Sécuriser un hébergement dédié ?
8 messages • Page 1 sur 1
Consultez la formation à Google Analytics de WebRankInfo / Ranking Metrics
Sécuriser un hébergement dédié ?
le Jeu Juil 28, 2005 9:25
Bonjour à tous,
Je m'apprête à prendre un hébergement dédié chez Amen (je ne souhaite pas lancer de polémique quant au choix de l'hébergeur, c'est un choix client) et le gentil monsieur de la hotline m'a vivement conseillé de configurer l'IP Table afin de sécuriser le serveur.
J'aimerais donc savoir si certains d'entre vous ont une expérience dans l'"IP tabelisation" et s'il y a des IP à proscrire absolument.
Je vous remercie par avance.
Doug
Je m'apprête à prendre un hébergement dédié chez Amen (je ne souhaite pas lancer de polémique quant au choix de l'hébergeur, c'est un choix client) et le gentil monsieur de la hotline m'a vivement conseillé de configurer l'IP Table afin de sécuriser le serveur.
J'aimerais donc savoir si certains d'entre vous ont une expérience dans l'"IP tabelisation" et s'il y a des IP à proscrire absolument.
Je vous remercie par avance.
Doug
le Jeu Juil 28, 2005 10:25
Des IP à proscrire en particulier ? Plusieurs personnes pourront certainement te donner une ou plusieurs IP dont provenaient des SYN Flood (par exemple), m'enfin si tu t'amuses à toutes les interdire, t'as pas finis 
surtout que généralement, ce sont des serveurs infectés qui lancent ces attaques, et dont les propriétaires ne sont même pas au courant de leur utilisation détournée.
Bloquer des IP comme ça, dès le départ, ça me parait pas génial. Si un jour tu as un problème, tu bloqueras l'IP en question et puis voila.
En revanche, pour le reste de la config, c'est toujours pareil : tu bloques tout (sauf le 22 hein, histoire que tu puisses continuer à accéder au serveur :p), et ensuite tu débloques au fur et à mesure ce dont tu as besoin pour que tes applis tournent. tu fais des tests, et dès que c'est bon, tu passes en Prod.
surtout que généralement, ce sont des serveurs infectés qui lancent ces attaques, et dont les propriétaires ne sont même pas au courant de leur utilisation détournée.
Bloquer des IP comme ça, dès le départ, ça me parait pas génial. Si un jour tu as un problème, tu bloqueras l'IP en question et puis voila.
En revanche, pour le reste de la config, c'est toujours pareil : tu bloques tout (sauf le 22 hein, histoire que tu puisses continuer à accéder au serveur :p), et ensuite tu débloques au fur et à mesure ce dont tu as besoin pour que tes applis tournent. tu fais des tests, et dès que c'est bon, tu passes en Prod.
le Jeu Juil 28, 2005 11:14
"IP Table" est avant tout le système de firewalling.
Ce n'est pas tant bloquer telle ou telle IP qui est important mais bloquer les accès aux ports non autorisés, bloquer les tentatives de spoofing, de scanning ...
Ce n'est pas une mince affaire si tu n'y connais rien.
Une petite recherche sur "IP table howto" et tu auras une doc détaillée sur IP Table.
Ce n'est pas tant bloquer telle ou telle IP qui est important mais bloquer les accès aux ports non autorisés, bloquer les tentatives de spoofing, de scanning ...
Ce n'est pas une mince affaire si tu n'y connais rien.
Une petite recherche sur "IP table howto" et tu auras une doc détaillée sur IP Table.
le Jeu Juil 28, 2005 12:51
voilà ce que je fais :
1) mettre en position "fermé" le mode relay du "courriel"
ceci se fait depuis ton tableau d'admin PLESK
2) mettre en route un firewall IPTABLE
tout ce fait en connexion ssh
- lister les tables iptable existantes :
/sbin/iptables -L
- insérer nos propres règles à IPTABLE :
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 110 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 8443 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -j DROP
3) attention !
à chaque redémarrage du serveur (/sbin/reboot)
les IPTABLE s'effacent et se remettent à tout accepter, il faut donc enregistrer notre config.
- sauver les IPTABLE afin de ne plus les perdre :
/etc/init.d/iptables save
- pour infos, explications de la config perso iptable ci-dessus ;
on autorise les ports 80(http) 110(pop3) 25(smtp) 21(ftp) 22(ssh) 8443(plesk) 443(ssl-https)
on autorise les réponses à condition que ce soit le serveur qui est posé une question
(c'est dans le cas où le serveur demande à un autre serveur un truc et que l'autre serveur lui réponde, il faut que port soit ouvert)
on efface toutes les autres demandes de connexion sur les autres ports.
bon courage
pas évident au début
caro
1) mettre en position "fermé" le mode relay du "courriel"
ceci se fait depuis ton tableau d'admin PLESK
2) mettre en route un firewall IPTABLE
tout ce fait en connexion ssh
- lister les tables iptable existantes :
/sbin/iptables -L
- insérer nos propres règles à IPTABLE :
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 110 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 8443 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -j DROP
3) attention !
à chaque redémarrage du serveur (/sbin/reboot)
les IPTABLE s'effacent et se remettent à tout accepter, il faut donc enregistrer notre config.
- sauver les IPTABLE afin de ne plus les perdre :
/etc/init.d/iptables save
- pour infos, explications de la config perso iptable ci-dessus ;
on autorise les ports 80(http) 110(pop3) 25(smtp) 21(ftp) 22(ssh) 8443(plesk) 443(ssl-https)
on autorise les réponses à condition que ce soit le serveur qui est posé une question
(c'est dans le cas où le serveur demande à un autre serveur un truc et que l'autre serveur lui réponde, il faut que port soit ouvert)
on efface toutes les autres demandes de connexion sur les autres ports.
bon courage
pas évident au début
caro
).
-
Djoloffman - WRInaute discret
- Messages: 80
- Inscription: Lun Juin 20, 2005 19:37
le Jeu Juil 28, 2005 20:07
Au fait quelqu'un conait il un site ou un bouquin pour guider les newbies qui veulent se lancer dans les serveurs dédiés ?
Merci d'avance.
PEACE.
Merci d'avance.
PEACE.
le Jeu Juil 28, 2005 22:18
"Linux pour les nuls" ?
la meilleure solution pour se lancer dans un dédié, AMHA, est de monter un petit pc avec des pièces de rechange (vu qu'on aura pas besoin de grosses perfs, le vieux pc avec ses 128 Mo de ram suffira amplement), et installer un Linux dessus.
Lequel ? Madranke ou Red Hat suffiront amplement pour les premières bases. Quand l'envie vous prendra (si elle vous prend) d'aller plus loin, Debian ou Suse (un petit peu plus compliqué), ou carrément un FreeBSD, plus "classe"
Ne jamais hésiter à lire la doc et à poser des questions (dans cet ordre là, sinon vous serez mal vu). Il y a des centaines de forums et salons IRC un peu partout, où de vrais autistes... heu pardon, passionnés, se feront un plaisir de répondre à une question pertinente.
la meilleure solution pour se lancer dans un dédié, AMHA, est de monter un petit pc avec des pièces de rechange (vu qu'on aura pas besoin de grosses perfs, le vieux pc avec ses 128 Mo de ram suffira amplement), et installer un Linux dessus.
Lequel ? Madranke ou Red Hat suffiront amplement pour les premières bases. Quand l'envie vous prendra (si elle vous prend) d'aller plus loin, Debian ou Suse (un petit peu plus compliqué), ou carrément un FreeBSD, plus "classe"
Ne jamais hésiter à lire la doc et à poser des questions (dans cet ordre là, sinon vous serez mal vu). Il y a des centaines de forums et salons IRC un peu partout, où de vrais autistes... heu pardon, passionnés, se feront un plaisir de répondre à une question pertinente.
8 messages • Page 1 sur 1
Formation recommandée sur ce thème :
Formation Google Analytics : en 2 jours, apprenez comment exploiter l'essentiel des possibilités de l'outil de mesure d'audience de Google. Formation animée par Julien Coquet, expert certifié officiellement par Google Analytics.
Tous les détails sur le site Ranking Metrics : programme, prix, dates et lieux, inscription en ligne.
Lectures recommandées sur ce thème :
- Changer d'hébergeur web sans pénaliser son référencement
- Google Secure Access (GSA)
- Web Rank Info ouvre un forum dédié à MSN Search
- Découpage du forum webmaster en 2 forums
- 3 mythes du référencement sur Google
- Hébergement de projets open source sur Google Code
- Nouveau weblog spécial Google
- Google signe avec Lycos Europe un accord sur la publicité ciblée
- Annuaire de sites sur Google
- Du nouveau du côté des laboratoires de Google : Google Labs
- Sécuriser son serveur dédié ?
- hébergement dédié
- server dedié/hebergement
- sos hebergement dedié video
- Hébergement mutualisé et ssl dédié
- Conseils pour un hébergement dédié
- Hebergement radioweb sur dédié
- Hébergement mutualisé, dédié ou gratuit ?
- Migration vers un nouvel hébergement dédié
- Hébergement dédié, objectif 100% disponibilité
- [résolu] Choix d'un hébergement dédié
- [Réglé]Hébergement multisite sans dédié
- Mon hébergement dédié chez Amen...
- Recherche Hébergement Pro serveur dédié
- Demande de conseils concernant un hébergement dédié à l'étra
Consultez la description détaillée des produits ou services de Google suivants : Google Secure Access
- Analyse de la classe C (adresse IP)
Cet outil vous permet de vérifier si plusieurs sites sont hébergés sur la même classe C (adresse IP du serveur).
Qui est en ligne
Utilisateurs parcourant ce forum: Google [Bot] et 0 invités
- Index du forum
- L’équipe du forum • Supprimer les cookies du forum • Heures au format UTC + 1 heure
- Flux RSS de WebRankInfo :
le forum- les articles des dossiers
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
, traduction par phpBB-fr.com, mod SEO par phpbb-seo.com
Contact
Confidentialité