Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédenteDernière révisionLes deux révisions suivantes | ||
fr:1eres_etapes_serveur [2016/02/15 16:48] – zatalyz | fr:1eres_etapes_serveur [2021/12/03 19:19] – modification externe 127.0.0.1 | ||
---|---|---|---|
Ligne 16: | Ligne 16: | ||
Si vous êtes à l'aise avec vim, il est installé de base. Sinon, nano est un éditeur de texte un peu plus facile à utiliser pour les néophytes, car les raccourcis sont affichés et son comportement est assez proche des éditeurs de textes plus classiques. | Si vous êtes à l'aise avec vim, il est installé de base. Sinon, nano est un éditeur de texte un peu plus facile à utiliser pour les néophytes, car les raccourcis sont affichés et son comportement est assez proche des éditeurs de textes plus classiques. | ||
- | | + | Et on en profite pour installer tout de suite les quelques logiciels basiques et utiles qui manquent parfois (tout dépend de votre distribution). |
- | apt-get install nano | + | |
+ | | ||
+ | apt install nano bash-completion cron logrotate bsd-mailx | ||
+ | apt upgrade | ||
+ | |||
+ | ==== Quelques logiciels utiles ==== | ||
+ | [[https:// | ||
+ | |||
+ | [[https:// | ||
+ | |||
+ | [[https:// | ||
==== Bashrc ==== | ==== Bashrc ==== | ||
Ligne 30: | Ligne 40: | ||
alias ll='ls $LS_OPTIONS -l' | alias ll='ls $LS_OPTIONS -l' | ||
alias l='ls $LS_OPTIONS -lA'</ | alias l='ls $LS_OPTIONS -lA'</ | ||
- | |||
Il arrive que la complétion automatique coince, entre autre lorsqu' | Il arrive que la complétion automatique coince, entre autre lorsqu' | ||
Ligne 39: | Ligne 48: | ||
Ajoutez ensuite les lignes suivantes dans '' | Ajoutez ensuite les lignes suivantes dans '' | ||
+ | |||
< | < | ||
if [ -f / | if [ -f / | ||
. / | . / | ||
fi</ | fi</ | ||
+ | |||
+ | === Personnaliser le prompt === | ||
+ | |||
+ | Tout d' | ||
+ | <code bash> | ||
+ | # uncomment for a colored prompt, if the terminal has the capability; turned | ||
+ | # off by default to not distract the user: the focus in a terminal window | ||
+ | # should be on the output of commands, not on the prompt | ||
+ | force_color_prompt=yes | ||
+ | </ | ||
+ | |||
+ | VOus pouvez ensuite obtenir le nom du compte@leserveur puis l' | ||
+ | |||
+ | <code bash> | ||
+ | export PS1=' | ||
+ | </ | ||
+ | |||
+ | Alternative (indique le nom d' | ||
+ | <code bash> | ||
+ | export PS1=' | ||
+ | </ | ||
+ | |||
+ | Des explications peuvent être trouvées sur les pages : | ||
+ | * https:// | ||
+ | * https:// | ||
+ | |||
==== Dépôts ==== | ==== Dépôts ==== | ||
Ligne 65: | Ligne 101: | ||
apt-get upgrade | apt-get upgrade | ||
| | ||
- | ==== Quelques logiciels utiles ==== | + | === Paquets de gestion des paquets |
- | apt-get install | + | |
- | [[https:// | + | * apt-listbugs prévient s'il y a des soucis |
+ | * debsums : vérifie l' | ||
+ | * apt-listchanges informe | ||
- | [[https://doc.ubuntu-fr.org/logrotate|Logrotate]] évite que les logs ne saturent la mémoire. Suivre les liens pour leurs configurations. | + | ==== Modifier les locales ==== |
+ | Tapez quelques accents en console. | ||
+ | |||
+ | Si les accents ne passent pas, il faut reconfigurer les locales : | ||
+ | dpkg-reconfigure locales | ||
+ | |||
+ | Une liste de locales apparaît, cochez les FR si ce n'est pas déjà fait puis validez. Ensuite, indiquez que vous préférez utiliser utf-8, comme ça tout sera lisible. Voir aussi [[https://wiki.debian.org/fr/UTF-8|Debian et UTF8]]. | ||
==== Utilisateurs et mot de passe ==== | ==== Utilisateurs et mot de passe ==== | ||
Ligne 94: | Ligne 138: | ||
===== Sécurité de base ===== | ===== Sécurité de base ===== | ||
- | * [[fr:connexion_serveur_admin|Se connecter via une clé ssh]] | + | * [[fr:ssh# |
* Verrouiller qui peut se connecter au serveur, et comment. | * Verrouiller qui peut se connecter au serveur, et comment. | ||
* Installation de quelques logiciels permettant de surveiller les comportements suspects. | * Installation de quelques logiciels permettant de surveiller les comportements suspects. | ||
- | Pour aller à l' | + | Pour aller à l' |
Depuis votre ordinateur personnel : | Depuis votre ordinateur personnel : | ||
Ligne 110: | Ligne 154: | ||
more authorized_keys | more authorized_keys | ||
- | Ensuite passez en root, et désactivez la possibilité de se connecter directement au compte root en ssh. | + | Ensuite passez en root, et désactivez la possibilité de se connecter directement au compte root en ssh, ainsi que les [[fr: |
su | su | ||
nano / | nano / | ||
- | Cherchez et modifiez la ligne suivante : | ||
- | PermitRootLogin no | ||
- | |||
- | Relancer le service SSH après ces modifications : | ||
- | / | ||
- | | ||
- | <WRAP center round important 60%> | ||
- | On peut sécuriser plus finement via le fichier ssh_config ; de mauvais paramètres peuvent aussi vous empêcher de vous connecter. [[http:// | ||
- | </ | ||
==== Fail2ban ==== | ==== Fail2ban ==== | ||
- | [[http:// | + | [[http:// |
- | Fail2ban peut aussi prendre pas mal de mémoire s'il est mal configuré. Surveillez uniquement les services utiles. | + | Voir l'article complet : [[fr: |
- | apt-get install fail2ban | + | ==== Rkhunter ==== |
- | | + | Il peut être utile d' |
- | nano /etc/fail2ban/jail.local | + | |
- | Prenez le temps de lire ce fichier | + | Pour installer |
- | * **ignoreip =** Mettez votre ip personnelle, si vous n' | + | |
- | * **bantime = 86400** Temps de ban en secondes. 86400 secondes correspond à une journée, ce qui est un temps assez long pour embêter les bots, et assez court pour ne pas bloquer un admin amnésique. | + | |
- | * **findtime = 3600** Temps avant de recommencer. Ne pas mettre trop grand pour éviter que fail2ban analyse de longs fichiers de log, mais quand même assez long pour que les attaquants ne recommencent pas trop vite. 3600 correspond à une heure. | + | |
- | * **maxretry = 6** Maximum de tentative autorisée par une adresse IP avant d'être bannie (pour le temps du bantime). 6 me semble un bon nombre : un humain a de quoi se tromper un peu, mais aucun mot de passe sérieux ne peut être craqué en 6 tentatives. | + | |
- | Ensuite, chaque service est configuré dans la section [JAIL]. | ||
- | < | + | ===== Nom de domaine, DNS, SSH ===== |
- | enabled | + | <WRAP center round todo 60%> |
- | port = ssh | + | À compléter |
- | filter | + | |
- | logpath | + | |
- | maxretry = 6 | + | |
- | </ | + | |
- | + | ||
- | Relancez la configuration avec | + | |
- | fail2ban-client reload | + | |
- | Vérifiez l' | + | |
- | fail2ban-client status | + | |
- | Pour la doc, voir | ||
- | * http:// | ||
- | * http:// | ||
- | ==== Rkhunter ==== | + | </ |
- | Il peut être utile d' | + | Pour résumer : |
- | + | * Configurer son DNS afin que le nom de domaine pointe vers notre serveur | |
- | Pour installer et configurer RKhunter, voir [[http:// | + | |
- | + | ||
- | + | ||
- | ===== Nom de domaine, DNS, SSH ===== | + | |
===== Pour le plaisir ===== | ===== Pour le plaisir ===== | ||
* Changer le nom de la machine | * Changer le nom de la machine | ||
- | * Change | + | * Changer |
- | Si vous avez une VPS ou un dédié, vous avez peut-être un début de ligne en console qui ressemble à " | + | Si vous avez un VPS ou un dédié, vous avez peut-être un début de ligne en console qui ressemble à " |
Pour renommer ce qu'il y a derrière @, il faut changer l' | Pour renommer ce qu'il y a derrière @, il faut changer l' | ||
nano / | nano / | ||
- | Mettez le nom que vous voulez. | + | Mettez le nom que vous voulez, pour notre exemple " |
- | Ensuite, | + | Ensuite, |
hostname MonNom.localdomain | hostname MonNom.localdomain | ||
Ligne 191: | Ligne 205: | ||
permitted by applicable law. | permitted by applicable law. | ||
Last login: Mon Dec 28 06:56:13 2015 from 100-200-100-100.dsl.sfr.fr | Last login: Mon Dec 28 06:56:13 2015 from 100-200-100-100.dsl.sfr.fr | ||
- | |||
</ | </ | ||
Ligne 200: | Ligne 213: | ||
| | ||
Mettez ce que vous voulez :-) | Mettez ce que vous voulez :-) | ||
+ | |||
+ | Il existe plein de pistes sur la page : http:// | ||
+ | |||
+ | Et le site http:// | ||
===== Installer un certificat SSL ===== | ===== Installer un certificat SSL ===== | ||
Ligne 211: | Ligne 228: | ||
Ceci est un test, je ne suis pas sûre que ce soit le bon truc mais... je tente et je note. | Ceci est un test, je ne suis pas sûre que ce soit le bon truc mais... je tente et je note. | ||
- | --- //[[wiki:user: | + | --- // |
</ | </ | ||
- | Lorsqu' | + | Lorsqu' |
- | Éditez le fichier ''/ | + | Éditez le fichier ''/ |
< | < | ||
ClientAliveCountMax 0</ | ClientAliveCountMax 0</ | ||
- | * // | + | * // |
- | // | + | // |
Sources : | Sources : | ||
* http:// | * http:// | ||
* http:// | * http:// | ||
- | {{tag> | + | {{tag> |