Get Adobe Flash player
»

Initialisation de la Dedibox

24 février 2009

Cet article recense une liste de tâche administratives plutôt intéressantes à lancer dès l'installation automatique d'une Dedibox (ou tout autre serveur dont vous possédez l'accès root) sous Linux Debian 5.0 Lenny.

Commandes lancées juste après l'installation automatique de la Dedibox sous Debian 5.0 (lenny). Les services portmap, nfs-common et inetd sont désactivés puis désinstallés car inutiles dans le cadre d'un serveur full web.

Le paquet vim est une amélioration de l'éditeur de texte en ligne de commande vi.

Le paquet lynx est un navigateur web en mode texte pratique pour télécharger des packages non inclus dans la distribution ou tester un site du point de vue d'un robot d'indexation.

/etc/init.d/portmap stop
/etc/init.d/nfs-common stop

update-rc.d -f portmap remove
update-rc.d -f nfs-common remove
update-rc.d -f inetd remove

apt-get remove portmap
apt-get update
apt-get upgrade

apt-get install vim
apt-get install lynx


Activation du firewall (Sources Web) et un fichier d'exemple iptables.up.rules

iptables-restore < /etc/iptables.up.rules


(D)Dos-Deflate

Ce script doit être capable de contrer une attaque par deni de service distribué. N'ayant pas les moyens de tester une telle attaque moi-même, j'espère qu'il fonctionne (^_^) (Sources Web).

Installation du script.

wget http://www.inetbase.com/scripts/ddos/install.sh
chmod 0700 install.sh
./install.sh


Désinstallation du script.

wget http://www.inetbase.com/scripts/ddos/uninstall.ddos
chmod 0700 uninstall.ddos
./uninstall.ddos


Fail2ban

Ce paquet est un analyseur de logs qui permet de filtrer, via des règles iptables, les adresses IPs malveillantes qui tentent de se connecter illicitement aux services de la machine. Ces services doivent générer des fichiers de log au format texte pour être surveillables (Sources Web).

apt-get install fail2ban


Le fichier de configuration général est /etc/fail2ban/jail.conf.

ignoreip = les ips à ne jamais bannir séparées d'un espace
bantime = durée du ban en secondes


Les sections portant un nom de service entre crochets utilisent des fichiers de filtres placés dans le dossier /etc/fail2ban/filter.d/.
Le filtre apache-admin configuré ci-dessous bannit l'accès à des ressources qui n'existent pas et dont le nom se termine par admin ou mysql.
Copier le fichier filtre apache-admin.conf dans le dossier /etc/fail2ban/filter.d/ puis ajouter les lignes ci-dessous dans le fichier /etc/fail2ban/jail.conf.

[apache-admin]
enabled = true
port = http,https
filter  = apache-admin
logpath = /var/log/apache*/*error.log
maxretry = 6


Pour débannir une adresse IP, regarder la Chain à laquelle l'adresse IP ne peut plus se connecter (fail2ban-apache pour l'authentification HTTP) et identifier le numéro de la ligne où elle se trouve.
Faire un ping sur les adresses inversées pour obtenir l'adresse IP correspondante.

iptables -L
[...]
Chain fail2ban-apache (1 references)
target     prot opt source               destination
DROP       all  -   77.34.214.45         anywhere
DROP       all  -   ASte-Genev-Bois..    anywhere
RETURN     all  -   anywhere             anywhere


Pour débannir le client ASte-Genev-Bois..., taper la commande

iptables -D fail2ban-apache 2


Redémarrage de fail2ban.

/etc/init.d/fail2ban restart
  • Facebook
  • Twitter
  • LinkedIn
  • MySpace
  • Google Bookmarks
  • Live
  • Netvibes
  • Yahoo! Buzz
  • Wikio FR
  • Technorati
  • Digg
  • del.icio.us

Laisser un commentaire

Archives


Copyright © 2010 Sébastien Gissinger. Tous droits réservés.

Designed by Sébastien Gissinger.