[Tuto] Sécurisation / Logs

XciD69 · 21 nov. 2012

Tuto sur la sécurisation et l'exploitation des logs

Je partage aujourd'hui l'ensembles des petites astuces que pu trouvé sur la toile

Pour ceux qui serait interesé et qui ont un nom de domaine, je peux aussi vous aider à configurer des sous domaines pour vos utilisateurs, chacun aura sont sous domaine : exemple : adrien.xcid.fr ou encore des boîtes mails, etc etc
Mais venons-en au sujet du tuto : Sécurisation et Logs

I) Serveur Mail

On va commencer par mettre en place un léger serveur mail pour avoir un retour sur ce qui se passe sur notre serveur

a) Installation de postfix

apt-get install -f postfix mailutils

Lors de l'installation, laisser la configuration par défault et dans Nom de courrier mettre le nom de votre serveur

b) Test

echo 'Salut, je suis un email.' | mail -s 'Hello world' mail@gmail.com

c) Redirection des mails root

nano /etc/aliases

Rajouter à la fin

root: mail@gmail.com

Pour valider les changements

newaliases

Nouveau test

echo 'Salut, je suis un email.' | mail -s 'Hello world' root

On a fini de configurer le serveur pour qu'il nous envoie des mails en cas de problèmes

II) Sécurisation

a) Configuration SSH

Les principales attaques sur internet se font sur les ports 21/22 et 80
On va donc changer le port SSH et interdire la connexion en root

nano /etc/ssh/sshd_config

Modifier les valeurs, j'ai mis 2 ports en écoute vous pouvez en mettre un seul bien sur.

Port 8080 
Port 443  
PermitRootLogin no
AllowUsers <user> # Choix des utilisateurs autorisé a se connecter

On relance le daemon

/etc/init.d/ssh restart

On teste sa configuration sans fermer la fenetre actuelle, en cas de probleme remettre le port 22 ou essayer avec un autre.

Vous pourrez plus vous connecter en root !
Il va falloir vous connecter directement avec votre login (<user>) et non avec root

b) Mail lors connexion root

On va mettre en place un mail lors des connexion ssh root, vous recevrez ainsi un mail a chaque connexion sur le compte root.

nano /root/.bashrc

Ajouter à la fin

echo 'Acces Shell Root le ' `date` `who` | mail -s 'Connexion serveur via root' root

c) Fail2Ban

Installation :

apt-get install -f fail2ban

Configuration :
Fichier jail.conf

nano /etc/fail2ban/jail.conf

Modifier les valeurs suivantes :

destemail = root
# Activation de fail2ban sur le ssh 
[ssh-ddos] enable = true
port = 8080
port = 443
# Il faut ensuite mettre des true sur les services que vous voulez surveillez.
#Par exemple : Pam-generic 
#Pour lighttpd : 

[lighttpd]
enabled = true
port  = http,https
filter  = apache-auth
logpath = /var/log/lihttpd/*error.log
maxretry = 6 

[lighttpd-noscript]
enabled = true
port    = http,https
filter  = apache-noscript
logpath = /var/log/lighttpd/*error.log
maxretry = 6 

[lighttpd-overflows]
enabled = true
port    = http,https
filter  = apache-overflows
logpath = /var/log/lighttpd/*error.log
maxretry = 2

# Pour vsftpd
[vsftpd]
enabled = true
port = ftp
filter = vsftpd
logpath = /var/log/vsftpd.log
bantime  = 1000
maxretry = 3

Fichier de fail2ban.conf

nano /etc/fail2ban/fail2ban.conf

Rajouter à la fin

[MAIL]
enabled = true
from = root
to = root
subject = [Fail2Ban] <section>: Banned <ip>
message = Hi,<br>
          The IP <ip> has just been banned by Fail2Ban after
          <failures> attempts against <section>.<br>
          Regards,<br>
          Fail2Ban

Et on redemarre fail2ban

/etc/init.d/fail2ban restart

Vous receverez un mail a chaque ban

d) RKHunter :

RKHunter est un programme qui essaye de détecter les rootkits, portes dérobées et exploits sur votre serveur

Installation

apt-get install -f rkhunter

Configuration

nano /etc/default/rkhunter

Modifier les valeurs :

DB_UPDATE_EMAIL="yes"

nano /etc/rkhunter.conf

Modifier les valeurs :

MAIL-ON-WARNING="root"

Test :

rkhunter -c --sk

Vous obtiendrez des faux positifs, poster les je vous aiderais à les résoudres.

Attention, suite l'utilisation de apt-get ou aptitude, il va falloir lancer la commande suivante pour mettre à jour votre base de software.

rkhunter --propupd

Ou l'automatiser :

nano /etc/apt/apt.conf.d/90rkhunter

et copier :

DPkg::Post-Invoke { "if [ -x /usr/bin/rkhunter ]; then /usr/bin/rkhunter --propupd; fi"; };

III) Lecture des logs

a) Logwatch

Logwatch est un programme qui vous envoie un récapitulatif de ce qui se passe sur votre serveur tout les jours.

Installation :

apt-get install -f logwatch

Configuration basique

nano /usr/share/logwatch/default.conf/logwatch.conf

Modifier les valeurs suivantes :

Output = mail
MailTo = root

Configuration pour lighttpd

cp /usr/share/logwatch/default.conf/logfiles/http.conf /usr/share/logwatch/default.conf/logfiles/lighttpd.conf
cp /usr/share/logwatch/default.conf/services/http.conf /usr/share/logwatch/default.conf/services/lighttpd.conf
cp /usr/share/logwatch/scripts/services/http /usr/share/logwatch/scripts/services/lighttpd

Editions des fichiers :

nano /usr/share/logwatch/default.conf/logfiles/lighttpd.conf

Modifier les valeurs

 LogFile = lighttpd/*access_log
LogFile = lighttpd/*access.log.1
LogFile = lighttpd/*access.log
LogFile = lighttpd/*access.log.1
LogFile = lighttpd/*access.log
LogFile = lighttpd/*error.log.1
LogFile = lighttpd/*error.log

nano /usr/share/logwatch/default.conf/services/lighttpd.conf

Modifier les valeurs

 Title = "lighttpd"
LogFile = lighttpd

On test :

logwatch

Et vous devriez recevoir un mail avec le récapitulatif

et ensuite un mail journalier

b) AWStats

AWStats est un analyseur de log web mais aussi FTP offrant des vues graphiques statiques mais aussi dynamiques des statistiques d'accès à vos serveurs web. Voir définition WIKI

Installation

apt-get install -f awstats perl liburi-perl

Configuration de lighttpd

nano /etc/lighttpd/lighttpd.conf

Ajouter à la fin

 alias.url += (
                "/awstatsclasses" => "/usr/local/awstats/wwwroot/classes/",
                "/awstatscss" => "/usr/local/awstats/wwwroot/css/",
                "/awstatsicons" => "/usr/local/awstats/wwwroot/icon/",
                "/awstats" => "/usr/local/awstats/wwwroot/cgi-bin/",
                "/icon/" => "/usr/local/awstats/wwwroot/icon/"
              )

server.modules += ( "mod_cgi" )
$HTTP["url"] =~ "/awstats/" {
  cgi.assign = (
    ".pl" => "/usr/bin/perl",
    ".cgi" => "/usr/bin/perl"
        )
auth.backend = "htdigest"
auth.backend.htdigest.userfile = "/etc/lighttpd/.aw"
auth.require = ( "/awstats/" =>
(
"method" => "digest",
"realm" => "Awstats",
"require" => "valid-user"
)
}

Création de l'user et changement d'utilisateur sur le repertoire

htdigest -c /etc/lighttpd/.aw 'Awstats' <user>

chown -R www-data:www-data /usr/local/awstats/wwwroot/

Configuration des stats

cp /etc/awstats/awstats.model.conf /etc/awstats/awstats.seedbox.net.conf

nano /etc/awstats/awstats.seedbox.net.conf

Modifier les valeurs suivantes

 LogFile="/usr/local/awstats/tools/logresolvemerge.pl /var/log/lighttpd/access.log* |"
SiteDomain="seebox.net"
DirData="."
DNSLookup=1
AllowFullYearView=3

Script d'automatisation

nano /etc/cron.daily/01awstats

 #!/bin/bash
# path to cgi-bin
AWS=/usr/local/awstats/wwwroot/cgi-bin/awstats.pl
# append your domain
DOMAINS="seedbox.fr"
# loop through all domains
for d in ${DOMAINS}
do
   ${AWS} -update -config=${d}
done

chmod +x /etc/cron.daily/01awstats

L'executer

/etc/cron.daily/01awstats

Vos stats sont maintenant disponible à l'adresse suivante :

http://ip/awstats/awstats.pl?config=seedbox.fr
Si il ya des interessé, je posterais la configuration pour avoir les stats FTP dans awstats

Voila, si vous avez des problèmes ou des demandes particulières n’hésitez pas.

Par rapport à IPTables,
J'ai essayé de le configurer correctement mais a chaque fois j'ai l'impression que rutorrent télécharge plus aussi vite une fois que c'est en place c'est pourquoi je l'ai desactiver et que je ne l'ai décris ici.

Dernière chose : Je vous conseille d'ajouter les ip de vos collegues dans :
/etc/hosts
(nano /etc/hosts)

par exemple :

88.888.88.88 adrien.fr

A++

EDIT : Suppression de portsentry, je dois me pencher dessus