Sécuriser un serveur Mandriva

Enfin, un peu !

Vous avez un serveur avec la distribution Mandrake 9 ? La configuration par défaut est assez sécure, mais en faisant les petites manipulations suivantes, vous éviterez sûrement certains problèmes.

Cachez ces informations que je ne saurais voir !

Afin d’éviter que votre serveur ne réponde au "ping" et autres "echo icmp" qui peuvent donner des informations sur votre système (exemple : nmap, traceroute...), voici un petit truc :

Ouvrez le centre de contrôle Mandrake-Sécurité-Niveau de sécurité.
Cliquez sur l’onglet Options réseau
Mettez à No "accept_broadcasted_icmp_echo" et "accept_icmp_echo".

Vous pouvez également activer le firewall grâce au centre de contrôle Mandrake. Mais s’il n’y as pas de service qui répond sur le port, ce sera impossible pour quelqu’un d’entrer par ce port.

Apache

Le serveur web Apache donne sa "signature" (version) lorsqu’il y a une page manquante (erreur 404) sur le serveur par exemple. Ceci peut également donner des informations pertinentes aux gens malveillants. Pour éviter ceci :

Dans le fichier /etc/httpd/conf/commonhttpd.conf, ajouter ces deux lignes :

ServerTokens Prod
ServerSignature Off

Serveur Proftpd

Selon le site officiel de ce serveur, on devrait passer à la version 1.2.8 au plus tôt.

Pour ce faire :

Téléchargez les sources ici
Décompressez-les dans un répertoire quelconque.
Dans un terminal, rendez-vous dans ce répertoire (voir cet article pour vous aider).
Faites ces quatre étapes :
- ./configure
- make
- su (mot de passe)
- make install

Dans le fichier /etc/proftpd.conf ajoutez (ou modifiez) ces trois lignes :

MaxClients 5
MaxClientsPerHost 1
DeferWelcome off

Ceci ne permettra que 5 clients en même temps sur votre serveur, cela autorisera à un hôte (une adresse ip) de n’avoir qu’une connexion en même temps et il n’y aura pas d’information à propos du serveur d’envoyé aux utilisateurs.

Suggestion : utilisez une connexion ssh (sécurisée) au lieu du ftp. De cette façon vos mots de passe et vos informations seront cryptés entre le serveur et vous.

Konqueror (à l’aide de kio fish) peut faire du ssh en mode graphique en inscrivant dans la barre d’adresse : fish ://utilisateur@serveur.com.

En Mac OS X il y a Fugu qui peut faire la chose.

Voilà donc quelques éléments qui éviteront des problèmes si un gentil jeune homme tente d’accéder à votre serveur de façon malhonnête.

Vaut mieux... ;o)

P.-S.

Références :
http://www.cgsecurity.org/Articles/proftpd.html
http://www.security-labs.org/index.php3 ?page=410
http://apache.org/
http://www.proftpd.org/
http://mandriva.com

Version imprimable

Laisser un commentaire

4 Messages de forum

30 avril 2003 20:20

Ou une gentille jeune femme... y’a pas que les gars qui sont malhonnêtes.... ;-)
1er mai 2003 16:30, par SM

Intéressant et utile ! Ca devient parfois long et fastidieux de chercher toutes ces règles sur Internet quand on veut faire les choses en vitesse. C’est toujours plaisant quand on tombe sur une page qui contient le résumé de plusieurs. :) Merci !
14 novembre 2005 13:55, par lassons

Pensez vous vraiment qu’une mandriva par exemple la 2006 si on parle d’actu soit vraiment l’ideal en temps que serveur ? je tourne depuis des lustres avec une redhat 7.3 (sme) cependant je commence a rencontrer des problemes, configuration asterisk probleme lié a openssl ... ... ! elle se fait viellotte... ! bref je voudrai passer mon serveur sur un systeme plus neuf (voir sans X) pour boufer moins de recourse c’est qu’un athlon 1ghz, avec 256 mo de ram donc bon ... et facilement managable.

Sebastien
15 novembre 2005 07:09, par Luc Moreau

Avec 256 meg de ram, je ne pense pas que Mandriva soit ce qu’il te faut. Va voir du côté Free-Eos : http://free-eos.org/

Ça s’installe en un tour de main et ça s’administre via un autre pc dans un fureteur internet. J’ai fait quelque test et ça m’as vraiment impressionner.

Luc Moreau

LinuxÉdu-Québec

Sécuriser un serveur Mandriva

Cachez ces informations que je ne saurais voir !

P.-S.

4 Messages de forum

Mots-clés