Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 14/09/2014, à 20:42

Xun

Vos façons de gérer un serveur distant ?

Bonsoir à tous,

Cela fait longtemps que je bidouille sous linux mais avec le temps, ma patience et ma situation personnelle me le permettent moins..

Je viens de faire l'acquisition d'un VPS chez OVH. Il me sert actuellement de :
- VPN avec openVPN
- cloud avec Owncloud (couplé avec Hubic)
- serveur Web (http & https)

Je compte aussi lui rajouter un serveur mail, un serveur XMPP et une seedbox.

Il tourne sur une Debian 7 et je l'administre naturellement avec ssh + authentification par clé privée.
Je lui ai aussi mis un fail2ban. Il bloque pas mal d'IP, donc je suis content et la taille des erreurs de connexions diminue !

Niveau supervision, je scrute attentivement les log, mais ça me prend énormément de temps; et utilise aussi Glances.
Le problème c'est que comme j'y fais mon cloud, j'ai super peur qu'on vienne me pomper mes documents ...

Ma question est la suivante : paranoïaques de la sécurité comme vous êtes, y-a-t-il d'autres choses que vous pouvez me conseiller de faire ? Des tutos ?
Car je ne sais plus où donner de la tête ...

Merci beaucoup :')

Hors ligne

#2 Le 14/09/2014, à 21:42

tiramiseb

Re : Vos façons de gérer un serveur distant ?

Salut,

Ma recette est très simple :
- logiciels à jour ;
- authentification root par clé SSH (mot de passe désactivé) ;
- mots de passe dans les applis (cloud et tout ça) suffisamment solide.

Autour de tout ça, un service de supervision bien sûr ; j'utilise Zabbix.
Et si j'ai une crainte particulière, je définis un élément de supervision pour surveiller le point en question (recherche d'une chaîne en particulier dans les logs par exemple).

En tout cas, les logs, ça ne se « scrute » pas ; ça se conserve pour consultation ultérieure si nécessaire, ou alors c'est exploité automatiquement par la machine pour générer des alertes ou autres.

Hors ligne

#3 Le 16/09/2014, à 07:36

Xun

Re : Vos façons de gérer un serveur distant ?

Merci de ta réponse Tiramiseb, je vais m'informer sur Zabbix wink

J'aimerais cependant avoir vos avis : quand je fais un nmap sur mon VPS, j'obtiens

Host is up (0.031s latency).
Not shown: 993 closed ports
PORT     STATE    SERVICE
22/tcp   open     ssh
25/tcp   filtered smtp
53/tcp   open     domain
80/tcp   open     http
443/tcp  open     https
445/tcp  filtered microsoft-ds
1443/tcp open     ies-lm

Et une petite liste des services actifs

root@vps86620:~# netstat -lntup | awk '{print $6 $7}'|sed 's/LISTEN//'| cut -d"/" -f2|sort|uniq|grep -v Foreign

apache2
exim4
mysqld
named
ntpd
openvpn
sshd
sslh
root@vps86620:~#

Est-ce une bonne idée de ne vouloir garder que les ports 80 et 443 d'ouverts ? J'utilise sslh qui se charge de rediriger ssh, openpvn et ssl sur le port 443. J'avais essayé de fermer le port 22, et là le drame : je perdais la connexion même si je passais par le port 443.

Quels conseils ?
Merci beaucoup

Dernière modification par Xun (Le 16/09/2014, à 17:05)

Hors ligne

#4 Le 16/09/2014, à 10:09

tiramiseb

Re : Vos façons de gérer un serveur distant ?

quand je fais un nmap sur mon VPS

À partir d'où fais-tu ce nmap ?

Est-ce une bonne idée de ne vouloir garder que les ports 80 et 443 d'ouverts ?

Bof. La "bonne idée" c'est de ne garder ouverts que les ports que l'on utilise, hein...
Tout rediriger sur le même port, je n'y vois pas d'intérêt... Par contre, ça doit bien complexifier la configuration de ton machin.

Donne le retour complet de netstat, pour que je puisse me faire une bonne idée de comment est ton serveur...

Hors ligne

#5 Le 16/09/2014, à 14:18

Xun

Re : Vos façons de gérer un serveur distant ?

Le nmap je le fais depuis mon pc perso.

Tout passer par le port 443, je pensais pouvoir me connecter sur le VPS depuis mon université qui possède un proxy et qui bloque tout (sauf le 80 et 443). Mais apparemment ça ne marche pas, aurais-tu une solution ?

netstat
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 localhost.localdo:41827 localhost.localdoma:ssh ESTABLISHED
tcp        0      0 localhost.localdo:32891 localhost.localdoma:ssh ESTABLISHED
tcp        0    287 **hostname du vps**:33410  lb1040.hubic.ovh.:https ESTABLISHED
tcp        0      0 **hostname du vps**:https  lib59-5-82-243-10:54318 ESTABLISHED
tcp        0      0 **hostname du vps**:https  lib59-5-82-243-10:54323 TIME_WAIT
tcp        0      0 localhost.localdo:49134 localhost.localdom:4433 ESTABLISHED
tcp        0      0 **hostname du vps**:https  lib59-5-82-243-10:51872 ESTABLISHED
tcp        0      0 localhost.localdoma:ssh localhost.localdo:32891 ESTABLISHED
tcp        0      0 localhost.localdoma:ssh localhost.localdo:41827 ESTABLISHED
tcp        0      0 **hostname du vps**:https  lib59-5-82-243-10:54324 ESTABLISHED
tcp6       0      0 localhost.localdom:4433 localhost.localdo:48940 TIME_WAIT
tcp6     277      0 localhost.localdom:4433 localhost.localdo:49134 ESTABLISHED
tcp6       0      0 localhost.localdom:4433 localhost.localdo:49132 TIME_WAIT
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags       Type       State         I-Node   Path
unix  8      [ ]         DGRAM                    991478186 /dev/log
unix  3      [ ]         STREAM     CONNECTED     1028363355 /var/run/mysqld/mysqld.sock
unix  3      [ ]         STREAM     CONNECTED     1028363354
unix  2      [ ]         DGRAM                    1028352591
unix  2      [ ]         DGRAM                    1025424691
unix  2      [ ]         DGRAM                    991480715
unix  2      [ ]         DGRAM                    991479276
unix  3      [ ]         STREAM     CONNECTED     991478734 @/tmp/fam-root-
unix  3      [ ]         STREAM     CONNECTED     991478732
unix  2      [ ]         DGRAM                    991478465
unix  3      [ ]         STREAM     CONNECTED     991478313
unix  3      [ ]         STREAM     CONNECTED     991478312
unix  2      [ ]         DGRAM                    991478311

Dernière modification par Xun (Le 16/09/2014, à 14:19)

Hors ligne

#6 Le 16/09/2014, à 15:39

tiramiseb

Re : Vos façons de gérer un serveur distant ?

Concernant le netstat, oups désolé j'aurais dû dire que je voulais que tu conserve les mêmes arguments
=> netstat -lntup, en tant que root.

Pour le reste, j'attends ce retour avant de me prononcer.

Hors ligne

#7 Le 16/09/2014, à 17:04

Xun

Re : Vos façons de gérer un serveur distant ?

Arf j'avais hésité à garder les arguments tels quel !

netstat -lntup
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 10.8.0.1:53             0.0.0.0:*               LISTEN      1677/named
tcp        0      0 **mon ip**:53        0.0.0.0:*               LISTEN      1677/named
tcp        0      0 127.0.0.2:53            0.0.0.0:*               LISTEN      1677/named
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      1677/named
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      2813/sshd
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      2669/exim4
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      1677/named
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      2816/sslh
tcp        0      0 0.0.0.0:1443            0.0.0.0:*               LISTEN      2767/openvpn
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      2137/mysqld
tcp6       0      0 :::80                   :::*                    LISTEN      10715/apache2
tcp6       0      0 :::4433                 :::*                    LISTEN      10715/apache2
tcp6       0      0 :::53                   :::*                    LISTEN      1677/named
tcp6       0      0 :::22                   :::*                    LISTEN      2813/sshd
tcp6       0      0 ::1:25                  :::*                    LISTEN      2669/exim4
tcp6       0      0 ::1:953                 :::*                    LISTEN      1677/named
udp        0      0 10.8.0.1:53             0.0.0.0:*                           1677/named
udp        0      0 **mon ip**:53        0.0.0.0:*                           1677/named
udp        0      0 127.0.0.2:53            0.0.0.0:*                           1677/named
udp        0      0 127.0.0.1:53            0.0.0.0:*                           1677/named
udp        0      0 10.8.0.1:123            0.0.0.0:*                           1758/ntpd
udp        0      0 **mon ip**:123       0.0.0.0:*                           1758/ntpd
udp        0      0 127.0.0.2:123           0.0.0.0:*                           1758/ntpd
udp        0      0 127.0.0.1:123           0.0.0.0:*                           1758/ntpd
udp        0      0 0.0.0.0:123             0.0.0.0:*                           1758/ntpd
udp6       0      0 :::53                   :::*                                1677/named
udp6       0      0 ::1:123                 :::*                                1758/ntpd
udp6       0      0 **mon ip v6**:123 :::*                                1758/ntpd
udp6       0      0 :::123                  :::*                                1758/ntpd

En espérant que ça t'aide

Hors ligne

#8 Le 16/09/2014, à 19:38

tiramiseb

Re : Vos façons de gérer un serveur distant ?

Alors, je vois :

1/ un serveur DNS (Bind9, processus "named") qui écoute sur le port (sur toutes les IP) et le port 953, uniquement en localhost...
2/ le serveur SSH, sur le port 22, rien de spécial à signaler...
3/ Exim (serveur SMTP) sur le port 25, uniquement en localhost, très bien pour transmettre les e-mails d'administration (cela dit, un nullmailer peut être suffisant aussi).
4/ sslh sur le port 443, là je ne connais pas cet outil, je ne saurais pas donner de détails...
5/ OpenVPN sur le port 1443 sur toutes les adresses IP, j'imagine que tu utilises ça pour la redirection à partir de ton truc sslh sur le port 443...
6/ MySQL sur le port 3306 en localhost, normal quoi...
7/ Apache2 sur le port 4433 sur toutes les adresses IP, j'imagine que tu utilises ça pour la redirection à partir de ton truc sslh sur le port 443...
8/ NTPd sur le port 123 sur toutes les adresses IP


Ce qui peut être sécurisé :
1/ dessers-tu un nom de domaine ? Si non, pourquoi utilises-tu Bind ? est-il nécessaire sur toutes les adresses IP ?
2/ sur le serveur SSH, rien de spécial à sécuriser si sa configuration est correcte
3/ Exim est uniquement en local, donc rien de spécial à faire
4/ si tu veux utiliser sslh, why not, mais je ne pourrais pas t'aider
5/ si tu veux permettre l'accès à OpenVPN à travers sslh uniquement, autant lui dire de n'écouter que sur localhost
6/ MySQL est uniquement en local, donc rien de spécial à faire
7/ si tu veux permettre l'accès à Apache2 (https) à travers sslh uniquement, autant lui dire de n'écouter que sur localhost
8/ NTPd n'a pas besoin d'être en écoute, sauf si tu dessers le protocole pour d'autres serveurs - et dans ce cas, c'est à faire uniquement sur le réseau en question et non sur toutes les adresses IP

Hors ligne

#9 Le 18/09/2014, à 17:41

Xun

Re : Vos façons de gérer un serveur distant ?

Salut,

Merci pour ces explications. Concernant le serveur Bind9, il a été installé de base.

Est-ce que si je ferme un port par rapport à une interface réseau il reste ouvert pour la boucle 'lo' et donc pour une utilisation en locale ?

Hors ligne

#10 Le 18/09/2014, à 17:56

pires57

Re : Vos façons de gérer un serveur distant ?

Salut.

pour moi pareil que tiramiseb sauf que pour la supervision c'est nagios centreon et en general je rajoute fail2ban.


Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Hors ligne

#11 Le 18/09/2014, à 20:55

tiramiseb

Re : Vos façons de gérer un serveur distant ?

Est-ce que si je ferme un port par rapport à une interface réseau il reste ouvert pour la boucle 'lo' et donc pour une utilisation en locale ?

Ça dépend comment tu le « fermes ». Tu parles de blocage avec le pare-feu ? Pourquoi ferais-tu ça, plutôt que de bien configurer le service concerné ?

Hors ligne

#12 Le 12/10/2014, à 10:32

Xun

Re : Vos façons de gérer un serveur distant ?

Salut Tiramiseb,

Pour la configuration de SSH, j'ai fait écouter le daemon sur 127.0.0.1 mais comment faire si cette adresse est déjà écoutée par un autre programme ?

Et sinon, je pense m'y être pris de la mauvaise façon pour mes sites web. je m'explique : j'ai plusieurs noms de domaine, j'ai un serveur Bind installé par défaut.
La meilleure façon de faire aurait été de faire pointer mes noms de domaine vers mon serveur DNS et de rajouter les bonnes entrées dans la conf bind, n'est-ce pas ?

Hors ligne

#13 Le 12/10/2014, à 12:43

tiramiseb

Re : Vos façons de gérer un serveur distant ?

Pour la configuration de SSH, j'ai fait écouter le daemon sur 127.0.0.1

Aucun intérêt à avoir SSH qui écoute sur 127.0.0.1. Dans ce cas, autant virer SSH. Mais comment tu accèdes à ton serveur alors ?

comment faire si cette adresse est déjà écoutée par un autre programme ?

Sur le port 22 ? Je doute qu'un autre logiciel écoute sur le port 22? que ce soit sur 127.0.0.1 ou une autre adresse IP.

La meilleure façon de faire aurait été de faire pointer mes noms de domaine vers mon serveur DNS et de rajouter les bonnes entrées dans la conf bind, n'est-ce pas ?

C'est une façon de faire, mais as-tu vraiment besoin de gérer tes domaines sur ta machine ? Est-ce que te faire "chier" avec Bind est vraiment utile ?

Hors ligne

#14 Le 13/10/2014, à 20:07

Xun

Re : Vos façons de gérer un serveur distant ?

Est-ce que te faire "chier" avec Bind est vraiment utile ?

Je ne sais pas, ai-je d'autres possibilités ?

Edit : j'accède à SSH soit par le port 22 soit par sslh, le multiplexer de services, sur le port 443.
Actuellement mon port 22 est toujours ouvert et accessible depuis l'extérieur, mais l'idée était de réduire le + possible le nombre de ports ouverts.

Toujours, je ne sais pas si c'est la meilleure des solutions.

Dernière modification par Xun (Le 13/10/2014, à 20:10)

Hors ligne

#15 Le 13/10/2014, à 20:27

tiramiseb

Re : Vos façons de gérer un serveur distant ?

Xun a écrit :

Est-ce que te faire "chier" avec Bind est vraiment utile ?

Je ne sais pas, ai-je d'autres possibilités ?

Bah tu as un ou plusieurs domaines, tu as acheté ça auprès d'un registrar, forcément. Les registrars proposent généralement de gérer les domaines directement avec leurs serveurs DNS... Chez quel registrar as-tu pris ce(s) domaine(s) ?

Actuellement mon port 22 est toujours ouvert et accessible depuis l'extérieur, mais l'idée était de réduire le + possible le nombre de ports ouverts.

Quel serait l'intérêt de faire ça ? Que ton port 22 soit ouvert ou fermé, tant que ton système est à jour et ton authentification solide, le risque est négligeable.

Hors ligne

#16 Le 14/10/2014, à 07:53

mazarini

Re : Vos façons de gérer un serveur distant ?

Il est également possible de limiter un port à quelques adresses IP (domicile, boulot...).

Pour fail2ban, j'ai un doute sur le fait qu'il surveille IPv6.

J'aime bien cron-apt qui me prévient quand il y a une mise à jour à faire.


S'il existait une école de la politique, les locaux devraient être édifiés rue de la Santé. Les élèves pourraient s'habituer. (Pierre Dac)

Hors ligne

#17 Le 14/10/2014, à 08:11

tiramiseb

Re : Vos façons de gérer un serveur distant ?

Il est également possible de limiter un port à quelques adresses IP (domicile, boulot...).

C'est ce que je faisais à une époque. Jusqu'au jour où je devais dépanner un serveur alors que j'étais sur une aire d'autoroute... smile

Pour fail2ban, j'ai un doute sur le fait qu'il surveille IPv6.

fail2ban ne surveille pas IPv4 ou IPv6. Il surveille les logs. Par contre il utilise iptables pour bloquer les paquets et non ip6tables.
Il y a un patch pour ajouter le support d'ip6tables et pour pouvoir bloquer l'IPv6, mais a priori rien d'officiel pour le moment, ça risque de nécessiter du bricolage :
http://www.fail2ban.org/wiki/index.php/ … al_support

Cela étant dit, je doute qu'il y ait vraiment des attaques en IPv6...

J'aime bien cron-apt qui me prévient quand il y a une mise à jour à faire.

Je l'utilise également. C'est TRÈS pratique !

Hors ligne

#18 Le 14/10/2014, à 08:41

mazarini

Re : Vos façons de gérer un serveur distant ?

J'ai effectivement lu dans un message de Gandi qu'il constataient peu d'attaques via IPv6.


S'il existait une école de la politique, les locaux devraient être édifiés rue de la Santé. Les élèves pourraient s'habituer. (Pierre Dac)

Hors ligne

#19 Le 14/10/2014, à 08:42

tiramiseb

Re : Vos façons de gérer un serveur distant ?

En même temps, vu le faible déploiement d'IPv6, ça ne m'étonne pas tongue

Hors ligne

#20 Le 14/10/2014, à 09:27

mazarini

Re : Vos façons de gérer un serveur distant ?

Et le nombres d'adresses à scanner ?
Quoique xxxx::1 ca doit augmenter le ration de positif. J'utilise xxxx::cafe lol


S'il existait une école de la politique, les locaux devraient être édifiés rue de la Santé. Les élèves pourraient s'habituer. (Pierre Dac)

Hors ligne

#21 Le 14/10/2014, à 09:28

tiramiseb

Re : Vos façons de gérer un serveur distant ?

L'a po compris...

Hors ligne

#22 Le 14/10/2014, à 09:57

mazarini

Re : Vos façons de gérer un serveur distant ?

Le nombre d'adresses à scanner est plus grand en IPv6 pour trouver une cible potentielle. Par contre il me semble que beaucoup disposent de /64 mais utilise l'adresse ::1 de leur /64 ; ce qui peut réduire le nombre d'essais au hasard.


S'il existait une école de la politique, les locaux devraient être édifiés rue de la Santé. Les élèves pourraient s'habituer. (Pierre Dac)

Hors ligne

#23 Le 14/10/2014, à 10:04

tiramiseb

Re : Vos façons de gérer un serveur distant ?

il me semble que beaucoup disposent de /64 mais utilise l'adresse ::1 de leur /64

Il n'y a pas genre une attribution plus ou moins aléatoire ?

Menfin ce que tu dis me semble logique, c'est comme en IPv4 où on a tendance à utiliser les premières IP d'une plage (ou les dernières) pour les serveurs par exemple.

Hors ligne

#24 Le 14/10/2014, à 10:22

mazarini

Re : Vos façons de gérer un serveur distant ?

De ce que j'ai vu, une plage est fournit genre /56 ou /64. Après on gère comme on veut (ou comme on peut). Perso, pour le moment, je n'ai pas pu faire communiquer mes vm en IPv6 et j'ai un router qui ne fait que de l'ipv4 à la maison, donc je fais l'impasse sur IPv6 sauf tests de temps en temps.
L'attribution aléatoire, c'est pour les connections avec un FAI, pas pour les hébergement de serveurs ?


S'il existait une école de la politique, les locaux devraient être édifiés rue de la Santé. Les élèves pourraient s'habituer. (Pierre Dac)

Hors ligne

#25 Le 14/10/2014, à 10:23

tiramiseb

Re : Vos façons de gérer un serveur distant ?

L'attribution aléatoire, c'est pour les connections avec un FAI, pas pour les hébergement de serveurs ?

Je ne sais pas trop, franchement je devrais approfondir IPv6, j'avais cru lire qu'il y a une espèce de DHCP intégré, les PC se mettent d'accord pour prendre telle ou telle adresse. Mais j'ai peut-être rêvé, car ça me paraît un peu trop "magique" pour être vrai...

Hors ligne