[serveur] vérifications de routine

Support Debian
#1

Bonjour,
quels sont les logs à vérifier régulièrement et où trouver des info sur comment comprendre ce qui y est dit?
exemple auth.log est un peu difficile à comprendre.

j’aimerais aussi en profiter pour vous demander les principales faiblesses d’une install debian minimale non configurée.
exemple : brute force du ssh root…

#2

La doc ne manque pas à ce sujet, tu peux commencer par ça:

[quote]Guide sur l’installation d’un serveur sous Debian 7 (Wheezy)

Cette page sert de sommaire à une série d’articles portant sur la mise en place d’un serveur sous Debian 7 (Wheezy).
Sommaire

Partie 1 : Première connexion : on commence par quoi ?
Partie 2 : Sécuriser l’accès SSH
Partie 3 : L’envoi de mails depuis la ligne de commande
Partie 4 : Gérer le trafic entrant et sortant avec iptables
Partie 5 : Fail2ban, gardien de votre serveur
Partie 6 : Cron-apt et l’importance des mises à jour
Partie 7 : Garder un oeil sur votre serveur avec Glances
Partie 8 : Derniers conseils

[/quote]
elliptips.info/guide-sur-linstal … -7-wheezy/

#3

je te remercie sv0t mais j’ai déjà fait plus d’une dizaine de site dont celui-ci (qui n’est pas exhaustif et porte de mauvais conseil : je parle de celui de déplacer l’ssh sur le port 2222
tu peux lire ca
adayinthelifeof.nl/2012/03/ … -bad-idea/).
c’est pour ca que j’ai demandé une liste claire et fiables des étapes de sécurisation ici etapes-necessaires-t51729.html

sinon t’aurais pas un lien pour apprendre à lire les log et savoir quel log vérifier de temps en temps après que le serveur ait déjà été installé?

#4

Moins il y a de services, moins il y a de risque. Fermer tous les ports avec iptables, puis tu n’ouvres que les services dont tu as besoin. Attention avec ssh si ton serveur est distant. Pour afficher les dernières procédures de login, l’heure des tentatives, si elle ont échoué ou réussi [mono]/var/log/auth.log[/mono]. Le [mono]syslog.conf[/mono] est stocké dans le répertoire [mono]/etc[/mono] debian.org/doc/manuals/secu … ion-detect

#5

je te remercie et où est ce que je peux apprendre à utiliser iptable?
j’ai déjà ce lien wiki.debian.org/iptables
mais après faut comprendre… on parle de boucles etc…

#6

J’avais commencé à utiliser iptables avec : olivieraj.free.fr/fr/linux/infor … ewall.html
Je l’ai trouvé, personnellement, assez didactique pour comprendre les bases.

Pour ce qui est de la surveillance des logs, tu peux regarder du côté de logcheck et logwatch : ce sont des outils qui parcourent les logs et t’envoient un rapport avec les entrées les plus intéressantes.

[quote=“vger”]je te remercie sv0t mais j’ai déjà fait plus d’une dizaine de site dont celui-ci (qui n’est pas exhaustif et porte de mauvais conseil : je parle de celui de déplacer l’ssh sur le port 2222
tu peux lire ca
adayinthelifeof.nl/2012/03/ … -bad-idea/).
[/quote]
Il faut effectivement être méfiant envers les tutoriels de sécurisation.

Notamment beaucoup usent trop de sécurité par l’obscurité, alors qu’il faudrait plus s’attarder sur des points plus importants :

  • tu peux changer le port SSH, mais le plus important c’est que les accès soient sécurisés (mots de passe fort ou clé)
  • tu peux mettre ServerSignature Off dans apache, mais le plus important est de le maintenir à jour (ainsi que les éventuels CMS utilisés).

Beaucoup listent bêtement toutes les applications de sécurité existante, sans chercher plus loin leur utilité, et sans prendre en compte qu’ils peuvent augmenter la surface d’attaque (ex avec chkrootkit : exploit-db.com/exploits/33899/ )

La sécurité n’est pas le but, elle est le chemin : nojhan.net/geekscottes/index.php?id=123

Pour ce qui est de SSH, il y a tout de même un inconvénient à le laisser sur le port 22 et se prendre beaucoup de tentatives d’accès (mêmes infructueuses).

  • ça ajoute plein d’entrées dans les logs, qui rendent leur analyse plus difficile en cas de problème (rapport signal/bruit)
  • certains bots sont bourrins, et peuvent saturer les slots SSH disponibles, au point de géner les connexions légitimes (même si on y arrive en insistant)
    Pour contrer ça, j’installe systématiquement fail2ban, qui va bloquer les adresses qui font trop de tentatives (avec néanmoins le risque d’être bloqué pendant quelques minutes, si par exemple tu te trompes plusieurs fois de mot de passe).
#7

je vous remercie

pour le ssh j’utilise l’authentification par clé publique, en plus de ca les mdp trop fort sont stockés avec keepass (j’ai pas eu de mauvais retour sur cette pratique :whistle: ) donc je risque pas d’oublier ce que je connais pas :dance:

plus sérieusement, avec iptables j’ai pas compris comment mais j’ai banni les accès.

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT sudo iptables -A *****

ca, ca avait l’air de fonctionner, mais j’ai suivi un tuto qui m’a fait faire ca

iptables-save > /etc/iptables.up.rules editor /etc/network/if-pre-up.d/iptables

[quote]#!/bin/sh
/sbin/iptables-restore < /etc/iptables.up.rules[/quote]

chmod +x /etc/network/if-pre-up.d/iptables

mais après ca, a chaque tentative de connexion le serveur refusait.
En plus j’arrivait pas à monter le /dev/sda2 en mode rescue donc je réinstalle tout :confused:

edit : j’ai un trou, je ne suis pas sûr d’avoir mis INPUT -j DROP à la place des étoiles

edit 2 : je n’ai pas encore installé de serveurs, pour l’instant j’essais de sécuriser un minimum le serveur d’abord (au moin mettre en place le firewall) puis je pense installer nginx

#8

Une astuce que j’utilise pour ssh. Je crée un utilisateur au nom improbable (par ex FRE56YTR), sans home, avec mdp fort, et est le seul à être joignable via ssh. Cet utilisateur n’a quasiment aucun droit, et ne fait partie d’aucun groupe.
A partir de là, je peux passer en root.
Pour un attaquant extérieur, ça complique pas mal la tache.

#9

:118 ce serait pas amusant d’avoir un ordi sans faire un peu de parano
merci pour l’astuce

#10

quand on voit ce qu’on voit, et qu’on entend ce qu’on entend, on devient parano avec les machines connectées à internet