sécurisation de mon serveur ovh sous debian

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : sécurisation de mon serveur ovh sous debian

clembrizou

Bonjour à tous,
hier soir je me suis pris un dédié chez ovh, sous debian 6. Ce n'est pas pour héberger un site web, c'est juste pour un serveur mail, krissfeed, shaarli, owncloud, roundcube.
Tout d'abord je n'ai pas vraiment d'experience en serveur web, linux ne me pose pas de probleme, mon pc tourne sous archlinux et mon nas sous openindiana (c'est de l'unix donc assez proche)

Donc je me suis créé un utilisateur (pas de connection en root quoi)

j'ai installé apache, php, mon nom de domaine pointe bien vers le serveur, pas de problème de ce côté. Maintenant il va falloir que je comprenne comment fonctionne mysql.

j'ai trouvé un truc qui me semble pas mal pour un début de sécurité, j'ai adapté en fonction de ma config
http://www.alsacreations.com/tuto/ [...] ables.html

Ce que je voudrais c'est que apache me force à me connecter en https.

concernant le dossier /var/www le propriétaire des sous dossiers est mon utilisateur, avec des droits en 777, est-ce une bonne idée, j'ai un doute...

P.S : pour l'instant sudo est installé (c'est pratique) je compte le retirer quand tout sera bien configuré.

Message édité par clembrizou le 22-03-2013 à 10:47:24

---------------
Feedback [VDS]casque grado sr225

Publicité

mbl

Super ce tuto que tu as trouvé.
C'est simple et les conseils sont pas mal. Enfin on pourrait perfectionné mais pour un début c'est très bien.

Le https, il suffit de bloquer le port 80 et dans ta config définir le même répertoire que pour le http pour le https.

Au passage le mieux pour ton dossier "web" c'est de mettre les dossiers en 755 et les fichiers en 644.

Message cité 1 fois

---------------
-3dB

clembrizou

mbl a écrit :

Super ce tuto que tu as trouvé.
C'est simple et les conseils sont pas mal. Enfin on pourrait perfectionné mais pour un début c'est très bien.

Le https, il suffit de bloquer le port 80 et dans ta config définir le même répertoire que pour le http pour le https.

Au passage le mieux pour ton dossier "web" c'est de mettre les dossiers en 755 et les fichiers en 644.

Merci pour ta réponse
Donc pour le https c'est à définir dans apache2.conf ?
Je bloque le port 80 via apache2.conf ou via iptable ?

Edit : pour que krissfeed fonctionne je ne peut pas me mettre en 755, visiblement il faut qu'il puisse écrire dans son dossier data, pareil pour shaarli

Message édité par clembrizou le 22-03-2013 à 11:13:54

---------------
Feedback [VDS]casque grado sr225

mbl

Mieux vaut le faire sur Iptable ou alors mettre un dossier de publication avec rien de dangereux au niveau de ton vhost ou de ton apache2.conf pour le http normal.

Un script qui requière des droits supérieur à 755 pour les dossiers, je te conseils par contre de le surveiller de près pendant la production.

---------------
-3dB

clembrizou

Bon avant de bloquer le port 80 je voudrais m'assurer aue lt hhtps fonctionne pour l'instant ça ne fonctionne pas

Citation :

Not Found

The requested URL / was not found on this server.
Apache Server at brizou.fr Port 443

le https fonctionne, il m'a demadé de valider le certiicat mais ne trouve rien sur le serveur web, je dois avoir manqu² qulelque chose dans mes fichiers config mais je vois pas.

voilà le contenu de mon /etc/apache2/sites-enabled/000-default

Citation :

GNU nano 2.2.4 Fichier�: 000-default

NameVirtualHost *:80
NameVirtualHost *:443
<VirtualHost *:80>
ServerAdmin email du serveur
DocumentRoot /var/www/
ErrorLog /var/log/apache2/error.log
LogLevel error
CustomLog /var/log/apache2/access.log combined
ServerSignature EMail
SSLEngine off

<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /var/www/>
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all
</Directory>
</VirtualHost>

<VirtualHost *:443>
DocumentRoot /var/www/
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/cert.pem #renvoi bien vers un fichier pem
SSLCertificateKeyFile /etc/apache2/ssl/ca.key #renvoi bien vers un fichier key
ServerSignature EMail
ErrorLog /var/log/apache2/error.log
CustomLog /var/log/apache2/access.log combined
LogLevel error
ServerAdmin adresseemailduserveur

<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /var/www/>
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all
</Directory>
</VirtualHost>

tout est bien stocké dans /var/www . pas de fichier .htaccess dans /var/www

Je ne vois pas ce qui va pas

Edit : jái trouvé il me manquait la ligne en gras

merci encore

Message édité par clembrizou le 24-03-2013 à 13:56:07

---------------
Feedback [VDS]casque grado sr225

mbl

Voilà Et dans la partie au dessus tu peux modifier le document root pour le port 80 vers un dossier avec par exemple juste une page html ou un htaccess qui dit "Go away !"

---------------
-3dB

clembrizou

Si j'ai bloqué l'accès sur le port 80 via iptable ça fonctionnera ça ?

---------------
Feedback [VDS]casque grado sr225

mbl

Oui tout à fait.

---------------
-3dB

clembrizou

un petit retour si des personnes passent par là et voient la méthode de bloquage du http via iptables -> impossible ensuite de lancer en ssh un wget sur un lien http. Dans ce cas là il faudra lancer une regle iptable pour ouvrir et une fois que c'est fini refermer

Message cité 1 fois

---------------
Feedback [VDS]casque grado sr225

o'gure

Multi grognon de B_L

clembrizou a écrit :

Si tu nous donnes pas la commande (et tes autres règles) iptables, on ne va pas deviner ce qui est mal configurer.
Grosso modo, je pense que tu as saisi une mauvaise règle. Tu t'es trompé de table ou trompé sur le port destination/source.

Sinon:
- je suis pour l'utilisation d'un firewall n'autorisant que ce qui doit être autoriser.
- en plus, je préconise la configuration adéquate des services. Tu ne peux pas configurer apache pour ne *pas* écouter sur le port TCP/80 ?

Message édité par o'gure le 24-03-2013 à 20:11:55

---------------
Relax. Take a deep breath !

Publicité

clembrizou

Je n'ai pas dit que c'était mal configuré, c'est logiaue que le wget d'un lien http ne fonctionne pas vu que je bloque le port 80. C'est juste pour dire qu'il faut penser à le débloquer dans ce cas là.
ce que j'ai fait ce que j'ai tout bloqué via iptables ensuite je n'autorise que ce dont j'ai besoin (j'ai donc laissé bloqué le port 80 et autorisé le port 443)
voilà le contenu de mon fichier /etc/init.d/firewall qui se lance a chaque démarrage, comme ça tout est propre

Citation :

#!/bin/sh

# Vider les tables actuelles
iptables -t filter -F

# Vider les règles personnelles
iptables -t filter -X

# Interdire toute connexion entrante et sortante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

# ---

# Ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

# ICMP (Ping)
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT

# ---

# SSH In
iptables -t filter -A INPUT -p tcp --dport 1354 -j ACCEPT

# SSH Out
iptables -t filter -A OUTPUT -p tcp --dport 1354 -j ACCEPT

# DNS In/Out
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT

# NTP Out
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT

# HTTP + HTTPS Out
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT

# HTTP + HTTPS In
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT

# FTP Out
iptables -t filter -A OUTPUT -p tcp --dport 1355:1356 -j ACCEPT

# FTP In
iptables -t filter -A INPUT -p tcp --dport 1355:1356 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Mail SMTP:25
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT

# Mail POP3:110
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT

# Mail IMAP:143
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT

# Mail POP3S:995
iptables -t filter -A INPUT -p tcp --dport 995 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 995 -j ACCEPT

# Monit
iptables -t filter -A INPUT -p tcp --dport 1337 -j ACCEPT

# Webmin
iptables -t filter -A INPUT -p tcp --dport 10000 -j ACCEPT

Message édité par clembrizou le 24-03-2013 à 20:37:26

---------------
Feedback [VDS]casque grado sr225

o'gure

Multi grognon de B_L

clembrizou a écrit :

Je n'ai pas dit que c'était mal configuré, c'est logiaue que le wget d'un lien http ne fonctionne pas vu que je bloque le port 80. C'est juste pour dire qu'il faut penser à le débloquer dans ce cas là.

Ah ok ;J'avais lu trop rapidement. C'est un poil restrictif comme politique

Message édité par o'gure le 24-03-2013 à 21:29:27

---------------
Relax. Take a deep breath !

clembrizou

Si quelqu'un passe par là et peu m'offrir une petite analyse du rapport que j'ai reçu ce matin

Citation :

Connection attempts using mod_proxy:
212.42.17.74 -> www.fbi.gov:80: 1 Time(s)

A total of 3 sites probed the server
194.67.159.246
221.217.224.238
67.163.32.85

Requests with error response codes
400 Bad Request
/: 1 Time(s)
/w00tw00t.at.ISC.SANS.DFind: 3 Time(s)
/w00tw00t.at.ISC.SANS.Win32: 3 Time(s)
404 Not Found
/FastHTTPAuthScanner200test/: 1 Time(s)
/admin/: 1 Time(s)
/favicon.ico: 11 Time(s)
/krissfeed/: 1 Time(s)
/krissfeed/?byPage=50: 2 Time(s)
/krissfeed/index.php: 2 Time(s)
/leed/action.php?action=login&newUrl=http% ... 2244c35c8c2fd9e: 1 Time(s)
/leed/action.php?action=synchronize&code=01cf2e710d: 234 Time(s)
/monitoring/: 1 Time(s)
/monitoring/localdomain/localhost.localdomain/index.html: 1 Time(s)
/roundcube/: 1 Time(s)
/shaarli/: 1 Time(s)
/~root/: 1 Time(s)
405 Method Not Allowed
www.fbi.gov:80: 1 Time(s)
408 Request Timeout
null: 3 Time(s)

Merci d'avance

---------------
Feedback [VDS]casque grado sr225

mbl

des bots qui essayent de trouver des scripts types afin d'utiliser ton serveur pour faire de la merde.
Tu peux les bloquer mais cela ne servira pas à grand chose...

---------------
-3dB

clembrizou

du moment qu'ils ne rentrent pas ça me gène pas.

---------------
Feedback [VDS]casque grado sr225

mbl

ça me rappelle une ex.

---------------
-3dB

clembrizou

---------------
Feedback [VDS]casque grado sr225

clembrizou

Me revoilà
j'ai un petit problème pour la synchronisation d'owncloud sur mon pc, visiblement un problème de certificat ssl. j'ai fait un test de mon nom de domaine sur ssllabs ça me retourne ça

Citation :

Details
Server Key and Certificate #1
Common names mon_nom MISMATCH probleme visiblement
Alternative names -
Valid from Sun Mar 24 10:16:30 UTC 2013
Valid until Wed Mar 22 10:16:30 UTC 2023 (expires in 9 years and 11 months)
Key RSA 4096 bits
Weak key (Debian) No
Issuer mon_nom Self-signed
Signature algorithm SHA1withRSA
Extended Validation No
Revocation information None
Trusted No NOT TRUSTED (Why?) faire reconnaitre son certificat ça coute un bras je crois

Additional Certificates (if supplied)
Certificates provided 1 (1422 bytes)
Chain issues Not trusted as supplied

Certification Paths
Path #1: Not trusted (path does not chain to a trusted anchor)
1 Sent by server
Not in trust store brizou
SHA1: 92f048282a42729dff93bbc37039e27fa1f1fcb5
RSA 4096 bits / SHA1withRSA

Protocols
TLS 1.2 No il va peut etre falloir que je me penche la dessus
TLS 1.1 No
TLS 1.0 Yes
SSL 3.0 Yes
SSL 2.0 No

Cipher Suites (sorted by strength; server has no preference)
TLS_RSA_WITH_RC4_128_MD5 (0x4) 128
TLS_RSA_WITH_RC4_128_SHA (0x5) 128
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) 128
TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33) DH 1024 bits (p: 128, g: 1, Ys: 128) 128
TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) 168
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (0x16) DH 1024 bits (p: 128, g: 1, Ys: 128) 168
TLS_RSA_WITH_AES_256_CBC_SHA (0x35) 256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x39) DH 1024 bits (p: 128, g: 1, Ys: 128) 256

Protocol Details
Secure Renegotiation Supported, with client-initiated renegotiation disabled
Insecure Renegotiation Not supported
BEAST attack Vulnerable INSECURE (more info) visiblement probleme
Compression No
RC4 Yes PROBLEMATIC (more info) visiblement probleme
Next Protocol Negotiation No
Session resumption Yes
Session tickets Yes
OCSP stapling No
Strict Transport Security No
Requires client RI support No
Long handshake intolerance No
TLS extension intolerance No
TLS version intolerance 0x0304: 0x301, 0x0399: 0x301, 0x0499: fail
SSLv2 handshake compatibility Yes

Miscellaneous
Test date Sat Mar 30 11:56:27 UTC 2013
Test duration 42.887 seconds
HTTP status code 200
HTTP server signature Apache
Server hostname monserveur.kimsufi.com
PCI compliant No
FIPS-ready No

voilà, si quelqu'un peut m'aider a décoder...

Merci d'avance

Message édité par clembrizou le 30-03-2013 à 13:55:26

---------------
Feedback [VDS]casque grado sr225

trictrac

certificat gratos :
https://www.startssl.com/

clembrizou

merci, je vais regarder ce que ça vaut

---------------
Feedback [VDS]casque grado sr225

FORUM HardWare.fr

Réseaux grand public / SoHo

Hébergement

sécurisation de mon serveur ovh sous debian

Sujets relatifs
besoin d'aide suite à mise à jour serveur online mutualisé	Accéder serveur FTP à travers Box
Acces reseau en wifi sur un serveur NAS avec Box	Installation d'un serveur de messagerie en local
serveur hp proliant et raid	Serveur Virtuel PhpNet ?
Streaming sur Serveur Dédié	Quel serveur acheter pour mes jeux ?
Serveur Freeradius avec poste Windows	BackupPC sous debian
Plus de sujets relatifs à : sécurisation de mon serveur ovh sous debian

Page générée en 0.055 secondes