Installation d’un serveur Web, Mail et plus encore.
Le serveur est géré avec ISPConfig.
Une rapide description de ISPConfig par Wikipedia:
ISPConfig est une interface de gestion de serveur pour Linux. il est fourni sous licence BSD, il simplifie la gestion des différents services liés à l’hébergement web tels que la configuration DNS, la gestion des noms de domaine, le courrier électronique ou le transfert de fichiers FTP.
J’ai utilisé pour ce faire un très bon tutoriel sur le site howtoforge.com et je ne vais rien inventer ici mais simplement vous partager le lien:
The Perfect Server – Debian 8 Jessie (Apache2, BIND, Dovecot, ISPConfig 3)
MAJ:
The Perfect Server – Debian 8.4 Jessie (Apache2, BIND, Dovecot, ISPConfig 3.1)
Une fois installer avant d’y accéder pour le configurer, si vous souhaitez ajouter une version plus récente de PHP, voici un bon tuto:
How to install PHP 7.1.2 as PHP-FPM & FastCGI for ISPConfig 3.1 on Debian 8 (Jessie)
J’ajouterai pour ma part une petite modification dans le fichier main.cf de Postfix car j’avais rencontré un problème d’envoi de mail il y a longtemps et je l’ai résolu de cette manière:
Éditer le fichier main.cf:
nano /etc/postfix/main.cf
Et modifier la ligne suivante pour supprimer le nom de domaine:
mydestination = localhost, localhost.domain
Un fois votre serveur installé, nous pouvons aller plus loin dans la sécurité de celui-ci, je vous conseil donc d’utilisé GéoIP pour Iptables, cela vous permettra de bloquer les IP venant d’un pays en particulier.
Installation de GéoIP et les prérequis:
apt-get install dkms xtables-addons-dkms xtables-addons-common xtables-addons-dkms geoip-database libgeoip1 libtext-csv-xs-perl unzip
Vérification:
dkms status xtables-addons
Vous devriez avoir un résultat similaire à ceci:
xtables-addons, 2.6, 3.16.0-4-amd64, x86_64: installed
Installation:
mkdir /usr/share/xt_geoip cd /usr/share/xt_geoip/ wget http://terminal28.com/wp-content/uploads/2013/10/geoip-dl-build.tar.gz tar xvf geoip-dl-build.tar.gz ./xt_geoip_dl ./xt_geoip_build -D . *.csv rm -fr geoip-dl-build.tar.gz
Pour le premier test je vous suggère de bloquer les accès SSH aux IP venants de Russie et de Chine
Voici la commande à utiliser:
iptables -A INPUT -p tcp --dport 22 -m geoip --src-cc CN,RU -j DROP
Pour tester si le blocage est bien paramétré vous lancez la commande:
iptables -L -v
Dans le résultat vous devriez avoir une ligne comme celle-ci :
tcp dpt:ssh -m geoip --source-country CN,RU
Je vous conseil de bloquer l’accès au SSH et FTP à toutes les IP venants d’un pays autre que le votre !!
Pour info, GéoIP ne permet d’indiquer que 10 zones à la fois.
Voici un bon article sur les différentes commandes IPTABLES.
Pour GéopIP vous pouvez taper iptables -m geoip --help
ce qui vous affiche l’aide.
Personnellement je vérifie régulièrement le log de Fail2Ban via l’interface de ISPConfig, si je remarque qu’une IP est récidiviste je la ban définitivement via la commande :
iptables -A INPUT -s XXX.XXX.XXX.XXX -j DROP
Attention à ne pas vous bannir !! Si c’est le cas vous pouvez (via une autre connexion bien sur ou un VPN) vous retirer de la règle via la commande:
iptables -D INPUT -s XXX.XXX.XXX.XXX -j DROP
Je me suis fais un petit script ou j’alimente les IP récidivistes et les pays à bannir, comme ça si mon serveur reboot, il recharge les règles via le script, à la fin j’ai indiqué mon IP au cas ou !!!
Petit site pratique pour connaitre la localisation d’une IP.
Voilà, grosso modo le serveur est prêt et sécurisé.
Articles supplémentaires pour:
Un serveur PROXY CACHE
Un serveur de streaming MP3
DOESIT.
Leave a Reply