Iptables

De EjnTricks

Lors de l'ouverture d'un ordinateur sur le réseau, comme pour ce serveur, il devient obligatoire de protéger l'accès à la machine. Pour cela, l'outil iptables, très largement répandu, est utilisé pour configurer l'application netfilter. Il est alors possible de mettre en place des règles pour l'accès à la machine.

Afin de sécuriser contre des tentatives d'intrusion, il est recommandé d'installer l'application Fail2ban qui va permettre de configurer les règles automatiquement, à partir de d'informations extraites des fichiers traces des applications.


Icon-log.png Analyse des logs

Après avoir ouvert le port pour accéder à la machine par OpenSSH, de nombreuses tentatives d'accès sont référencées dans la log syslog.

User root from 221.232.137.202 not allowed because not listed in AllowUsers
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.232.137.202  user=root
Failed password for invalid user root from 221.232.137.202 port 45178 ssh2
User bin from 221.232.137.202 not allowed because not listed in AllowUsers
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.232.137.202  user=bin
Failed password for invalid user bin from 221.232.137.202 port 45979 ssh2
User bin from 221.232.137.202 not allowed because not listed in AllowUsers
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.232.137.202  user=bin
Failed password for invalid user bin from 221.232.137.202 port 46779 ssh2

Dans cet exemple, des tentatives d'accès avec le compte root depuis l'adresse IP 221.232.137.202 sont réalisées. Cela ressemble tout simplement à des essais de connexion sur la machine pour s'y introduire. Ne connaissant pas qui est la personne en face, cette adresse doit être bannie afin de rejeter toutes les prochaines tentatives.

Ce type de tentative peut se trouver également dans la log error du serveurs Apache.

[Sun Feb 26 20:47:41 2012] [error] [client 58.17.163.8] script '/var/www/index.php' not found or unable to stat
[Sun Feb 26 20:47:42 2012] [error] [client 58.17.163.8] File does not exist: /var/www/admin
[Sun Feb 26 20:47:43 2012] [error] [client 58.17.163.8] File does not exist: /var/www/admin
[Sun Feb 26 20:47:44 2012] [error] [client 58.17.163.8] File does not exist: /var/www/admin
[Sun Feb 26 20:47:44 2012] [error] [client 58.17.163.8] File does not exist: /var/www/db
[Sun Feb 26 20:47:45 2012] [error] [client 58.17.163.8] File does not exist: /var/www/dbadmin
[Sun Feb 26 20:47:46 2012] [error] [client 58.17.163.8] File does not exist: /var/www/myadmin
[Sun Feb 26 20:47:47 2012] [error] [client 58.17.163.8] File does not exist: /var/www/mysql
[Sun Feb 26 20:47:47 2012] [error] [client 58.17.163.8] File does not exist: /var/www/mysqladmin
[Sun Feb 26 20:47:48 2012] [error] [client 58.17.163.8] File does not exist: /var/www/typo3
[Sun Feb 26 20:47:49 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpadmin
[Sun Feb 26 20:47:50 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpMyAdmin
[Sun Feb 26 20:47:50 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpmyadmin
[Sun Feb 26 20:47:51 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpmyadmin1
[Sun Feb 26 20:47:52 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpmyadmin2
[Sun Feb 26 20:47:53 2012] [error] [client 58.17.163.8] File does not exist: /var/www/pma
[Sun Feb 26 20:47:54 2012] [error] [client 58.17.163.8] File does not exist: /var/www/web
[Sun Feb 26 20:47:54 2012] [error] [client 58.17.163.8] File does not exist: /var/www/xampp
[Sun Feb 26 20:47:55 2012] [error] [client 58.17.163.8] File does not exist: /var/www/web
[Sun Feb 26 20:47:56 2012] [error] [client 58.17.163.8] File does not exist: /var/www/php-my-admin
[Sun Feb 26 20:47:57 2012] [error] [client 58.17.163.8] File does not exist: /var/www/websql
[Sun Feb 26 20:47:57 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpmyadmin
[Sun Feb 26 20:47:58 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpMyAdmin
[Sun Feb 26 20:47:59 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpMyAdmin-2
[Sun Feb 26 20:48:00 2012] [error] [client 58.17.163.8] File does not exist: /var/www/php-my-admin
[Sun Feb 26 20:48:00 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpMyAdmin-2.2.3
[Sun Feb 26 20:48:01 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpMyAdmin-2.2.6
[Sun Feb 26 20:48:02 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpMyAdmin-2.5.1
[Sun Feb 26 20:48:03 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpMyAdmin-2.5.4
[Sun Feb 26 20:48:03 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpMyAdmin-2.5.5-rc1
[Sun Feb 26 20:48:04 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpMyAdmin-2.5.5-rc2
[Sun Feb 26 20:48:05 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpMyAdmin-2.5.5
[Sun Feb 26 20:48:06 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpMyAdmin-2.5.5-pl1
[Sun Feb 26 20:48:07 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpMyAdmin-2.5.6-rc1
[Sun Feb 26 20:48:07 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpMyAdmin-2.5.6-rc2
[Sun Feb 26 20:48:08 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpMyAdmin-2.5.6
[Sun Feb 26 20:48:09 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpMyAdmin-2.5.7
[Sun Feb 26 20:48:10 2012] [error] [client 58.17.163.8] File does not exist: /var/www/phpMyAdmin-2.5.7-pl1

Or aucune de ces applications n'est installée sur le serveur. De plus, vu l'espacement des tentatives, il est très probable que ce soit dans le but de glaner des informations sur les applications installées, ou trouver des fichiers contenant des mots de passe. Mise à part le fait de sensibiliser sur la protection des fichiers, l'accès depuis l'adresse IP 58.17.163.8 n'est vraiment pas pour consulter le site. Comme pour le cas précédent, elle sera bannie.


Tool-box.png Administration

Process-Icon.png Utilisation

Viewer icon.png Voir aussi

Documentation Ubuntu: http://doc.ubuntu-fr.org/iptables

Ensemble d'exemples: http://www.cyberciti.biz/tips/linux-iptables-examples.html

Tutoriel complet: http://www.inetdoc.net/guides/iptables-tutorial/ Iptables-tutorial.pdf