Conseil securité

rodg_chtx
Messages : 27
Inscription : 02 février 2010, 08:23

Conseil securité

Message par rodg_chtx » 23 août 2013, 11:51

Salut a tous,

j'ai besoin de securiser un serveur centos 6...j'ai deja fail2ban qui tourne pour vsftp et ssh avec iptables,rkhunter, mais en cherchant un peu sur google je trouve d'autres choses comme par ex portsentry.

Je voulais qques conseil pour savoir ce que je peut ajouter sur mon serveur pour augmenter sa securité sachant que j'ai egalement un serveur pptpd qui tourne sur cette machine et que cela me parait difficile de le gerer avec fail2ban.


Merci.

Avatar de l’utilisateur
Valdes
Messages : 30
Inscription : 30 mai 2013, 01:22

Re: Conseil securité

Message par Valdes » 24 août 2013, 23:58

À part changer le port par défaut de SSH, d'interdire les connexions root, de limiter les connexions par login / mot de passe à très peu (du genre une max par tranche de 10 min), de faire un iptables qui drop pour tout sauf pour les services qui tournent vraiment, de mettre à jour régulièrement tes paquets et d'utiliser fail2ban et rkhunter, t'as pas grand chose d'autre à faire.
T'es déjà plus sécurisé que 80% des serveurs qui sont sur Internet.

Avatar de l’utilisateur
Arrfab
Administrateur
Messages : 305
Inscription : 16 octobre 2009, 18:04
Localisation : /dev/irc.freenode.net/#centos
Contact :

Re: Conseil securité

Message par Arrfab » 26 août 2013, 14:03

- désactiver pptpd
- être certain que selinux est activé
- tuner sshd ainsi que les autres services tournant sur la machine
----
test -e /dev/human/brain || ( echo 1 > /proc/sys/kernel/sysrq ; echo c > /proc/sysrq-trigger )

rodg_chtx
Messages : 27
Inscription : 02 février 2010, 08:23

Re: Conseil securité

Message par rodg_chtx » 28 août 2013, 15:20

Ok merci pour les conseils....qu'entend tu par "tuner sshd" ?
pptpd est utilisé quotidiennement par des clients windows....j'ai besoin d'un serveur vpn....openvpn est peut etre meilleur ?

Nils
Messages : 89
Inscription : 22 octobre 2009, 18:55

Re: Conseil securité

Message par Nils » 02 octobre 2013, 16:56

Tuner sshd consiste non seulement à le faire tourner sur un port non-standard, mais aussi :
- interdire à Root de se connecter ;
- interdire les connexions avec mot de passe (privilégier une authentification par clé) ;
- et peut-être d'autres trucs que j'oublie... peut-être n'utiliser que certains utilisateurs par exemple.

Pour ce qui est de pptpd, le remplacer par openvpn me semble une bonne idée.
En plus d'un détecteur de rootkit, tu peux installer un HIDS comme aide ou tripwire.
Et n'oublie pas : SELinux en enforcing !

Répondre