Sécuriser un hébergement dédié ?

WRInaute discret
Bonjour à tous,

Je m'apprête à prendre un hébergement dédié chez Amen (je ne souhaite pas lancer de polémique quant au choix de l'hébergeur, c'est un choix client) et le gentil monsieur de la hotline m'a vivement conseillé de configurer l'IP Table afin de sécuriser le serveur.

J'aimerais donc savoir si certains d'entre vous ont une expérience dans l'"IP tabelisation" et s'il y a des IP à proscrire absolument.

Je vous remercie par avance.

Doug
 
WRInaute discret
Des IP à proscrire en particulier ? Plusieurs personnes pourront certainement te donner une ou plusieurs IP dont provenaient des SYN Flood (par exemple), m'enfin si tu t'amuses à toutes les interdire, t'as pas finis :D

surtout que généralement, ce sont des serveurs infectés qui lancent ces attaques, et dont les propriétaires ne sont même pas au courant de leur utilisation détournée.

Bloquer des IP comme ça, dès le départ, ça me parait pas génial. Si un jour tu as un problème, tu bloqueras l'IP en question et puis voila.

En revanche, pour le reste de la config, c'est toujours pareil : tu bloques tout (sauf le 22 hein, histoire que tu puisses continuer à accéder au serveur :p), et ensuite tu débloques au fur et à mesure ce dont tu as besoin pour que tes applis tournent. tu fais des tests, et dès que c'est bon, tu passes en Prod.
 
WRInaute impliqué
"IP Table" est avant tout le système de firewalling.

Ce n'est pas tant bloquer telle ou telle IP qui est important mais bloquer les accès aux ports non autorisés, bloquer les tentatives de spoofing, de scanning ...

Ce n'est pas une mince affaire si tu n'y connais rien.

Une petite recherche sur "IP table howto" et tu auras une doc détaillée sur IP Table.
 
WRInaute impliqué
voilà ce que je fais :

1) mettre en position "fermé" le mode relay du "courriel"
ceci se fait depuis ton tableau d'admin PLESK

2) mettre en route un firewall IPTABLE
tout ce fait en connexion ssh
- lister les tables iptable existantes :
/sbin/iptables -L
- insérer nos propres règles à IPTABLE :
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 110 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 8443 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -j DROP

3) attention !
à chaque redémarrage du serveur (/sbin/reboot)
les IPTABLE s'effacent et se remettent à tout accepter, il faut donc enregistrer notre config.
- sauver les IPTABLE afin de ne plus les perdre :
/etc/init.d/iptables save

- pour infos, explications de la config perso iptable ci-dessus ;
on autorise les ports 80(http) 110(pop3) 25(smtp) 21(ftp) 22(ssh) 8443(plesk) 443(ssl-https)
on autorise les réponses à condition que ce soit le serveur qui est posé une question
(c'est dans le cas où le serveur demande à un autre serveur un truc et que l'autre serveur lui réponde, il faut que port soit ouvert)
on efface toutes les autres demandes de connexion sur les autres ports.


bon courage
pas évident au début
caro
 
WRInaute discret
Merci à tous de vos réponses (spéciale dédicace à caro qui m'a fait une doc online :)).

Je vais me pencher sur le problème.

Merci encore.

Doug
 
WRInaute discret
Au fait quelqu'un conait il un site ou un bouquin pour guider les newbies qui veulent se lancer dans les serveurs dédiés ?

Merci d'avance.


PEACE.
 
WRInaute occasionnel
"Linux pour les nuls" ?

la meilleure solution pour se lancer dans un dédié, AMHA, est de monter un petit pc avec des pièces de rechange (vu qu'on aura pas besoin de grosses perfs, le vieux pc avec ses 128 Mo de ram suffira amplement), et installer un Linux dessus.
Lequel ? Madranke ou Red Hat suffiront amplement pour les premières bases. Quand l'envie vous prendra (si elle vous prend) d'aller plus loin, Debian ou Suse (un petit peu plus compliqué), ou carrément un FreeBSD, plus "classe" ;)
Ne jamais hésiter à lire la doc et à poser des questions (dans cet ordre là, sinon vous serez mal vu). Il y a des centaines de forums et salons IRC un peu partout, où de vrais autistes... heu pardon, passionnés, se feront un plaisir de répondre à une question pertinente.
 
Discussions similaires
Haut