3 différentes façons d’utiliser Fling :

Le mode manuel : En utilisant le Menu Contextuel sur un dossier ou fichier, vous avez le choix « Fling Upload » permettant d’envoyer le fichier sur le FTP.

Le mode automatique : Au moindre changement dans le répertoire associé, le fichier est uploadé sur le FTP.

Le mode Scan : Permet de scanner manuellement ou automatiquement le répertoire pour détecter les fichiers qui n’ont pas encore été synchronisés, puis les uploader. Plusieurs options sont disponibles pour ce mode.

Dorénavant tout est automatisé !

Exemple : Je souhaite encoder une vidéo, mais comme cela prend énormément de temps, je vais lancer l’encodage dans la nuit, avant de me coucher. Lorsque l’encodage est terminé, le fichier se situe dans le dossier « Enco_termines ». C’est à ce moment là que Fling va détecter et envoyer le fichier sur le serveur sFTP, pendant que le débit de ma connexion n’est pas (ou peu) utilisé.

Une application peu connu mais qui servira probablement à beaucoup de monde.

Télécharger Fling FTP Client
Compatible : Windows 2000/XP/2003/Vista/2008 et Windows 7

Dans ce billet nous allons : changer le mot de passe du compte root, créer un compte utilisateur, changer le port SSH par défaut, interdire la connexion du compte root via SSH, configurer le firewall Netfilter via Iptables, mettre en place Fail2ban.

Mot de passe Root

La première chose à faire est de modifier le mot passe du compte utilisateur Root qui a été attribué par défaut. Veiller à ce que le mot de passe employé pour ce compte soit complexe (au moins 8 caractères mêlant lettres et chiffres) et surtout différent des autres mots de passe. Pour cela :

Création d’un compte utilisateur

Sur un serveur, on ne travail jamais sous le compte root, sauf lorsque c’est nécessaire (problème de permissions) ! Celui-ci servant uniquement à la maintenance. Pour l’exemple j’utiliserais le nom d’utilisateur « miku »

Dorénavant on se connecte uniquement sur ce compte.
Si besoin de passer en root :

Configuration SSH

Afin d’éviter les brutes forces et autres tentatives de connexions sur le serveur, il est recommandé de changer le port par défaut (22) et d’interdire la connexion du compte root. Pour cela, éditer le fichier de configuration avec Vim (comment utiliser Vim ?) ou tout autre éditeur de texte :

# Package generated configuration file
# See the sshd(8) manpage for details
 
# What ports, IPs and protocols we listen for
Port 8008
 
# Authentication:
LoginGraceTime 120
PermitRootLogin no

Attention ! Il faut également veiller à ce que le port modifié (ici 8008) soit ouvert dans le pare-feu ou bien vous n’aurez plus accès au serveur.

On redémarre le service :

Firewall – Iptables / Netfilter

Pense-bête des commandes (devant être tapées en root)

Réinitialiser la configuration :

Lister les règles actives :

Permettre à une connexion déjà ouverte de recevoir du trafic :

Bannir l’adresse IP 10.14.20.26 :

Ajouter une règle :

iptables -t filter -A INPUT/OUPUT -p PROTOCOLE -i INTERFACE –dport XX -j ACCEPT/DROP

INPUT désignant une connexion entrante.
OUTPUT désignant une connexion sortante.
PROTOCOLE TCP, UDP, ICMP…
INTERFACE représente l’interface réseau concernée : lo, eth0, eth1
XX représente le numéro de port.
ACCEPT autorise la connexion.
DROP refuse la connexion.

Donc pour autoriser le trafic entrant sur le port 8008 de eth0 :

Bloquer tout le trafic entrant/sortant :

Autoriser loopback

Autoriser le protocole ICMP

Maintenant il va falloir procéder a la création d’un script servant à appliquer les règles au démarrage du serveur.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

#!/bin/sh 
iptables -t filter -F 
iptables -t filter -X 
 
iptables -t filter -P INPUT DROP 
iptables -t filter -P FORWARD DROP 
iptables -t filter -P OUTPUT DROP 
 
iptables -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
iptables -t filter -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
 
#Loopback 
iptables -t filter -A INPUT -i lo -j ACCEPT 
iptables -t filter -A OUTPUT -o lo -j ACCEPT 
 
#ICMP
iptables -t filter -A INPUT -p icmp -j ACCEPT 
iptables -t filter -A OUTPUT -p icmp -j ACCEPT 
 
#SSH
iptables -t filter -A INPUT -p tcp --dport 8008 -j ACCEPT

Attention à ne pas bloquer le protocole ICMP, celui-ci servant aux systèmes de monitoring d’OVH (et probablement des autres hébergeurs)

Rendre le script exécutable :

Avant d’en faire un script de démarrage, il est impératif de vérifier le bon fonctionnement des règles ! Pour cela, exécuter le script en ligne de commande :

Et pour que le système l’exécute au démarrage :

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
/etc/init.d/firewall
 
exit 0

Terminé ! Le système chargera la configuration à chaque démarrage.

Je ne donnerais pas de script de configuration Iptables complet. Tout simplement parce qu’il en existe déjà un bon nombre mais aussi et surtout parce que j’estime que la configuration doit se faire au cas par cas, et qu’il ne sert à rien de prendre les règles du voisins.

Fail2ban

Fail2ban est un deamon qui s’occupe de lire les fichiers journaux (logs) tel que /var/log/pwdfail ou /var/log/apache/error_log et bannit les adresses IP qui ont obtenu un trop grand nombre d’échecs lors de l’authentification. Il met à jour les règles du pare-feu pour rejeter cette adresse IP pendant un certains laps de temps. Fail2ban peut lire plusieurs fichiers de log comme ceux de sshd ou du serveur Apache.

Installation de Fail2ban (depôts universe)

Éditer le fichier de configuration :

[DEFAULT]
 
# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip  = 127.0.0.1 #<-- Adresse IP qui ne sera jamais bannie par Fail2ban.
bantime  = 3600 #<-- temps du bannissement par défaut en secondes.
maxretry = 3 #<-- nombre d'échecs par défaut avant le ban.
 
[ssh]
 
enabled = <strong>true</strong>
port = ssh,sftp
filter = sshd
logpath = /var/log/auth.log
maxretry = 6 #<-- nombre d'échecs d'authentification avant le ban.

Redémarrer le service :

Vous pouvez tester Fail2ban mais pensez à régler le bantime à 5-10min (300-600 secondes). Ca évitera de poiroter 1 heure…

SSH (Secure Shell) est à la fois un programme informatique et un protocole de communication sécurisé. Le protocole de connexion impose un échange de clés de chiffrement en début de connexion. Par la suite toutes les trames sont chiffrées.

L’objectif de ce billet est de répondre à la question de Monsieur Madame tout le monde : « J’ai reçu mon serveur avec mes identifiants par mail, mais comment y accéder ?« . Pour cela, 2 choses primordiales sont nécessaires.

Les identifiants de connexion au serveur.

Pour l’exemple :

Login root : miku
Pass root : H2oF4zb
Adresse IP : 94.23.95.112
Port : 22 #<– port ssh par défaut

Un client SSH.

Le client peut varier en fonction du système d’exploitation. Ici, j’utiliserais le client Windows PuTTY. Sous Linux vous pouvez utiliser la console si le paquet OpenSSH-Client est installé. Si ce n’est pas le cas :

Note : PuTTY offre la possibilité de sauvegarder le profil afin de ne pas avoir à retaper l’adresse IP/port ainsi que les éventuelles options à chaque lancement de l’application.

Les différentes options étant renseignées, il suffit de cliquer sur Open pour lancer la connexion au serveur. Lors de la première connexion, le client vous demande si l’hôte est de confiance. En acceptant le certificat sera stocké sur votre machine. Il ne reste plus que à taper le nom d’utilisateur et le mot de passe.