====== Serveur OVH Kimsufi ======

Quelques notes pour avoir un serveur fonctionnel. C'est basé sur la gamme Kimsufi chez OVH.

===== Le parefeu IPFW =====

On va utiliser un préréglage déjà définie (**workstation**), il faut rajouter ces lignes dans le fichier ''/etc/rc.conf''.

<file>
[...]
firewall_enable="YES"
firewall_quiet="YES"
firewall_type="workstation"
firewall_allowservices="any"
firewall_myservices="22/tcp 25/tcp 80/tcp 443/tcp"
[...]</file>

La dernière ligne permet l'ouverture de certains ports (il faut consulter le fichier ''/etc/services'', afin de connaître quels sont ces services).

On peut désormais activer ce parefeu :

<code>service ipfw start</code>

===== Blacklistd =====

blacklistd(8) permet de bloquer le « brute force », pour SSH, il faut rajouter cette ligne dans le fichier ''/etc/rc.conf'' ((Ou modifier le fichier ''/etc/ssh/sshd_config''.))

<file>[...]
sshd_flags="-o UseBlacklist=yes"
[...]</file>

Puis on rajoute ce démon supplémentaire

<file>[...]
blacklistd_enable="YES"
blacklistd_flags="-r"</file>

Les tentatives de connexion autorisées sont situées dans le fichier ''/etc/blacklistd.conf''.

Pour que ce démon sache que nous utilisons le parefeu **ipfw**, on va créer le fichier ''/etc/ipfw-blacklist.rc''

<code>echo "ifpw_offset=4000" > /etc/ipfw-blacklist.rc</code>

On peut relancer (ou activer) les services qui en ont besoin.

<code>
service sshd restart
service ipfw restart
service blacklistd start</code>

Au bout d'un certain temps, on peut « regarder » quelles sont les règles qui sont appliquées

<code>ipfw show
[...]
02022  385  22996 deny tcp from table(port22) to any 22
[...]</code>

Si on a une ligne qui montre la présence d'une table, c'est que blacklistd(8) travaille, il a bloqué un attaquant !

On peut voir le contenu de cette table

<code>ipfw table port22 list</code>

Ou

<code>blacklistctl dump -b</code>