• Serveurs

  • sĂ©curisation serveur sous debian 9

bonjour, je cherche a securiser mon serveur sys fraichement aquis 🙂
je suis partis sur une installe de debian 9 avec une partition de 2Go et un swap obligatoire de 256Mo

j'ai bien trouver un tuto , mais je comprends pas comment peut on avoir temps de protection
n'est ce pas contre productif ?
ca revient a avoir plusieurs anti virus sur une meme machine ...
ou plusieurs tv dans une meme chambre ....

https://docs.ovh.com/fr/dedicated/

je cherche avant tout l'efficacitee et surtout la simplicitee

que puis je faire ?

merci

voila les grandes lignes

-Modifier le port d’écoute par défaut du service SSH
-Modifier le mot de passe associé à l’utilisateur root
-Créer un utilisateur avec des droits restreints
-Désactiver l’accès au serveur via l’utilisateur root
-Installer et configurer le paquet Fail2ban
-Configurer le pare-feu interne : iptables
-Configurer le Firewall Network d’OVH
-Sauvegarder votre système et vos données

salut

c'est exactement ce que je ne veux pas .... un gros pavée sans explications

Tiens, si tu sais lire le bash, j'avais pondu un script il y a quelques temps :
https://mondedie.fr/d/9960-rajoutez-quelques-couches-de-securite-a-votre-serveur

Aux derniers tests, il fonctionnait, mais je t'encourage quand même à faire des tests avant. Au pire, tu peux en reprendre les parties qui t'intéresse pour ton serveur.

Note: je pose ma crotte là si ça permet d'aider, mais je n'ai pas du tout le temps d'expliquer plus que ce qu'il y a dans le post et dans les commentaires du script. Et encore moins d'en assurer le support en ce moment.
=> Si tu ne comprends pas ce qu'il y a dans le script, je t'encourage plutĂ´t Ă  chercher ailleurs !

z.

Salut,

sur mes serveurs, je fais la configuration suivante :

  • Modifier le mot de passe associĂ© Ă  l’utilisateur root

  • Ajout d'une clĂ© ssh pour l'utilisateur root (ou utilisateur custom)

  • Activer seulement la connexion ssh par clĂ©

  • Autoriser seulement notre utilisateur (root ou utilisateur custom) Ă  se connecter en ssh (AllowUsers)

  • Installer et configurer le paquet Fail2ban (Ă  bien config)

  • Configurer le pare-feu interne : iptables

  • Sauvegarder votre système et vos donnĂ©es (seulement pour mes donnĂ©es sensibles)

  • Pour du web, un utilisateur / vhost par site

  • Pour du web, configuration du serveur (nginx) avec au moins A sur sslabs

  • Pour du web, FTP chiffrĂ©

Généralement, je ne fais pas plus (et donc pas tout les points que tu as cités) et ça me semble suffisant pour du serveur personnel.

par manque de temps, quelques rapides explications :
- utilisation de clé ssh car plus robuste que les passwords et plus simple d'utilisation
- fail2ban permet d'empĂŞcher du forcebrute sur le ssh / ou autre (ftp etc)
- iptables permet de maitriser les ports que tu ouvres et plus encore

    12 jours plus tard

    Aeryax J'aimerais beaucoup publier un article sur cette base dans notre blog ou notre wiki c'est envisageable ?

    • Aeryax a rĂ©pondu Ă  ça.

        Ikoula Oui tout à fait, même s'il s'agit là que d'un retour/brouillon d'expérience de mon utilisation personnelle. Cela résulte d'adaptations à mes besoins de plusieurs tutoriels suivi au fil des années. Etant développeur, j'ai potentiellement pris certaines libertés par soucis de simplicité (ou fainéantise), mais je pense que cela suffit comme installation. Tout en ajoutant de mettre régulièrement à jour le système et de se tenir un minimum informé sur les différentes failles critiques (qui impliquent parfois des modifications des configurations Nginx ou autre).

          4 jours plus tard

          je ne comprends pas tout

          surtout quand on securise plusieurs fois le meme trucs de differente facon....

          Aeryax Plutôt d'accord avec cette configuration, sauf pour le ssh, perso pas de clé pour root, puisque j'interdis à root de se connecter en ssh, seulement des utilisateurs, avec AllowUsers. Mais par contre, j'utilise que des clés SSH avec des passphrases

            Répondre…