Comment contrer les attaques sur votre serveur internet
Généralement, c’est MySQL qui aura tendance à “flancher” en premier par le flood (des milliers de connections sur le site dans un temps très court).
Il n’empêche qu’il faut protéger votre frontend.
Dans cet article nous vous expliquons pas à pas comment paramétrer votre serveur internet pour résister à ces attaques.
Vous trouverez ici des astuces non documentées en général qui permettent une protection efficace aux attaques de serveur causées par des milliers de connections sur votre serveur.
Configurer les logs Varnish pour Fail2ban
En premier lieu, nous allons vérifier le fichier de démarrage des logs varnish
/etc/init.d/varnishncsail faut qu’il contienne des valeurs similaires:
DAEMON=/usr/bin/$NAME
PIDFILE=/var/run/$NAME/$NAME.pid
LOGFILE=/var/log/varnish/varnishncsa.log
USER=varnishlog
Il est important que celui-ci arrive à démarrer tout seul, avec un simple
/etc/init.d/varnishncsa startsinon, vous aurez un problème lors des rotations de logs.
(il est possible que vous ayez à créer le dossier/fichier logs manuellement)
mkdir /var/log/varnish
touch /var/log/varnish/varnishncsa.log
chown varnishlog:varnishlog -R /var/log/varnish/Veillez à ce que le fichier
/etc/default/varnishncsacontienne la variable
VARNISHNCSA_ENABLED=1si elle est à 0, il ne démarrera pas au boot.
Configurer la rotation de logs Varnish
Editez le fichier
/etc/logrotate.d/varnishInsérez-y:
/var/log/varnish/varnish.log /var/log/varnish/varnishncsa.log {
daily
rotate 7
missingok
compress
delaycompress
missingok
postrotate
for service in varnishlog varnishncsa; do
if /usr/bin/pgrep -P 1 $service >/dev/null; then
/usr/sbin/invoke-rc.d $service reload > /dev/null
fi
done
endscript
}Configurer Fail2ban avec Varnish
Nous allons maintenant créer la règle pour Varnish,
Editez un fichier nommer
/etc/fail2ban/filter.d/http-get-dos.confInsérez-y:
[Definition]failregex = ^<HOST>.*"GET
ignoreregex =
Editons maintenant le fichier de conditions:
nano /etc/fail2ban/jail.conf[http-get-dos]enabled = true
port = http,https
filter = http-get-dos
logpath = /var/log/varnish/varnishncsa.log
maxretry = 70
findtime = 120
bantime = 600
action = iptables[name=HTTP, port=http, protocol=tcp]Il ne vous reste plus qu’à redémarrer fail2ban
/etc/init.d/fail2ban restart
Mise à jour Piwik: “Failed opening required ‘Log.php’”
Piwik 2.0.2 vient de sortir. Lors de sa mise à jour, si vous possédez un serveur web un peu trop restrictif (ou très sécurisé), Vous allez surement vous retrouver avec une erreur Apache: Lire la suite »Sécurité: Fail2ban et Varnish
Mac OS Lion et Time Machine: Fonctionnalités AFP requises
Time Machine sur Mac OS 10.7 requiert maintenant AFP 3.3, si votre serveur de sauvegarde est sous Debian 6 Squeeze, vous vous retrouverez tout comme moi avec l’erreur “Erreur de Time Machine” “Le disque de sauvegarde réseau ne prend pas en charge…
Sécurité: Fail2ban et attaques administration WordPress
Dans le cas de multiples vhosts/sites internet, il vous faut comme pré-requis un fichier de logs général de votre frontend web. Exemple, Varnish, si vous ne savez pas comment activer les logs Varnish, la procédure y est décrite dans l’article…
Installer Retrospect Linux Client sur Debian Squeeze 64bits
Retrospect Linux Client sur Debian Configuration type: Debian Squeeze 64 bits Retrospect Client 7.6.100 (vous pouvez récupérer les clients gratuitement sur l’archive officielle) (La procédure devrait-être plus ou moins similaire pour une machine sous Ubuntu). Pré-requis: apt-get install ia32-libs Lire…
Netatalk: Recharger la configuration à chaud
Netatalk est très utilisé (surtout dans le domaine Mac, permettant le support AFP (AppleShare) pour les partages de fichiers, ou sauvegardes TimeMachine. Recharger la configuration à chaud L’agent /etc/init.d/netatalk ne supporte pas la fonction reload, pourtant atalk (serveur de fichier) lui…
Optimiser Linux pour SSD, CompactFlash, et USB
La technologie mémoire Flash étant présente dans les disques durs SSD, clés USB, et cartes CompactFlash. Ils ont un nombre limite de cycles, pour mieux les préserver et ainsi augmenter leur durée de vie, nous pouvons optimiser notre OS. Prenons…
Lien court pour cet article : https://zut.io/cj5Oz
