Debian: nombreu scan de ma machine ??
Fermé
LezardMoo
Messages postés
554
Date d'inscription
mercredi 5 janvier 2011
Statut
Membre
Dernière intervention
21 janvier 2015
-
28 nov. 2012 à 16:46
mamiemando Messages postés 33079 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 23 avril 2024 - 29 nov. 2012 à 10:09
mamiemando Messages postés 33079 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 23 avril 2024 - 29 nov. 2012 à 10:09
A voir également:
- Debian: nombreu scan de ma machine ??
- Mettre debian en français ✓ - Forum Linux / Unix
- Miroir de l'archive debian corrompu - Forum Debian
- Fedora ou debian - Guide
- Sftp debian 11 - Forum Debian
- A2ensite debian ✓ - Forum Debian
3 réponses
mamiemando
Messages postés
33079
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
23 avril 2024
7 749
28 nov. 2012 à 20:15
28 nov. 2012 à 20:15
Si ta machine est directement exposée sur le Net (soit parce que tu utilises un modem, soit parce que tu es derrière un routeur qui redirige la plupart des ports vers ta machine) ça n'a rien de surprenant.
C'est pour ça qu'il est important :
- d'utiliser des mots de passe sûrs (si une authentification par mot de passe est possible)
- de limiter autant que possible qui peut se connecter à un port (par exemple, si tu as un serveur de base de données qui n'est accédé que par ta propre machine, ce serveur n'a pas de raison d'écouter le trafic réseau) (voir bind-address)
- de privilégier les authentifications par clé (dans le cas de ssh)
- de partir du principe que le premier compte qui sera attaqué c'est root (c'est pour ça qu'en ssh on peut d'ailleurs empêcher de se connecter en root en ssh)
- d'avoir un pare-feu (iptables, ufw, etc.) qui limite quelles ips publiques peuvent se connecter chez toi
- de n'installer que des programmes (qui écoutent sur le réseau) qui te servent. Par exemple si tu n'utilises jamais ssh, autant ne pas l'installer, ça évitera que des gens tentent de se connecter sur ta machine en ssh.
Bonne chance
C'est pour ça qu'il est important :
- d'utiliser des mots de passe sûrs (si une authentification par mot de passe est possible)
- de limiter autant que possible qui peut se connecter à un port (par exemple, si tu as un serveur de base de données qui n'est accédé que par ta propre machine, ce serveur n'a pas de raison d'écouter le trafic réseau) (voir bind-address)
- de privilégier les authentifications par clé (dans le cas de ssh)
- de partir du principe que le premier compte qui sera attaqué c'est root (c'est pour ça qu'en ssh on peut d'ailleurs empêcher de se connecter en root en ssh)
- d'avoir un pare-feu (iptables, ufw, etc.) qui limite quelles ips publiques peuvent se connecter chez toi
- de n'installer que des programmes (qui écoutent sur le réseau) qui te servent. Par exemple si tu n'utilises jamais ssh, autant ne pas l'installer, ça évitera que des gens tentent de se connecter sur ta machine en ssh.
Bonne chance
LezardMoo
Messages postés
554
Date d'inscription
mercredi 5 janvier 2011
Statut
Membre
Dernière intervention
21 janvier 2015
14
28 nov. 2012 à 21:42
28 nov. 2012 à 21:42
Merci pour ta réponse rapide :)
Le serveur est chez un hebergeur.
Ca me rassure, j'ai deja fait tout ce que tu dis, a part le bind-address que je ne connais donc je vais me renseigner.
Mais ca me rend quand même un peu parano, une centaine d'ip bloquées aujourd'hui... et de tout les pays c'est ca que je ne comprend pas... c'est la première fois que j'heberge a l'exterieur, mes serveurs on toujours été chez moi et je n'ai jamais remarqué ca...
Du coup je cherche un mex de securité donc si tas 2 3 tuyaux un peu poussés a me filer, je suis preneur !
Le serveur est chez un hebergeur.
Ca me rassure, j'ai deja fait tout ce que tu dis, a part le bind-address que je ne connais donc je vais me renseigner.
Mais ca me rend quand même un peu parano, une centaine d'ip bloquées aujourd'hui... et de tout les pays c'est ca que je ne comprend pas... c'est la première fois que j'heberge a l'exterieur, mes serveurs on toujours été chez moi et je n'ai jamais remarqué ca...
Du coup je cherche un mex de securité donc si tas 2 3 tuyaux un peu poussés a me filer, je suis preneur !
mamiemando
Messages postés
33079
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
23 avril 2024
7 749
Modifié par mamiemando le 29/11/2012 à 10:10
Modifié par mamiemando le 29/11/2012 à 10:10
Pour l'histoire de bind-address (ou listen-address) c'est dans le fichier de configuration du serveur que tu considère, par exemple /etc/mysql/my.cnf si tu considères un serveur mysql ou /etc/ssh/sshd_config dans le cas de ssh.
Exemple : /etc/mysql/my.cnf
Exemple : /etc/ssh/sshd_config
Si cette valeur est égale à 127.0.0.1 cela signifie que seul le trafic à la machine est écoute. Si cette valeur est égale à une IP particulière (une interface de ta machine) par exemple 192.168.1.10, seul le trafic lié à cette interface est écouté. Si cette valeur vaut 0.0.0.0, le trafic peut provenir de n'importe où. Ça c'est pour IPv4 mais le principe reste le même avec IPv6, ce sont juste les notations qui changent (par exemple :: représente 0.0.0.0).
Cette valeur se retrouve quand tu lances la commande netstat :
Si cette bind-address n'est pas correcte, il suffit de la corriger dans le fichier de configuration en s'assurant que la directive correspondante est décommentée (non précédée d'un "#" par exemple) puis relancer le serveur.
Exemple : avec la vieille et la nouvelle syntaxe, en root ou avec sudo :
Bonne chance
Exemple : /etc/mysql/my.cnf
# Instead of skip-networking the default is now to listen only on # localhost which is more compatible and is not less secure. bind-address = 127.0.0.1
Exemple : /etc/ssh/sshd_config
[...] # Use these options to restrict which interfaces/protocols sshd will bind to #ListenAddress :: #ListenAddress 0.0.0.0 [...]
Si cette valeur est égale à 127.0.0.1 cela signifie que seul le trafic à la machine est écoute. Si cette valeur est égale à une IP particulière (une interface de ta machine) par exemple 192.168.1.10, seul le trafic lié à cette interface est écouté. Si cette valeur vaut 0.0.0.0, le trafic peut provenir de n'importe où. Ça c'est pour IPv4 mais le principe reste le même avec IPv6, ce sont juste les notations qui changent (par exemple :: représente 0.0.0.0).
Cette valeur se retrouve quand tu lances la commande netstat :
(root@silk) (~) # netstat -ntlp | grep ssh tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 2435/sshd tcp6 0 0 :::22 :::* LISTEN 2435/sshd
Si cette bind-address n'est pas correcte, il suffit de la corriger dans le fichier de configuration en s'assurant que la directive correspondante est décommentée (non précédée d'un "#" par exemple) puis relancer le serveur.
Exemple : avec la vieille et la nouvelle syntaxe, en root ou avec sudo :
/etc/init.d/ssh restart service ssh restart
Bonne chance
