logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 07-12-2020 14:47:40

lagrenouille
CA Debian-Facile
Lieu : Toulouse
Distrib. : bookworm
Noyau : d'olive
(G)UI : xfce4 et awesome
Inscription : 28-03-2012
Site Web

sécurité serveur

Bonjour

Comme beaucoup de gens, j'ai un serveur, j'ai installé fail2ban qui fait son boulot, qui bannit une bonne quantité d'ip.
N'étant pas très parano , je me suis pas trop posé de question de sécurité à l'installation.
Maintenant, Je commence juste à m’intéresser au fonctionnement des réseaux, aux protections, le réseau ça va, mais sur la sécurité, j'ai du mal avec les docs que je trouve sur le web. peut-être que je veux aller trop vite ?
comment font les gens qui comme :https://www.abuseipdb.com/ traquent ces ip susceptibles d' attaques "ddos" ou autres ?.
comment sur son propre serveur mettre en place une protection pour se protéger d'attaques ?
J'en suis au stade des questions pour mon serveur, je cherche des aides pour comprendre, je lis des docs qui me rebutent un peu, soit trop simpliste,et sans explications, soit trop complexes, et écrites pour des informaticiens....
faut il absolument installer un proxy sur son serveur pour être mieux protégé ?
si oui, comment installer un proxy nginx  tout en gardant mon serveur apache ? est-ce compatible ?
comment le proxy nginx filtre il les données
Vola ce à quoi je vais m'attaquer prochainement.
Je commence à fouiner un peu sur le web, mais comme chacun le sait, c'est un océan sans fin, avec de tout dedans...
Je cherche donc des conseils, des docs compréhensibles....
merci de vos lumières smile
PS: suis très mauvais en anglais, ce qui n'est pas pour arranger la sauce tongue

Ce à quoi l'on a pas accès par l'expérience vécue, on a pas d'oreilles pour l'entendre ..Nietzsche
Cela dit, bien que toute notre connaissance s’amorce avec l’expérience, il n’en résulte pas pour autant qu’elle découle dans sa totalité de l’expérience.  E.Kant
une compréhension insane est elle forcément irrationnel ? ..lagrenouille

Hors ligne

#2 07-12-2020 15:02:34

cyrille
CA Debian-Facile
Lieu : Nowhere
Distrib. : SID + FreeBSD. Stable sur serveurs.
(G)UI : Xfce/Openbox
Inscription : 21-06-2020
Site Web

Re : sécurité serveur

Si tu as un serveur, je te conseille yunohost qui est une surcouche au système debian et gère toute la sécurité (entre autres). Fonctionne par briques, multi domaines, serveur de mail, de fichier, d'applications pré packagées ou non, de backups... etc....
https://yunohost.org/

"Ils ne me comprennent point, je ne suis pas la bouche qu’il faut à ces oreilles."

Association Debian-Facile | Les cahiers du débutant | ISO Debian-FacilePage perso. sur #df

Hors ligne

#3 07-12-2020 15:37:14

lagrenouille
CA Debian-Facile
Lieu : Toulouse
Distrib. : bookworm
Noyau : d'olive
(G)UI : xfce4 et awesome
Inscription : 28-03-2012
Site Web

Re : sécurité serveur

@cyrille

je te conseille yunohost


c'est pas ça qui m’intéresse, et, j'ai testé yunohost il y a quelques années déjà..
regarde mon serveur, en auto-hébergement

je préfère m’intéresser à nginx pour l'instant

Dernière modification par lagrenouille (07-12-2020 16:51:32)


Ce à quoi l'on a pas accès par l'expérience vécue, on a pas d'oreilles pour l'entendre ..Nietzsche
Cela dit, bien que toute notre connaissance s’amorce avec l’expérience, il n’en résulte pas pour autant qu’elle découle dans sa totalité de l’expérience.  E.Kant
une compréhension insane est elle forcément irrationnel ? ..lagrenouille

Hors ligne

#4 07-12-2020 18:26:49

macisa
Membre
Inscription : 25-01-2020

Re : sécurité serveur

Pour te rejoindre.

Oui la documentation est une calamité.
Soit elle erronée, trompeuse voir pire. Desinformative.

Oui Debian est réservé aux experts.

Maintenant le mieux est de planifier d'avance l'utilité de ton serveur, pour déterminer quel paquet utiliser et, vers quel configuration avancé pour la configuration network et firewall.
Pour certainement en rester aux paquets fournit par le disque d'installation.

Hors ligne

#5 07-12-2020 18:29:07

lagrenouille
CA Debian-Facile
Lieu : Toulouse
Distrib. : bookworm
Noyau : d'olive
(G)UI : xfce4 et awesome
Inscription : 28-03-2012
Site Web

Re : sécurité serveur

@macisa

Oui Debian est réservé aux experts.



non, je crois pas que debian soit compliqué
c'est plutôt la sécurité réseau qui est compliqué smile


Ce à quoi l'on a pas accès par l'expérience vécue, on a pas d'oreilles pour l'entendre ..Nietzsche
Cela dit, bien que toute notre connaissance s’amorce avec l’expérience, il n’en résulte pas pour autant qu’elle découle dans sa totalité de l’expérience.  E.Kant
une compréhension insane est elle forcément irrationnel ? ..lagrenouille

Hors ligne

#6 07-12-2020 19:44:38

macisa
Membre
Inscription : 25-01-2020

Re : sécurité serveur

non, je crois pas que debian soit compliqué
c'est plutôt la sécurité réseau qui est compliqué smile



Oui.
C'est le thème du post.

Rien que pour mettre en application iptables, il y a 20 façons. Un te rensigne d'installer iptables persistant, un autre autrement et encore un autre autrement.
Voilà un paquet qui après 15 ans de service devrait être un basique.. Et non.

Alors quand tu commence c'est la catastrophe...
Un langage compliqué..
Donc tu te dis, partons sur nfatbles, beaucoup plus compréhensible en écriture.
Aie aie. Partout tu lis que c'est pris en charge par Debian Buster. Faite comme ci, faite comme ça.
Rien de concret.
8 ans se la table.
Qu'à cela ne tienne, c'est pur la prochaine version Debian Bulseye.
Ouvrons un œil. Testons.
Bulseye par défaut = iptables.

Donc tu te grattes la tête, plissés du cerveau.

smile:)

Hors ligne

#7 07-12-2020 19:56:24

Beta-Pictoris
Membre
Lieu : Angers
Distrib. : Buster
Inscription : 11-08-2015

Re : sécurité serveur

Nftables n'es pas installé de base, mais il est facilement installable car dans les dépôts.

Iptables commencent à se faire vieux, mais c'est la politique de Debian de rester très conservateur dans ses applications.

D'autres distributions utilisent des parefeux de plus haut-niveau, souvent des frontaux de iptables.

Chez Ubuntu, c'est ufw qui est installé de base. Coté Redhat, c'est firewalld.

Dernière modification par Beta-Pictoris (07-12-2020 19:58:53)

Hors ligne

#8 07-12-2020 20:08:01

Beta-Pictoris
Membre
Lieu : Angers
Distrib. : Buster
Inscription : 11-08-2015

Re : sécurité serveur

Pour sécuriser de façon plus poussée que fail2ban, on peut installer un NDIS ou un HIDS :

Par exemple :

Snort ou Suricata

Ossec ou Wazuh

Dernière modification par Beta-Pictoris (07-12-2020 20:08:34)

Hors ligne

#9 07-12-2020 20:22:58

macisa
Membre
Inscription : 25-01-2020

Re : sécurité serveur

Attention.
Debian est une base.

Pour Nftables facilement instalable.
Ce n'est pas juste de le dire.

Il y a de la manip. Ce n'est pas un install, enable, start.
Le reboot dit autre chose.

Regarde du côté configuration réseau.
Fichier network, systemd; si tu installes network manager, te voilà avec wpsupplicant, et d'autres fichiers propres a nm ( ce qui est logique )
Donc même de base, tu as un mélange "dit"; entre ancienne méthode et nouvelle méthode.
Cherchons un peu de documentation sur la nouvelle méthode.. plouf

Documentation trouvable sur Fai2Ban (que j'affectionne) création d'un fichier jail.conf.
Alors que la meilleure méthode est, je suis de mémoire, l'utilisation direct d'un fichier déjà présent dans systemd (etc/fail2ban).
Et facilement adaptable et fonctionnelle pour sa relation avec nfatbles.

Dernière modification par macisa (07-12-2020 20:33:58)

Hors ligne

#10 07-12-2020 21:49:06

Beta-Pictoris
Membre
Lieu : Angers
Distrib. : Buster
Inscription : 11-08-2015

Re : sécurité serveur

Network-Manager se configure très facilement. Voir déjà les informations le concernant dans le wiki debian.

Sinon, il existe une documentation simple et complète chez RedHat : https://access.redhat.com/documentation … networking

Il existe aussi un document pour la configuration des pare-feux firewall et nfttables :  https://access.redhat.com/documentation … orks/index

D'ailleurs, il existe toutes sortes de documents chez RedHat : https://access.redhat.com/documentation … e_linux/8/

Dernière modification par Beta-Pictoris (07-12-2020 21:54:19)

Hors ligne

#11 07-12-2020 21:50:43

lagrenouille
CA Debian-Facile
Lieu : Toulouse
Distrib. : bookworm
Noyau : d'olive
(G)UI : xfce4 et awesome
Inscription : 28-03-2012
Site Web

Re : sécurité serveur

je verrai iptable plus tard
je pense déjà revoir des modules apaches "mod recurity et mod_evasive"
j'avais désactivé ces modules car je n'arrivais pas à les configuré correctement, et ils me bloquaient parfois mes accès à des sites de test en local ..faut que je trouve comment les paramétrer correctement.
je verrai ensuite nginx  en reverse-proxy, comment ça fonctionne cette chose. peut-être effectivement couplé à  un pare-feux ?
je verrai

Dernière modification par lagrenouille (07-12-2020 21:51:29)


Ce à quoi l'on a pas accès par l'expérience vécue, on a pas d'oreilles pour l'entendre ..Nietzsche
Cela dit, bien que toute notre connaissance s’amorce avec l’expérience, il n’en résulte pas pour autant qu’elle découle dans sa totalité de l’expérience.  E.Kant
une compréhension insane est elle forcément irrationnel ? ..lagrenouille

Hors ligne

#12 07-12-2020 21:53:00

Beta-Pictoris
Membre
Lieu : Angers
Distrib. : Buster
Inscription : 11-08-2015

Re : sécurité serveur

Il existe aussi un module apache proxy / reverse proxy.

Dernière modification par Beta-Pictoris (07-12-2020 21:53:43)

Hors ligne

#13 07-12-2020 23:06:47

macisa
Membre
Inscription : 25-01-2020

Re : sécurité serveur

Beta-Pictoris

NetworkManager ne rentre t'il pas plus dans de la configuration avec un environnement de bureau.
Et je n'ai pas certitude que le mot de passe du wifi soit crypté ou mis en relation avec wpsupplicant.

De même que firewalld. N'est-il pas aussi un logiciel d'environnement de bureau wysiwyg.

La page RedHat nftabes ne parlent ( et bien ) que du fichier nftabes.conf couplée à firewalld.

Personnellement, j'ai installé nfatbles sur une machine de bureau.
Je vais toutefois plonger vers iptables pour le serveur.

Je ne suis pas convaincu de voir un status mentionnant exicted et encore moins de voir un warning.
Du coup, il me manque d'informations.

Dernière modification par macisa (07-12-2020 23:13:39)

Hors ligne

#14 08-12-2020 12:42:17

Beta-Pictoris
Membre
Lieu : Angers
Distrib. : Buster
Inscription : 11-08-2015

Re : sécurité serveur

Network-Manager et Firewalld sont installés par défaut sur RedHat et consort depuis des années.

Ce sont les applis par défaut pour le réseau et le parefeu utilisés sur les serveurs RedHat.

Dernière modification par Beta-Pictoris (08-12-2020 12:51:32)

Hors ligne

#15 08-12-2020 12:46:56

Beta-Pictoris
Membre
Lieu : Angers
Distrib. : Buster
Inscription : 11-08-2015

Re : sécurité serveur

Hors ligne

#16 08-12-2020 17:26:48

macisa
Membre
Inscription : 25-01-2020

Re : sécurité serveur

@Beta-Pictoris

Je ne sais toujours pas pour nftables.
Je fouille un peu l'official website.

Mais je pense que le noyau n'en veux pas.

modprobe nf_tables_ipv4
modprobe: FATAL: Module nf_tables_ipv4 not found in directory /lib/modules/4.19.0-13-amd64
 

Hors ligne

#17 08-12-2020 17:35:18

lagrenouille
CA Debian-Facile
Lieu : Toulouse
Distrib. : bookworm
Noyau : d'olive
(G)UI : xfce4 et awesome
Inscription : 28-03-2012
Site Web

Re : sécurité serveur


Ce à quoi l'on a pas accès par l'expérience vécue, on a pas d'oreilles pour l'entendre ..Nietzsche
Cela dit, bien que toute notre connaissance s’amorce avec l’expérience, il n’en résulte pas pour autant qu’elle découle dans sa totalité de l’expérience.  E.Kant
une compréhension insane est elle forcément irrationnel ? ..lagrenouille

Hors ligne

#18 08-12-2020 17:59:06

macisa
Membre
Inscription : 25-01-2020

Re : sécurité serveur

lagrenouille

C'est en tout cas la bonne page de révision :-)
Je vais regarder ça à tête reposée.

J'ai installé libnftnl-dev et pas libmnl-dev

sudo apt search libnftnl
En train de trier... Fait
Recherche en texte intégral... Fait
libnftnl-dev/stable,now 1.1.2-2 amd64  [installé]
  Development files for libnftnl

libnftnl11/stable,now 1.1.2-2 amd64  [installé]
  Netfilter nftables userspace API library

marc@nextarine:~$ sudo apt search libmnl-dev
En train de trier... Fait
Recherche en texte intégral... Fait
libmnl-dev/stable 1.0.4-2 amd64
  minimalistic Netlink communication library (devel)
 



Tout de même surpris que c'est deux librairies ne soient pas prises dans l'installation de nftables.
https://packages.debian.org/buster/nftables

Dernière modification par macisa (08-12-2020 18:19:30)

Hors ligne

#19 09-12-2020 09:54:18

macisa
Membre
Inscription : 25-01-2020

Re : sécurité serveur

Pour nftables, je laisse tomber

Le git, à part foutre le boxon dans l'installation, cela ne fonctionne pas, le sh autogen.sh fonctionne pas.

La procédure netfilter pour debian ?
https://wiki.nftables.org/wiki-nftables … tributions
Faut croire aussi que je ne la comprends pas non plus.
Sur la page kernel https://tracker.debian.org/pkg/linux je ne suis pas dans le bon uname -r 4.19.0-13-amd64

Donc, comme je lis l'affaire, il faut; un noyau de la liste, et uniquement installer nftables et libnftnl. Sans quitter les dépôts Debian. Donc git pas d'utilité.

Hors ligne

#20 09-12-2020 15:45:24

macisa
Membre
Inscription : 25-01-2020

Re : sécurité serveur

Et je ne vais pas me prendre la tête avec iptables.
Tournure vers Bastille et routeur.

Pour le proxy. Je me posais la question de savoir aujourd'hui s'il cela en avais encore une utilisation hormis peut être les mégas structures, à l'heure où le tout devient personnalisé ?

Dernière modification par macisa (09-12-2020 15:46:06)

Hors ligne

#21 10-12-2020 09:42:53

Beta-Pictoris
Membre
Lieu : Angers
Distrib. : Buster
Inscription : 11-08-2015

Re : sécurité serveur

Il n'y a pas d'obligation d'utiliser iptables ou nftables pour configurer un pare-feu sous linux.

Ufw, installé nativement sur Ubuntu, est plus simple et plus rapide à configurer : https://doc.ubuntu-fr.org/ufw

Un reverse proxy peut-être intéressant si tu as un nom de domaine pour plusieurs serveurs web.

Et un proxy si tu veux filtrer les flux des postes utilisateurs.

Hors ligne

#22 10-12-2020 11:07:08

macisa
Membre
Inscription : 25-01-2020

Re : sécurité serveur

Et pendant ce temps...
https://www.lemonde.fr/pixels/article/2 … 08996.html

Oui j'ai jeté un œil rapide sur ufw dans ma quête pour l'installation d'openvpn.

Chaque chose en son temps. C'est encore, de mon côté précoce pour le proxy.

J'ai finalement renoncé à nfatbles. Mais j'ai plongé dans iptables. Cela se présente plutôt pas mal pour un débutant. La compréhension des règles est un peu à se tordre l'esprit.

Dernière modification par macisa (10-12-2020 12:07:59)

Hors ligne

#23 11-12-2020 17:14:51

lagrenouille
CA Debian-Facile
Lieu : Toulouse
Distrib. : bookworm
Noyau : d'olive
(G)UI : xfce4 et awesome
Inscription : 28-03-2012
Site Web

Re : sécurité serveur

je reste un peu muet, car je préfère lire la doc, voir ce qu'il y a sur mon serveur à protégé, voir les confs par défaut et  ensuite attaquer mes propres configurations..

apache2 et les modules mod_security et mod_evasive,  puis fail2ban peut être améliorer, surtout le fichier jail.conf.
ensuite je verrai le tunnel vpn si nécessaire et le proxy nginx.
Y'a du taf Germaine tonguelol

y'a quelques commandes qui aident pour voir ce qui est en écoute,  avec netstat  -ltnp et -antp, et comment notre serveur est foutu, dig ns, lsof etc...
je prends des notes,  je test et je fais une récap...

à ce propos je comprends pas trop l'option maxretry dans la conf /etc/fail2ban/jail.conf, puisque il y a :

maxretry = 5
maxretry = 1
maxretry = 2
maxretry = 2
maxretry = 2
maxretry = 1
maxretry = 2
maxretry = 1
maxretry = 2
maxretry = 1
maxretry = 10
maxretry = 10
maxretry  = 2
# consider low maxretry and a long bantime, considérer un maxretry faible et un long délai
maxretry = 1
maxretry = 1
maxretry     = 1
# maxretry and findtime.



maxretry" est le nombre d'échecs avant qu'un hôte ne soit banni.
on a maxretry = 5 puis 2, 1, 2Q 1, 2 "10 etc...
quel est le bon nombre d'echecs  ? 5,2,1,ou 10 ?

Dernière modification par lagrenouille (12-12-2020 18:49:20)


Ce à quoi l'on a pas accès par l'expérience vécue, on a pas d'oreilles pour l'entendre ..Nietzsche
Cela dit, bien que toute notre connaissance s’amorce avec l’expérience, il n’en résulte pas pour autant qu’elle découle dans sa totalité de l’expérience.  E.Kant
une compréhension insane est elle forcément irrationnel ? ..lagrenouille

Hors ligne

#24 12-12-2020 18:50:29

lagrenouille
CA Debian-Facile
Lieu : Toulouse
Distrib. : bookworm
Noyau : d'olive
(G)UI : xfce4 et awesome
Inscription : 28-03-2012
Site Web

Re : sécurité serveur

ok j'ai l'explication 
et je vois qu'il faut activer les  prisons définies dans ce fichier "/etc/fail2ban/jail.conf"
Pour les rendre actives il faut créer des entrées pour les applis dans /etc/fail2ban/jail.d/defaults-debian.conf
s'y trouve déjà :

[sshd]
enabled = true



et non, je ne configurerai pas un proxy, ni un vpn, mais juste un bon iptable, ce qui n'est pas gagné


Ce à quoi l'on a pas accès par l'expérience vécue, on a pas d'oreilles pour l'entendre ..Nietzsche
Cela dit, bien que toute notre connaissance s’amorce avec l’expérience, il n’en résulte pas pour autant qu’elle découle dans sa totalité de l’expérience.  E.Kant
une compréhension insane est elle forcément irrationnel ? ..lagrenouille

Hors ligne

#25 12-12-2020 22:45:58

macisa
Membre
Inscription : 25-01-2020

Re : sécurité serveur

Oui, pour fail2ban toute la configuration passe par etc/fail2ban/jail.d/defaults-debian.conf. c'est le fichier priorité.

Iptables il y a pas mal d'exemples et d'explication.

Pour vpn. C'est s'y prendre à un beau morceaux smile

Je suis parti sur nginx, mariabd, PHP et ssh.
Testé sftp et NFS.

Du coup je monte sur vpn.
Ensuite serveur mail.

Cela permet d'ouvrir un peu tout le système.
D'un côté un serveur et de l'autre un bureau.

Hors ligne

Pied de page des forums