Ebook Arduino !

couverture ebook

Sur un serveur, afin d’éviter de se faire attaquer de tout bord, il est utile de bloquer tout (ou presque) les ports entrants de la machine. Ainsi, la surface d’attaque devient bien plus restreinte. Nous laisserons ainsi passer uniquement le trafic pour le SSH ainsi que pour le http(s).

Pour cela, un logiciel bien connu des administrateurs systèmes est iptables . Mais ce dernier a aussi la réputation d’être un peu pénible à utiliser. Nous allons donc utiliser ufw ( Uncomplicated FireWall ) qui permet de gérer de manière plus simple les règles de parefeu. Nous allons alors interagir avec ufw et ce dernier s’occupera de dompter iptables.

Pour l’installer, un simple apt install ufw fera l’affaire.

Ensuite, nous allons l’activer via la commande ufw enable . Dorénavant, ufw démarrera au lancement du système et appliquera les règles que nous allons définir. Si vous voulez couper temporairement ou définitivement ufw, la commande antagoniste est évidemment ufw disable .

A tout moment vous pouvez voir l’état de ufw ainsi que les règles actuellement appliquées via la commande ufw status verbose

Maintenant que notre pare-feu est en marche, donnons lui des consignes. Plusieurs moyens s’offrent à nous. Nous pouvons spécifier à la main le protocole (udp/tcp), les ports et les ips à filtrer. Ou plus simplement juste dire à ufw "merci de laisser passer/interdire le trafic" concernant ce service. Les services en questions étant visible dans le fichier /etc/services . C’est là stratégie que nous allons adopter.

Laissons donc passer le trafic pour le ssh et le http(s).

:# ufw allow ssh
:# ufw allow http
:# ufw allow https

A chaque fois, ufw vous préviendra que la règle a bien été ajoutée.

Ajout de règles dans ufw
Ajout de règles dans ufw

Ce tutoriel voulant aller à l’essentiel, ufw n’est pas traité dans toutes sa profondeur. Pour en savoir plus (blocage d’ip etc) vous pouvez lire la très bonne page à l’adresse : https://doc.ubuntu-fr.org/ufw

En résumé

ufw enable
ufw allow ssh
ufw allow http
ufw allow https
ufw status verbose

Licence CC BY