Sécuriser son serveur kimsufi FreeBSD en dix minutes Date:

Après réception d'un serveur dédié [kimsufi] (pour ne pas de citer) sous [FreeBSD], il est important de vite le sécuriser. Il est en effet configuré pour vous permettre de vous connecter via SSH avec le compte root et un mot de passe, reçu par email, le tout sans pare-feu.

Au premier accès, il est donc conseillé de :

kimsufi

FreeBSD

PF (PacketFilter)

OpenSSH

Modification du fichier /etc/sshd\config

,----

| Port XXXX (chiffre à choisir)

| ...

| PermitRootLogin no

| #PermitRootLogin yes

| ...

| hugesmp.s root=/dev/partition rdinit= ro

| PubkeyAuthentication yes

| AuthorizedKeysFile .ssh/authorized_keys

| ...

| PasswordAuthentication no

| #PasswordAuthentication yes...

`----

Redémarrer le serveur SSH. Ne surtout pas l'arréter sinon vous perdrez votre accès.

,----

| /etc/rc.d/sshd reload

`----

PF

Oui il existe 3 pare-feux dans FreeBSD ('[tite comparaison]), mais PF c'est le bieng ;)

Édition du fichier de configuration //etc/pf.conf/

,----

| #MACROS

| ext_if="re0" # interface reseau

| ext_adr="xxx.xxx.xxx.xxx" # IP serveur

| #REGLES

| # Ne pas filtrer sur l'interface de bouclage

| set skip on lo0

| #Normalisation des paquets entrants

| scrub in all

| #On stoppe tout par défaut

| block all

| #On laisse passer tout le traffic sortant

| pass out inet proto {tcp udp} from $ext_adr to any

| #SSH autorisé

| pass in inet proto tcp from any to $ext_adr port pppp (le port choisi dans le fichier sshd_config)

| #ping autorisé (sinon OVH ouvrira un ticket pour non réponse de votre serveur, on pourra par la suite peaufiner pour ne répondre qu'aux pings de OVH)

| pass proto { icmp icmp6 }

| #SSH bruteforce blacklistage (une 'tite rêgle pour envoyer promener les petits malins qui tentent une attaque par brute-force et qui encombrent vos logs)

| table <ssh-bruteforce> persist

| block in quick on $ext_if proto tcp from <ssh-bruteforce> port ssh

| pass in quick on $ext_if inet proto tcp from any to $ext_adr port ssh flags S/SA keep state ( max-src-conn-rate 2/10, overload <ssh-bruteforce> flush global)

`----

Vérification de votre configuration

Vous pouvez tester votre configuration avant de démarrer PF :

,----

| pfctl -nvf /etc/pf.conf

`----

Activation au démarrage de votre système

Si tout est OK, vous pouvez modifier votre fichier //etc/rc.conf/ pour activer PF au démarrage du système, ses logs et son fichier de configuration.

,----

| ...

| # pf

| pf_enable="YES"

| pf_rules="/etc/pf.conf"

| pflog_enable="YES"

| pflog_logfile="/var/log/pflog"

`----

Puis, démarrer PF :

,----

| /etc/rc.d/pf start

`----

Voilà, le minimum vital est assuré, on peut prendre son temps pour le reste.

tite comparaison

Quelques liens

pf (FreeBSDhandbook)

pf pour les nuls

man pf (OpenBSD)

freebsd 8 en zfsroot sur un serveur dédié