GNU/Linux >> Tutoriels Linux >  >> Ubuntu

Protégez votre serveur avec les services ConfigServer dans Webmin

Ce guide vous montrera que vous devez installer Configserver Security &Firewall Un pare-feu SPI (Stateful Packet Inspection), une application de détection de connexion/intrusion et de sécurité pour les serveurs Linux.

Cette suite de scripts fournit :

  • Script de pare-feu SPI iptables simple
  • Processus démon qui vérifie les échecs d'authentification de connexion pour :
    • Courrier imap, Pigeonnier, uw-imap, Kerio
    • openSSH
    • cPanel, WHM, Webmail (serveurs cPanel uniquement)
    • Pure-ftpd, vsftpd, Proftpd
    • Pages Web protégées par mot de passe (htpasswd)
    • Échecs de Mod_security (v1 et v2)
    • Échecs de Suhosin
    • Authentification SMTP Exim
    • Échecs de connexion personnalisés avec fichier journal séparé et correspondance d'expression régulière
  • Suivi des connexions POP3/IMAP pour appliquer les connexions par heure
  • Notification de connexion SSH
  • Notification de connexion SU
  • Blocage de connexion excessif
  • Intégration de l'interface utilisateur pour cPanel , DirectAdmin et Webmin
  • Mise à niveau facile entre les versions depuis cPanel/WHM, DirectAdmin ou Webmin
  • Mise à niveau facile entre les versions depuis le shell
  • Préconfiguré pour fonctionner sur un serveur cPanel avec tous les ports cPanel standard ouverts
  • Préconfiguré pour fonctionner sur un serveur DirectAdmin avec tous les ports DirectAdmin standard ouverts
  • Configure automatiquement le port SSH s'il n'est pas standard lors de l'installation
  • Bloquer le trafic sur les adresses IP de serveur inutilisées :permet de réduire les risques pour votre serveur
  • Alerte lorsque les scripts de l'utilisateur final envoient un nombre excessif d'e-mails par heure – pour identifier les scripts de spam
  • Rapport sur les processus suspects :signale les exploits potentiels en cours d'exécution sur le serveur
  • Rapports sur les processus utilisateur excessifs
  • Rapports d'utilisation excessive des processus utilisateur et résiliation facultative
  • Signalisation de fichiers suspects :signale des fichiers d'exploitation potentiels dans /tmp et des répertoires similaires
  • Surveillance des répertoires et des fichiers :signale si un répertoire ou un fichier surveillé change
  • Bloquer le trafic sur la liste de blocage DShield et la liste DROP de Spamhaus
  • Protection des paquets BOGON
  • Paramètres préconfigurés pour une sécurité de pare-feu faible, moyenne ou élevée (serveurs cPanel uniquement)
  • Fonctionne avec plusieurs appareils Ethernet
  • Vérification de la sécurité du serveur :effectue une vérification de base de la sécurité et des paramètres sur le serveur (via cPanel/DirectAdmin/Webmin UI)
  • Autoriser les adresses IP DNS dynamiques :autorisez toujours votre adresse IP, même si elle change chaque fois que vous vous connectez à Internet
  • Alerte envoyée si la charge moyenne du serveur reste élevée pendant une durée spécifiée
  • rapport de journal mod_security (si installé)
  • Suivi du relais des e-mails :suit tous les e-mails envoyés via le serveur et émet des alertes en cas d'utilisation excessive (serveurs cPanel uniquement)
  • IDS (Intrusion Detection System) :la dernière ligne de détection vous avertit des modifications apportées aux fichiers binaires du système et de l'application
  • Protection contre les inondations SYN
  • Ping de protection contre la mort
  • Suivi et blocage de l'analyse des ports
  • Permanent et Blocage IP temporaire (avec TTL)
  • Vérifications d'exploitation
  • Suivi des modifications de compte :envoie des alertes si une entrée de compte est modifiée, par ex. si le mot de passe est modifié ou le shell de connexion
  • Syslog partagé
  • Service de messagerie – Vous permet de rediriger les demandes de connexion provenant d'adresses IP bloquées vers des pages texte et html préconfigurées pour informer le visiteur qu'il a été bloqué dans le pare-feu. Cela peut être particulièrement utile pour ceux qui ont une large base d'utilisateurs et aider à traiter les demandes d'assistance plus efficacement
  • Blocage par code de pays :vous permet de refuser ou d'autoriser l'accès par code de pays ISO
  • Détection d'inondation de port :détection et atténuation de l'inondation de connexion par IP et par port pour aider à bloquer les attaques DOS
  • Intégration de l'interface utilisateur DirectAdmin
  • Mise à jour de l'intégration de l'interface Webmin
  • Notification d'accès racine WHM (serveurs cPanel uniquement)
  • Lfd Clustering - permet aux blocs d'adresses IP d'être automatiquement propagés autour d'un groupe de serveurs exécutant lfd. Il autorise les autorisations, les suppressions et les modifications de configuration à l'échelle du cluster
  • Démarrage rapide csf – démarrage différé par lfd pour les serveurs avec de grandes listes de blocs et/ou d'autorisations
  • Détection des attaques par échec de connexion distribuée
  • IP temporaire permet (avec TTL)
  • IPv6 Prise en charge avec ip6tables
  • Interface utilisateur intégrée :pas besoin d'un panneau de configuration séparé ou d'Apache pour utiliser la configuration csf
  • Prise en charge intégrée de cse dans l'interface utilisateur intégrée
  • Accès Revendeur cPanel aux options configurables par revendeur Débloquer, Refuser, Autoriser et Rechercher les blocs d'adresses IP
  • Statistiques du système :graphiques de base montrant les performances du serveur, par ex. Charges moyennes, utilisation du processeur, utilisation de la mémoire, etc.
  • prise en charge d'ipset pour les grandes listes d'adresses IP
  • … bien plus !
Installation
============
Installation is quite straightforward:

cd /usr/src
rm -fv csf.tgz
wget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh


GD::Graphs
=========
This perl module is required for Statistical Graphs available from the csf UI.
It is dependent on graphical libraries being installed for your OS (e.g.
libgd, libpng, etc. which is beyond the scope of this document)

The perl module itself can be installed in a variety of ways, e.g.:

RedHat/CentOS/CloudLinux:
# yum install perl-GDGraph

Debian v6:
# apt-get install libgd-graph-perl

Direct from cpan.org:
# perl -MCPAN -e shell
cpan> install GD::Graph
Webmin Module Installation/Upgrade
==================================

To install or upgrade the csf webmin module:

Install csf as above
Install the csf webmin module in:
  Webmin > Webmin Configuration > Webmin Modules >
  From local file > /usr/local/csf/csfwebmin.tgz > Install Module

Uninstallation
==============
Removing csf and lfd is even more simple:

cd /etc/csf
sh uninstall.sh
Systèmes d'exploitation pris en charge et testés
RedHat Enterprise v3 à v7 *openSUSE v10, v11, v12
CentOS v3 à v7 *Debian v3.1 – v8
CloudLinux v5 à v7 *Ubuntu v6 à v15
Fedora v1 à v22 *Slackware v12

(* peut nécessiter des modèles de regex personnalisés pour certaines fonctions)
Serveurs virtuels pris en charge et testés
**Virtuozzo **OpenVZ
VMware UML
Xen Serveur virtuel MS
VirtualBox KVM

(** nécessite une configuration correcte d'iptables sur le serveur hôte)

Remarque :Tout système d'exploitation EOL ne sera pas pris en charge et les nouvelles versions de csf peuvent ne plus fonctionner à mesure que de nouvelles fonctionnalités sont ajoutées


Ubuntu

  1. Comment protéger votre serveur avec badIPs.com et signaler les IP avec Fail2ban sur Debian

  2. Créez votre stockage cloud avec ownCloud 6 sur Linux Mint 17

  3. Sécurité Linux :protégez vos systèmes avec fail2ban

  4. Automatisez votre Plex Media Server avec AtoMiC sur Ubuntu 14.04+

  5. Comment installer Nextcloud avec Docker sur votre serveur Linux

Comment gérer le serveur CentOS 7 avec Webmin

Comment collaborer sur des documents stockés sur votre serveur WebDAV avec ONLYOFFICE

ReaR :sauvegardez et restaurez votre serveur Linux en toute confiance

Comment installer Webmin sur le serveur Ubuntu 20.04

Comment installer Webmin dans Ubuntu 20.04

Comment exécuter votre propre serveur Git avec GitlabHQ sur Ubuntu 14.04