[Serveur] Problème sécurisation serveur

Bonjour à tous !

J’ai un problème qui commence sérieusement à m’énervé ! Les ports SMTP / DNS / SMTP-SSL / AMAVIS sont désignés comme étant à l’arrêt et ce malgrès l’iptables configurée :

Voici le contenu de mon iptables :

#!/bin/sh 
 
# Réinitialise les règles
sudo iptables -t filter -F 
sudo iptables -t filter -X 
 
# Bloque tout le trafic
sudo iptables -t filter -P INPUT DROP 
sudo iptables -t filter -P FORWARD DROP 
sudo iptables -t filter -P OUTPUT DROP 
 
# Autorise les connexions déjà établies et localhost
sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
sudo iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
sudo iptables -t filter -A INPUT -i lo -j ACCEPT 
sudo iptables -t filter -A OUTPUT -o lo -j ACCEPT 
 
# ICMP (Ping)
sudo iptables -t filter -A INPUT -p icmp -j ACCEPT 
sudo iptables -t filter -A OUTPUT -p icmp -j ACCEPT 
 
# SSH
sudo iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT 
sudo iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT 
 
# DNS
sudo iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT 
sudo iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT 
sudo iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT 
sudo iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT 
 
# HTTP
sudo iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT 
sudo iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT 

# FTP 
sudo iptables -t filter -A OUTPUT -p tcp --dport 20:21 -j ACCEPT 
sudo iptables -t filter -A INPUT -p tcp --dport 20:21 -j ACCEPT 

# Mail SMTP 
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT 
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT 
 
# Mail POP3
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT 
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT 
 
# Mail IMAP
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT 
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT 

# NTP (horloge du serveur) 
sudo iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT

Et voici ce qu’indique mon panel (iscCP Oméga) :

Ainsi la fonction mail ne fonctionne plus, et le pointage DNS idem…

Si quelqu’un veut bien m’aidé, ou veux bien réalisé la manoeuvre qu’il me contact s’il vous plaît.
Et merci à tous ceux qui m’aideront.

–
Infos du serveur : Linux ks2568.kimsufi.com 2.6.33.5-xxxx-grs-ipv4-32 #2 SMP Fri Jun 18 13:07:18 UTC 2010 i686 GNU/Linux.

Salut,
a première vue :

Pour smtp : t’a pas mis le “sudo” devant la règle, donc il se peut qu’ellene soit pas prise en compte.
pour dns : je ne vois pas trop, mais pas besoin des règles sur le tcp, dns = udp/53 uniquement
pour smtp-ssl : t’a aucune règle de définie pour lui (port 465 tcp)
pour amavis : je sais pas, vu que les règles sur localhost ont l’air ok.

Par contre, à ta place, je virerais tous ces sudo du script, et je le lancerais en root.

Je sais pas si ton ordi est serveur dns, web, ftp, imap, pop… Mais si ca n’est pas le cas, pas besoin de la règle input à chaque fois, vu que l’autorisation du trafic retour est assurée par le suivi de connexion. Ca fait des trous pour rien.

[quote=“dric64”]Salut,
a première vue :

Pour smtp : t’a pas mis le “sudo” devant la règle, donc il se peut qu’ellene soit pas prise en compte.
pour dns : je ne vois pas trop, mais pas besoin des règles sur le tcp, dns = udp/53 uniquement
pour smtp-ssl : t’a aucune règle de définie pour lui (port 465 tcp)
pour amavis : je sais pas, vu que les règles sur localhost ont l’air ok.

Par contre, à ta place, je virerais tous ces sudo du script, et je le lancerais en root.

Je sais pas si ton ordi est serveur dns, web, ftp, imap, pop… Mais si ca n’est pas le cas, pas besoin de la règle input à chaque fois, vu que l’autorisation du trafic retour est assurée par le suivi de connexion. Ca fait des trous pour rien.
[/quote]

“Par contre, à ta place, je virerais tous ces sudo du script, et je le lancerais en root.” Merci pour ces quelques précision, en fait lorsque je veux lancé le script voilà ce qu’il se passe :

ks2568:~# chmod +x /etc/init.d/firewall
ks2568:~# /etc/init.d/firewall
/etc/init.d/firewall: line 4: sudo: command not found
/etc/init.d/firewall: line 5: sudo: command not found
/etc/init.d/firewall: line 8: sudo: command not found
/etc/init.d/firewall: line 9: sudo: command not found
/etc/init.d/firewall: line 10: sudo: command not found
/etc/init.d/firewall: line 13: sudo: command not found
/etc/init.d/firewall: line 14: sudo: command not found
/etc/init.d/firewall: line 15: sudo: command not found
/etc/init.d/firewall: line 16: sudo: command not found
/etc/init.d/firewall: line 19: sudo: command not found
/etc/init.d/firewall: line 20: sudo: command not found
/etc/init.d/firewall: line 23: sudo: command not found
/etc/init.d/firewall: line 24: sudo: command not found
/etc/init.d/firewall: line 27: sudo: command not found
/etc/init.d/firewall: line 28: sudo: command not found
/etc/init.d/firewall: line 29: sudo: command not found
/etc/init.d/firewall: line 30: sudo: command not found
/etc/init.d/firewall: line 33: sudo: command not found
/etc/init.d/firewall: line 34: sudo: command not found
/etc/init.d/firewall: line 37: sudo: command not found
/etc/init.d/firewall: line 38: sudo: command not found
/etc/init.d/firewall: line 53: sudo: command not found

As-tu une idée de comment s’en sortir.
PS : je n’ai pas énormément de connaissance niveau Linux/Shell. Un amis m’a configuré tout le serveur puisque le second propriétaire est en vacances pour un mois et demi. Donc c’est un peu pour ça que je viens sur ce forum. Avant tout pour re-configuré le serveur, en un serveur d’hébergement web performant (incluant donc les DNS + Mails)

tu le lances avec root ton script ?
edit : ah non, j’avais pas vu.

Ca à l’air d’un problème de path (il ne trouve pas sudo), remplace par /usr/bin/sudo (chemin complet) à la limite…

Oui ! ^^"

[quote=“Figawoody.”]Oui ! ^^"

ah ben alors c’est normal : root n’a pas besoin de sudo, du coup ca le fait raler que tu lance des commandes en sudo en étant root.
Edit : en fait non, ca ne lui pose aucun problème. Mais ca n’est pas utile de toute facon d’utiliser “sudo” lorsque tu es root.

[quote=“dric64”][quote=“Figawoody.”]Oui ! ^^"

ah ben alors c’est normal : root n’a pas besoin de sudo, du coup ca le fait raler que tu lance des commandes en sudo en étant root.[/quote]

Je dois donc édité le sujet en retirant tous ces “sudo” ? Je test ! Et je vous dis ça fonctionne…

[quote=“Figawoody.”][quote=“dric64”][quote=“Figawoody.”]Oui ! ^^"

ah ben alors c’est normal : root n’a pas besoin de sudo, du coup ca le fait raler que tu lance des commandes en sudo en étant root.[/quote]

Je dois donc édité le sujet en retirant tous ces “sudo” ? Je test ! Et je vous dis ça fonctionne…[/quote]
Je viens de tester chez moi, il ne rale pas. Mais c’est inutile : si t’es root, pas besoin de sudo. Le path de root ne doit pas contenir le chemin /usr/bin, ce qui doit expliquer l’erreur “command not found”.
Donc soit tu supprimes tous les sudo du script
Soit tu les remplace par le chemin complet (qui est en principe /usr/bin/sudo)

Alors, j’ai lancé la même commande que tout à l’heure :

ks2568:~# chmod +x /etc/init.d/firewall -bash: chmod +x /etc/init.d/firewall: Aucun fichier ou r?pertoire de ce type ks2568:~# /etc/init.d/firewall

Au niveau de l’interface (ispCP Oméga) cela affiche toujours un arrêt des ports/services.
Merci pour ton aide !

Oui, mais le port peut être configuré, mais le service pas lancé… C’est pas pareil.

D’acc. Alors comment remédiez à ce problème ? >.<

D’acc. Alors comment remédiez à ce problème ? >.<[/quote]

Ton appli ispCP Oméga, elle doit regarder si un service écoute sur le port en question. Pour le dns par exemple, ca serait bind.
En root, tu peux faire :

service nom_du_service status

ou encore

/etc/init.d/nom_du_service status

pour savoir s’il tourne ou pas.
S’il tourne pas, faut le démarrer:

service nom_du_service start
ou
/etc/init.d/nom_du_service start

Mais pour le démarrer, faut qu’il soit installé et configuré avant…

Par exemple pour le DNS (bind) il y a un bien un fichier “bind9” :
donc j’ai fais ça :

ks2568:~# /etc/init.d/bind9 start Starting domain name service...: bind9.
Puis :

ks2568:~# /etc/init.d/bind9 status bind9 is running.

Le soucis est que ça me l’affiche toujours à l’arrêt. Donc c’est que ça doit venir de la config ?

faut peut être relancer ou actualiser ton ispCP Oméga. Je ne connais pas cette application, donc je ne pourrais pas t’en dire bcp plus sur le pourquoi du comment la concernant

Ahh d’accord… je suis pas prêt de m’en sortir
Merci!

J’ai essayé pour les mails (postfix)

ks2568:~# /etc/init.d/postfix start Starting Postfix Mail Transport Agent: postfixpostfix: warning: valid_hostname: invalid character 58(decimal): 213.186.45.192:25 postfix: fatal: file /etc/postfix/main.cf: parameter myhostname: bad parameter value: 213.186.45.192:25 failed!

Sur-ce je quitte l’ordi et go matter un film.
Je repasserais dans la matinée.

Est-ce que quelqu’un parmi si connaît suffisamment pour jeter un oeil côté shell ? ^^" ou encore m’indiqué la marche à suivre pour configuré le tout ?

Je sais que vous en avez certainement rien à faire de mon cas - sauf que j’ai vraiment un soucis. Ca fait une bonne semaine que le site est inaccessible depuis la migration vers Debian >_> . Help !

pour les règles OUTPUT, ce ne serait pas un --sport plutôt qu’un --dport ?

Je vais essayé on verra bien… au pire il n’y a pas quelqu’un en qui je pourrais faire confiance pour configuré tout ça >.< ?

Sauf erreur de ma part, la règle : iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT est là justement pour éviter d’avoir à écrire toutes ces règles de réponses de la part du serveur (qui seraient dans ce cas bien des “output / --sport” comme tu le disais)