Sécuriser son serveur kimsufi FreeBSD en dix minutes

Après réception d’un serveur dédié kimsufi (pour ne pas de citer) sous FreeBSD, il est important de vite le sécuriser. Il est en effet configuré pour vous permettre de vous connecter via SSH avec le compte root et un mot de passe, reçu par email, le tout sans pare-feu.

Au premier accès, il est donc conseillé de :

  1. Créer un utilisateur et le mettre dans le groupe wheel
  2. Uploader la clé publique dudit utilisateur
  3. Reconfigurer le serveur SSH pour interdire l’accès root et l’accès par mot de passe et n’autoriser que l’accès par clé publique, changer le numéro de port est aussi bien vu
  4. Activation et configuration basique du pare-feu PF (Packet Filter)

OpenSSH

Modification du fichier /etc/sshd_config

...
Port XXXX (chiffre à choisir)
...
PermitRootLogin no
#PermitRootLogin yes
...
PubkeyAuthentication yes
AuthorizedKeysFile  .ssh/authorized_keys
...
PasswordAuthentication no
#PasswordAuthentication yes
...

Redémarrer le serveur SSH. Ne surtout pas l’arréter sinon vous perdrez votre accès.

/etc/rc.d/sshd reload

PF

Oui il existe 3 pare-feux dans FreeBSD (‘tite comparaison), mais PF c’est le bieng ;)

Edition du fichier de configuration /etc/pf.conf

#MACROS
ext_if="re0" # interface reseau
ext_adr="xxx.xxx.xxx.xxx" # IP serveur

#REGLES
# Ne pas filtrer sur l'interface de bouclage
set skip on lo0
#Normalisation des paquets entrants
scrub in all
#On stoppe tout par défaut
block all
#On laisse passer tout le traffic sortant
pass out inet proto {tcp udp} from $ext_adr to any
#SSH autorisé
pass in inet proto tcp from any to $ext_adr port pppp (le port choisi dans le fichier sshd_config)
#ping autorisé (sinon OVH ouvrira un ticket pour non réponse de votre serveur, on pourra par la suite peaufiner pour ne répondre qu'aux pings de OVH)
pass proto { icmp icmp6 }
#SSH bruteforce blacklistage (une 'tite rêgle pour envoyer promener les petits malins qui tentent une attaque par brute-force et qui encombrent vos logs)
table <ssh-bruteforce> persist
block in quick on $ext_if proto tcp from <ssh-bruteforce> port ssh
pass in quick on $ext_if inet proto tcp from any to $ext_adr port ssh flags S/SA keep state ( max-src-conn-rate 2/10, overload <ssh-bruteforce> flush global)

Vous pouvez tester votre configuration avant de démarrer PF :

pfctl -nvf /etc/pf.conf

Si tout est OK, vous pouvez modifier votre fichier /etc/rc.conf pour activer PF au démarrage du système, ses logs et son fichier de configuration.

...
# pf
pf_enable="YES"
pf_rules="/etc/pf.conf"
pflog_enable="YES"
pflog_logfile="/var/log/pflog"

Puis, démarrer PF
/etc/rc.d/pf start

Voilà, le minimum vital est assuré, on peut prendre son temps pour le reste.

Quelques liens

-pf (FreeBSD handbook)
-pf pour les nuls
-man pf (OpenBSD)
-freebsd 8 en zfsroot sur un serveur dédié


Vus : 2422
Publié par alienus : 48