12.4
Noyau : 6.1.0-13-amd64
Inscription : 28-11-2022

[résolu]comment configurer ufw via ssh

Bonjour à tous,

J'ai installé mpd sur une deb12 sans graphique.  L'accès internet est bloqué par la box, je ne me souciais donc pas de la sécurité.
Je souhaite ajouter les webradio à mpd. Je vais devoir lui rendre l'accès internet et même si il ne contient que de la musique, je cherche donc un minimum de sécurité d'autant qu'à terme je pourrais y installer un nextcloud collaboratif avec des données plus sensible.
Je vais donc commencer avec ufw en suivant le wiki

Je le gère uniquement en ssh depuis une autre deb12 ce qui m'oblige a faire attention à ne pas perdre cette connexion pendant la configuration d'ufw

J'ai tester avec une virtualbox et réussi à ne pas perdre la  connexion SSH en faisant

sudo apt update
sudo apt install ufw
sudo ufw default allow
sudo ufw limit 22
sudo ufw enable



J'obtiens

sudo ufw status verbose


Status: active
Logging: on (low)
Default: allow (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
22                         LIMIT IN    Anywhere                  
22 (v6)                    LIMIT IN    Anywhere (v6)  



Mon questionnement:
Vu que mpd aura besoin d'accéder à internet et moi d'accéder au serveur en ssh, il me semble judicieux de tout fermer sauf 22 en entrée/sortie et en sortie 80 53 443
1/ Est-ce correct?
J'ai tenté sans succès

sudo ufw default deny ufw allow out 22/tcp ufw  allow in 22/tcp


Il y a t il une commande "unique" qui me permettrait de faire ça sans perdre ma connexion ssh et sans devoir fermer un par un les services....
2/ Une fois fait est-ce suffisant en terme de sécurité?


Merci par avance pour votre aide

Dernière modification par wardidi (16-10-2024 12:35:21)

Hors ligne

#2 10-10-2024 06:24:18

wardidi
Adhérent(e)
Lieu : Bretagne
Distrib. : DF 12.4
Noyau : 6.1.0-13-amd64
Inscription : 28-11-2022

Re : [résolu]comment configurer ufw via ssh

La nuit portant conseil...J'ai compris que ufw eteint je ne risquaitkernal_panic.gif rien donc

sudo ufw disable
sudo ufw default deny outgoing
sudo ufw default deny incoming
sudo ufw allow out 22
sudo ufw allow in 22
sudo ufw limit 22
sudo ufw allow out 53
sudo ufw allow out 80
sudo ufw allow out 443
sudo ufw enable



J'obtiens

sudo ufw status verbose


Status: active
Logging: on (low)
Default: deny (incoming), deny (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
22                         LIMIT IN    Anywhere                  
22 (v6)                    LIMIT IN    Anywhere (v6)

22                         ALLOW IN    Anywhere                  
22 (v6)                    ALLOW IN    Anywhere (v6)            

22                         ALLOW OUT   Anywhere                  
80                         ALLOW OUT   Anywhere                  
53                         ALLOW OUT   Anywhere                  
443                        ALLOW OUT   Anywhere                  
22 (v6)                    ALLOW OUT   Anywhere (v6)            
80 (v6)                    ALLOW OUT   Anywhere (v6)            
53 (v6)                    ALLOW OUT   Anywhere (v6)            
443 (v6)                   ALLOW OUT   Anywhere (v6)            
 



Est-ce correct et suffisant pour mon cas? Des conseils pour améliorer ma sécurité?

EDIT
Il y a quelque chose que je ne comprends....
J'ai testé la reception d'email en imap sur le port 993 avec thunderbird, ben ça fonctionne....A mon sens ça ne devrait pas????

Dernière modification par wardidi (10-10-2024 07:00:17)

Hors ligne

#3 10-10-2024 08:54:59

kawer
Membre
Lieu : Earth
Distrib. : Debian Stable
Noyau : Current
(G)UI : Xfce
Inscription : 08-10-2013

Re : [résolu]comment configurer ufw via ssh

Je ne connais pas ufw, mais d'après un sujet sur serverfault, semblerait qu'il faut faire :

ufw reload


Pour que les nouvelles règles soient prises en compte.

Dernière modification par kawer (10-10-2024 08:57:25)

ThinkPad T530 - Debian - CoreBoot

Hors ligne

#4 10-10-2024 08:57:42

Croutons
Membre
Distrib. : Debian12
Noyau : Linux 6.1.0-13-amd64
(G)UI : Fluxbox(NakeDeb)
Inscription : 16-12-2016

Re : [résolu]comment configurer ufw via ssh

hello
puisque tu testes en VM, tu pourrais tester avec gufw qui est le gui de ufw
la configuration sera plus simple et tu pourras toujours étudier comment gufw a rempli les fichiers de config de ufw
ce qui est intéressant avec gufw, c’est que tu peux bloquer tout trafique et autorisé certain en autorisant depuis le résultat du rapport d’écoute
les trafics bloqués apparaissent en rouge et tu peux créer une règle de façon automatique pour autoriser

-->les cahiers du debutant<--      WikiDF-->Découvrir les principales commandes Linux<-- 
L' expérience, c'est le nom que chacun donne à ses erreurs. Oscar Wilde

En ligne

#5 10-10-2024 18:46:39

wardidi
Adhérent(e)
Lieu : Bretagne
Distrib. : DF 12.4
Noyau : 6.1.0-13-amd64
Inscription : 28-11-2022

Re : [résolu]comment configurer ufw via ssh

kawer a écrit :

ufw reload


Pour que les nouvelles règles soient prises en compte.


Merci kawer c'est la solution.

Croutons a écrit :

hello
puisque tu testes en VM, tu pourrais tester avec gufw qui est le gui de ufw
la configuration sera plus simple et tu pourras toujours étudier comment gufw a rempli les fichiers de config de ufw
ce qui est intéressant avec gufw, c’est que tu peux bloquer tout trafique et autorisé certain en autorisant depuis le résultat du rapport d’écoute
les trafics bloqués apparaissent en rouge et tu peux créer une règle de façon automatique pour autoriser


Merci Croutons, je vais essayer de prendre le temps.

Pensez-vous qu'en terme de sécurité la configuration suivante est suffisante pour me mettre ssh et permettre l'accès internet à mpd?
Dois-je faire autre chose? Utiliser un outils supplémentaire?

Status: active
Logging: on (low)
Default: deny (incoming), deny (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
22                         LIMIT IN    Anywhere                  
22 (v6)                    LIMIT IN    Anywhere (v6)            

22                         ALLOW OUT   Anywhere                  
53                         ALLOW OUT   Anywhere                  
80                         ALLOW OUT   Anywhere                  
443                        ALLOW OUT   Anywhere        
22 (v6)                    ALLOW OUT   Anywhere (v6)            
53 (v6)                    ALLOW OUT   Anywhere (v6)            
80 (v6)                    ALLOW OUT   Anywhere (v6)            
443 (v6)                   ALLOW OUT   Anywhere (v6)    




Merci encore à vous deux pour vos éclairages.

NB pour utiliser les log j'ai dû installer rsyslog

Hors ligne

Pages : 1

Pied de page des forums

Propulsé par FluxBB