Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Différentes questions sur la sécurité

Samaf

Bonjour,
Je souhaiterais protéger un VPS que je loue chez OVH où il y a un serveur teamspeak dessus.
Tout d'abord, tous les tests que j'effectue sont en local sur une machine dédié aux différents tests serveurs.
J'ai suivis ce tuto pour une protection minimal:
https://openclassrooms.com/courses/securiser-son-serveur-linux

Voici le contenu de mon fichier /etc/init.d/firewall:

#!/bin/bash
 
### BEGIN INIT INFO
# Provides:          firewall
# Required-Start:    $remote_fs $syslog
# Required-Stop:     $remote_fs $syslog
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Démarre les règles iptables
# Description:       Charge la configuration du pare-feu iptables
### END INIT INFO

#!/bin/sh 
 
# Réinitialise les règles
sudo iptables -t filter -F 
sudo iptables -t filter -X 
 
# Bloque tout le trafic
sudo iptables -t filter -P INPUT DROP 
sudo iptables -t filter -P FORWARD DROP 
sudo iptables -t filter -P OUTPUT DROP 
 
# Autorise les connexions déjà établies et localhost
sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
sudo iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
sudo iptables -t filter -A INPUT -i lo -j ACCEPT 
sudo iptables -t filter -A OUTPUT -o lo -j ACCEPT 
 
# ICMP (Ping)
sudo iptables -t filter -A INPUT -p icmp -j ACCEPT 
sudo iptables -t filter -A OUTPUT -p icmp -j ACCEPT 
 
# SSH
sudo iptables -t filter -A INPUT -p tcp --dport 3680 -j ACCEPT 
sudo iptables -t filter -A OUTPUT -p tcp --dport 3680 -j ACCEPT 
 
# DNS
sudo iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT 
sudo iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT 
sudo iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT 
sudo iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT 
 
# HTTP
sudo iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT 
sudo iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT 

# FTP 
sudo iptables -t filter -A OUTPUT -p tcp --dport 20:21 -j ACCEPT 
sudo iptables -t filter -A INPUT -p tcp --dport 20:21 -j ACCEPT 

# Mail SMTP 
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT 
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT 
 
# Mail POP3
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT 
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT 
 
# Mail IMAP
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT 
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT 

# NTP (horloge du serveur) 
sudo iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT

# Déni de service (Flood)
iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p udp -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/second -j ACCEPT

# Scan de ports
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

# Teamspeak Licence
iptables -t filter -A INPUT -p tcp --dport 2008 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 2008 -j ACCEPT

# Teamspeak Voix par défaut
iptables -t filter -A INPUT -p udp --dport 9987 -j ACCEPT 
iptables -t filter -A OUTPUT -p udp --dport 9987 -j ACCEPT 

# Teamspeak ServerQuery
iptables -t filter -A INPUT -p tcp --dport 10011 -j ACCEPT 
iptables -t filter -A OUTPUT -p tcp --dport 10011 -j ACCEPT 

# Teamspeak File Transfer
iptables -t filter -A INPUT -p tcp --dport 30033 -j ACCEPT 
iptables -t filter -A OUTPUT -p tcp --dport 30033 -j ACCEPT

J'ai redémarré le serveur et quand je fais:
nmap -v localhost
J'ai beaucoup de port ouvert, voici le résultat:

Not shown: 983 closed ports
PORT      STATE SERVICE
1/tcp     open  tcpmux
25/tcp    open  smtp
79/tcp    open  finger
111/tcp   open  rpcbind
119/tcp   open  nntp
143/tcp   open  imap
631/tcp   open  ipp
1080/tcp  open  socks
1524/tcp  open  ingreslock
2000/tcp  open  cisco-sccp
6667/tcp  open  irc
12345/tcp open  netbus
31337/tcp open  Elite
32771/tcp open  sometimes-rpc5
32772/tcp open  sometimes-rpc7
32773/tcp open  sometimes-rpc9
32774/tcp open  sometimes-rpc11

Ai-je fait quelques choses de pas bien ?

Merci d'avance
Samaf 😛

Vobul

Salut,

Tu peux aussi utiliser ufw au lieu d'iptables, tu verras c'est plus simple...

Ensuite lis ça : http://www.codelitt.com/blog/my-first-10-minutes-on-a-server-primer-for-securing-ubuntu/

Samaf

Justement, je trouves qu'iptables est assez simple au niveau des règles à mettre en place car elles sont simple et lisible.
Je voudrais justement savoir, pourquoi j'ai cette erreur (si on peut appeler ça une erreur). 🙂

Vobul

Il n'y a pas d'erreur. Ton script ouvre plein de ports. Ce qui résulte en plein de ports ouverts. Rien de magique là-dedans.

Samaf

Certe mon script ouvre pleins de ports mais le port par exemple 32774 n'est pas dans mon script pourtant il est ouvert.

bruno

C'est normal puisque tu fais :

nmap -v localhost

Samaf

bruno a écritC'est normal puisque tu fais :

nmap -v localhost

Bhé justement, cette commande permet de scan les ports ouverts mais quand tu regardes dans mon script, par exemple le port 32774 n'est pas ouvert.

bruno

Cette commande scanne les ports ouverts depuis ton hôte local et vers ton hôte local. Ce genre de test doit toujours ce faire de l'extérieur…

Samaf

Dans ce cas là, comment scanner les ports ouverts en local ?

bruno

Quel intérêt ?
Les services qui sont écoute uniquement sur l'interface de bouclage (lo 127.0.0.1/::1) ne sont de toute façon pas accessibles de l'extérieur.

Samaf

Bhé en gros, actuellement je suis en train de faire des tester de sécurité pour pouvoir mettre tout ça sur un serveur chez OVH.
Donc en gros ce que j'aimerai faire c'est scanner les ports pour voir lesquels sont ouvert.

Brunod

Fais un nmap au départ d'un autre pc.

bruno

C'est une bonne démarche de s'entraîner sur une machine personnelle avent de louer un serveur.
Par contre ce que tu fais concernant le pare-feu ne sert à rien.
Je rappelle qu'avec ou sans pare-feu les seuls ports ouverts sont ceux pour les quels un service est installé et en écoute .
Je pourrais donc te dire que le pare-feu est à peu près inutile dans ton cas mais cela risque de susciter encore un débat stérile…

Samaf

Je viens de faire un nmap à partir d'une virtualisation de debian et c'est niquel.
Pour ce que tu me dis bruno, il suffit d'installer fail2ban (bien configuré) et un autre logiciel (dont j'ai pu le nom) pour pouvoir surveiller les paquets qui sont en écoutes sur les ports désigné non ?
Ensuite j'aurais d'autre petite question:
Est-ce obligatoire de mettre sudo iptables ... dans mon script ?
Y a -t-il un serveur mail pré configuré pour recevoir les mails des logs ?

attentis

c'est assez particulier que de mettre un sudo dans un script, non ?

moi je ne m'y risquerai pas étant donné les possibilités qu'offre SUDO en termes d'actions négatives et invasives...

N'étant pas ce qu'on appelle un pro du firewall et des scripts je laisse à mes confrères - et non pour les trolls un frère c.. - le soin de répondre avec plus de précision