L’idée est de permettre au serveur web Apache de résister à une attaque DOS (Deny of Service). L’attaque DOS consiste à submerger le serveur web de requêtes jusqu’à que le serveur de puisse plus suivre et ne réponde plus aux requêtes normales.

Une attaque coordonnée à partir de plusieurs ordinateurs devient une attaque distribuée : DDOS.

Le module evasive ajoute cette protection à Apache de la façon suivante:

Les requêtes sont ignorées pour les adresses IP :

• ayant déjà demandées la même page plusieurs fois par seconde
• ayant fait plus de 50 requêtes sur le même processus enfant par seconde
• ayant été déjà mises sur une liste noire.

L’installation du module se fait très simplement avec apt-get install libapache2-mod-evasive

Si vous avez installé le module info d’Apache, vous pourrez vérifier que le module est chargé mais qu’il n’y a encore aucune configuration. Par contre les directives du module sont présentées dans le module info d’Apache.

Il y a donc lieu de rajouter ces directives à /etc/apache2/apache2.conf

# paramètres pour le module evasive qui traite les attaques ddos
<ifmodule mod_evasive20.c>
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 10
DOSWhitelist 127.0.0.*,66.249.65.*
DOSLogDir « /var/log/evasive »
DOSSystemCommand « /bin/echo %s >> /var/log/apache2/evasive/evasive.log »
DOSEmailNotify monuser@mondomaine.fr
</ifmodule>

Les erreurs sont donc loggées dans un répertoire et un fichier ad-hoc

Il y a lieu de créer ce répertoire avec sudo mkdir /var/log/apache2/evasive

Ensuite ne pas oublier de relancer apache avec sudo /etc/init.d/apache2 reload

Un prochain article testera les défenses ainsi créées.

Le principe de la cryptographie asymétrique est le suivant: la clef publique sert à encoder le message et la clef privée, protégée par un mot de passe, sert à décoder le message. De plus, la clef privée ne peut pas être déduite en partant de la clef publique.

Cet échange crypté permet d’établir la liaison entre client et serveur. Le reste de la communication utilise un mode symétrique moins gourmand en ressources CPU.

La sécurité est donc bien meilleure qu’avec un simple mot de passe puisqu’il est nécessaire d’être en possession de la clef privée pour se connecter au serveur.

Pour générer mon trousseau de clef publique et privée, j’ai utilisé par simplicité un PC sous Uuntu. J’aurais pu utiliser une autre distribution Linux. Le protocole SSH étant natif sous Linux, la génération de clef y est plus simple que sous Windows.

ssh-keygen -t dsa permet de générer les clefs en protégeant la clef privée par un mot de passe. Par défaut elles sont sauvegardées dans le dossier caché .ssh avec les noms suivants:

id_dsa correspond à la clef privée et id_dsa.pub à la clef publique.

ssh-copy-id -i ~/.ssh/id_dsa.pub <username>@<ipaddress> permet de copier la clef publique sur le serveur distant en adaptant les permissions des répertoires distants.

Il s’agit maintenant de tester la connexion ! Un ssh user@ipadresse devrait vous connecter sur votre serveur.

Vérifiez avec ifconfig que votre adresse ip a bien changé.

Il reste maintenant trois étapes:

1. désactiver l’authentification par mot de passe sur le serveur
2. transformer la clef privée en clef ppk, le format utilisé par putty, pour permettre une utilisation sous windows
3. automatiser la connexion avec Pageant pour se connecter en deux clics.

Pour désactiver la connexion par mot de passe, il suffit d’éditer le fichier /etc/sshd_config pour modifier la ligne suivante:

PasswordAuthentication no

Pour utiliser la clef privée sous Windows avec Putty, il est nécessaire de l’importer dans Puttygen pour ensuite la sauvegarder avec l’extension .ppk utilisé par Putty.

Cerise sur le gateau, Pageant permet de gérer votre authentification sur votre bureau windows. Saississez une fois votre mot de passe de la clef privé et connectez vous plusieurs fois à votre serveur en deux clics sans ressaisir votre mot de passe.

J’utilise personnellement un raccourci dans la barre de lancement rapide de Windows qui, d’un seul clic, appelle Pageant et y charge ma clef privée pour ensuite appeler Putty.

Comme j’ai enregistré dans Putty mon username, dans la zone Auto-login username dans Connexion / data, il ne me reste qu’à cliquer sur le nom de ma session pour être connecté à mon serveur distant Linux.

Il m’arrive régulièrement de me connecter sur des hotspot wifi non sécurisés et je n’aime pas l’idée que mes mots de passe de connexion ftp ou smtp soient envoyés en clair.

J’ai découvert que mon serveur dédié pouvait me servir de proxy pour sécuriser ma connexion très simplement.

L’idée est de mettre en place un proxy SOCKS en utilisant la fonction serveur de SSH.

Je suis impressionné par la simplicité et l’efficacité du principe.

Il suffit de paramétrer Putty pour que SSH fasse un transfert dynamique de port.

Dans connexion / SSH / tunnels, indiquer le port de proxy que vous souhaitez utilisez localement (8080 généralement) et cliquer sur dynamic puis sur add puis sauvegardez la connexion. Bien entendu vous avez également spécifié l’adresse de votre serveur dans la session.

Côté navigateur, il vous reste à indiquer votre proxy socks sur localhost et le port 8080.

Voilà, vous êtes connecté en SSH à votre serveur dédié et toutes vos requêtes web sur votre poste client passent maintenant par ce tunnel pour être exécutés par votre serveur.

Pour vérifier que votre connexion passe bien par le proxy, vérifier que votre adresse IP externe a bien changé .

L’avantage de ce proxy SOCKS est que vous pouvez l’utiliser pour vos connexions ftp ou votre messagerie avec les accès POP, IMAP ou SMTP.

Un client FTP comme Filezilla permet de déclarer le proxy SOCKS.

Pour vérifier que votre connexion FTP passe bien par le proxy, je vous propose de bloquer les port 20 et 21 sur votre modem / routeur.

Voila le dialogue que vous devriez ensuite obtenir sur filezilla:

Statut :    Connexion à ftp.monserver.com via le Proxy
Statut :    Résolution de l’adresse de localhost
Statut :    Connexion à 127.0.0.1:8080…
Statut :    Connexion établie avec le Proxy, négociation en cours…
Statut :    Connexion établie, attente du message d’accueil…
Réponse :    220 FTP Server ready.
Commande :    USER u123456
Réponse :    331 Password required for u123456
Commande :    PASS ********
Réponse :    230 User u123456 logged in
Statut :    Connecté

Evidemment, ce proxy SOCKS ne fait que relier deux machines et n’inclut aucune fonction de cache pour accélérer votre navigation sur le web mais il apporte une sécurité appréciable à vos transactions.

J’ai été surpris parce que je lis toujours les annonces de mise à jour de sécurité sur la mailing list ubuntu-security-announce et aucune mise à jour n’avait été annoncée pour sudo.

Heureusement je suis également abonné à la mailing list ubuntu-fr@lists.ubuntu.com.

Découvrir Ubuntu avec l’appui de la communauté est un vrai plaisir et j’ai ainsi découvert l’usage de apt-cache policy, qui affiche des informations précises sur la priorité du paquet.

user@sd-12345:~$ apt-cache policy sudo
sudo:
Installé : 1.6.9p10-1ubuntu3.4
Candidat : 1.6.9p10-1ubuntu3.5
Table de version :
*** 1.6.9p10-1ubuntu3.5 0
500 http://fr.archive.ubuntu.com hardy-updates/main Packages
100 /var/lib/dpkg/status
1.6.9p10-1ubuntu3.4 0
500 http://security.ubuntu.com hardy-security/main Packages
1.6.9p10-1ubuntu3 0
500 http://fr.archive.ubuntu.com hardy/main Packages

La mise à jour n’était pas critique mais cela m’a permis de m’abonner également aux mises à jour de Hardy: hardy-changes.

Un alias est un raccourci pour une commande en console.

alias permet de lister les alias existants, tandis que alias exemple=’commande’ va créer un raccourci nommé exemple qui exécutera une commande.

unalias exemple supprimera l’alias créé.

Voila donc les alias que je me suis créé:

user@sd-12345:~$ alias
alias acs=’apt-cache search’
alias agd=’sudo apt-get dist-upgrade’
alias agg=’sudo apt-get upgrade’
alias agi=’sudo apt-get install’
alias agr=’sudo apt-get remove’
alias agu=’sudo apt-get update’
alias ban=’sudo fail2ban-client status’
alias ls=’ls –color=auto’
user@sd-12345:~$

Les alias permettent de passer des arguments.

Ainsi alias ssh va exécuter la commande  sudo fail2ban-client status ssh pour lister le nombre d’échecs d’authentification sur le protocole ssh, ayant entrainés un bannissement temporaire de l’adresse IP tandis que sudo fail2ban-client status apache fera la même chose pour les échecs sur l’authentification d’apache.

user@sd-12345:~$ ban ssh
Status for the jail: ssh
|- filter
|  |- File list:        /var/log/auth.log
|  |- Currently failed: 0
|  `- Total failed:     567
`- action
|- Currently banned: 0
|  `- IP list:
`- Total banned:     80
user@sd-12345:~$

Pour être conservés d’une session à l’autre, les alias doivent être inscrits dans le fichier .bashrc dans la section
# some more ls aliases.

Deux outils me semblent incontournables pour créer un confort en console:

Le gestionnaire midnight commander, qui s’installe avec sudo apt-get install mc est un excellent gestionnaire de fichier.

Il accepte même l’utilisation de la souris, ce qui n’est pas désagréable en console !

Et la commande history permet de lister toutes les commandes enregistrés dans le shell.

Très pratique, lorsque vous recherchez la syntaxe précise d’une commande netstat, par exemple, pour interroger vos connexions réseau, et que vous avez saisi il y a quelques heures:

history | grep netstat

Vous lister ainsi toutes les commandes netstat historisées:

user@sd-12345:~$ history |grep netstat
239  netstat -luntp
240  man netstat
241  netstat -i
242  man netstat
243  netstat -p
244  netstat -t
245  man netstat
246  netstat -h
247  netstat -t
248  netstat -p
249  netstat -i
250  netstat -l
251  netstat -luntp
252  sudo netstat -luntp
253  sudo netstat -u
254  sudo netstat -n
255  sudo netstat -t
256  sudo netstat -vat
257  sudo netstat -lunforeuse.dedibox.frtp
258  sudo netstat -p
259  sudo netstat -luntp
260  sudo netstat -t

La commande possède beaucoup d’options comme le précise le manuel: man history

Le site effectue dix requêtes consécutives et fournit la vitesse moyenne, la vitesse médiane et l’écart type.

Pour ce blog gnulinux.fr, voila le résultat :

http://www.gnulinux.fr. Moyenne: 3.81s. Médiane: 3.57s. Ecart type: 3.81s.

Je prévois de transférer ce soir un site web sur mon serveur et je pourrais comparer la performance d’un hébergement mutualisé et d’un hébergement sur serveur dédié.

1. un système d’exploitation Linux stable et garanti.  Si vous êtes sur ce site, vous êtes probablement déjà convaincu.
2. un serveur web Apache pour servir les requêtes envoyés par le navigateur,
3. une base de données MySQL ,
4. un langage de script PHP pour générer des pages web dynamiques et gérer la base MySQL.

Il ne vous manquera alors qu’un outil pour administrer vos bases de données: phpmyadmin, un utilitaire écrit en PHP.

L’avantage de phpmyadmin n’est pas mince pour administrer un serveur : il permet de visualiser les tables et les champs de façon plus confortable qu’avec la console.

L’inconvénient est que vos informations transitent par internet et peuvent être interceptées.

L’utilisation de SSL permet de sécuriser l’utilisation de phpmyadmin.

Pour installer le paquet, simplement sudo apt-get install phpmyadmin

Phpmyadmin s’installe dans le repertoire /usr/share/phpmyadmin.

Comme il est d’usage que les requêtes web se fassent sur le répertoire /var/www, un petit lien symbolique s’impose

placez vous dans le répertoire: cd /var/www, puis ln -s /usr/share/phpmyadmin phpmyadmin

Pour générer le certificat SSL, vous aurez besoin du paquet open ssl.

Pour générer le certificat et la clef, tapez

sudo openssl req -x509 -nodes -days 365 -newkey rsa:1024 -out /etc/apache2/server.crt -keyout /etc/apache2/server.key

Pour accéder à phpmyadmin, j’utilise tout simplement l’adresse de mon serveur, du type http://mon serveur.fr  et la fonction d’hôte virtuel. Je pourrais aussi utiliser tout simplement l’adresse IP.

Voici comment paramétrer l’hôte virtuel dans le fichier /etc/apache2/sites-available/phpmyadmin

NameVirtualHost *:443
NameVirtualHost *:80

ServerName monadresse.fr
redirect / https://monadresse.fr

ServerAdmin webmaster@localhost
ServerName monadresse.fr
DocumentRoot /var/www/phpmyadmin
SSLEngine on
SSLCertificateFile /etc/apache2/server.crt
SSLCertificateKeyFile /etc/apache2/server.key

Options FollowSymLinks
AllowOverride All

Options Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
Allow from all

../..

Commentaire : les requêtes sur le port 80 sont renvoyées vers le port 443 des transactions sécurisées HTTPS. Comme toujours, veillez à ce que votre parefeu autorise les requêtes vers le port 443.

Une dernière précaution serait de demander une authentification. A défaut, vous risquez uen attaque brute force.

Placez ce fichier .htaccess dans /usr/share/phpmyadmin

AuthName « Acces restreint »
AuthType Basic
AuthUserFile « /chemin/vers/.htpasswd »
Require valid-user

et placez dans un autre répertoire votre fichier .htpasswd avec l’encryptage md5 du mot de passe sous la forme user:motdepassecrypté.

Le mode SFTP est le plus simple à utiliser avec un serveur dédié puisqu’il fonctionne out of the box, étant inclus dans le protocole SSH. Les échanges de données et surtout les informations de connexion sont cryptées puisqu’elles bénéficient du tunnel SSH.

A l’inverse le mode FTP de base expose vos informations de connexion (user et mot de passe) sur l’internet.

Il peut donc être utile de sécuriser les échanges avec les modes FTPS et FTPES : un logiciel de gestion de contenu comme WordPress peut utiliser ce mode sécurisé pour les téléchargements internes des extensions.

Cet article expose comment sécuriser les échanges de fichiers en mode FTP grâce au protocole SSL.

Je recommande proftpd comme serveur ftp : il fonctionne quasiment out of the box.

sudo apt-get install proftpd

Deux fichiers de configuration sont situés dans le répertoire /etc/proftpd.

Dans  le premier, proftpd.conf, je vous recommande de décommenter cette deuxième ligne.

# Use this to jail all users in their homes
DefaultRoot ~

Proftpd utilisera ainsi la commande chroot, qui permet de faire d’un répertoire la racine du système, pour empêcher les utilisateurs connectés en ftp de sortir de leur répertoire utilisateur.

Ensuite, il est prudent de  recharger proftpd avec sudo /etc/init.d/proftpd reload

Tel quel, proftpd devrait déjà fonctionner en mode normal et vous pouvez le vérifier avec votre client ftp préféré.

Pour activer la cryptographie SSL, vous aurez besoin du paquet openssl.

Ensuite, la commande sudo openssl req -x509 -nodes -days 365 -newkey rsa:1024 -out /etc/ssl/certs/proftpd.crt -keyout /etc/ssl/certs/proftpd.key vous générera le certificat SSL. Il suffit de répondre aux questions posée.

Le certificat est auto-signé et valable un an.

Il ne reste que deux étapes:

1 – décommenter la ligne suivante dans proftpd.conf pour charger le fichier de la configuration sécurisée de proftpd

#
# This is used for FTPS connections
#
Include /etc/proftpd/tls.conf

2 – décommenter les lignes du fichier tls.conf pour activer la connexion sécurisée

Enfin, ne pas oublier de relancer le serveur avec sudo /etc/init.d/proftpd reload

Dans fillezilla, utilisez le mode FTPES : un cadenas, en bas à droite, devrait vous confirmer que la connexion est cryptée.

Pour les distraits, je rappelle qu’il faut également que votre parefeu laisse passer les connections vers les port 20 et 21

Si vous utilisez iptables, voici les commandes

iptables -A INPUT -p tcp -i eth0 –dport ftp -j ACCEPT
iptables -A INPUT -p tcp -i eth0 –dport ftp-data -j ACCEPT

A l’inverse, il est toujours possible chez soi de booter sur un cd puis de monter les partitions manuellement.

La mise à jour du kernel est donc une opération délicate : en cas d’échec, il n’existe à ma connaissance que deux options, accéder à la machine avec une KVM sur IP (option payante généralement) ou réinstaller la distribution.

La commande grub-set-default permet de booter sur un nouveau kernel UNE FOIS seulement, histoire de vérifier que le boot se passe bien.

grub est un gestionnaire d’amorçage qui s’installe sur le premier secteur absolu du disque dur (MBR = Master Boot Record).

A l’allumage de l’ordinateur, le BIOS lit les informations du MBR , permettant à grub de charger le noyau du système d’exploitation.

Mon menu grub se présentait comme cela (/boot/grub/menu.lst)

default 0

timeout      3

title        Ubuntu 8.04.3 LTS, kernel 2.6.25.4dedibox-r9-smp-x64
root        (hd0,0)
kernel        /vmlinuz-2.6.25.4dedibox-r9-smp-x64 root=/dev/md1 ro quiet splash
quiet

title        Ubuntu 8.04.3 LTS, kernel 2.6.25.4dedibox-r9-smp-x64 (recovery mode)
root        (hd0,0)
kernel        /vmlinuz-2.6.25.4dedibox-r9-smp-x64 root=/dev/md1 ro single

title        Ubuntu 8.04.3 LTS, memtest86+
root        (hd0,0)
kernel        /memtest86+.bin
quiet

### END DEBIAN AUTOMAGIC KERNELS LIST

Les deux premières lignes (défault 0 et timeout 3) indique que le kernel qui sera utilisé, faute d’intervention manuelle d’un opérateur pendant les 3 premières secondes, sera le premier de la liste ! En effet, la numérotation commence par zéro, ce qui peut être trompeur.

Le nouveau kernel sera chargé par une commande classique

sudo apt-get install linux-image-2.6.24-24-server , ce qui lance la création de l’image système minimale initrd mais ne met pas à jour menu.lst

La commande update-grub met à jour le menu de grub: le nouveau kernel apparait dans la liste

title           Ubuntu 8.04.3 LTS, kernel 2.6.25.4dedibox-r9-smp-x64
root            (hd0,0)
kernel          /vmlinuz-2.6.25.4dedibox-r9-smp-x64 root=/dev/md1 ro quiet splash
quiet

title           Ubuntu 8.04.3 LTS, kernel 2.6.25.4dedibox-r9-smp-x64 (recovery mode)
root            (hd0,0)
kernel          /vmlinuz-2.6.25.4dedibox-r9-smp-x64 root=/dev/md1 ro single

title           Ubuntu 8.04.3 LTS, kernel 2.6.24-24-server
root            (hd0,0)
kernel          /vmlinuz-2.6.24-24-server root=/dev/md1 ro quiet splash
initrd /initrd.img-2.6.24-24-server
quiet

../..

L’astuce consiste à modifier default 0 par default saved. Ainsi le kernel utilisé sera celui qui aura été sauvegardé.

Ensuite la commande en console grub-set-default 2 permet de demander à grub de booter la prochaine fois sur le nouveau kernel n°3.

Attention, il faut également intercaler une commande save default 0 dans le menu de grub, après appel du nouveau kernel, pour qu’un nouveau boot permette de revenir au kernel initial.

title        Ubuntu 8.04.3 LTS, kernel 2.6.24-24-server
root        (hd0,0)
kernel        /vmlinuz-2.6.24-24-server root=/dev/md1 ro quiet splash
savedefault    0
initrd        /initrd.img-2.6.24-24-server
quiet

Si le test du nouveau kernel est concluant, il suffira de fixer save default à 2 .