Securisation accés ssh

Support Debian
#1

Bonjour à tous,

j’espére que la section dans laquelle je poste vous conviendra, je n’ai pas vraiment un probléme, mais ça me paraît être suffisamment “technique” pour ne pas être dans Pause Café.

Je viens de louer un serveur dédié, et avant d’installer un environnement de production, je voudrais mettre le paquet au niveau sécurité.

Aussi j’aimerais simplement avoir vos avis - argumentés ^^ - sur “ma” méthode de connxion ssh. Etant autodidacte, je ne serais pas surpris d’être passé à côté de certaines choses que j’ignore.

J’ai créé un utilisateur, que je vais appeler roromag.
J’ai installé sudo et inscrit roromag en tant que sudoer.
J’ai configuré sshd pour qu’il n’accepte qu’uniquement les connexions de roromag via clé (et sur un port différent de celui d’origine)
J’ai désactivé le compte root.
J’ai installé / configuré fail2ban.
J’ai écrit un script qui lors d’une connexion réussie me prévient par tweet. (pour le côté “fun” ^^)

Il me reste à mettre en place mes régles de Firewall (je suis en train de faire des essais mais j’ai quelques difficultés. J’ai entendu dire que la version de mon noyau en serait la cause (noyau personnalisé par ovh) mais je dois creuser pour savoir ce qu’il en est).
L’objectif est de faire du PortKnocking et d’ouvrir le port utilisé par ssh uniquement à la demande.

J’ai l’intention de créer un utilisateur distinct pour chacun des daemons sensibles que j’aurais à installer.

Voilà, ça me paraît TOP, mais je ne me base que sur mes connaissances qui proviennent de divers TUTOS / Forums …

Qu’en dites vous ?

#2

Salut,

Tu es loin de une question par post :laughing:

Bien sûr ton “user” a un mot de passe béton !
Tu as ajouté :

Defaults:ALL tty_tickets, timestamp_timeout=0 pour que sudo ne reste pas ouvert trop longtemps !
Cet user est obligé de donner son MDP pour chaque opération !

#3

Salut,

[quote=“roromag”]…
J’ai configuré sshd pour qu’il n’accepte qu’uniquement les connexions de roromag via clé

J’ai installé / configuré fail2ban.

J’ai entendu dire que la version de mon noyau en serait la cause (noyau personnalisé par ovh)

[/quote]
Sois parano, une clés de 16Kbit serait un plus … Génération d’une clés 16kbit, mais … Permission denied

Tu peux également installer denyhost, psad, portsentry … :whistle:

Quant au noyau ovh … Installé le noyau Debian sur ovh. C’est compliqué … ???

Pour iptables, voir notre wiki … :wink:

#4

[quote=“roromag”]Bonjour à tous,

j’espére que la section dans laquelle je poste vous conviendra, je n’ai pas vraiment un probléme, mais ça me paraît être suffisamment “technique” pour ne pas être dans Pause Café.

Je viens de louer un serveur dédié, et avant d’installer un environnement de production, je voudrais mettre le paquet au niveau sécurité.

Aussi j’aimerais simplement avoir vos avis - argumentés ^^ - sur “ma” méthode de connxion ssh. Etant autodidacte, je ne serais pas surpris d’être passé à côté de certaines choses que j’ignore.

J’ai créé un utilisateur, que je vais appeler roromag.
J’ai installé sudo et inscrit roromag en tant que sudoer.
J’ai configuré sshd pour qu’il n’accepte qu’uniquement les connexions de roromag via clé (et sur un port différent de celui d’origine)
J’ai désactivé le compte root.
J’ai installé / configuré fail2ban.
J’ai écrit un script qui lors d’une connexion réussie me prévient par tweet. (pour le côté “fun” ^^)

Il me reste à mettre en place mes régles de Firewall (je suis en train de faire des essais mais j’ai quelques difficultés. J’ai entendu dire que la version de mon noyau en serait la cause (noyau personnalisé par ovh) mais je dois creuser pour savoir ce qu’il en est).
L’objectif est de faire du PortKnocking et d’ouvrir le port utilisé par ssh uniquement à la demande.

J’ai l’intention de créer un utilisateur distinct pour chacun des daemons sensibles que j’aurais à installer.

Voilà, ça me paraît TOP, mais je ne me base que sur mes connaissances qui proviennent de divers TUTOS / Forums …

Qu’en dites vous ?[/quote]

Sudo c’est très personnel ( je vais évité de relancé le sempiternel “velu des Cavernes” ).

L’installation d’une clé et très bien, le “port knokcing” est très simple à mettre en place :

[options] logfile = /var/log/knockd.log [openSSH] sequence = [color=#FF0000]7000,8000,9000[/color] seq_timeout = 10 tcpflags = syn command = /usr/sbin/iptables -A INPUT -s %[color=#FF0000]IP[/color]% -j ACCEPT [closeSSH] sequence = [color=#FF0000]9000,8000,7000[/color] seq_timeout = 10 tcpflags = syn command = /usr/sbin/iptables -D INPUT -s %[color=#FF0000]IP[/color]% -j ACCEPT

Tu gère selon l’IP ou les IPs désirées ainsi que le port que tu veux ouvrir ( de préférence pas le 22 même si c’est moins grave du fait du port knocking mis en place ).
Il est aussi très intéressant d’utiliser un mélange de paquet UDP et TCP pour faire du “toc toc” et de mettre une rotation des séquences en place n’est pas non plus une mauvaise chose :033 ( paranoïa quand tu me tient :083 ).

La page de manuel que je recommande de lire :

http://linux.die.net/man/1/knockd

La désactivation du compte root est pas forcement très utile par contre interdire spécifiquement la connexion SSH, ftp via root est une obligation à mon avis sur une machine ouverte au monde.

Pour le restant le bon sens et un peu de lecture croisé devrait finir de t’apporter les réponses à tes futurs questions concernant la sécurisation de ton ftp ( si il y en a un ) et du serveur web.

#5

@ggoodluck47 :

D’ou mon hésitation à mettre ça plutôt dans un fil de discussion, d’autant que je n’ai pas “une” question en particulier ^^
S’il vaut mieux créer un post par question, n’hésitez pas à me le faire remarquer !

Clairement oui, que je change régulierrement et qui est généré par un outil spécifique.

[quote]Tu as ajouté :

pour que sudo ne reste pas ouvert trop longtemps !
Cet user est obligé de donner son MDP pour chaque opération ![/quote]
Non, je ne connaissais pas, je suppose qu’il s’agit de la configuration de sudo ? Je vais fouiller un peu par là.

@loreleil :

J’avoue que j’ai laissé les paramétres par défaut pour la clef, je vais regarder ça aussi.

Ca fais beaucoup d’un coup, mais je jetterais un oeil à ces outils dés que j’aurais un moment.

Pour le noyau OVH, j’avais effectivement trouvé des ressources pour le changer, sans pour autant comprendre le probléme du noyau fournit. C’est par rapport aux mises à jours, notamment de sécurité ?

@Clochette :
J’ai déjà des ressources et fait quelques essais concluant avec knockd, mais merci pour la page de manuel, j’aurais tous sous les yeux ^^

Pour le moment j’utilise du SFTP, j’ai la sensation que c’est plus sécurisé que du FTP, et plus simple à mettre en place que du FTPS puisque j’ai déjà une connexion SSH. Mais je ne maîtrise pas le sujet, d’ou le choix du terme “sensation”.

En tout cas merci beaucoup à vous, j’ai toujours autant de plaisir à poster sur ce Forum.
Et grâce à vous, je vais avoir de quoi m’occuper pour ce weekend pluvieux :laughing:

#6

bonsoir,

pour sécuriser ton sftp, tu peux utiliser mySecureShell ou rssh ou autre bien sûre :slightly_smiling: pour que lapersonne n’aity que lescommandes sftp :slightly_smiling: