Actions de securité

De Avided.info
Aller à : navigation, rechercher


Update du serveur

Une fois la machine fraichement installé, effectuer un update du systeme

yum -y update

Si le kernel a été mis à jour effetuer un reboot de la machine pour démarrer sur le dernier kernel

Acces et connexion

  • Pour commencer, ouvrer une connexion ssh en root et laissai la de coté. Cette connexion vous permet d'avoir une connexion root au cas ou vous faite une fause manip.
  • Ouvret dionc un deuxieme terminal pour les autre manipulation
  • Creer un utilisateur, ajouter le dans le groupe wheel
adduser useradm
passwd useradm
usermod -G wheel
  • Tester une connexion ssh avec cette utilisateur et passer root depuis cette utilisateur
ssh -l useradm monserver
su - 
motdepassederoot
  • editer le fichier /etc/ssh/sshd_config
  • Modifier la valeur de l'entrées comme suit :
PermitRootLogin no
  • redemarrer le service sshd
service sshd restart
  • Tester la connexion ssh en root => ne devrais pas aboutir
  • Tester la connexion ssh depuis l'utilisateur useradm, puis passer en root avec su -
  • Si le 2eme teste et OK, vous pouvez fermet le 1er terminal root, si non revener sur ce 1er terminal pour resoudre votre probleme.


Firewall iptables

  • J'ai l'habitude d'activer le firewall rapidement, même si aucun service autre que sshd n'est demarré.
  • Par defaut RedHat et ses clones, sont configuré avec quelques règles iptables qui s’avère pratique.
  • Le port sshd (22) est ouvert pour tous.
  • Il existe 2 fichiers de configuration pour Iptables. IL sont tous les 2 dasn le repertoire
/etc/sysconfig/iptables-config
/etc/sysconfig/iptables

/etc/sysconfig/iptables-config permet de configurer le comportement aux demarrage, arret redemmarag d'iptables. Il permet de sauvegarder ou non l'etat actuel d'Iptables avant de s'arreter. Mais aussi de charger des modules au demmarage d'iptables. Dans l'exemple suivant : ip_conntrack_ftp, un module nécessaire pour un serveur FTP

 grep -v ^$ iptables-config | grep -v ^#
IPTABLES_MODULES="ip_conntrack_ftp"
IPTABLES_MODULES_UNLOAD="yes"
IPTABLES_SAVE_ON_STOP="no"
IPTABLES_SAVE_ON_RESTART="no"
IPTABLES_SAVE_COUNTER="no"
IPTABLES_STATUS_NUMERIC="yes"
IPTABLES_STATUS_VERBOSE="no"
IPTABLES_STATUS_LINENUMBERS="yes"


cat iptables
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
  • Une fois que vous avez ce fichier correctement remplie, il ne reste plus qu'a démarrer le service iptables.
chkconfig iptables on
service iptables restart
  • Vous pouvez contrôler les règles actuellement activent
iptables -L -n

Selinux

  • Controler que Selinux soit actif
getenforce
Permissive

Recevoir un recapitulatif

  • Installer logwatch
yum install logwatch
  • Indiquer un aliase mail pour l'utilisateur root par une de vos adresse mail

ajouter en adaptant avec votre adresse a la fin du fichier

/etc/aliases

root:   user@domain.com
  • puis pour créer le nouveau fichier binnaire d'aliases /etc/aliases.db executer la commande suivante
newaliases