Débian comment configurer firewall portsentry Fermé

Question

Bonjour,          

J'aimerai une aide pour vérifier ce que j'ai fais et répondre à quatre questions. 

Je précise que je suis un pure noob sous unix débian et coté serveur.          
Donc si possible parlez moi comme si j'avais 10 ans. Je ne comprendrai pas les termes technique ni les expressions complexes. 

Mais je n'ai pas le choix, j'ai 2 mois pour mettre au point un serveur pour une asso d'intérête general (donc asso gratuite qui a été reconnue comme aidant l'ensemble du peuple sans restriction, donc altruiste). Association an16.org. 

1 : Ce que j'ai fais vous parait-il bon ?          
2 : mon port SSH que j'ai personnalisé je le met où ?          
3 : Dois je personnaliser mes autres ports ( FTP,POP3, IMAP, SMTP, web, named) ?          
4 : Dois-je conserver TCP_PORTS et UDP_PORT dans portsentry.conf ?          

Merci et passez une bonne journée 

Voici ce que j'ai :  

nano /etc/default/portsentry          
TCP_MODE="atcp"          
UDP_MODE="audp" 
            
            
nano /etc/logrotate.d/portsentry         
/var/lib/portsentry/portsentry.* {          
weekly          
rotate 4          
compress          
missingok          
notifempty          
create 0640 root root          
sharedscripts          
postrotate          
/etc/init.d/portsentry restart > /dev/null 2>&1          
endscript          
} 
            

nano /etc/portsentry/portsentry.conf         
            
 
TCP_PORTS="1,11,15,79,111,119,143,540,635,1080,1524,2000,5742,6667,12345,12346,20034,27665,31337,32771,32772,32773,32774,40421,49724,54320"          
UDP_PORTS="1,7,9,69,161,162,513,635,640,641,700,37444,34555,31335,32770,32771,32772,32773,32774,31337,54321"          

ADVANCED_PORTS_TCP="1024"          
ADVANCED_PORTS_UDP="1024"          

ADVANCED_EXCLUDE_TCP="113,139"          
ADVANCED_EXCLUDE_UDP="520,138,137,67"          

IGNORE_FILE="/etc/portsentry/portsentry.ignore"          
HISTORY_FILE="/var/lib/portsentry/portsentry.history"          
BLOCKED_FILE="/var/lib/portsentry/portsentry.blocked"          

RESOLVE_HOST = "0"          

BLOCK_UDP="1"          
BLOCK_TCP="1"          

KILL_ROUTE="/sbin/iptables -I INPUT -s $TARGET$ -j DROP && /sbin/iptables -I INPUT -s $TARGET$ -m limit --limit 3/minute --limit-burst 5 -j LOG --log-level DEBUG --log-prefix 'Portsentry: dropping: '"          

KILL_HOSTS_DENY="ALL: $TARGET$ : DENY"          
SCAN_TRIGGER="0"          
PORT_BANNER="** UNAUTHORIZED ACCESS PROHIBITED *** YOUR CONNECTION ATTEMPT HAS BEEN LOGGED. GO AWAY."          
          



Pour vérifier tout ca j'ai installé nmap mais je ne sais pas m'enservir. C'est balot :(

mamiemando · Answer

2) Ton serveur ssh (sshd) écoute sur le port que tu as défini dans le fichier /etc/ssh/sshd_config. Une fois corrigé il faut relancer sshd :

service ssh restart
netstat -ntlp

3) Le pare-feu ne définit pas de port, du coup je ne comprends pas la question.
- Chaque serveur (sshd, proftpd...) définit dans son fichier de configuration le port qu'il utilise.
- Le pare-feu définit s'il laisse ou non passer le trafic selon certains critères, par exemple le port.

1)4) Aucune idée, personnellement si je devais configurer un pare-feu j'utiliserais soit iptables, soit une surcouche à iptables comme ufw.
http://doc.ubuntu-fr.org/iptables
http://doc.ubuntu-fr.org/ufw

Bonne chance

cezayan · Answer

Merci.
Je comprend mieux le firewall. Je comprenais a l'envers.

Je vais lire les liens de suite.
Avant d'appliquer toutes mes modifications.

Merci.
Bonne journée

cezayan · Answer

1/  
Pourrais tu me dire comment on utilise nmap ? 
J'aimerai voir ce qu'il en est. 

2/ 
Si j'ai pas tout bien appliquer après avoir modifier un fichier. 
Si je relance le serveur ça devrais tout recharger et appliquer toutes les modifications ? non ? 

Merci.

nb:
voila tout ce que j'ai fais jusqu'à présent:
http://www.an16test.org/0serveur/serveur.pdf

mamiemando · Answer

1) Tape la commande suivante pour avoir toutes les informations (q pour quitter) : 

man nmap

Exemples : 

nmap www.google.fr 
nmap 11.22.33.44

2) De manière générale sous linux, si tu corriges le fichier de configuration d'un programme qui tourne déjà, tu dois le relancer, car celui-ci ne lis son fichier de configuration qu'au démarrage. Ainsi, si ton programme est par exemple sshd et que tu corriges son fichier de configuration, tu dois le relancer (par le biais de la commande "service ssh restart") pour qu'il le relise. 

Bonne chance

cezayan · Answer

Merci, enfin quelqu'un de clair :) 
Je veux dire en comparaison ds autres forum qui me disent d'aller acheter un bouquin ou d cherche des tutos incompréhensibles sur google... comme forum d'aide on fait mieux...

Et y a t il une comme de restart qui restart tout l'ensemble ? 
Ou dois je impérativement relance chaque programme un à un ? 
ssh, portsentry, etc. 

bonne journée

mamiemando · Answer

Merci du compliment, mais bon, ça dépend surtout de sur qui tu tombes :-)

Et y a t il une comme de restart qui restart tout l'ensemble ? 

Tout dépend ce que tu appelles l'ensemble.

Fondamentalement, quand tu démarres linux, (1) tu charges un noyau, (2) des modules, et (3) l'OS se charge a proprement parler en lançant des services. Tu vois donc que redémarrer un service n'est qu'une toute petite partie de l'étape (3).

Sous linux les habitudes sont un peu différentes de windows ou on redémarrer pour tout et rien (bon même si les dernières versions d'ubuntu ont tendance à dériver vers ça pour masquer certaines subtilités).

Mais dans la vraie vie, une machine linux est typiquement installée dans un contexte serveur et donc avec des contraintes de disponibilités, donc on essaye de cibler ce qui doit être relancé. Dans le doute tu peux rebooter mais généralement c'est un peu le marteau pilon pour écraser une mouche :-) En pratique, redémarrer n'a vraiment de sens que si on impacte l'étape (1) ou que le linux est complètement planté.

Dans ton cas, à part redémarrer ssh portsentry bref les trucs que tu "corriges" il n'y a pas de raison de redémarrer quoi que ce soit d'autres.

Sinon pour finir de répondre à la question, l'étape (3) consiste à passer dans un "runlevel" particulier (de la même façon, arrêter, démarrer en mode récupération, ou redémarrer la machine correspond à des runlevels particuliers). Ainsi changer de runlevel active (par exemple au travers de la commande init par exemple) ou éteint un certain nombres de services. Donc il est effectivement possible d'arrêter ou démarrer des services comme ça, mais ce n'est pas fait pour ça :-)

Enfin bon, dans ton cas ça concerne 2 ou 3 services... c'est pas la mort :-) D'autant que sous linux avec l'autocomplétion, les commandes, ça se tape vite !

Bonne chance

cezayan · Answer

Ok, de mon coté j'ai du réinstallé le serveur. En attendant que le service soit ok je vais peaufiner et lire le tuto que tu m'a noté pour iptable.

Je reviendrai par la suite en montrant mes résultats.
Merci pour toutes ces explications.

Débian comment configurer firewall portsentry

7 réponses

Discussions similaires