Salut à tous, je possède un serveur sous Débian et je cherche à le sécuriser au max.
Je voudrai vos avis, j'ai déja mis :
-Un anti scan de ports
- Un anti brute force ( qui marche très bien Rip mon amis )
- Logwatch histoire de savoir ce qu'il se passe sur mes logs
- RkHunter contre les rootkits et backdoor
- Je me forme à iptables pour l'instant
- Modifier le port par défaut du ssh mais pas du ftp ( vraiment utile ? )
- Je met régulièrement mon système à jour
- J'ai de bon mots de passes
- Pour le ftp on n'a le droit de rentrer que dans ses dossiers perso
- Mot de passe de démarrage et de bios

Voilà que dois-je mettre de plus ?

Merci d'avance

Un kernel personnalisé.
Protêge le réseau, installe un VPN avec système de cryptographie asymétrique RSA ou blowfish ( utilisé par l'armée ).
Le réseau sur lequel communique ton serveur, assure toi qu'il est sécurisé.

Et sécurise ton serveur, par rapport à l'intrusion physique, assure toi que le serveur est bien entreposé, qu'il n'y a pas de keylogger dissimulé dans les câbles du serveur...

La topologie de ton réseau informatique peut contenir certaine vulnérabilité, mais ça c'est un peu plus avancée.

Si ce n'est pas discret, je te remercie de balancer la liste des logiciels que tu utilises.

indiscret *

Ouaip.

Go faire un noyau Grsec.

Amuse toi aussi avec AppArmor ou SELinux.

Anti scan de port : port sentry
Brute force : fail2ban
Pour les logs : logwatch
Root kits back door : rkhunter
Ftp : proftpd
Ssh : sshd

et communiquer avec le serveur que via des protocoles sécurisés comme le HTTPS ou le SFTP.

Ta vérifié que ta tout bien configuré ? la moindre configuration de tes logiciels peut te coûter cher.

Partitionne chaque dossier de la racine dans des partitions à part, et donne un mot de passe à ses partitions, ainsi si quelqu'un réussi à s'introduire il pourra pas faire beaucoup de chose dans une seul partition celà dit, ça c'est que à ralentir le hacker, car il arrivera forcément à atteindre son but.

Configure les groupes utilisateurs, désactive le root, et crée plusieurs utilisateurs pour chaque tâche, avec des droits restreints et des mot de passe sécurisé.

Utilise pwgen pour générer des mot de passes aléatoires.

D'accord merci mais je n'es aucune idee de comment faire tout ça .... Vous avez des liens pas mal ?
N'importe quoi pouvant m'aider ?

Merci davance

Portcentry c'est une connerie, c'est juste bon pour les script kiddies.

En plus des conseils ci-dessus, protège ton accès sur avec un couple de clés ou avec une yubikey (meilleure solution de loin, impossible de te voler ta clé)

Question bête: peut-on se créer un serveur perso debian avec une distro debian normale, ou bien il faut installer une distro spéciale serveur ???

Merci d'avance.

Gaetano-FR Voir le profil de Gaetano-FR
Posté le 21 novembre 2014 à 13:01:04 Avertir un administrateur
Question bête: peut-on se créer un serveur perso debian avec une distro debian normale, ou bien il faut installer une distro spéciale serveur ???

Merci d'avance.

Une debian normale netinst, à l'installation ne sélectionne pas "Environnement de bureau"

En effet Debian est fait pour pouvoir être utilisé dans chaque situation que tu souhaite, contrairement à par exemple une distribution comme Ubuntu qui fait des versions différentes (client/ serveur, même pour les bureaux d'ailleurs ) Debian permet de choisir ce que tu veux réellement pour ton utilisation, du coup en effet ne choisit pas de bureau d'environnement et choisit juste les logiciels que tu veux

Personnes n'a de liens ?

Ben il y a un moment où ça relève plus d'une vraie formation qu'autre chose.

Oui mais il doit bien y avoir des tutos par exemple pour le noyau grsec

Y en a qui conseillerait aussi de virer l'auth par mot de passe pour ne laisser que l'auth par clef SSH.

Ok, j'aimerai faire un petit topo :
Je cherche à avoir la meilleur sécurité possible tout en ne touchant pas trop à la puissance du serveur ( c'est pas un truc de pro ) et si possible ne ralentissant pas ma bande passante, connexion, ...
Je ne peut pas bloquer l'authentification ssh ou autre que via clé car mes amis doivent pouvoir se connecter dessus à distance.
De plus je suis sous débian mais j'ai besoin de l'installation graphique ( je débute encore sous linux ) et sous possible de tout les logiciel du style : installateur de paquets Gdebi
Donc que dois-je faire ? Quelqu'un pourrai me faire un topo rapide de tout les choses à faire depuis l'installation svp ( je sais que c'est long et que j'en demande beaucoup désolé ) ou alors un lien ou n'importe quoi pouvant m'aider.

Un grand merci à tous.

Ps je suis chez free au cas ou ...

Si tu veux sécuriser ton serveur c'est qu'il y a une menace qu'il se fasse hacker.

Commence par identifier la menace, le risque potentiel. Il faut connaître son ennemi,ses motivations, et prévoir la façon dont il procède pour s'en protéger.

Il te faut établir une politique de sécurité et pour cela il faut commencer par identifier les besoins en terme de sécurité
réfléchir et définir les risques ainsi que les conséquences.

Qui aura accès au serveur ? Et pourquoi ont-ils besoin d'accéder au serveur ? Qui pourrait tenter d'hacker le serveur ?

Pour faire le bon compromis entre sécurité et performance, tu dois,
en fonction de tes besoin, accorder plus ou moins de moyen de sécurité au serveur.

Mais dans tout les cas c'est moyen serviront qu'à ralentir le hacker dans sa quête.

Je pense qu'un détecteur de bruteforce, un anti scan de port et un pare-feu ainsi qu'un mot de passe sécurisé peut éliminer 95% des menaces. Mais il reste les autres 5%, qui sont radicalement plus compliqué à combler.

ça aussi c'est vrai.

D'ailleurs, ya pas que l'OS à sécuriser.

Tu fais tourner un Apache ?

Bah si il est configuré comme de la merde, bah tous la sécu que t'as énoncé plus haut ne sert plus à rien.

CGI scripts anyone ?

Salut, merci à toi.
Je pense que les personnes cherchant à viser mon serveur serront soit, les joueurs sur mon serveur soit des gens juste pour se marrer.
Les personnes qui auront accès à mon serveur seront tout les joueurs ( juste se connecter ) et quelques potes ( ssh ftp, ... )
Il auront besoin d'y accéder affin de démarrer ou stopper quelque chose ou transférer/modifier ou autre des fichiers.
Niveau politique j'en est instauré une avec mes potes.