Sécuriser l'accés a un serveur ubuntu : ufw (firewall)

Le par Frédéric Escarieu / Permalien : / administration

Je croyais être à l'abri et vlan des ips qui reviennent sans cesse sur mon serveur dédié, après une petite recherche  : des serveurs pour WOW.  Il a fallu mettre les moyens nécessaires en place, j'ai donc bloqué les adresses ip, ouvert uniquement les ports nécessaires 80, 21, 22, 25 et lancer le firewall ufw, d'utilisation ultra simple :

Recherche des éventuels IP indésirable :

Quand mon serveur rame je recherche les derniers accés sur celui ci (100 dernière lignes du fichier access.log) :

tail -n 100 /var/log/apache2/access.log

Parefeu SWF (Réf paper blog )

  • ufw enable – Activer le parefeu
  • ufw disable – Désactiver le parefeu
  • ufw default allow – Autoriser toutes les connexions par défaut
  • ufw default deny – Bloquer toutes les connexions par défaut
  • ufw status – Afficher le status du parefeu
  • ufw allow port – Autoriser un port
  • ufw deny port – Bloquer un port
  • ufw deny from ip – bloquer une adresse IP

Attention !!

Il f aut bien penser a ouvrir au moins le port 22 (SSH) si vous êtes un serveur dédié sinon vous ne pourrez plus vous y reconnecter. Super Super important. Et bien sur au moins les ports 80 et 21 pour l'accés au web et le ftp. Faites cela avant d'activer le firewall.

Pour en faire plus ... généralement c'est nécessaire

Sécuriser son Ubuntu-server Par NiKo, de ce que j'ai retenu et réalisé j'ai installé en plus de ufw : fail2ban, logwatch, et chkrootkit et comme on dit qui vivra verra ...

Apache, par ce que oui tout le monde pouvaient voir mes fichiers !!! (comme la config de la db par exemple).

Configurer le comportement des répertoires visibles de l’extérieur

Pour l’ensemble de la sous-arborescence du répertoire défini par la directive “DocumentRoot“, il est important de configurer le comportement que doit avoir Apache pour toutes les requêtes clientes. Pour faire cela, il suffit de rajouter à la configuration d’Apache, la directive suivante :

<Directory / >                      (1)
    Options -Indexes -FollowSymLinks      (2)
    AllowOverride None                    (3)
    Order allow,deny                      (4)
    Allow from all                        (5)
</Directory>

(1) : Le ‘/’ indique que la directive concerne l’arborescence contenue sous la racine des documents Apache.

(2) : Cette directive permet de refuser le listing des fichiers/sous-répertoires et de suivre les liens symboliques (le prefix ‘-’ refuse, tandis que le prefix ‘+’ accepte l’option)

(3) : Cette directive permet de refuser la modification des règles définies sur ce répertoire par un fichier .htaccess

(4) : Cette directive permet d’indiquer l’ordre des règles pour autoriser/interdire des accès (dans notre cas on accepte tout le monde)

(5) : Autorisation de l’accès par tout le monde

Si vous souhaitez, modifier ce comportant pour un sous-répertoire particulier, il suffit de copier la même directive en modifiant le chemin :



Frédéric Escarieu alias Kie

Web Developper - Co-founder KipSoft

#webdev #sysadmin #javascript #php #ruby

Passionné de rugby, amateur de velo.

/