Le système d'exploitation GNU-Linux/Protection avec iptables

Installation d'un service en mode chroot

Erreurs connues

Le système d'exploitation GNU-Linux

1. Qu'est-ce qu'un système d'exploitation ?
2. Unix et Linux
3. Partitionnement du disque
4. Installation
   1. Installer Debian via le réseau
5. Utilisateur Unix, l'interface console
   1. Le login
   2. Variables d'environnement
   3. Commandes de base
   4. L'aide en ligne man
   5. L'éditeur de texte vi
   6. Les shells
   7. La complétion
   8. Les jokers
   9. Les répertoires importants
   10. Redirection des entrées/sorties
   11. Invoquer un programme en tâche de fond
   12. Propriétaires et droits d'accès
   13. Processus
   14. Locale
6. Administration du système
   1. Configuration du réseau
   2. Les utilisateurs et groupes
   3. Le processus d'initialisation
   4. Les systèmes de fichiers
   5. Le système virtuel /proc
   6. Les périphériques /dev
   7. L'ordonnanceur de travaux cron
   8. Le backup : tar et gzip
   9. ghost avec partimage
   10. sauvegarde de fichiers avec rsync
   11. Les fichiers journaux syslog
   12. Installation de nouveaux logiciels
   13. Le noyau Linux et les modules
   14. Autres commandes utiles
   15. Installation RAID1 logiciel + LVM + XFS
   16. Scripts de surveillance
   17. Réseaux sans fil
7. Administration des services réseaux
   1. L'outil d'administration Webmin
   2. telnet
   3. cURL
   4. wget
   5. Le serveur de noms BIND
   6. Le serveur de configuration réseau DHCP
   7. Le serveur de shell distant SSH
   8. Le partage de fichiers Samba
   9. Le partage de fichiers NFS
   10. Le serveur d'impression CUPS
   11. Le serveur de fichiers FTP
   12. Le serveur Web Apache
   13. Le serveur Web Nginx
   14. La base de données MySQL
   15. La base de données Memcached
   16. La base de données Redis
   17. Le serveur de mails Postfix
   18. Les annuaires LDAP
   19. La supervision Nagios
8. Sécurisation d'un serveur Linux
   1. Installation d'un service en mode chroot
   2. Protection avec iptables
9. Erreurs connues
10. Médiagraphie
11. Auteurs

Le système d'exploitation GNU-Linux

1. Qu'est-ce qu'un système d'exploitation ?
2. Unix et Linux
3. Partitionnement du disque
4. Installation
   1. Installer Debian via le réseau
5. Utilisateur Unix, l'interface console
   1. Le login
   2. Variables d'environnement
   3. Commandes de base
   4. L'aide en ligne man
   5. L'éditeur de texte vi
   6. Les shells
   7. La complétion
   8. Les jokers
   9. Les répertoires importants
   10. Redirection des entrées/sorties
   11. Invoquer un programme en tâche de fond
   12. Propriétaires et droits d'accès
   13. Processus
   14. Locale
6. Administration du système
   1. Configuration du réseau
   2. Les utilisateurs et groupes
   3. Le processus d'initialisation
   4. Les systèmes de fichiers
   5. Le système virtuel /proc
   6. Les périphériques /dev
   7. L'ordonnanceur de travaux cron
   8. Le backup : tar et gzip
   9. ghost avec partimage
   10. sauvegarde de fichiers avec rsync
   11. Les fichiers journaux syslog
   12. Installation de nouveaux logiciels
   13. Le noyau Linux et les modules
   14. Autres commandes utiles
   15. Installation RAID1 logiciel + LVM + XFS
   16. Scripts de surveillance
   17. Réseaux sans fil
7. Administration des services réseaux
   1. L'outil d'administration Webmin
   2. telnet
   3. cURL
   4. wget
   5. Le serveur de noms BIND
   6. Le serveur de configuration réseau DHCP
   7. Le serveur de shell distant SSH
   8. Le partage de fichiers Samba
   9. Le partage de fichiers NFS
   10. Le serveur d'impression CUPS
   11. Le serveur de fichiers FTP
   12. Le serveur Web Apache
   13. Le serveur Web Nginx
   14. La base de données MySQL
   15. La base de données Memcached
   16. La base de données Redis
   17. Le serveur de mails Postfix
   18. Les annuaires LDAP
   19. La supervision Nagios
8. Sécurisation d'un serveur Linux
   1. Installation d'un service en mode chroot
   2. Protection avec iptables
9. Erreurs connues
10. Médiagraphie
11. Auteurs

---

Version imprimable

[ Modifier le sommaire ]

Installation d'un service en mode chroot

Erreurs connues

Iptables est un outil permettant de paramétrer Netfilter le filtre de paquet intégré à Linux.

Netfilter utilise une liste de règles inscrites dans trois tables : INPUT, OUTPUT, FORWARD.

Le paquet arrivant est voué à:

• soit être filtré suivant les règle de la table INPUT pour être utilisé par un processus de la machine
• soit être transféré à une autre machine en respectant les règle de la table FORWARD
• soit quitter la machine dans les condition de la table OUTPUT

Le but est donc de modifier les tables en ajoutant et supprimant des règles dans les différentes tables. pour cela nous utilisons la commande iptables.

#iptables <une action sur une table de netfilter> <la table en question> <condition(s) d'application> -j <action sur le paquet>

#exemple 
iptables  -A  INPUT  --p icmp  -j  ACCEPT
#on ajoute à la table INPUT la règle ACCEPT pour les paquet icmp (ping) entrant,
#bien entendu il faut aussi accepter les paquet sortants. D'où :
iptables  -A  OUTPUT  --p icmp  -j  ACCEPT

Par défaut, iptables est composé de 3 catégories appelées "chaînes" (chain) :

• INPUT : Chaîne où l'on règle le trafic entrant.
• FORWARD : Chaîne où l'on règle le trafic qui sera redirigé.
• OUTPUT : Chaîne où l'on règle le trafic sortant.

À chaque chaîne est attribuée une "politique" (policy), les deux principales sont :

• ACCEPT : Politique d'acceptation. Par défaut, tout ce qui n'est pas dans la chaîne est accepté.
• DROP : Politique de refus. Par défaut, tout ce qui n'est pas dans la chaîne sera rejeté. (utile pour filtrer les connections entrantes)

Un exemple concret. Par défaut, si vous n'avez jamais touché à votre iptables, voici ce que vous devez avoir :

# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

On constate ici que rien n'est sécurisé : tout entre (Chain INPUT, policy ACCEPT), tout sort (Chain OUTPUT, policy ACCEPT).

Tout d'abord, si votre iptables ne ressemble pas à l'exemple ci-dessus, ou tout simplement si vous souhaitez réinitialiser vos réglages, tapez ces commandes :

# iptables -F
(Efface toutes les règles définies par l'utilisateur)
# iptables -X
(Efface toutes les chaînes définies par l'utilisateur)

Les commandes de base :

Les règles sont lues dans un ordre précis. De la première vers la dernière. De cette manière, dans l'hypothèse où la première règle interdit une connexion alors que la suivante l'autorise, la connexion sera interdite.

• APPEND : Ajouter une règle dans une chaîne. La règle ainsi créée s'ajoute après la dernière règle.

# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
(Ajoute une règle dans la chaîne INPUT. L'exemple sera détaillé plus loin.)

• INSERT : Insère une règle dans une chaîne. La règle ainsi créée s'ajoute avant la première règle.

# iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
(Insère une règle au début de la chaîne INPUT. L'exemple sera détaillé plus loin.)

• LIST : Liste les règles existant dans toutes les chaînes.

# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www 
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:pop3s 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

• DELETE : Supprime une règle d'une chaîne.

# iptables -D INPUT 2
(Supprime la règle n°2 de la chaîne INPUT.)

• POLICY : Configure la politique d'une chaîne.

# iptables -P INPUT DROP
(Passe la politique de la chaîne INPUT en DROP. Toutes les connections seront rejetées par défaut.)

Créer une configuration de base :

Nous allons autoriser une connexion déjà établie (ESTABLISHED) à recevoir du trafic.

# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Autorisons maintenant le trafic sur deux ports utilisés par des services très répandus / utilisés. Bien évidemment à vous de faire le tri en fonction de ce que vous utilisez ou non.

• Trafic SSH :

# iptables -A INPUT -p tcp -i eth0 --dport ssh -j ACCEPT

• Trafic Web :

# iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT

• Requêtes Ping :

# iptables -A INPUT -p icmp -j ACCEPT

• Trafic Local :

# iptables -I INPUT 2 -i lo -j ACCEPT
Nous insérons cette règle en deuxième position afin qu'elle prime sur les autres.
Comme il a déjà été dit plus haut, les règles sont parcourues de haut en bas.

Voici ce que vous devriez avoir pour l'instant si vous listez les filtres (l'option -v permet de voir sur quelle interface la règle est appliquée) :

# iptables -L -v
 Chain INPUT (policy ACCEPT 155 packets, 21332 bytes)
  pkts bytes target     prot opt in     out     source               destination         
    20  1562 ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED 
     0     0 ACCEPT     all  --  lo     any     anywhere             anywhere            
     0     0 ACCEPT     tcp  --  eth0   any     anywhere             anywhere            tcp dpt:ssh 
     0     0 ACCEPT     tcp  --  eth0   any     anywhere             anywhere            tcp dpt:http
     0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            
 
 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
  pkts bytes target     prot opt in     out     source               destination         
 
 Chain OUTPUT (policy ACCEPT 343 packets, 59235 bytes)
  pkts bytes target     prot opt in     out     source               destination      

Comme vous pouvez le constater, la politique est une politique d'acceptation (policy ACCEPT). Donc tous les paquets entrent sans restriction. En résumé, jusque là, nos modifications n'ont servies à rien. Nous allons donc devoir modifier la politique en politique de refus (policy DROP).

# iptables -P INPUT DROP

La modification est effective immédiatement. À partir de maintenant, seuls les paquets TCP entrants sur les ports 80, 22 ainsi que les requêtes ICMP sont acceptés.

Ces modifications ne seront pas prises en compte au redémarrage. Il faut pour cela créer un fichier script contenant toutes les commandes précédentes.

#!/bin/sh
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport ssh -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -I INPUT 2 -i lo -j ACCEPT
iptables -P INPUT DROP

Créez ce fichier dans le répertoire /etc/init.d/ et n'oubliez pas de le rendre exécutable (chmod 700 nom_du_fichier). Enfin, utilisez la commande update-rc.d afin que ce script soit exécuté au démarrage.

 # update-rc.d nom_du_fichier defaults

Par défaut, les journaux d'iptables ne renseignent pas les actions effectuées par le par-feu. Pour les obtenir, il faut définir un niveau de log, par exemple^[1] :

iptables -t filter -A FORWARD -p all -j LOG --log-level debug
iptables -t filter -A INPUT -p all -j LOG --log-level debug
iptables -t filter -A OUTPUT -p all -j LOG --log-level debug

Ensuite les opérations sont visibles dans le syslog.

Pour sécuriser un serveur FTP, en n'autorisant que son adresse IP et interdisant toutes les autres à se connecter à Linux sur le port 21 :

iptables -A INPUT -i eth0 -p tcp --dport 21 -s 144.76.38.140 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 21 -j DROP

Pour se prémunir des attaques DDoS on peut limiter le trafic à un certain nombre de connexions par minute sur un port :

iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m limit --limit 500/minute --limit-burst 2000 -s 144.76.38.140 -j ACCEPT

Cette section est vide, pas assez détaillée ou incomplète. Votre aide est la bienvenue !

Cette section est vide, pas assez détaillée ou incomplète. Votre aide est la bienvenue !

conntrack

Cette section est vide, pas assez détaillée ou incomplète. Votre aide est la bienvenue !

Cette section est vide, pas assez détaillée ou incomplète. Votre aide est la bienvenue !