linuxaddict:administrer:securite

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision		 Révision précédente
linuxaddict:administrer:securite [27/04/2018, 13:40] Claude Clerclinuxaddict:administrer:securite [10/02/2024, 19:09] (Version actuelle) Claude Clerc
Ligne 1: Ligne 1:
-{{tag>sécurité serveur Linux Fail2ban}}+{{tag>sécurité serveur Linux Fail2ban bash firewall}}
 ====== Sécuriser un serveur Linux ====== ====== Sécuriser un serveur Linux ======
  
Ligne 16: Ligne 16:
 Les dernières lignes de cette longue liste permettent de déterminer précisément ce que fait le programme. Les dernières lignes de cette longue liste permettent de déterminer précisément ce que fait le programme.
  
-==== Quels paquets ont permis l'installation de ce programme ? ====+Pour obtenir le PID (//Process IDentifier//) de tout ce qui tourne sur votre machine : 
 +  ps auxwww 
 + 
 +Par exemple, pour trouver le PID de geany (qui est affiché à l'écran) : 
 +  ps auxwww | grep geany 
 +retourne : 
 +  <nom d'utilisateur>      4967  0.6  0.8 103446360 136824 ?    Sl   déc.20   5:00 geany 
 +Le PID de geany est donc actuellement de 4967. Il changera à chaque lancement de geany. 
 + 
 +==== Quels sont les paquets concernés par ce programme ? ====
   dpkg -S UNE_PARTIE_DU_NOM_DU_PROGRAMME   dpkg -S UNE_PARTIE_DU_NOM_DU_PROGRAMME
  
Ligne 36: Ligne 45:
 iptables -t filter -P OUTPUT DROP iptables -t filter -P OUTPUT DROP
  
-# Autorise toute connexion avec l'IP 78.201.137.113 (Claude) +# Autorise toute connexion avec l'IP VOTRE_IP_PUBLIQUE_PERSO 
-iptables -t filter -A INPUT -s 78.201.137.113 -j ACCEPT +iptables -t filter -A INPUT -s VOTRE_IP_PUBLIQUE_PERSO -j ACCEPT 
-iptables -t filter -A OUTPUT -d 78.201.137.113 -j ACCEPT+iptables -t filter -A OUTPUT -d VOTRE_IP_PUBLIQUE_PERSO -j ACCEPT
  
 # Limiter les risques de flood (limite à 1 connexion par seconde) # Limiter les risques de flood (limite à 1 connexion par seconde)
Ligne 146: Ligne 155:
   * [[https://doc.ubuntu-fr.org/fail2ban]]   * [[https://doc.ubuntu-fr.org/fail2ban]]
  
 +==== Fignolage ====
 +
 +Après installation de fail2ban et paramétrage pour sshd :
 +
 +Se connecter en root.
 +
 +Installer, si ce n'est déjà fait le paquet ''util-linux'' :
 +  apt install util-linux
 +
 +Créer le fichier ''/root/byebye.sh'' contenant :
 +<sxh bash>
 +#!/bin/bash
 +
 +for ip in $(lastb -i -s -5min | awk '{print $3}'); do {
 + if [[ $ip =~ ^[0-9] ]]; then
 + #echo $ip
 + /usr/bin/fail2ban-client set sshd banip $ip > /dev/null || true
 + fi
 +}; done
 +exit 0
 +</sxh>
 +Le rendre exécutable :
 +  chmod +x /root/byebye.sh
 +
 +Éditer la crontab :
 +  crontab -e
 +  
 +Ajouter les lignes :
 +  # Bye bye importuns !
 +  */5 * * * * /root/byebye.sh
 +
 +Quitter. La crontab se met en place.
 +
 +Lister les IP bloquées (et leur nombre) avec :
 +  fail2ban-client status sshd
 ===== Liens ===== ===== Liens =====
   * [[https://openclassrooms.com/courses/securiser-son-serveur-linux|Sécuriser un serveur Linux (OpenClassRooms)]]   * [[https://openclassrooms.com/courses/securiser-son-serveur-linux|Sécuriser un serveur Linux (OpenClassRooms)]]
 +  * [[https://doc.ubuntu-fr.org/fail2ban|Bannir des IP avec fail2ban - v2020]]
 +  * [[https://manpages.ubuntu.com/manpages/bionic/fr/man1/last.1.html|last, lastb - Afficher une liste des derniers utilisateurs connectés]]
 +  * [[https://blog.bandinelli.net/index.php?post/2015/01/02/Entretenir-et-s%C3%A9curiser-ownCloud-avec-logrotate-et-fail2ban|Entretenir et sécuriser Nextcloud/ownCloud avec logrotate et fail2ban]]
 +
 +----
 +
 +{{counter|today| personne a visité cette page aujourd'hui| personnes ont visité cette page aujourd'hui}} et {{counter}} en tout.
  • linuxaddict/administrer/securite.1524829258.txt.gz
  • Dernière modification : 27/04/2018, 13:40
  • de Claude Clerc