Vérifier que son serveur est sécurisé

Support Debian
#1

Bonjour,

J’aimerai avoir quelques astuces pour vérifier que mon serveur est bien sécurisé. J’ai suivi des tutos comme celui proposé par OpenClassRoom en installant fail2ban et en configurant correctement mon firewall. J’utilise aussi rkhunter et portsentry.

Le problème est que lorsque je consulte mes logs et notamment le fichier mail.warn j’ai ceci :

[quote]May 21 05:52:53 de1345 postfix/smtpd[1411]: warning: 95.9.39.164: hostname 95.9.39.164.static.ttnet.c$
May 21 05:52:53 /usr/lib/plesk-9.0/psa-pc-remote[1073]: Message aborted.
May 21 05:52:53 /usr/lib/plesk-9.0/psa-pc-remote[1073]: Message aborted.
May 21 06:23:20 plesk_saslauthd[1476]: Invalid mail address 'everest@'
May 21 06:23:20 postfix/smtpd[1473]: warning: s15433869.onlinehome-server.com[74.208.72.28]: S$
May 21 06:55:57 plesk_saslauthd[1554]: Invalid mail address 'falcon@'
May 21 06:55:57 postfix/smtpd[1551]: warning: s15433869.onlinehome-server.com[74.208.72.28]: S$
May 21 07:28:37 plesk_saslauthd[1626]: Invalid mail address 'fax@'
May 21 07:28:37 postfix/smtpd[1623]: warning: s15433869.onlinehome-server.com[74.208.72.28]: S$
May 21 08:01:00 plesk_saslauthd[1695]: Invalid mail address 'ftpuser@'
May 21 08:01:00 postfix/smtpd[1692]: warning: s15433869.onlinehome-server.com[74.208.72.28]: S$
May 21 08:33:17 plesk_saslauthd[1762]: Invalid mail address 'fujitsu@'
May 21 08:33:17 postfix/smtpd[1759]: warning: s15433869.onlinehome-server.com[74.208.72.28]: S$
May 21 08:38:18 postfix-local[1820]: cannot chdir to mailname dir de: No such file or directory
May 21 08:38:18 postfix-local[1820]: Unknown user: de@de1345.ispfr.net
May 21 08:38:18 postfix-local[1824]: cannot chdir to mailname dir shell: No such file or direc$
May 21 08:38:18 postfix-local[1824]: Unknown user: shell@de1345.ispfr.net
May 21 08:38:18 postfix-local[1822]: cannot chdir to mailname dir lnantes-156-75-27-134.w82-12$
May 21 08:38:18 postfix-local[1822]: Unknown user: lnantes-156-75-27-134.w82-127.abo.wanadoo.f$[/quote]

La sécurité est devenu pour moi primordiale et je ne suis malheureusement encore qu’un noob dans le domaine.

Autre chose encore, je ne reçois plus de mail provenant de mon serveur, en revanche de mes sites OUI…

#2

Bonjour,
as tu appliqué les recomendations du manuel:
debian.org/doc/manuals/secu … wto.fr.pdf
debian.org/doc/manuals/secu … ian-howto/ pour étre certain d’avoir la dernière version

#3

ça va me faire de la lecture ! Sinon l’extrait de mon log veut dire quoi ?

#4

ça ressemble a des tentative d’accés aux boites mail.
Si tu ne connais pas ces utilisateurs, c’est que tu es victime d’une attaque (certainement par un robot vu les noms génériques utilisés tels que fax, ftp, …).

#5

Et que doit-on faire en cas d’attaque ?

#6

Rien.
A part couper le service attaqué et en priver les utilisateurs légitimes, tu ne peux que suivre ce qui se passe.
Lorsque l’attaque survient, c’est trop tard pour se poser des questions. C’est avant, qu’il faut sécuriser son installation.
Mais rassure toi, on subit tous, tout les jours, ces tentatives d’intrusion. Elles sont faites par des robots qui scannent à longueur de journée des plages d’adresses IP à la recherche d’une vulnérabilité connue (système pas mis à jour …).

#7

Est-ce qu’on ne peut pas empêcher le nombre de requête pour un bot ?

#8

Salut,

Confis moi tes serveurs/sites ? :wink:

#9

Salut,

A part compter les points, c’est trop tard en général.

Si tu as fail2ban, ajoute une règle de ban (trois mois de blocage par exemple) pour les récidivistes; avec cette méthode j’ai diminué très sensiblement les attaques à répétition (genre tournante, une centaine de serveurs qui t’attaquent à tour de rôle pendant quelques heures…), et fail2ban que t’envoie des milliers de mails d’alerte…

Edit: + portsentry qui est très méchant avec clowns qui font du scan de port. Redoutable…

#10

tu peut rajouter des restrictions SMTP dans /etc/postfix/main.cf comme par exemple:

smtpd_client_restrictions = permit_mynetworks,
reject_invalid_hostname,
reject_rbl_client zen.spamhaus.org,
reject_unknown_client,
permit
la “reject_rbl_client zen.spamhaus.org” est très efficace.

#11

Nessus, ca n’existe plus ? C’était pas mal, je m’en était servie quand j’étais étudiant, pour tester la sécurité de mon serveur web :083 C’était le bon temps…

#12

Merci Franck, je viens de tester mais j’ai des erreurs quand j’essaie de redémarrer postfix :

[quote]Stopping Postfix Mail Transport Agent: postfixpostfix: fatal: /etc/postfix/main.cf, line 70: missing ‘=’ after attribute name: "reject_rbl_client zen.spamhaus.org,"
failed!
[/quote]

Est-ce que la syntaxe que tu m’as donné en exemple est correcte ? Il me dit que je n’ai pas de = et que cela pose problème…

#13

Oui, j’ai fait un copier coller directement à partir de mon fichier main.cf.
ça donne la même erreur si tu mets juste la ligne suivante ?

smtpd_client_restrictions = reject_rbl_client zen.spamhaus.org

Je ne sais pas d’où ça vient. Essayes de doubler le ‘=’ pour voir…
En cherchant sur le net, tu peux trouver de la doc ou des tutos sur les différentes restrictions que tu peux mettre pour rejeter d’entrée le jeu un tas de mail pourris voire les attaques sur le port 25.

#14

[quote=“piratebab”]ça ressemble a des tentative d’accés aux boites mail.
Si tu ne connais pas ces utilisateurs, c’est que tu es victime d’une attaque (certainement par un robot vu les noms génériques utilisés tels que fax, ftp, …).[/quote]
Moi, depuis la faille Heartbleed, je suis sur mes gardes et mon premier réflexe était de changer mes MDP et installer l’outil Lastpass pour authentifier mes identifications, au moins je suis protégé contre les intrusions…