UbuntuTrustyServer:Security

De Wiki Fred
Aller à : navigation, rechercher
Ubuntu 14.04 Server - Sécurité

Mise en oeuvre


La sécurisation de base du serveur sera réalisée grâce à la configuration du firewall. Cela sera effectué grâce à iptables. Le but sera de bloquer tout trafic non désiré.

Les règles de base


  • Par défaut, aucune règle n'est configurée au niveau le firewall
iptables -L -v

Chain INPUT (policy ACCEPT 21 packets, 1748 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 12 packets, 2032 bytes)
 pkts bytes target     prot opt in     out     source               destination
  • Les premières règles à configurer
L'ordre dans lequel les commandes suivantes sont exécutées est important. La règle DROP doit toujours être entrée en dernier.
 
  • Accepter la connection ssh en cours
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
  • Autoriser le trafic local
iptables -A INPUT -i lo -j ACCEPT
  • Accepter les requêtes ICMP
iptables -A INPUT -p icmp -j ACCEPT
  • Accepter les connections ssh sur le port par défaut (22)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
  • Rejeter toutes les autres paquets en entrée
iptables -A INPUT -j DROP
  • Vérification
iptables -L

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:44500
DROP       all  --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
A ce stade, les règles ajoutées ne sont pas sauvegardée et seront donc perdues après un redémarrage.
 
  • Installer iptables-persistent
apt-get install iptables-persistent
  • Sauvegarder les règles
iptables-save > /etc/iptables/rules.v4


Configurer une application supplémentaire


Par exemple, pour autoriser les connections sur le port 80 pour Apache

  • Afficher les règles actuelle avec les numéros de ligne
iptables -L --line-numbers

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
2    ACCEPT     all  --  anywhere             anywhere
3    ACCEPT     icmp --  anywhere             anywhere
4    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:44500
5    DROP       all  --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination
  • Insérer un règle avant la règle DROP, soit avant la règle 5
iptables -I INPUT 5 -p tcp --dport 80 -j ACCEPT
  • Vérification
iptables -L --line-numbers

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
2    ACCEPT     all  --  anywhere             anywhere
3    ACCEPT     icmp --  anywhere             anywhere
4    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:44500
5    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
6    DROP       all  --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination
  • Sauvegarder les règles
iptables-save > /etc/iptables/rules.v4

Règles les plus courantes


  • Apache
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
  • Bind9
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
  • Ftp
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
  • Postfix
iptables -A INPUT -p tcp --dport 25 -j ACCEPT