Améliorations de Tuto pour Rutorrent

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Améliorations de Tuto pour Rutorrent

ChTiPowA

Bonjour,

En rapport avec les Hacks que j'avais eu, je suggère d'expliquer dans le tuto pour :

- Changer le port SSH Root pour éviter les bruteforces
- Installer Fail2Ban et activer les options essentielles
- Bloquer les scanners extérieurs avec IPTables

On est pas nécessairement obligé d'ouvrir les ports qui nous intéressent et de bloquer tout le reste dans la mesure où on reste discret sur le net.

Pour le blocage de Ping c'est plus délicat car chez Kimsufi par exemple, le système Monitoring est alerté si le serveur ne répond plus aux pings.
Ya une solution bien sûr mais n'est peut-être pas à la portée de tous, il suffit de faire un TCPDump sur notre IP du serveur et d'autoriser le serveur OVH qui ping toutes les 2-3 minutes environ.

Ces détails manquent aux tutos et expliquent les hacks que j'ai eu, dans les rapports que j'ai c'est très visible, des IPs tentaient en permanence de bruteforcer mon compte Root et y sont parvenus après 1 an de service.

Magicalex

Interdit la connection @root pour éviter les brutes force à root?

nano /etc/ssh/sshd_config

puis change cette ligne la.

PermitRootLogin no

et reboot le serveur ssh

Ou alors encore plus radicale tu fais une authentification par clés comme ça plus de mot de passe.

pour le ping... je partage pas ton avis je vois pas trop l’intérêt de faire ça.

ChTiPowA

Magicalex wrote:Interdit la connection @root pour éviter les brutes force à root?
nano /etc/ssh/sshd_config
puis change cette ligne la.
PermitRootLogin no

J'ai pas sudo, c'est pas automatique et faut y penser sinon on est un peu dans la merde

J'ai préféré changer de port ça revient au même si ce n'est que je peux aller en root.

L'intérêt de bloquer les pings sur internet c'est pour rester invisible aux scanners extérieures.

Magicalex

J'ai pas sudo, c'est pas automatique et faut y penser sinon on est un peu dans la merde.

T'es pas obligé d'avoir sudo.

Une fois que tu t'es loggué avec un autre user tu fais:

su root

demande le mot de passe et après t'es connecté en root.

Y'a Portsentry qui est pas mal pour se protéger des scans

ChTiPowA

Ok, j'ai cherché sur le net ça a l'air complet PortSentry mais j'imagine que les règles préétablies dans IPTABLES ça doit faire son affaire.

Je n'autorise pas que les ports dont j'ai besoin, j'ai simplement bloqué les scans extérieures et le ping, puis changer le port du SSH, je l'ai mis assez loin.

Pour les améliorations de tutos vous devriez prendre tous ces éléments en considération

Pour ce serveur là je crois que je vais rester comme ça.

wird

Pas nécessairement utile de changer le port ssh. C'est une sécurité, mais bon certain colloc peuvent être derrière VPN qui ne laissent passer que certain port normés, dont le 22. Il suffit d'interdire le rootlogin, d'avoir un groupe admin qui a le droit de faire du sudo. Enfin, tu déactive le login root et l'auth par pass pour tout les users après leur avoir distribué leur clé privé

Plus long à mettre en place, mais plus "propre"

P.S : bloquer le ping assure en rien ta protection face aux scans 😉 Les règles pour bloquer ce genre de scan tourne autour du type de paquet qui arrive. Le scanneur, plutot que de tenter une connec sur tt les ports se se manger le firewall va faire croire à iptable que c'est toi qui lui a causé en premier en envoyant des paquets de type "ESTABLISHED" ou "RELATED". De la sorte, il contourne les parefeu qui laissent rarement passer les connexion de type "NEW" rentrante

C'est un exemple de tactiques utilisées ( et surement pas la seule ).

Le scan sur le port 80 est la base, tout simplement car on peut faire passer tout et n'importe quoi par http