A l’occasion de la location de 2 serveurs d\u00e9di\u00e9s chez OVH, mont\u00e9s en Debian Lenny (what else? comme dirait l’autre), voici un petit tour du propri\u00e9taire et du coup un guide minimaliste d’installation\/param\u00e9trage d’un tel serveur. Ca fait aussi un petit retour d’exp\u00e9rience sur OVH. Y’a des trucs marrants, vous allez voir.
\nIl s’agit de 2 serveurs dont j’ai oubli\u00e9 les noms commerciaux, ceux \u00e0 69 \u20ac et 199 \u20ac.
\nJ’ai opt\u00e9 pour Debian \u00ab\u00a0nue\u00a0\u00bb, pas le truc pr\u00e9packag\u00e9 qui doit t’amener webmin et ce genre de bazar.<\/p>\n
Le serveur arrive avec en gros un swap et une partition \u00ab\u00a0\/\u00a0\u00bb de quasimment 1 To (la capacit\u00e9 de mon disque) et un \/var (dans mes souvenirs) de quelques dizaines de Mo. C’est assez cool pour h\u00e9berger une base de donn\u00e9es, genre des gros fichiers dans \/var\/lib\/mysql… A la fin j’ai \u00e7a, dans le cas d’un serveur en RAID 1 logiciel (celui \u00e0 69 \u20ac, l’autre est en RAID 1 hard, je pr\u00e9f\u00e8re). Remplacez mentalement \/dev\/md par \/dev\/sda si \u00e7a vous pose un probl\u00e8me existentiel.<\/p>\n Il y a un miroir OVH. Je n’aime jamais trop ce concept, ne sachant pas si c’est \u00e0 jour ou pas. Un petit Le kernel par d\u00e9faut est le Ils ont choisi LILO. Soit. Je n’ai pas os\u00e9 mettre GRUB, de peur de foutre la zone avec le reboot en mode rescue. ou de faire sauter (peut-\u00eatre) le KVM sur IP (\u00e7a m’\u00e9tonnerait quand m\u00eame). ‘Pas eu envie de tester. Evidemment, acc\u00e8s root autoris\u00e9, de toutes les IP. L\u00e0, c’est l’\u00e9pisode \u00ab\u00a0La mise en place du firewall ou si tu bloques le ping, j’te reboote\u00a0\u00bb. Arg. La cocasse anecdote. Je vous raconte \u00e7a comme je l’ai v\u00e9cu. Les conclusions pour \u00e9viter une gal\u00e8re potentielle seront donc \u00e0 la fin. C’est plus marrant comme \u00e7a. (vous pouvez lire mon guide complet sur debian, notamment shorewall, \u00e0 cette adresse : https:\/\/michauko.org\/docs\/debian_testing\/<\/a><\/em><\/p>\n Apr\u00e8s un Les \u00ab\u00a0templates\u00a0\u00bb shorewall pour un serveur \u00e0 une interface (c’est notre cas) sont amen\u00e9s par le paquet Elle rend possible l’attaque r\u00e9seau depuis votre machine si elle est compromise. D\u00e9tailler chaque flux sortant peut permettre d’\u00e9viter \u00e7a, si votre machine a \u00e9t\u00e9 compromise juste assez pour faire chier, mais pas assez pour \u00eatre root, auquel cas l’intervenant fera mumuse avec votre shorewall de toute mani\u00e8re. Cocasse anecdote <\/strong>: une sonde de leur c\u00f4t\u00e9 (OVH) a imm\u00e9diatement d\u00e9tect\u00e9 que mon serveur ne r\u00e9pondait plus au ping=> REBOOT quasi-instantan\u00e9 pour cause de d\u00e9faillance. O_o woooow. Que \u00e7a d\u00e9tecte une \u00ab\u00a0panne\u00a0\u00bb, admettons, que \u00e7a force un reboot, PUTAIN NON !!!!! Bref, il faut laisser passer le ping pour les machines suivantes : proxy.ovh.net, proxy.p19.ovh.net, proxy.rbx.ovh.net, ping.ovh.net et les 3 premiers octets de votre IP+250\/251\/249 (3 machines en plus donc). Changez enfin les permissions 755 \u00e0 750 sur \/etc\/shorewall<\/p>\n Question : le \u00ab\u00a0PermitRootLogin no\u00a0\u00bb => peut-on quand m\u00eame passer en mode rescue ? Je le pense, mais bon… car le pass du root est diff\u00e9rent. C’est un autre OS qui boote, v\u00e9ritablement, avec uniquement un compte root. Si quelqu’un peut me confirmer \u00e7a en commentaire, merci. Inchang\u00e9 dans cet exemple :<\/p>\n
\nAucune restriction type nosuid, noexec, nodev.
\nDonc je sugg\u00e8re d’abord une r\u00e9installation en mode \u00ab\u00a0je personnalise mes partitions\u00a0\u00bb. L’interface web est curieuse, il faut d’abord affecter un peu de place \u00e0 \/boot, puis de la place (mais pas tout) \u00e0 \/. (pas slashdot, c’est un point pour finir ma phrase ;))
\nA ce moment l\u00e0, l’interface vous permet de nommer et modifier n’importe que point de montage: \/home, \/var, \/tmp, le swap. A votre convenance.
\nPour ce qui est des options noexec, nodev, nosuid, que vous voulez peut-\u00eatre positionner, il faudra modifier \/etc\/fstab \u00e0 la main et rebooter ou faire des mount -o remount<\/code> qui vont bien.<\/p>\n\/dev\/md2 \/ ext3 errors=remount-ro 0 1\r\n\/dev\/md1 \/boot ext3 errors=remount-ro,nodev,nosuid,noexec 0 1\r\n\/dev\/md3 \/home ext3 nodev,nosuid 1 2\r\n\/dev\/md6 \/tmp ext3 nodev,nosuid 1 2\r\n\/dev\/md7 \/var ext3 nodev 1 2\r\n\/dev\/sda5 swap swap defaults 0 0\r\n\/dev\/sdb5 swap swap defaults 0 0\r\nproc \/proc proc defaults 0 0\r\nsysfs \/sys sysfs defaults 0 0\r\n<\/pre>\n
Sources logicielles (apt)<\/h1>\n
\nDe toute mani\u00e8re, il manque le repository \u00ab\u00a0volatile\u00a0\u00bb. Quitte \u00e0 l’ajouter, je suis revenu aux standards Debian, voici mon \/etc\/apt\/sources.list<\/code> :<\/p>\ndeb ftp:\/\/ftp2.fr.debian.org\/debian\/ lenny main contrib non-free\r\ndeb http:\/\/volatile.debian.org\/debian-volatile lenny\/volatile main contrib non-free\r\ndeb http:\/\/security.debian.org\/ lenny\/updates main contrib non-free\r\n<\/pre>\n
aptitude update<\/code> et aptitude safe-upgrade<\/code> plus tard, vous voil\u00e0 \u00e0 jour.<\/p>\nKernel<\/h1>\n
2.6.27.10-grsec-xxxx-grs-ipv4-32<\/code> pour un serveur 32 bits. Le patch grsec apporte des modifications de s\u00e9curit\u00e9 (mouais) au kernel standard.
\nLe truc louche est que je ne vois aucun linux-image<\/code> install\u00e9 via dpkg -l<\/code>. J’ai tent\u00e9 l’installation du dernier 2.6 packag\u00e9 par Debian (le 2.6.26, via le paquet linux-image-2.6-686<\/code>), \u00e7a a un peu foir\u00e9, j’ai l\u00e2ch\u00e9 l’affaire.
\nJ’ai un peu peur de l’upgrade de s\u00e9curit\u00e9 du kernel, qui viendra bien un jour ou l’autre. Pas de paquet qui a amen\u00e9 le noyau (!) et je suis sur les repos autres que les miroirs OVH. Bref \u00e0 mon avis, le kernel est fig\u00e9 pour longtemps. EDIT: A priori, vu des commentaires, c’est comme chez dedibox : un serveur FTP mettant \u00e0 jour les noyaux. Supeeeer. Il doit y avoir une mailing-list ou un newsgroup pour suivre les upgrades recommand\u00e9s, j’esp\u00e8re. C’est le cas chez dedibox.<\/p>\nLILO vs. GRUB<\/h1>\n
\nInconv\u00e9nient de LILO : penser \u00e0 taper lilo<\/code> apr\u00e8s un upgrade de noyau. Mais bon, vu la situation d\u00e9crite ci-dessus…<\/p>\nAcc\u00e8s SSH<\/h1>\n
\nJ’ai chang\u00e9 tout \u00e7a : PermitRootLogin no<\/code> et AllowUsers<\/code> apr\u00e8s avoir cr\u00e9\u00e9 des utilisateurs locaux. Pour ce qui du classique changement de port, j’ai plut\u00f4t opt\u00e9 pour du bridage par IP source sur ce port. Faites comme vous voulez.
\nOVH peut se connecter en root via clef publique autoris\u00e9e (install\u00e9e avec la machine). Si le concept vous plait (et que vous ne virez pas la clef de authorized_keys), il serait judicieux de laisser passer le SSH pour l’IP source qu’ils utilisent (d\u00e9crite dans le chapitre du firewall ci-apr\u00e8s).
\nLe PermitRootLogin doit \u00eatre largement incompatible avec ce principe, au passage. Mais bon, on le sait, le RootLogin, c’est mal.<\/p>\nShorewall (ou iptables)<\/h1>\n
\nDonc, voici le truc.<\/p>\naptitude install shorewall<\/code>, il faut configurer Shorewall, avec le postulat de base \u00ab\u00a0je bloque tout sauf ce qui m’int\u00e9resse\u00a0\u00bb. Normal. J’ouvrirai le reste \u00e0 mesure que j’installerai les services (MySQL, apache, mail…)<\/p>\nshorewall-common<\/code>, dans \/usr\/share\/doc\/shorewall-common\/examples\/one-interface\/<\/code>
\nCopiez donc tout le contenu dans \/etc\/shorewall\/<\/code> et passez en revue tous les fichiers pour que \u00e7a corresponde \u00e0 vos besoins : bridage du SSH sur quelques IP par exemple.
\nAttention \u00e0 cette r\u00e8gle (policy) :<\/p>\n$FW net ACCEPT<\/pre>\n
\nSi vous avez besoin d’un fichier \u00ab\u00a0params\u00a0\u00bb vide, il est donn\u00e9 l\u00e0 : \/usr\/share\/doc\/shorewall-common\/default-config\/params<\/code>.
\nUne fois votre conf adapt\u00e9e, modifiez \/etc\/default\/shorewall<\/code> => startup=1<\/code> et relancez shorewall. Testez votre connexion SSH sans perdre l’ancienne session, au cas o\u00f9 la conf n’accepte plus rien, suite \u00e0 fausse manip…<\/p>\n
\nJ’ai eu un ticket quelques instants apr\u00e8s m’indiquant qu’il y avait un kernel panic et qu’ils l’avaient donc pass\u00e9 en mode rescue. Moi je veux bien, mais sur la console, y’avait bien \u00e9crit \u00ab\u00a0reboot\u00a0\u00bb, et pas le bon gros figeage d’un \u00ab\u00a0kernel panic\u00a0\u00bb. Le type au t\u00e9l\u00e9phone m’avait confirm\u00e9 quelques minutes avant qu’ils avaient forc\u00e9 le reboot. Bref passons. Ca commence bien la relation client…
\nJe pense surtout que quelqu’un a eu un exc\u00e8s de z\u00e8le et sous couvert d’un ping qui ne r\u00e9pondait pas, m’a reboot\u00e9 comme un porc la machine, \u00ab\u00a0pour m’aider\u00a0\u00bb, en me la mettant en mode rescue. Ah ouais, super, \u00e7a m’aide \u00e0 mort…
\nQuelques cris plus tard, un type du service des serveurs d\u00e9di\u00e9s m’indique le \u00ab\u00a0Guide OVH pour le firewall\u00a0\u00bb (http:\/\/guides.ovh.net\/fireWall<\/a>). A priori, il me confirme que les machines de monitoring \u00e9voqu\u00e9es dans ce guide ne changent pas et qu’il n’y en a pas d’autres en terme de monitoring qui feraient que ma machine serait vu comme d\u00e9faillante et qui ferait que le mec qui s’emmerde au mois de juillet dans la salle serveur prendrait un coup de chaud et me rebooterait le serveur. Pour m’aider.<\/p>\n
\nPlus une machine pour le SSH si vous pouvez avoir besoin d’eux un jour.<\/p>\n
\n<\/em>
\nLe guide OVH donne la syntaxe iptables pour tol\u00e9rer le ping de tout \u00e7a. Si vous adorez ces longues lignes iptables inbuvables, c’est pour vous. Pour le reste, il y a mast <\/del> shorewall.
\nC\u00f4t\u00e9 shorewall, avec les fichiers par d\u00e9faut, il faut comprendre que tout traffic net -> $FW est bloqu\u00e9 par d\u00e9faut, en \u00ab\u00a0DROP info\u00a0\u00bb, sauf une r\u00e8gle sp\u00e9ciale pour le ping en \u00ab\u00a0DROP simple\u00a0\u00bb – pour \u00e9viter de pourrir les logs. J’ai donc ajout\u00e9 avant cette r\u00e8gle l’autorisation pour les machines de supervision OVH. Ca donne donc :<\/p>\n\/etc\/shorewall\/policy<\/h2>\n
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST\r\n$FW net ACCEPT\r\nnet $FW DROP info\r\nnet all DROP info\r\n# The FOLLOWING POLICY MUST BE LAST\r\nall all REJECT info\r\n#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE<\/pre>\n
\/etc\/shorewall\/rules<\/h2>\n
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER\/ MARK\r\n# PORT PORT(S) DEST LIMIT GROUP\r\n\r\n### PING\r\n# ouverture pour monitoring OVH\r\nACCEPT net:213.186.50.98 $FW icmp # proxy.ovh.net\r\nACCEPT net:213.186.45.4 $FW icmp # proxy.p19.ovh.net\r\nACCEPT net:213.251.184.9 $FW icmp # proxy.rbx.ovh.net\r\nACCEPT net:213.186.33.13 $FW icmp # ping.ovh.net\r\nACCEPT net:x.y.z.250 $FW icmp # specifique \u00e0 mon IP : x.y.z.53\r\nACCEPT net:x.y.z.249 $FW icmp # specifique \u00e0 mon IP : x.y.z.53\r\nACCEPT net:x.y.z.251 $FW icmp # specifique \u00e0 mon IP : x.y.z.53\r\n# des machines \u00e0 moi :\r\nACCEPT net:$une_machine $FW icmp\r\nACCEPT net:$une_autre $FW icmp\r\n#d\u00e9faut :\r\nPing\/DROP net $FW # le reste est en \"DROP info\". L\u00e0 on va \u00e9viter des logs inutiles\r\n\r\n### SSH\r\n# moi, moi et moi :\r\nACCEPT net:$une_machine $FW tcp 22\r\nACCEPT net:$une_autre $FW tcp 22\r\n# \u00e0 la limite, eux :\r\nACCEPT net:213.186.50.100 $FW tcp 22 # cache.ovh.net, probablement inutile, pas de compte dans mon cas\r\n\r\n### WEB, utiliser AllowWeb serait plus dans le coup non ?\r\nACCEPT net $FW tcp 80,443\r\n\r\n### MAIL si besoin\r\nACCEPT net $FW tcp 25\r\n\r\n#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE<\/pre>\n
\/etc\/shorewall\/params : exemple<\/h2>\n
# blabla...\r\n# net eth0 130.252.100.255 routefilter,norfc1918\r\n#\r\n###############################################################################\r\nune_machine=a.b.c.d\r\nune_autre=e.f.g.h\r\n#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE\r\n<\/pre>\n
autres<\/h2>\n