Un Serveur parfait sous Ubuntu 17.10 avec ISPConfig 3.1

Tutoriaux 0 commentaire(s) 9247 vue(s)

14. Installez Jailkit

Jailkit est necessaire uniquement si vous voulez chrooter les utilisateurs SSH. Il peut être installé comme ceci (important: Jailkit doit être installé avant ISPConfig – il ne peut pas être installé ensuite !):

$ apt-get -y install build-essential autoconf automake1.11 libtool flex bison debhelper binutils

$ cd /tmp
$ wget http://olivier.sessink.nl/jailkit/jailkit-2.19.tar.gz
$ tar xvfz jailkit-2.19.tar.gz
$ cd jailkit-2.19
$ echo 5 > debian/compat

La version actuelle 2.19 de Jailkit a une erreur de syntaxe qui empêche son archivage. Pour corriger cela; ouvrez le fichier debian/changelog avec nano:

$ nano debian/changelog

Et ajoutez la ligne suivante dans la ligne 5 et ensuite videz la ligne  :

 -- Olivier  Wed, 18 Nov 2015 20:38:44 +0100

De telle sorte que le résultat de la première partie du dossier ressemblera à ceci  (la ligne insérée en rouge):

jailkit (2.19-1) UNRELEASED; urgency=medium

jailkit (2.18-1) UNRELEASED; urgency=medium

* maintenance release, fix uid_t printing for very high uid numbers
* minor improvements to jk_init.ini
* add possibility to force --login in jk_chrootsh

Ensuite construisez le pack jailkit en executant cette commande :

$ ./debian/rules binary

Vous pouvez à present installer le pack Jailkit .deb comme ceci :

$ cd ..
$ dpkg -i jailkit_2.19-1_*.deb
$ rm -rf jailkit-2.19*

15. Installez fail2ban et UFW/

Ceci est optionnel mais conseillé, parce que l’écran de ISPConfig essaye de montrer le log :

$ apt-get -y install fail2ban

Pour faire un écran fail2ban PureFTPd et Dovecot, créez le fichier /etc/fail2ban/jail.local:

$ nano /etc/fail2ban/jail.local

[pureftpd]

enabled  = true

port     = ftp

filter   = pureftpd

logpath  = /var/log/syslog

maxretry = 3

 

[dovecot-pop3imap]

enabled = true

filter = dovecot-pop3imap

action = iptables-multiport[name=dovecot-pop3imap, port="pop3,pop3s,imap,imaps", protocol=tcp]

logpath = /var/log/mail.log

maxretry = 5


[postfix-sasl]

enabled  = true

port     = smtp

filter   = postfix-sasl

logpath  = /var/log/mail.log

maxretry = 3

Ensuite créez les deux fichiers de filtres suivants :

$ nano /etc/fail2ban/filter.d/pureftpd.conf

[Definition]

failregex = .*pure-ftpd: (.*@) [WARNING] Authentication failed for user.*

ignoreregex =

$ nano /etc/fail2ban/filter.d/dovecot-pop3imap.conf

[Definition]

failregex = (?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login (auth failed|Aborted login (tried to use disabled|Disconnected (auth failed|Aborted login (d+ authentication attempts).*rip=(?PS*),.*

ignoreregex =

Ajoutez la ligne ignoreregex manquante dans le fichier postfix-sasl :

$ echo "ignoreregex =" >> /etc/fail2ban/filter.d/postfix-sasl.conf

Rdémarrez ensuite  fail2ban :

$ service fail2ban restart

Pour installer le pare feu UFW, exécutez cette commande apt :

$ apt-get install ufw

 

Cliquez sur "Page suivante" pour accéder à la suite de ce tutoriel.