Article publiée le 23 Décembre 2015

Ci-dessous une petite astuce fort sympatique afin d’améliorer considérablement votre terminal:

• Créez ou éditez le fichier /home/<votre user>/.inputrc.
• Ajoutez y les lignes suivantes:

« \e[A »: history-search-backward
« \e[B »: history-search-forward
set show-all-if-ambiguous on
set completion-ignore-case on

• bind -f /home/<votre user>/.inputrc

Relancez votre terminal (ou établissez une nouvelle connexion SSH) et vous pourrez désormais effectuer des rechercher par commande dans votre historique en tapant le nom de la commande + flèche haut/flèche bas.

Votre autocomplétion ne sera plus case sensitive (ignore la majuscule/minuscule)

Article publiée le 7 Décembre 2015

Rkhunter ou RootKit Hunter est un outil absolument génial permettant de détecter sur votre serveur les rootkit, portes dérobées, exploit.

Pour l’installer sous debian : apt-get install rkhunter

Pour l’installer sous Centos/RedHat: yum install rkhunter

Une fois  rkhunter installé,  nous allons le mettre à jour:

rkhunter –update

Vous pouvez maintenant lancer un scan manuel avec la commande rkhunter -c.

RKhunter va alors faire un scan très complet de votre système:

Si vos serveurs sont considérées comme sensible (serveurs à risque), je vous conseille de planifier des checks  automatiques (via Cron).

enjoy 🙂

Article publiée le 6 Décembre 2015

Cela m’arrive très souvent d’être horrifié en voyant des serveurs « publiques » dont l’accès SSH n’est pas du tout sécurisé.

Pourtant quelques actions très simple permettent d’éviter tout désagréments!

Ci-dessous un petit tuto très simple expliquant comment sécuriser l’accès SSH d’un serveur:

1) Changer le port SSH

Tout le monde sait que le port SSH par défaut est le port 22, même les hackers… Le fait de juste changer le numéro du port SSH peut mettre à mal un très grand nom de script automatique de hacking…

Pour changer le port il suffit d’éditer le fichier /etc/ssh/sshd_config et de changer le numéro de port (sans oublier de redémarrer le service SSH):

2) Privilégiez impérativement l’authentification par clé

• Procédez à la génération des clés: ssh-keygen

• Éditez le fichier /root/.ssh/authorized_keys (ou /home/votreuserquiseconnecteenssh/.ssh/authorized_keys) et ajoutez y les clés publiques des users ayant le droit de se connecter en root  sur votre machine (clé publique contenue dans le fichier ayant l’extension .pub ou qui peut-être générer depuis l’outil puttygen sous Windows)

 Cette manipulation est à faire pour chaque user qui aura les accès SSH sur votre serveur (si le nom du user est toto votre arborescence ssh sera /home/toto/.ssh)

• Paramétrez SSH pour qu’il n’accepte que des authentifications par clé SSH, pour cela éditez le fichier /etc/ssh/ssd_config et modifiez les paramètres comme indiqués ci-dessous (dé-commentez les lignes si elles le sont) :

PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keysPermitEmptyPasswords no
ChallengeResponseAuthentication no
PasswordAuthentication no
KerberosAuthentication no
KerberosGetAFSToken no

KerberosOrLocalPasswd no
KerberosTicketCleanup no

GSSAPI options
GSSAPIAuthentication no

• Je vous conseille également d’interdire la connexion avec le user root (autorisation de vous connecter uniquement avec les autres users):

PermitRootLogin no

• Redémarrez le service SSH: /etc/init.d/sshd restart

3) Alertes Mails

Et si l’on veut être encore plus parano on peut configurer un alerting mail à chaque connexion d’un user:

• Editez votre fichier .bashrc : vi /root/.bashrc ou /home/<user>/.bashrc
• Ajoutez la ligne suivante dans votre fichier: echo ‘Connexion détecté ‘ `date` `who` | mail -s `hostname` Connexion du USer `who | cut -d« («  -f2 | cut -d« ) » -f1` [email protected]

3) Protégez votre serveur contre les DOS (déni de service) avec Fail2ban

Et enfin, pour finir en beauté, je vous propose de sécuriser votre serveur avec fail2ban qui protégera votre machine contre les attaques DOS (déni de service) ou brutforce

Tuto disponible via ce lien:

http://journaldunadminlinux.fr/tutoriel-protegez-votre-serveur-avec-fail2ban

Je pense qu’après ça votre accès SSH sera beaucoup mieux protégé! 🙂

Article publiée le 6 Décembre 2015

Fail2ban est un outil développé en Python.Cette outil vous permettra de parser vos logs à la recherche de tentatives d’attaques brut force ou DOS et de bloquer au bout d’un certain nombre d’essais l’IP concernée. Fail2ban fonctionne avec tout les services courants: ssh, apache, etc…

1)  Installation

Sous Debian :apt-get install fail2ban

Sous RedHat/Centos: Fail2ban n’est pas disponible via les dépôts officiels. Vous devez ajouter les dépots EPEL pour pouvoir l’installer via yum:

wget https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm && rpm -ivh epel-release-7*.rpm && yum install fail2ban

2) Configuration

Pour notre exemple de configuration nous allons sécuriser notre service SSH avec fail2ban:

• Éditez le fichier /etc/fail2ban/jail.conf:

Ce fichier permet de paramétrer le comportement de fail2ban par rapport à un service donnée.

Dans notre cas nous allons bloquer au bout de 3 essais les tentatives de connexions infructueuses via SSH à notre machine:

Explications:

enabled: active ou non la protection

port: Le protocole concerné

filter: indique le nom du filtre qui va parser (mots ou suite de mots qui seront recherché) les logs

logpath: indique le chemin de la log à parser:

maxretry: le nombre maximums d’essais.

Il ne reste plus qu’à redémarrer le service fail2ban: service fail2ban restart

3) Autre configurations

Pour ignorer une IP (non soumis aux blocages de fail2ban):

• Editez le fichier jail.conf et ajouter les IP ou les plages d’adresses IP dans la partie « ignoreip = »

Pour paramétrer le temps de bannissement

• Éditez le fichier jail.conf et indiquez le temps de bannissement avec le paramètre « bantime »

Pour ajouter ou configurer des parsers de logs (filter):

• Vous pouvez ajouter ou modifier des parsers de logs grâce aux fichiers de configuration situés dans le répertoire /etc/fail2ban/filter.d

Si nous ouvrons sshd.conf nous pourrons voir la configuration du parser:

Enjoy 🙂