Bonjour,
Je voulais tester gitit pour un projet collaboratif, alors j'ai créé un petit VPS chez gandi. L'installation s'est bien déroulée. Le VPS tourne sous debian 8, j'ai installé nginx, et gitit. C'était donc hier soir. Je me suis contenté de bloquer les connexions root, et d'effectuer uniquement des connexions par clé ssh.
Je suis un débutant dans l'administration d'un serveur web, et je me suis dit que c'était un bon moyen d'apprendre.
J'ai commencé un peu à lire hier soir sur les manières de sécuriser un serveur, iptables, fail2ban, etc. Et je me suis dit que je continuerai demain (aujourd'hui donc).
Après, avoir installé mon service gitit correctement (tout est opérationnel pour un travail collaboratif). Je me suis mis à mettre en place iptables, fail2ban, etc.
Et là, en observant le fichier produit par logwatch, je constate que de nombreuses adresses ip ont essayé de se connecter à mon serveur ! Notamment une chinoise plus de 775 fois (je n'avais pas encore mis en place fail2ban), et une ukrainienne 45 fois. Ainsi que d'autres, une vietnamienne, une autre chinoise, etc.
Ma surprise a été grande… Et je me pose plusieurs questions…
1) Comment ont-ils trouvé ce vps, alors que le serveur vient d'être créé ?
J'utilisais par le passé un vps avec yunohost pour faire des tests, et utiliser une instance etherpad pour un travail collaboratif. Je ne me suis pas trop intéressé à l'époque à la sécurité (pensant que yunohost fairait le travail). L'adresse ip est peut-être la même, comme cela a été fait chez gandi aussi (et j'ai remarqué que l'adresse ipv4 ne changeait pas). Et ces individus auraient peut-être déjà essayé de se connecter à cette instance yunohost…
2) Que cherchent-ils à faire exactement ? J'imagine que ce n'est pas pour le défi technique. Du spam peut-être…
3) Mieux vaut-il tout réinstaller sur le vps en installant directement fail2ban, etc. sans attendre cette fois ?
4) Est-ce que je risque quelque chose au niveau de mon réseau interne et des ordinateurs connectés ? Mot de passe similaire sur le serveur et mon ordi (je sais… une erreur). Faut-il tout changer ?
5) Connaissez-vous des bons tutos complets (en français ou en anglais) qui couvrent toutes les questions de sécurité d'un serveur web ?
6) Est-ce vraiment maintenable pour (comme vous l'aurez certainement compris) un non initié ?
J'hésite à trouver une alternative envisageable et l'installer sur du mutualisé… Même si du git + markdown pour un wiki, ça n'existe quasiment pas.
Merci de vos réponses ! Je suis un peu circonspect en ce moment… Ca me semblait bien pratique pourtant ce service gitit… Mais face à mes lacunes, ce n'est peut-être pas une bonne idée…
# Alerte CFBI
Posté par Marotte ⛧ . Évalué à 8.
Prépare un sac avec quelques affaires de rechange, une lampe torche et un couteau. Si tu as des connaissances qui peuvent t’obtenir de faux papiers c’est le moment de les contacter. N’appelle pas ta famille ou tes amis, quitte ton domicile la nuit et tente de rejoindre la Suède par des sentiers de randonnée. Ils sont déjà sur ton VPS, ce n’est qu’une question de temps avant qu’ils viennent fracturer ta porte avec leur kung-fu. Ne tarde pas.
[^] # Re: Alerte CFBI
Posté par rdhlnn . Évalué à 2.
Merde… C'est ce qu'il me semblait… Non, pas le nord, pas avec ce froid… Je préfère invoquer la force de Stallman face à leur kung-fu !
[^] # Re: Alerte CFBI
Posté par BAud (site web personnel) . Évalué à 5.
j'aurais plutôt pensé que tu aurais compris https://xkcd.com/705/ ;-)
ou http://www.xkcd.com/1353/
# _o/
Posté par Marotte ⛧ . Évalué à 5. Dernière modification le 05 février 2016 à 21:20.
Souvent les malwares qui infestent certains hôtes scannent des pan entiers d’adresse IP à la recherche d’un truc troué. Aucune IP n’est à l’abris… Pas besoin de « trouver » qu’un hôte vient de se monter, on fait toutes les adresses, au pire ça ne répond pas…
À chercher un moyen de prendre la main sur un hôte, un serveur Web ou SSH pas mis à jour qui a des failles connues, par exemple. Il y a une part de défi technique… Le but étant d’avoir le plus gros botnet, c’est à dire un réseau de machines que l’on peut contrôler. Ça se monnaye… ces réseaux sont par exemple utilisés pour faire des attaques par DDoS. Ça s’apparente en quelque sorte à du spam vu qu’il s’agit de trafic réseau non désiré…
Je te dirais que non. Des tentatives d’intrusion ce ne sont pas des intrusions…
Fais bien les mises à jour de sécurité, du système et de gitit, fail2ban, voir iptables si tu veux par exemple bloquer tout un range d’IP (si aucun de tes collaborateurs ne se connecte depuis la Chine tu peux effectivement bloquer toutes les IP chinoises…) et tu devrais être tranquille. Tout ça pour dire que ce genre de connexion exotique sur une IP publique tu ne pourras pas l’éviter…
[^] # Re: _o/
Posté par rdhlnn . Évalué à 3.
Merci de tes conseils !
Oui je remarque… Mais pour une première, c'est assez saisissant, surtout quand on a le retour de localisation des IP. Internet prend une autre consistance. C'est comme si on percevait les ombres du cyberespace (poétisons un peu les botnets…).
Je vais essayer de me faire les
man
des différents programmes de sécurité cités, iptables, fail2ban, etc.. Et voir si j'en trouve d'autres (genre rkhunter).[^] # Re: _o/
Posté par Marotte ⛧ . Évalué à 3.
Très sincèrement, la meilleure chose que tu puisses faire !
# Shorewall
Posté par Marotte ⛧ . Évalué à 4.
Pour iptables j’utilise shorewall qui permet de générer un ensemble de règle iptables en renseignant quelques fichiers de configuration (interfaces, zones, règles…). Je trouve ça plus pratique car l’écriture de règles iptables n’est pas toujours très simple.
Il y a aussi Firewall Builder qui a une belle interface graphique avec laquelle tu peux faire du glissé/déposé d’objets et générer des configurations pour tout un tas de firewalls (pas seulement iptables…). Par contre la dernière version est de 2012 et c’est de toute façon bien plus lourd (à chaque fois que tu veux modifier un truc) que je te recommandes plutôt shorewall.
[^] # Re: Shorewall
Posté par totof2000 . Évalué à 2.
J'ai jamais compris cet engouement pour un truc imbitable comme iptables alors qu'à côté il y a un truc bien plus imple à lire et à comprendre qui s'appelle Packet Filter.
Mais bon, le monde des linuxiens est assez étrange, on préfère pondre un truc imbitable pour ensuite ajouter des couches par dessus, plutôt que de faire simple de suite.
[^] # Re: Shorewall
Posté par Marotte ⛧ . Évalué à 1.
Je ne connais pas pf mais à la lecture rapide du manuel je dirais que la syntaxe est tout aussi complexe que celle d’iptables. C’est normal, il s’agit ni plus ni moins d’un langage permettant de filtrer très précisément le trafic TCP/IP, tout comme l’est iptables. Je pense qu’il y a également des wrapper pour Packet Filter. Il faut bien reconnaître que celui qui veut juste dropper des requêtes HTTP chinoises il a envie d’un truc plus simple qui fait le job…
[^] # Re: Shorewall
Posté par totof2000 . Évalué à 1.
Je crois que tu as lu trop rapidement le manuel. La syntaxe pf est beaucoup plus intitive avec des "phrases" du style : pass in log on interface from any to xxx.xxx.xxx.xxx keep state (syntaxe pas exacte, mais c'est ce dont je me souviens)
. un exemple ( issu de http://www.openbsd.org/faq/pf/filter.html#syntax ) :
A côté, les règles iptables s'écrivent ainsi :
iptables -I INPUT 2 -s 202.54.1.2 -j DROP
Il faut quand même être de mauvaise foi pour dire que les deux syntaxes sont aussi (il)lisibles l'une que l'autre. Ya pas photo, la première syntaxe est bien plus intuitive. Et pour un outil de sécurité, je pense que c'est très important. Après pour quelqu'un qui ne veut pas apprendre c'est du pareil au même, on est d'accord.
[^] # Re: Shorewall
Posté par Kerro . Évalué à 2.
Personne ne t'oblige à utiliser les abréviations.
Et là, expliques ce qui est moins lisible que n'importe quel autre outil en ligne de commande ?
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.