Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédenteProchaine révisionLes deux révisions suivantes | ||
fr:1eres_etapes_serveur [2016/09/14 08:52] – modification externe 127.0.0.1 | fr:1eres_etapes_serveur [2018/03/22 11:42] – [Pour le plaisir] /* ortho */ merlin8282 | ||
---|---|---|---|
Ligne 16: | Ligne 16: | ||
Si vous êtes à l'aise avec vim, il est installé de base. Sinon, nano est un éditeur de texte un peu plus facile à utiliser pour les néophytes, car les raccourcis sont affichés et son comportement est assez proche des éditeurs de textes plus classiques. | Si vous êtes à l'aise avec vim, il est installé de base. Sinon, nano est un éditeur de texte un peu plus facile à utiliser pour les néophytes, car les raccourcis sont affichés et son comportement est assez proche des éditeurs de textes plus classiques. | ||
- | | + | Et on en profite pour installer tout de suite les quelques logiciels basiques et utiles qui manquent parfois (tout dépend de votre distribution). |
- | apt-get install nano | + | |
+ | | ||
+ | apt install nano bash-completion cron logrotate bsd-mailx | ||
+ | apt upgrade | ||
+ | |||
+ | ==== Quelques logiciels utiles ==== | ||
+ | [[https:// | ||
+ | |||
+ | [[https:// | ||
+ | |||
+ | [[https:// | ||
==== Bashrc ==== | ==== Bashrc ==== | ||
Ligne 30: | Ligne 40: | ||
alias ll='ls $LS_OPTIONS -l' | alias ll='ls $LS_OPTIONS -l' | ||
alias l='ls $LS_OPTIONS -lA'</ | alias l='ls $LS_OPTIONS -lA'</ | ||
- | |||
Il arrive que la complétion automatique coince, entre autre lorsqu' | Il arrive que la complétion automatique coince, entre autre lorsqu' | ||
Ligne 39: | Ligne 48: | ||
Ajoutez ensuite les lignes suivantes dans '' | Ajoutez ensuite les lignes suivantes dans '' | ||
+ | |||
< | < | ||
if [ -f / | if [ -f / | ||
. / | . / | ||
fi</ | fi</ | ||
+ | |||
+ | === Personnaliser le prompt === | ||
+ | |||
+ | Tout d' | ||
+ | <code bash> | ||
+ | # uncomment for a colored prompt, if the terminal has the capability; turned | ||
+ | # off by default to not distract the user: the focus in a terminal window | ||
+ | # should be on the output of commands, not on the prompt | ||
+ | force_color_prompt=yes | ||
+ | </ | ||
+ | |||
+ | VOus pouvez ensuite obtenir le nom du compte@leserveur puis l' | ||
+ | |||
+ | <code bash> | ||
+ | export PS1=' | ||
+ | </ | ||
+ | |||
+ | Alternative (indique le nom d' | ||
+ | <code bash> | ||
+ | export PS1=' | ||
+ | </ | ||
+ | |||
+ | Des explications peuvent être trouvées sur les pages : | ||
+ | * https:// | ||
+ | * https:// | ||
+ | |||
==== Dépôts ==== | ==== Dépôts ==== | ||
Ligne 65: | Ligne 101: | ||
apt-get upgrade | apt-get upgrade | ||
| | ||
- | ==== Quelques logiciels utiles ==== | ||
- | apt-get install cron logrotate | ||
- | [[https:// | + | ==== Modifier les locales ==== |
+ | Tapez quelques accents en console. | ||
- | [[https:// | ||
- | |||
- | ==== Modifier les locales ==== | ||
Si les accents ne passent pas, il faut reconfigurer les locales : | Si les accents ne passent pas, il faut reconfigurer les locales : | ||
dpkg-reconfigure locales | dpkg-reconfigure locales | ||
Une liste de locales apparaît, cochez les FR si ce n'est pas déjà fait puis validez. Ensuite, indiquez que vous préférez utiliser utf-8, comme ça tout sera lisible. Voir aussi [[https:// | Une liste de locales apparaît, cochez les FR si ce n'est pas déjà fait puis validez. Ensuite, indiquez que vous préférez utiliser utf-8, comme ça tout sera lisible. Voir aussi [[https:// | ||
+ | |||
==== Utilisateurs et mot de passe ==== | ==== Utilisateurs et mot de passe ==== | ||
Si vous avez une VPS ou un serveur dédié, le mot de passe de root vous a été fourni en clair dans un mail. Donc, c'est pas sécu. | Si vous avez une VPS ou un serveur dédié, le mot de passe de root vous a été fourni en clair dans un mail. Donc, c'est pas sécu. | ||
Ligne 99: | Ligne 132: | ||
===== Sécurité de base ===== | ===== Sécurité de base ===== | ||
- | * [[fr:connexion_serveur_admin|Se connecter via une clé ssh]] | + | * [[fr:ssh# |
* Verrouiller qui peut se connecter au serveur, et comment. | * Verrouiller qui peut se connecter au serveur, et comment. | ||
* Installation de quelques logiciels permettant de surveiller les comportements suspects. | * Installation de quelques logiciels permettant de surveiller les comportements suspects. | ||
- | Pour aller à l' | + | Pour aller à l' |
Depuis votre ordinateur personnel : | Depuis votre ordinateur personnel : | ||
Ligne 115: | Ligne 148: | ||
more authorized_keys | more authorized_keys | ||
- | Ensuite passez en root, et désactivez la possibilité de se connecter directement au compte root en ssh. | + | Ensuite passez en root, et désactivez la possibilité de se connecter directement au compte root en ssh, ainsi que les [[fr: |
su | su | ||
nano / | nano / | ||
- | Cherchez et modifiez la ligne suivante : | ||
- | PermitRootLogin no | ||
- | |||
- | <WRAP center round info 60%> | ||
- | On peut aussi permettre l' | ||
- | PermitRootLogin without-password | ||
- | StrictModes yes | ||
- | |||
- | Cela veut dire qu'on peut se connecter directement en tant que root **à condition** d' | ||
- | |||
- | </ | ||
- | Ajoutez aussi la ligne suivante, qui permettra uniquement aux utilisateurs listés de tenter de se connecter en ssh : | ||
- | AllowUsers lambda root | ||
- | |||
- | Relancer le service SSH après ces modifications : | ||
- | / | ||
- | | ||
- | <WRAP center round important 60%> | ||
- | On peut sécuriser plus finement via le fichier ssh_config ; de mauvais paramètres peuvent aussi vous empêcher de vous connecter. [[http:// | ||
- | </ | ||
==== Fail2ban ==== | ==== Fail2ban ==== | ||
- | [[http:// | + | [[http:// |
- | Fail2ban peut aussi prendre pas mal de mémoire s'il est mal configuré. Surveillez uniquement les services utiles. | + | Voir l'article complet : [[fr: |
- | apt-get install fail2ban | + | ==== Rkhunter ==== |
- | | + | Il peut être utile d' |
- | nano /etc/fail2ban/jail.local | + | |
- | Prenez le temps de lire ce fichier | + | Pour installer |
- | * **ignoreip =** Mettez votre ip personnelle, si vous n' | + | |
- | * **bantime = 86400** Temps de ban en secondes. 86400 secondes correspond à une journée, ce qui est un temps assez long pour embêter les bots, et assez court pour ne pas bloquer un admin amnésique. | + | |
- | * **findtime = 3600** Temps avant de recommencer. Ne pas mettre trop grand pour éviter que fail2ban analyse de longs fichiers de log, mais quand même assez long pour que les attaquants ne recommencent pas trop vite. 3600 correspond à une heure. | + | |
- | * **maxretry = 6** Maximum de tentative autorisée par une adresse IP avant d'être bannie (pour le temps du bantime). 6 me semble un bon nombre : un humain a de quoi se tromper un peu, mais aucun mot de passe sérieux ne peut être craqué en 6 tentatives. | + | |
- | Ensuite, chaque service est configuré dans la section [JAIL]. | ||
- | < | + | ===== Nom de domaine, DNS, SSH ===== |
- | enabled | + | <WRAP center round todo 60%> |
- | port = ssh | + | À compléter |
- | filter | + | |
- | logpath | + | |
- | maxretry = 6 | + | |
- | </ | + | |
- | Relancez la configuration avec | ||
- | fail2ban-client reload | ||
- | Vérifiez l' | ||
- | fail2ban-client status | ||
- | Pour la doc, voir | + | </ |
- | * http:// | + | Pour résumer : |
- | * http:// | + | * Configurer son DNS afin que le nom de domaine pointe vers notre serveur |
- | + | * [[fr:ssh|Configurer SSH]] | |
- | ==== Rkhunter ==== | + | |
- | Il peut être utile d' | + | |
- | + | ||
- | Pour installer et configurer RKhunter, voir [[http:// | + | |
- | + | ||
- | + | ||
- | ===== Nom de domaine, DNS, SSH ===== | + | |
===== Pour le plaisir ===== | ===== Pour le plaisir ===== | ||
* Changer le nom de la machine | * Changer le nom de la machine | ||
- | * Change | + | * Changer |
- | Si vous avez une VPS ou un dédié, vous avez peut-être un début de ligne en console qui ressemble à " | + | Si vous avez un VPS ou un dédié, vous avez peut-être un début de ligne en console qui ressemble à " |
Pour renommer ce qu'il y a derrière @, il faut changer l' | Pour renommer ce qu'il y a derrière @, il faut changer l' | ||
nano / | nano / | ||
- | Mettez le nom que vous voulez. | + | Mettez le nom que vous voulez, pour notre exemple " |
- | Ensuite, | + | Ensuite, |
hostname MonNom.localdomain | hostname MonNom.localdomain | ||
Ligne 207: | Ligne 199: | ||
permitted by applicable law. | permitted by applicable law. | ||
Last login: Mon Dec 28 06:56:13 2015 from 100-200-100-100.dsl.sfr.fr | Last login: Mon Dec 28 06:56:13 2015 from 100-200-100-100.dsl.sfr.fr | ||
- | |||
</ | </ | ||
Ligne 216: | Ligne 207: | ||
| | ||
Mettez ce que vous voulez :-) | Mettez ce que vous voulez :-) | ||
+ | |||
+ | Il existe plein de pistes sur la page : http:// | ||
+ | |||
+ | Et le site http:// | ||
===== Installer un certificat SSL ===== | ===== Installer un certificat SSL ===== |