Iptables
Lors de l'ouverture d'un ordinateur sur le réseau, comme pour ce serveur, il devient obligatoire de protéger l'accès à la machine. Pour cela, l'outil iptables
, très largement répandu, est utilisé pour configurer l'application netfilter
.
Il est alors possible de mettre en place des règles pour l'accès à la machine.
Afin de sécuriser contre des tentatives d'intrusion, il est recommandé d'installer l'application Fail2ban qui va permettre de configurer les règles automatiquement, à partir de d'informations extraites des fichiers traces des applications.
Analyse des logs
Après avoir ouvert le port pour accéder à la machine par OpenSSH, de nombreuses tentatives d'accès sont référencées dans la log syslog
.
User root from 221.232.137.202 not allowed because not listed in AllowUsers pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.232.137.202 user=root Failed password for invalid user root from 221.232.137.202 port 45178 ssh2 User bin from 221.232.137.202 not allowed because not listed in AllowUsers pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.232.137.202 user=bin Failed password for invalid user bin from 221.232.137.202 port 45979 ssh2 User bin from 221.232.137.202 not allowed because not listed in AllowUsers pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.232.137.202 user=bin Failed password for invalid user bin from 221.232.137.202 port 46779 ssh2
Dans cet exemple, des tentatives d'accès avec le compte root
depuis l'adresse IP 221.232.137.202
sont réalisées. Cela ressemble tout simplement à des essais de connexion sur la machine pour s'y introduire. Ne connaissant pas qui est la personne en face, cette adresse doit être bannie afin de rejeter toutes les prochaines tentatives.
Ce type de tentative peut se trouver également dans la log error
du serveurs Apache.
[Sun Feb 26 20:47:41 2012] [error] [client 58.17.163.8] script '/var/www/index.php' not found or unable to stat [Sun Feb 26 20:47:42 2012] [error] [client 58.17.163.8] File does not exist: /var/www/admin [Sun Feb 26 20:47:43 2012] [error] [client 58.17.163.8] File does not exist: /var/www/admin [Sun Feb 26 20:47:44 2012] [error] [client 58.17.163.8] File does not exist: /var/www/admin [Sun Feb 26 20:47:44 2012] [error] [client 58.17.163.8] File does not exist: /var/www/db [Sun Feb 26 20:47:45 2012] [error] [client 58.17.163.8] File does not exist: /var/www/dbadmin [Sun Feb 26 20:47:46 2012] [error] [client 58.17.163.8] File does not exist: /var/www/myadmin [Sun Feb 26 20:47:47 2012] [error] [client 58.17.163.8] File does not exist: /var/www/mysql [Sun Feb 26 20:47:47 2012] [error] [client 58.17.163.8] File does not exist: /var/www/mysqladmin [Sun Feb 26 20:47:48 2012] [error] [client 58.17.163.8] File does not exist: /var/www/typo3 [Sun Feb 26 20:47:49 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpadmin [Sun Feb 26 20:47:50 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpMyAdmin [Sun Feb 26 20:47:50 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpmyadmin [Sun Feb 26 20:47:51 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpmyadmin1 [Sun Feb 26 20:47:52 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpmyadmin2 [Sun Feb 26 20:47:53 2012] [error] [client 58.17.163.8] File does not exist: /var/www/pma [Sun Feb 26 20:47:54 2012] [error] [client 58.17.163.8] File does not exist: /var/www/web [Sun Feb 26 20:47:54 2012] [error] [client 58.17.163.8] File does not exist: /var/www/xampp [Sun Feb 26 20:47:55 2012] [error] [client 58.17.163.8] File does not exist: /var/www/web [Sun Feb 26 20:47:56 2012] [error] [client 58.17.163.8] File does not exist: /var/www/php-my-admin [Sun Feb 26 20:47:57 2012] [error] [client 58.17.163.8] File does not exist: /var/www/websql [Sun Feb 26 20:47:57 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpmyadmin [Sun Feb 26 20:47:58 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpMyAdmin [Sun Feb 26 20:47:59 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpMyAdmin-2 [Sun Feb 26 20:48:00 2012] [error] [client 58.17.163.8] File does not exist: /var/www/php-my-admin [Sun Feb 26 20:48:00 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpMyAdmin-2.2.3 [Sun Feb 26 20:48:01 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpMyAdmin-2.2.6 [Sun Feb 26 20:48:02 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpMyAdmin-2.5.1 [Sun Feb 26 20:48:03 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpMyAdmin-2.5.4 [Sun Feb 26 20:48:03 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpMyAdmin-2.5.5-rc1 [Sun Feb 26 20:48:04 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpMyAdmin-2.5.5-rc2 [Sun Feb 26 20:48:05 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpMyAdmin-2.5.5 [Sun Feb 26 20:48:06 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpMyAdmin-2.5.5-pl1 [Sun Feb 26 20:48:07 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpMyAdmin-2.5.6-rc1 [Sun Feb 26 20:48:07 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpMyAdmin-2.5.6-rc2 [Sun Feb 26 20:48:08 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpMyAdmin-2.5.6 [Sun Feb 26 20:48:09 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpMyAdmin-2.5.7 [Sun Feb 26 20:48:10 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpMyAdmin-2.5.7-pl1
Or aucune de ces applications n'est installée sur le serveur. De plus, vu l'espacement des tentatives, il est très probable que ce soit dans le but de glaner des informations sur les applications installées, ou trouver des fichiers contenant des mots de passe. Mise à part le fait de sensibiliser sur la protection des fichiers, l'accès depuis l'adresse IP 58.17.163.8
n'est vraiment pas pour consulter le site. Comme pour le cas précédent, elle sera bannie.
Administration
Utilisation
Voir aussi
Documentation Ubuntu: http://doc.ubuntu-fr.org/iptables
Ensemble d'exemples: http://www.cyberciti.biz/tips/linux-iptables-examples.html
Tutoriel complet: http://www.inetdoc.net/guides/iptables-tutorial/ Iptables-tutorial.pdf