wget http://downloads.sourceforge.net/rkhunter/rkhunter-1.3.2.tar.gz?modtime=1204134588&big_mirror=0
tar zxvf rkhunter-1.3.2.tar.gz
cd rkhunter-1.3.2/
sh installer.sh --layout default --install

Éditer /etc/rkhunter.conf

# Use a custom directory for shared scripts
SHAREDIR=/usr/share
 
#Script whitelist to add
SCRIPTWHITELIST=/bin/egrep
SCRIPTWHITELIST=/bin/fgrep
SCRIPTWHITELIST=/bin/which
SCRIPTWHITELIST=/usr/bin/groups
SCRIPTWHITELIST=/usr/bin/ldd
SCRIPTWHITELIST=/usr/bin/lwp-request
SCRIPTWHITELIST=/usr/sbin/adduser
 
# Allow hidden dir
ALLOWHIDDENDIR=/dev/.udev
ALLOWHIDDENDIR=/dev/.static

J’ai également supprimé le CRON Job, pour ne recevoir un email qu’en cas d’erreur.

apt-get install postfix

Choisissez Site Internet et remplir votre FQDN.

Testez que le serveur fonctionne :

echo "test" | mail -s testsubject someemail@hotmailorwherever.com

Rien à faire de plus pour le moment, c’est juste pour recevoir les rapports.

apt-get install apache2 apache2-mpm-prefork apache2-utils apache2-prefork-dev

Puis installer PHP 5 :

apt-get install libapache2-mod-php5 php5 php5-common php5-curl php5-dev php5-gd php-pear php5-imagick php5-imap php5-json php5-mcrypt php5-mhash php5-mysql

Éditer le fichier /etc/apache2/ports.conf et ajouter la ligne :

Listen 443

Effectuez les commandes suivantes pour activer les modules SSL, Rewrite, Suexec et Include :

a2enmod ssl
a2enmod rewrite
a2enmod suexec
a2enmod include

Je souhaite maintenant mettre en place les extensions PECL_HTTP, Fileinfo et APC op cache.
Pour préparer leur installation, j’ai besoin de quelques outils supplémentaires :

apt-get install curl libcurl3-gnutls-dev libmagic-dev
ln -s /usr/bin/apxs2 /usr/bin/apxs
ln -s /usr/share/file/magic /etc/magic.mime

Puis je compile les extensions :

pecl install pecl_http
pecl install fileinfo
pecl install apc

Pour activer les extensions et effectuer quelques configurations, j’édite le fichier /etc/php5/apache2/php.ini :

expose_php = On
magic_quotes_gpc = Off
default_charset = "utf-8"
allow_url_include = On
extension = http.so
extension = fileinfo.so
extension = apc.so

Installer phpMyAdmin :

apt-get install phpmyadmin

Et enfin redémarrer Apache

/etc/init.d/apache2 restart

apt-get install proftpd openssl

Sélectionner l’option de serveur indépendant. Comme votre serveur n’est pas en IPv6, le service ne démarrera pas, cela est normal.

Pour corriger ce problème, éditez le fichier /etc/proftpd/proftpd.conf, modifiez la première ligne, et ajouter les 3 lignes suivantes :

UseIPv6 off
DefaultRoot ~
IdentLookups off
ServerIdent on "FTP Server Ready"

Créez le répertoire destiné à contenir le certificat, et générez le certificat :

mkdir /etc/proftpd/ssl
openssl req -new -x509 -days 365 -nodes -out /etc/proftpd/ssl/proftpd.cert.pem -keyout /etc/proftpd/ssl/proftpd.key.pem

Éditez le fichier /etc/proftpd/proftpd.conf :

TLSEngine                  on
TLSLog                     /var/log/proftpd/tls.log
TLSProtocol                SSLv23
TLSOptions                 NoCertRequest
TLSRSACertificateFile      /etc/proftpd/ssl/proftpd.cert.pem
TLSRSACertificateKeyFile   /etc/proftpd/ssl/proftpd.key.pem
TLSVerifyClient            off
TLSRequired                on

Et redémarrer proftpd :

/etc/init.d/proftpd restart

Vous ne pouvez plus vous connecter en FTP standard, mais vous connecter en FTP avec le support explicit du TLS/SSL ( Auth TLS – Explicit ), si vous voulez laisser la possibilité de se connecter en ftp standard, mettez TLSRequired à off.

Comme nous avons précédemment mis en place fail2ban, nous modifions le fichier /etc/fail2ban/jail.local pour modifier la section proftpd et activer son support sous fail2ban :

[proftpd]
enabled  = true
port     = ftp
filter   = proftpd
logpath  = /var/log/auth.log
failregex = proftpd: (pam_unix) authentication failure; .* rhost=
maxretry = 5

Et redémarrez fail2ban :

/etc/init.d/fail2ban restart

L’installation :

apt-get install mysql-server mysql-client libmysqlclient15-dev

Une fois l’installation terminée la sécurisation est elle aussi des plus simple :

mysql_secure_installation

Répondez aux questions avec la réponse par défaut. Pensez à bien noter votre mot de passe root, ce mot de passe est différent de l’utilisateur root, il ne sert qu’au serveur mySQL.

Pour que votre serveur tourne par défaut en utf8, éditer le fichier /etc/mysql/my.cnf :

[mysqld]
#
# * Basic Settings
#
collation_server=utf8_general_ci
character_set_server=utf8
default-character-set=utf8
init_connect='SET collation_connection = utf8_general_ci'
init_connect='SET NAMES utf8'
 
[mysql]
#no-auto-rehash # faster start of mysql but no tab completition
default-character-set=utf8

En ajoutant ces deux lignes vous vous assurez de ne pas avoir de double conversion des caractères dans phpmyadmin, et d’avoir l’utf8 en encodage par défaut.

Dernière étape, redémarrer le service :

/etc/init.d/mysql restart

Nous installerons phpmyadmin en temps voulu, après Apache et PHP.

Ils existent deux services permettant de détecter d’éventuels rootkits sur votre serveur :

• chkrootkit
• rkhunter

Commençons par les installer :

apt-get install chkrootkit rkhunter libmd5-perl

Configuration de RKHunter suivant votre système, ce script modifie des dossier cachés de Débian pour qu’il soit ignorés de rkhunter et modifie la directive du login root suivant la configuration.
Dans notre cas, le login root est interdit :

SSH_ROOT_ALLOWED=0
TEST_ROOT_ALLOWED=$(/bin/grep -i "PermitRootLogin.*yes" /etc/ssh/sshd_config)
if [ -n "$TEST_ROOT_ALLOWED" ]; then
SSH_ROOT_ALLOWED=1
fi
/bin/sed -i -e 's|^[#]*(ALLOWHIDDENDIR=/dev/.udev)$|1|' \ 
-e 's|^[#]*(ALLOWHIDDENDIR=/dev/.static)$|1|' \
-e 's|^[#]*(ALLOWHIDDENDIR=/dev/.initramfs)$|1|' \
-e "s|^[#]*\(ALLOW_SSH_ROOT_USER=\).*$|\1${SSH_ROOT_ALLOWED}|" \ 
/etc/rkhunter.conf

Vous pouvez copiez/collez le bloc directement dans la console.

Vous pouvez ensuite modifier l’email de la tache CRON pour recevoir l’email du rapport rkhunter, en éditant le fichier /etc/default/rkhunter :

# Defaults for rkhunter cron jobs
# sourced by /etc/cron.*/rkhunter
#
# This is a POSIX shell fragment
#
# Set this to the email address where reports and run output should be sent
REPORT_EMAIL="monemail"
 
# Set this to yes to enable rkhunter weekly database updates
CRON_DB_UPDATE="yes"
 
# Set this to yes to enable reports of weekly database updates
DB_UPDATE_EMAIL="yes"
 
# Set this to yes to enable rkhunter daily runs
CRON_DAILY_RUN="yes"

Pour que chkrootkit s’exécute tous les jours la commande suivante :

/bin/sed -i -e 's/RUN_DAILY=.*/RUN_DAILY="true"/' /etc/chkrootkit.conf

Il y a un faux positif, qui devrait être corrigé dans un patch prochain, en attendant, éditez le fichier /usr/sbin/chkrootkit (Ligne 700 environ) :

if [ "${QUIET}" != "t" ]; then printn 
"Searching for suspicious files and dirs, it may take a while... "; fi
files=`${find} ${DIR} -name ".[A-Za-z]*" -o -name "...*" -o -name ".. *"`
dirs=`${find} ${DIR} -type d -name ".*"`
if [ "${files}" = "" -a "${dirs}" = "" ]
then

Modifiez la ligne files par :

files=`${find} ${DIR} \( -name ".[A-Za-z]*" -o -name "...*" -o -name ".. *" \) -and -not -wholename /lib/init/rw/.ramfs`

Pour recevoir un rapport quotidien sur votre email, editez le fichier /etc/crontab et ajoutez les lignes suivantes :

0 3 * * * root `chkrootkit 2>&1 | mail moi@monemail.com -s "Résultats de chkrootkit MONSERVEUR"`
5 3 * * * root `rkhunter -c --cronjob 2>&1 | mail moi@monemail.com -s "Résultats de rkhunter MONSERVEUR"`

Pour le moment, les emails ne sont pas délivrés, ils nous faudra d’abord installé le serveur d’emails.
Mais vous pouvez à tout moment lancer l’un ou l’autre pour voir les rapports :

chkrootkit
rkhunter -c

Prochaine étape installation du serveur mysql.

Puisque nous avons bloquer l’accès SSH à root, ils devront aussi essayer de trouver le login.
Vous me direz c’est bien mais un hacker qui squatte les accès SSH pour rentrer sur le serveur, ça bloque du processus.
Afin d’éviter cela, nous allons installer fail2ban qui permet de bloquer temporairement l’accès à votre serveur aux IPs ayant plus de 5 tentatives ratées.

En plus de protéger votre serveur sur l’accès SSH, fail2ban permet aussi de contrôler les logins Apache, FTP, Mails…
Imaginons qu’une IP XXX.XXX.XXX.XXX essaye de se connecter 5 fois en FTP, elle sera bannie directement sur IPTable durant le temps défini dans la configuration.

La première chose à faire consiste à installer fail2ban :

apt-get install fail2ban

Puis éditer le fichier de configuration, comme il est expliqué, il ne faut pas modifier le fichier de configuration original mais le fichier local, afin d’éviter des problèmes lors des futurs mises à jour :

vim /etc/fail2ban/jail.local

Pour le moment, nous remettons juste les lignes [DEFAULT] et [SSH], les lignes sont assez simples à comprendre.

[DEFAULT]
ignoreip = 127.0.0.1 MONIP MADEUXIEMEIP
bantime  = 600
maxretry = 5
 
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = moi@monemail.com
 
# Default action to take: ban & send an e-mail with whois report
# and relevant log lines to the destemail.
action = iptables[name=%(__name__)s, port=%(port)s]
mail-whois-lines[name=%(__name__)s, dest=%(destemail)s, logpath=%(logpath)s]
 
[ssh]
enabled = true
port    = ssh
filter  = sshd
logpath  = /var/log/auth.log
maxretry = 5

Plus tard nous rajouterons les lignes correspondant aux services que nous installerons tel qu’Apache ou proftpd. Il ne reste plus qu’à redémarrer le service pour appliquer les modifications.

/etc/init.d/fail2ban restart

Installer open-ssh :

apt-get install openssh-server

Pour cela, on édite le fichier de configuration avec VI :

vim /etc/ssh/sshd_config

Et modifier la ligne Port 22 par Port XXX où XXX est le port que vous aurez choisi.

# What ports, IPs and protocols we listen for
Port 4583

Redémarrez ensuite le service SSH avec la commande suivante :

/etc/init.d/ssh restart

Lors de la prochaine connexion avec PUTTY, n’oubliez pas de changer le port en conséquence.

La deuxième phase consiste à bloquer le login sous root par SSH. Cela évitera un grand nombre de tentative d’intrusion. Su permet de devenir un autre utilisateur pour la durée d’une session. Dans le cas présent nous utilisons su pour devenir root une fois la connexion au serveur effectué.

La première chose à faire et de créer un nouvel utilisateur (LOGIN) et de lui donner un mot de passe. C’est cet utilisateur qui vous servira à vous connecter en SSH.

adduser LOGIN

Pour vérifier que l’utilisateur est bien créé, vous pouvez relancer PUTTY et tenter de vous connecter avec ce nouvel utilisateur. Si la connection à réussi, vous pouvez constater que vous ne pouvez pas faire grand chose, par exemple il vous est impossible d’installer un paquet.
Maintenant effectuer la commande et rentrer ensuite votre mot de passe root :

su root

Si tout se passe bien vous êtes maintenant connecté en root et pouvez effectuer toutes les opérations voulues.
ATTENTION: Vous devez obligatoirement avoir un utilisateur pour vous connecter en SSH avant d’interdire l’accès à root

Il ne reste plus qu’à éditer le fichier de configuration du services SHH afin que seul votre utilisateur LOGIN ait le droit de se connecter en SSH, sécurisant ainsi votre accès à votre serveur par SSH.
Ajoutez la ligne suivante dans /etc/ssh/sshd_config

AllowUsers LOGIN

Et modifier PermitRootLogin à no :

PermitRootLogin no

Redémarrez SSH. C’est fini !
Dans la prochaine étape nous procéderons à l’installation de fail2ban pour éviter les tentatives d’intrusions répétées.

Nous configurons d’abord les locales pour avoir l’utf8 et l’iso-8859-1 :

echo "fr_FR ISO-8859-1
fr_FR.UTF-8 UTF-8
fr_FR.UTF-8@euro UTF-8
fr_FR@euro ISO-8859-15" > /etc/locale.gen
/bin/sed -i -e 's/^LANG=.*/LANG=fr_FR.UTF-8/' /etc/default/locale
/bin/sed -i -e 's/^LANG=.*/LANG=fr_FR/' /etc/environment
/usr/sbin/locale-gen

Vous pouvez copier/coller directement tout le bloc dans putty dans votre console SSH.

Mettre ensuite la liste des paquets à jour avec la commande :

/usr/bin/apt-get update

Puis mettre à jour les paquets :

/usr/bin/apt-get upgrade

Nous installons NTP, afin que l’heure de notre serveur soit toujours synchronisée et VIM qui permet d’éditer les fichiers de façon plus simple que VI, et mailx pour envoyer les emails de rapports dans un premier temps.

apt-get install ntp vim mailx unzip zip

Nous activons la coloration de la commande ls, pour le côté pratique :

vim /etc/profile

Ajouter à la fin les lignes suivantes :

export LS_OPTIONS='--color=auto'
eval `dircolors`
alias ls='ls $LS_OPTIONS'
alias ll='ls $LS_OPTIONS -l'
alias l='ls $LS_OPTIONS -lA'

Pour appliquer immédiatement les modifications, effectuez la commande suivante :

source /etc/profile

Nous appliquons aussi la coloration à VIM pour le rendre plus agréable :

vi /etc/vim/vimrc.local

Mettez y les lignes suivantes :

syntax on 
set paste 
set background=dark 
set softtabstop=4 
set shiftwidth=4 
set tabstop=4 
set expandtab

Le serveur est maintenant prêt à être sécuriser et configurer.
Par la suite je traiterais la modification du port SSH et l’installation d’open-ssh, et l’interdiction de l’utilisateur root au profit d’un utilisateur auxiliaire et de Sudo.

EDIT: Pensez à mettre PUTTY en UTF-8 à votre prochaine connexion dans l’onglet Translations.