01/02/2017, 21:30
![[Image: 875058share.png]](http://img15.hostingpics.net/pics/875058share.png)
.: TUTO CYBER-SECURITY VOLUME 1 :.
Salut à tous,
Aujourd'hui je vais vous apprendre la base de la base en cyber-sécurité quand vous avez un serveur dédié / vps / une machine dont les ports sont ouverts sur le web, nous allons bosser sur l'OS DEBIAN.
Citation :Quoi ???? Sécurisé un serveur Linux ? N'importe quoi celui là c'est inutile space de Noob. Linux y'a pas de virus et les pirates s'en servent pour pirater
Oui c'est pas faux, mais tout est attaquable dans la vie ! Sache qu'une distribution de base GNU/Linux ou autre n'est pas infaillible à de nombreuses attaque (brute force, port scanning, shell) dans 99% des cas tu te retrouveras avec un backdoor et un blackhat (russe, chinois, coréen) ou autre se logera en root sur ta machine et s'en servira d'esclave pour se laver les mains de ses intentions malintentionnées
Donc pour limité la casse voici que voilà le minimum syndical à mettre en place avant d'utiliser sa machine, pour ceux qui n'ont jamais sécurisé leur machine, je vous conseil de check /var/log/auth.txt et admirez le nombre de :
Code :
Jan 29 14:23:45 ns3001466 sshd[13136]: pam_unix(sshd:session): session opened for user root by (uid=0) from 98.52.348.15Bon je conseils de formater et de suivre ce tuto
:Un port Exotique pas une banane :
Le port SSH de base est le port 22, beaucoup d'attaque via le scanning port ce fait sur ce port jusqu'à ce que le blackhat prennent contrôle de votre machine via des scripts automatisé qui violerons votre port 22 jusqu'à capitulation.
La solution est simple modifier le port 22 par un port plus exotique à condition qu'il ne soit pas utilisé, par exemple le port 2152.
Pour modifier rendez vous ici :
Code :
nano /etc/ssh/sshd_configRecherchez en haut le port 22 et remplacer le, sauvegardez votre fichier CTRL + X confirmer par O ou Y + enter.
Puis nous redémarrons le service SSH :
Code :
systemctl restart sshdMais c'est loin d'être terminé, si le monsieur est un têtu avec un scan plus poussé il verra que derrière le port exotique se cache le protocole SSH en attente de connexion. Alors là faut redoubler d'effort et Verrouiller l'accès SSH par une clé privé.
Verouillage de l'accès SSH :
Alors là, nous allons rendez l'accès à votre machine possible uniquement avec l'aide d'une clé SSH que seul et je dis bien seulement VOUS aurez en votre possession sur votre PC. Donc déjà pour commencer téléchargez ceci : PUTTY KEY GEN
Vous lancez le binz et vous cliquez sur Generate et vous bouger votre curseur sur la zone blanche prendre exemple de la Screen ci-dessous afin de générer votre clé public et privé.
![[Image: puttygen.jpg]](http://board.parodia-game.eu/uploads/tuto/puttygen.jpg)
Une fois vos clés générés il faut les sauvegarder donc vous cliquez sur Save public key vous choisissez un emplacement sur votre disque dur et vos enregistrez votre fichier, faire de même pour Save private Key. Ensuite la clé public généré que j'ai surligné en bleu et encadré en rouge vous la copiez dans son intégralité .
![[Image: puttygen2.jpg]](http://board.parodia-game.eu/uploads/tuto/puttygen2.jpg)
Ensuite vous vous rendez dans :
Code :
nano /root/.ssh/authorized_keysVous collez la clé public précédemment copié et vous enregistez CTRL + X . Ensuite vous fermez votre console Putty.
![[Image: putty3.jpg]](http://board.parodia-game.eu/uploads/tuto/putty3.jpg)
Vous modifiez le port d'accès à votre serveur par celui que vous avez choisis pour nous c'est le 2152 vous sauvegardez votre profile pour qu'il soit garder en mémoire, puis vous vous rendez comme sur la screen dans le menu SSH / AUTH et vous cliquez sur Browse et vous recherchez votre clé PRIVE et vous cliquez sur open. Normalement vous avez juste à taper root et confirmer et l'accès ce fait sans mot de passe si ça fonctionne poursuivez sinon arrêtez vous là !
Terminus Verrouillage du SSH
Code :
nano /etc/ssh/sshd_configRecherchez ces ligne et décommentez PermitRootLogin whithout-password (vous supprimez le #) et vous remplacer l'option PasswordAuthentification par no.
Code :
PermitRootLogin without-password
PasswordAuthentfication noVous sauvegardez CTRL + X
Et vous redémarrez SSH pour prendre en compte nos modif'
Code :
systemctl restart sshdDésormais la connexion en root à votre machine et uniquement faisable via votre clé privé SSH sur votre port Exotique. Passons à la suite ---->
L'anti Scanning Port :
Une des étapes du piratage consiste à balayer les ports ouvert sur votre machine, une fois la liste des ports check, le pirate exploite différentes faille de sécurité sur le service qui utilise X ou X port. Notre but est d'interdire le Scan des ports de votre machine, l'individu qui s'amusera à Scan un seul port de votre machine se verra BANNIS IP et vous en serez avertis par e-mail. pour mettre en place un serveur mail fonctionnel un tutoriel arrivera prochainement.
Installation du logiciel :
Code :
apt-get install portsentrymodification du fichier de configuration
Code :
nano /etc/portsentry/portsentry.confRechercher et modifier comme ci-dessous :
Code :
BLOCK_UDP="1"
BLOCK_TCP="1"Ces deux lignes il faut les dé-commenter :
Code :
KILL_ROUTE="/sbin/route add -host $TARGET$ reject"
KILL_ROUTE="/sbin/iptables -I INPUT -s $TARGET$ -j DROP"Celle ci vous la rajouter en dessous n'oubliez pas de modifier l'adresse e-mail :
Code :
KILL_RUN_CMD="echo 'Blocage scan de port $TARGET$' | mail -s 'scan port ban $TARGET$' monadressemail@maboite.fr"Ensuite vous redemarrez le service pour que nos modif's soit prise en compte :
Code :
/etc/init.d/portsentry restartEt nous voilà enfin arrivé à la fin de notre premier Volume de Cyber sécurité de base, le prochain volume abordera des règles stricte de bannissement à l'aide de fail2ban. Si vous avez besoin d'aide ou de question n'hésitez pas à laisser un message à la suite de ce poste ou faire un nouveau sujet.
See ya'
