[journal]Configuration de serveur

Morgiver · Le 23/02/2013, à 08:04

Salut,

J'ai commandé un Kimsufi, j'y ai demander une installation de Ubuntu Server 12.04 vierge.
Ce post servira de Journal de configuration, si vous avez des conseils, des suggestions ou des alertes par rapport à ce que je fais, n'hésitez surtout pas à réagir !

Liste des sources d'aide pour la configuration du serveur :
http://doc.ubuntu-fr.org/serveur
http://www.alsacreations.com/tuto/lire/ … ables.html
http://dunespice.no-ip.org/Logiciel-lib … erveur-ssh

1ere action :
Modifier le fichier /etc/ssh/sshd_config et modifier le port à "2222".
La modification de la possibilité de se connecter en root je le ferais une fois que j'aurais fini de configurer le serveur, j'ai eu quelque problème avec cette configuration.

2ème action en cours :
Après discussion et conseil de tiramiseb et brunod, je me tourne vers ufw pour gérer le filtrage (merci la clef de contact ).
Merci à vous deux pour votre intervention
Lecture de tuto, installation et configuration en cours donc...

Dernière modification par Morgiver (Le 23/02/2013, à 10:14)

tiramiseb · Le 23/02/2013, à 08:53

Salut,

Concernant tes règles iptables : beurk & à moitié inutile.

Beurk :
Tu es sur Ubuntu, utilise ufw pour gérer le firewall.

Inutile :
Tu es sur un serveur, tu le maîtrises, il n'y a pas lieu d'avoir du filtrage sur les paquets sortants.

Dernière modification par tiramiseb (Le 23/02/2013, à 08:55)

Morgiver · Le 23/02/2013, à 09:17

tiramiseb a écrit :

Concernant tes règles iptables : beurk & à moitié inutile.

Pourquoi ?

tiramiseb a écrit :

Tu es sur Ubuntu, utilise ufw pour gérer le firewall.

Pourquoi ?

tiramiseb a écrit :

Tu es sur un serveur, tu le maîtrises, il n'y a pas lieu d'avoir du filtrage sur les paquets sortants.

Étant donné que je ferme tous les accès d'abord, je suis bien obligé de spécifier quels accès peuvent sortir.
Sinon, explique toi.

tiramiseb · Le 23/02/2013, à 09:49

Morgiver a écrit :

tiramiseb a écrit :
Concernant tes règles iptables : beurk & à moitié inutile.
Pourquoi ?

J'ai expliqué pourquoi juste en-dessous.

Morgiver a écrit :

tiramiseb a écrit :
Tu es sur Ubuntu, utilise ufw pour gérer le firewall.
Pourquoi ?

Parce que les scripts iptables c'est pour les bidouilleurs qui ne savent pas utiliser les logiciels adaptés à l'usage qu'ils veulent avoir.

Pour démarrer une voiture, si tu as le choix entre :
- ouvrir le capot, sortir la manivelle, tourner la manivelle très vite, ranger la manivelle, fermer le capot
- tourner la clef de contact

... tu choisis laquelle des solutions ?
manivelle = script iptables
clef de contact = ufw

Morgiver a écrit :

tiramiseb a écrit :
Tu es sur un serveur, tu le maîtrises, il n'y a pas lieu d'avoir du filtrage sur les paquets sortants.
Étant donné que je ferme tous les accès d'abord, je suis bien obligé de spécifier quels accès peuvent sortir.
Sinon, explique toi.

Justement, je viens de te l'écrire, il n'y a pas lieu de faire du filtrage sur les paquets sortants. Donc si tu ne filtres rien, il n'y a pas besoin de spécifiquer ce qui a le droit de sortir.

Brunod · Le 23/02/2013, à 10:04

Le filtrage c'est pour empêcher les autres d'entrer, jamais pour t'interdire de sortir

Morgiver · Le 23/02/2013, à 10:06

Je comprend mieux pour ufw

Une petite question pour le filtrage, j'imagine que si une backdoor est sur le serveur, le filtrage ne sert plus à rien ?

Brunod · Le 23/02/2013, à 10:14

Comment veux-tu avoir une backdoor sur ton serveur si ce n'est pas toi, l'administrateur, qui l'a mise en place ?
Explique-moi un peu
Essaie d'en implanter une sans être admin

Morgiver · Le 23/02/2013, à 10:22

Je ne sais pas.
Je pensais que les backdoor était des outils utilisé par des pirate pour pouvoir revenir quand ils veulent sur un serveur, non ?
edit :
Ca sous entendrait qu'ils arrivent à rentrer sur le serveur sans backdoor, donc filtrage ou pas en sortie ça change pas grand chose. Enfin, j'imagine.

Dernière modification par Morgiver (Le 23/02/2013, à 10:23)

Brunod · Le 23/02/2013, à 10:29

Et voila !
Sur win, tu peux (pouvais : j'ai abandonné depuis longtemps) installer un backdoor à l'insu de son administrateur par différents moyens sans toucher à la machine. Sur linux, après plus de 10 ans à expérimenter, je ne vois pas encore comment ce serait possible avec 100% de réussite. Hormis évidemment défaillance intellectuelle de l'interface chaise-clavier

Morgiver · Le 23/02/2013, à 10:33

Bien, merci pour tes précisions

En fait, j'imagine que le mieux que j'ai à faire c'est fermer les accès en entrée, ensuite installer les services que je veux fournir puis ouvrir un a un les accès pour chaque service.

Brunod · Le 23/02/2013, à 10:40

Exact, sauf qu'il faut tenir compte de l'ordre des règles; donc il faudra écrire
-autorise 1
-autorise 2
...(et finir par)
-interdire tout le reste

tiramiseb · Le 23/02/2013, à 10:56

Oui, comme Brunod le dit, il faut que les règles soient dans le bon ordre. Avec un script iptables, il s'agit d'exécuter les commandes dans le bon ordre avec les bons arguments...
ufw, de son côté, gère l'ordre des règles tout seul (clef de contact, manivelle, tout ça...)

Morgiver · Le 24/02/2013, à 20:59

Vraiment très sympa ce UFW
Très efficace

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 23/02/2013, à 08:04

[journal]Configuration de serveur

#2 Le 23/02/2013, à 08:53

Re : [journal]Configuration de serveur

#3 Le 23/02/2013, à 09:17

Re : [journal]Configuration de serveur

#4 Le 23/02/2013, à 09:49

Re : [journal]Configuration de serveur

#5 Le 23/02/2013, à 10:04

Re : [journal]Configuration de serveur

#6 Le 23/02/2013, à 10:06

Re : [journal]Configuration de serveur

#7 Le 23/02/2013, à 10:14

Re : [journal]Configuration de serveur

#8 Le 23/02/2013, à 10:22

Re : [journal]Configuration de serveur

#9 Le 23/02/2013, à 10:29

Re : [journal]Configuration de serveur

#10 Le 23/02/2013, à 10:33

Re : [journal]Configuration de serveur

#11 Le 23/02/2013, à 10:40

Re : [journal]Configuration de serveur

#12 Le 23/02/2013, à 10:56

Re : [journal]Configuration de serveur

#13 Le 24/02/2013, à 20:59

Re : [journal]Configuration de serveur

Pied de page des forums