Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 21/06/2016, à 17:36

Samaf

Différentes questions sur la sécurité

Bonjour,
Je souhaiterais protéger un VPS que je loue chez OVH où il y a un serveur teamspeak dessus.
Tout d'abord, tous les tests que j'effectue sont en local sur une machine dédié aux différents tests serveurs.
J'ai suivis ce tuto pour une protection minimal:
https://openclassrooms.com/courses/secu … veur-linux

Voici le contenu de mon fichier /etc/init.d/firewall:

#!/bin/bash
 
### BEGIN INIT INFO
# Provides:          firewall
# Required-Start:    $remote_fs $syslog
# Required-Stop:     $remote_fs $syslog
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Démarre les règles iptables
# Description:       Charge la configuration du pare-feu iptables
### END INIT INFO

#!/bin/sh 
 
# Réinitialise les règles
sudo iptables -t filter -F 
sudo iptables -t filter -X 
 
# Bloque tout le trafic
sudo iptables -t filter -P INPUT DROP 
sudo iptables -t filter -P FORWARD DROP 
sudo iptables -t filter -P OUTPUT DROP 
 
# Autorise les connexions déjà établies et localhost
sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
sudo iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
sudo iptables -t filter -A INPUT -i lo -j ACCEPT 
sudo iptables -t filter -A OUTPUT -o lo -j ACCEPT 
 
# ICMP (Ping)
sudo iptables -t filter -A INPUT -p icmp -j ACCEPT 
sudo iptables -t filter -A OUTPUT -p icmp -j ACCEPT 
 
# SSH
sudo iptables -t filter -A INPUT -p tcp --dport 3680 -j ACCEPT 
sudo iptables -t filter -A OUTPUT -p tcp --dport 3680 -j ACCEPT 
 
# DNS
sudo iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT 
sudo iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT 
sudo iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT 
sudo iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT 
 
# HTTP
sudo iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT 
sudo iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT 

# FTP 
sudo iptables -t filter -A OUTPUT -p tcp --dport 20:21 -j ACCEPT 
sudo iptables -t filter -A INPUT -p tcp --dport 20:21 -j ACCEPT 

# Mail SMTP 
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT 
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT 
 
# Mail POP3
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT 
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT 
 
# Mail IMAP
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT 
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT 

# NTP (horloge du serveur) 
sudo iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT

# Déni de service (Flood)
iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p udp -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/second -j ACCEPT

# Scan de ports
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

# Teamspeak Licence
iptables -t filter -A INPUT -p tcp --dport 2008 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 2008 -j ACCEPT

# Teamspeak Voix par défaut
iptables -t filter -A INPUT -p udp --dport 9987 -j ACCEPT 
iptables -t filter -A OUTPUT -p udp --dport 9987 -j ACCEPT 

# Teamspeak ServerQuery
iptables -t filter -A INPUT -p tcp --dport 10011 -j ACCEPT 
iptables -t filter -A OUTPUT -p tcp --dport 10011 -j ACCEPT 

# Teamspeak File Transfer
iptables -t filter -A INPUT -p tcp --dport 30033 -j ACCEPT 
iptables -t filter -A OUTPUT -p tcp --dport 30033 -j ACCEPT 

J'ai redémarré le serveur et quand je fais:
nmap -v localhost
J'ai beaucoup de port ouvert, voici le résultat:

Not shown: 983 closed ports
PORT      STATE SERVICE
1/tcp     open  tcpmux
25/tcp    open  smtp
79/tcp    open  finger
111/tcp   open  rpcbind
119/tcp   open  nntp
143/tcp   open  imap
631/tcp   open  ipp
1080/tcp  open  socks
1524/tcp  open  ingreslock
2000/tcp  open  cisco-sccp
6667/tcp  open  irc
12345/tcp open  netbus
31337/tcp open  Elite
32771/tcp open  sometimes-rpc5
32772/tcp open  sometimes-rpc7
32773/tcp open  sometimes-rpc9
32774/tcp open  sometimes-rpc11

Ai-je fait quelques choses de pas bien ?

Merci d'avance
Samaf tongue


Ordinateur Jeux: NZXT H440 - Intel Core I7-4970K - GTX 980Ti - 16Go Ram Kingston - SSD 2To - Watercooling
Server: Zalmann Z9 Plus - Intel Core I5-3570K - 8Go Ram Kinston - SSD 120Go

Hors ligne

#2 Le 21/06/2016, à 22:29

Vobul

Re : Différentes questions sur la sécurité

Salut,

Tu peux aussi utiliser ufw au lieu d'iptables, tu verras c'est plus simple...

Ensuite lis ça : http://www.codelitt.com/blog/my-first-1 … ng-ubuntu/


Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM

Hors ligne

#3 Le 22/06/2016, à 08:46

Samaf

Re : Différentes questions sur la sécurité

Justement, je trouves qu'iptables est assez simple au niveau des règles à mettre en place car elles sont simple et lisible.
Je voudrais justement savoir, pourquoi j'ai cette erreur (si on peut appeler ça une erreur). smile


Ordinateur Jeux: NZXT H440 - Intel Core I7-4970K - GTX 980Ti - 16Go Ram Kingston - SSD 2To - Watercooling
Server: Zalmann Z9 Plus - Intel Core I5-3570K - 8Go Ram Kinston - SSD 120Go

Hors ligne

#4 Le 22/06/2016, à 14:13

Vobul

Re : Différentes questions sur la sécurité

Il n'y a pas d'erreur. Ton script ouvre plein de ports. Ce qui résulte en plein de ports ouverts. Rien de magique là-dedans.


Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM

Hors ligne

#5 Le 22/06/2016, à 14:30

Samaf

Re : Différentes questions sur la sécurité

Certe mon script ouvre pleins de ports mais le port par exemple 32774 n'est pas dans mon script pourtant il est ouvert.


Ordinateur Jeux: NZXT H440 - Intel Core I7-4970K - GTX 980Ti - 16Go Ram Kingston - SSD 2To - Watercooling
Server: Zalmann Z9 Plus - Intel Core I5-3570K - 8Go Ram Kinston - SSD 120Go

Hors ligne

#6 Le 22/06/2016, à 14:34

bruno

Re : Différentes questions sur la sécurité

C'est normal puisque tu fais :

nmap -v localhost

Hors ligne

#7 Le 22/06/2016, à 14:37

Samaf

Re : Différentes questions sur la sécurité

bruno a écrit :

C'est normal puisque tu fais :

nmap -v localhost

Bhé justement, cette commande permet de scan les ports ouverts mais quand tu regardes dans mon script, par exemple le port 32774 n'est pas ouvert.


Ordinateur Jeux: NZXT H440 - Intel Core I7-4970K - GTX 980Ti - 16Go Ram Kingston - SSD 2To - Watercooling
Server: Zalmann Z9 Plus - Intel Core I5-3570K - 8Go Ram Kinston - SSD 120Go

Hors ligne

#8 Le 22/06/2016, à 15:07

bruno

Re : Différentes questions sur la sécurité

Cette commande scanne les ports ouverts depuis ton hôte local et vers ton hôte local. Ce genre de test doit toujours ce faire de l'extérieur

Hors ligne

#9 Le 22/06/2016, à 15:16

Samaf

Re : Différentes questions sur la sécurité

Dans ce cas là, comment scanner les ports ouverts en local ?


Ordinateur Jeux: NZXT H440 - Intel Core I7-4970K - GTX 980Ti - 16Go Ram Kingston - SSD 2To - Watercooling
Server: Zalmann Z9 Plus - Intel Core I5-3570K - 8Go Ram Kinston - SSD 120Go

Hors ligne

#10 Le 22/06/2016, à 17:06

bruno

Re : Différentes questions sur la sécurité

Quel intérêt ?
Les services qui sont écoute uniquement sur l'interface de bouclage (lo 127.0.0.1/::1) ne sont de toute façon pas accessibles de l'extérieur.

Hors ligne

#11 Le 22/06/2016, à 17:57

Samaf

Re : Différentes questions sur la sécurité

Bhé en gros, actuellement je suis en train de faire des tester de sécurité pour pouvoir mettre tout ça sur un serveur chez OVH.
Donc en gros ce que j'aimerai faire c'est scanner les ports pour voir lesquels sont ouvert.


Ordinateur Jeux: NZXT H440 - Intel Core I7-4970K - GTX 980Ti - 16Go Ram Kingston - SSD 2To - Watercooling
Server: Zalmann Z9 Plus - Intel Core I5-3570K - 8Go Ram Kinston - SSD 120Go

Hors ligne

#12 Le 22/06/2016, à 20:46

Brunod

Re : Différentes questions sur la sécurité

Fais un nmap au départ d'un autre pc.


Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Hors ligne

#13 Le 23/06/2016, à 06:44

bruno

Re : Différentes questions sur la sécurité

C'est une bonne démarche de s'entraîner sur une machine personnelle avent de louer un serveur.
Par contre ce que tu fais concernant le pare-feu ne sert à rien.
Je rappelle qu'avec ou sans pare-feu les seuls ports ouverts sont ceux pour les quels un service est installé et en écoute .
Je pourrais donc te dire que le pare-feu est à peu près inutile dans ton cas mais cela risque de susciter encore un débat stérile…

Hors ligne

#14 Le 23/06/2016, à 07:33

Samaf

Re : Différentes questions sur la sécurité

Je viens de faire un nmap à partir d'une virtualisation de debian et c'est niquel.
Pour ce que tu me dis bruno, il suffit d'installer fail2ban (bien configuré) et un autre logiciel (dont j'ai pu le nom) pour pouvoir surveiller les paquets qui sont en écoutes sur les ports désigné non ?
Ensuite j'aurais d'autre petite question:
Est-ce obligatoire de mettre sudo iptables ... dans mon script ?
Y a -t-il un serveur mail pré configuré pour recevoir les mails des logs ?

Dernière modification par Samaf (Le 23/06/2016, à 10:11)


Ordinateur Jeux: NZXT H440 - Intel Core I7-4970K - GTX 980Ti - 16Go Ram Kingston - SSD 2To - Watercooling
Server: Zalmann Z9 Plus - Intel Core I5-3570K - 8Go Ram Kinston - SSD 120Go

Hors ligne

#15 Le 16/03/2017, à 11:59

attentis

Re : Différentes questions sur la sécurité

c'est assez particulier que de mettre un sudo dans un script, non ?

moi je ne m'y risquerai pas étant donné les possibilités qu'offre SUDO en termes d'actions négatives et invasives...

N'étant pas ce qu'on appelle un pro du firewall et des scripts je laisse à mes confrères - et non pour les trolls un frère c.. - le soin de répondre avec plus de précision


Si je viens ici, c'est pour avoir des avis des conseils de gens avisés. Ce que vous êtes. Les autres devraient aller sur CCM pour se vanter. Pour ma part, je ne suis qu'un novice depuis 10 ans et je continuerai à l'être.

En ville, soyez sympas n'utilisez pas les places pour handicapés.... elles sont pour.... les handicapés. Merci pour eux

Hors ligne