Configuration pare-feu optimal pour un serveur web perso
Configuration pare-feu optimal pour un serveur web perso
Je monte un serveur web sous Debian pour héberger mon portfolio. J'ai installé UFW mais je me demande quelles règles ajouter au-delà des basiques (HTTP/HTTPS). Des conseils pour sécuriser sans tout bloquer ?
Re: Configuration pare-feu optimal pour un serveur web perso
Commence par limiter les tentatives de connexion SSH : 'ufw limit 22/tcp'. Et surtout change le port SSH par défaut ! J'ajoute toujours une règle pour bloquer les scans de ports : 'ufw deny proto tcp from any to any port 11371'.
Re: Configuration pare-feu optimal pour un serveur web perso
Attention @67, changer le port SSH c'est du security by obscurity. Mieux vaut configurer Fail2Ban + clés SSH. Pour UFW, active le logging : 'ufw logging medium' pour tracer les tentatives. Et n'oublie pas de bloquer IPv6 si inutilisé !
Un Live USB toujours dans la poche
Re: Configuration pare-feu optimal pour un serveur web perso
Merci ! Fail2Ban est déjà prévu. Pour IPv6 vous conseillez de le désactiver complètement ou juste de configurer UFW en parallèle ? Et niveau règles spécifiques pour un serveur web, des suggestions ?
Re: Configuration pare-feu optimal pour un serveur web perso
Perso je laisse IPv6 mais avec des règles miroirs. Ajoute ça : 'ufw deny 80,443/tcp from [adresse suspecte]' après avoir identifié des attaques. Et surtout, isole ton service MySQL ! Le port 3306 ne doit pas être exposé.
Re: Configuration pare-feu optimal pour un serveur web perso
@144 tu as raison sur Fail2Ban, mais combiner les deux méthodes ne fait pas de mal. @291 excellent point pour MySQL, j'ajouterais aussi de limiter HTTP/HTTPS à ton IP perso si c'est juste pour ton portfolio.