PARAMETRAGE ET SECURISATION DEBIAN 4.0 ETCH

Sources :

• http://ptitnico.net/index.php/linux
• http://www.delafond.org/traducmanfr/man/man5/sshd_config.5.html

1 – Configuration des dépôts

$ nano /etc/apt/sources.list

Taper les informations suivantes :

deb ftp://mir1.ovh.net/debian/etch main contrib non-free

deb http://security.debian.org/etch/updates main contrib non-free

Control + X pour quitter nano

Il demande si l’on sauve, dire Oui en pressant la touche O

Il demande comment le fichier doit s’appeler, faire Entrée pour toucher à rien.

2 – Mise à Jour des dépôts et mise à jour de sécurité

$ apt-get update

$ apt-get upgrade

La mise à jour prend du temps, ne vous inquiétez pas si ça dure. Evitez de mettre les mises à jour automatiques, préférez les faire manuellement et régulièrement.

3 – Changement du Hostname

Ne faites cette manipulation que si cela vous est utile

$ nano /etc/hostname

Taper les informations suivantes :

dedie.clicclac-photo.fr

Control + X pour quitter nano

Il demande si l’on sauve, dire Oui en pressant la touche O

Il demande comment le fichier doit s’appeler, faire Entrée pour ne toucher à rien.

Redémarrer votre serveur

$ reboot

4 – Installation & Configuration de Fail2Ban

Fail2Ban est un ingénieux programme qui va bannir (en utilisant le FireWall Iptables) les IP qui tentent de se loguer sur le port SSH au bout de multiples tentatives de connexions échouées.

Installation Fail2Ban

$ apt-get install fail2ban

Configuration Fail2Ban

$ nano /etc/fail2ban/jail.conf

Taper les informations suivantes. On définit le nombre de tentatives maximales avant de bannir, ici on bannit au bout de 4 tentatives et pendant 30 minutes.

[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 4
# durée du bannissement
bantime = 1800

On redémarre le démon :

$ /etc/init.d/fail2ban restart

Affichage des IP bannis par Fail2Ban

$ nano /var/log/fail2ban.log

5 – Installation & Configuration de SSH

Si vous ne souhaitez pas voir des milliers de tentatives d’authentification chaque jour, un moyen tout simple consiste à changer le port d’écoute de SSH. En effet, par défaut le port SSH est le 22 et des bots (robots) tentent de multiples combinaisons pour se loguer sur votre machine. En le modifiant nous allons réduire voire supprimer ce nombre de tentatives !

Installation de SSH

$ apt-get install ssh

Configuration ssh

$ nano /etc/ssh/sshd_config

Taper ou Modifier les informations suivantes.

# Port SSH:

Port [Port de votre choix]

# Authentification:

LoginGraceTime 120

PermitRootLogin no  //Ne permet pas la connexion avec le root

StrictModes yes

AllowUsers  [Utilisateur Autorisés]

6 – Se protéger contre les Smurf Attack

Se protéger contre les Smurf Attak ou attaque par réflexion. Cette technique est basée sur des serveurs de diffusion (Broadcast) qui ont pour rôle de paralyser le réseau c’est à dire qu’un message va être diffusé et multiplié sur le réseau.

$ echo « 1 » > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

7 – Suppression des services ou packages inutiles

$ apt-get remove ppp
$ apt-get remove portmap
$ update-rc.d -f inetd remove
$ update-rc.d -f ppp remove
$ update-rc.d -f atd remove

Auteur : POMENTE Guillaume