Logo Khaganat

Wikhan

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
Prochaine révisionLes deux révisions suivantes
fr:1eres_etapes_serveur [2017/10/14 14:33] zatalyzfr:1eres_etapes_serveur [2018/03/22 11:14] – [Rkhunter] /* précisions */ merlin8282
Ligne 18: Ligne 18:
 Et on en profite pour installer tout de suite les quelques logiciels basiques et utiles qui manquent parfois (tout dépend de votre distribution). Et on en profite pour installer tout de suite les quelques logiciels basiques et utiles qui manquent parfois (tout dépend de votre distribution).
  
-  apt-get update +  apt update 
-  apt-get install nano bash-completion cron logrotate bsd-mailx +  apt install nano bash-completion cron logrotate bsd-mailx 
-  apt-get upgrade+  apt upgrade
  
 ==== Quelques logiciels utiles ==== ==== Quelques logiciels utiles ====
Ligne 68: Ligne 68:
 <code bash> <code bash>
 export PS1='\[\033[00;31m\]\u@\h\[\033[00;36m\]:\t\[\033[00;34m\]$(__git_ps1 " (%s)")\n\[\033[00;32m\]\$\[\033[00m\] ' export PS1='\[\033[00;31m\]\u@\h\[\033[00;36m\]:\t\[\033[00;34m\]$(__git_ps1 " (%s)")\n\[\033[00;32m\]\$\[\033[00m\] '
 +</code>
 +
 +Alternative (indique le nom d'utilisateur, le nom du serveur, le chemin du répertoire et la date et m'évite une erreur de "__git_ps1" au dessus) :
 +<code bash>
 +export PS1='\[\033[00;31m\]\u@\h\w\[\033[00;36m\]:\t\[\033[00;34m\]$\n\[\033[00;32m\]\$\[\033[00m\] '
 </code> </code>
  
Ligne 131: Ligne 136:
   * Installation de quelques logiciels permettant de surveiller les comportements suspects.   * Installation de quelques logiciels permettant de surveiller les comportements suspects.
  
-Pour aller à l'essentiel sans tout relire, nous allons commencer par permettre de nous connecter au serveur, via l'utilisateur lambda, grâce à notre clé ssh (que vous avez déjà généré, sinon reportez-vous [[fr:ssh#se_connecter_a_un_serveur_avec_sa_cle|au tutoriel correspondant]]).+Pour aller à l'essentiel sans tout relire, nous allons commencer par permettre de nous connecter au serveur, via l'utilisateur lambda, grâce à notre clé ssh (que vous avez déjà générée, sinon reportez-vous [[fr:ssh#se_connecter_a_un_serveur_avec_sa_cle|au tutoriel correspondant]]).
  
 Depuis votre ordinateur personnel : Depuis votre ordinateur personnel :
Ligne 143: Ligne 148:
   more authorized_keys   more authorized_keys
  
-Ensuite passez en root, et désactivez la possibilité de se connecter directement au compte root en ssh.+Ensuite passez en root, et désactivez la possibilité de se connecter directement au compte root en ssh, ainsi que les [[fr:ssh#configurer_ssh_sur_ses_serveurs|diverses options décrites ici]]
   su   su
   nano /etc/ssh/sshd_config   nano /etc/ssh/sshd_config
  
-Cherchez et modifiez la ligne suivante : 
-  PermitRootLogin no          
- 
-<WRAP center round info 60%> 
-On peut aussi permettre l'option : 
-  PermitRootLogin without-password 
-  StrictModes yes 
- 
-Cela veut dire qu'on peut se connecter directement en tant que root **à condition** d'avoir renseigné sa clé ssh. 
- 
-</WRAP> 
-Ajoutez aussi la ligne suivante, qui permettra uniquement aux utilisateurs listés de tenter de se connecter en ssh : 
-  AllowUsers lambda root 
- 
-Relancer le service SSH après ces modifications : 
-  /etc/init.d/ssh restart 
-   
-<WRAP center round important 60%> 
-On peut sécuriser plus finement via le fichier ssh_config ; de mauvais paramètres peuvent aussi vous empêcher de vous connecter. [[http://www.octetmalin.net/linux/tutoriels/ssh-fichier-etc-ssh_config-configuration-machine-client.php|Plus d'infos ici]]. Ce qui est présenté dans ce tutoriel permet une sécurité basique mais déjà correcte. 
-</WRAP> 
  
 ==== Fail2ban ==== ==== Fail2ban ====
-[[http://www.fail2ban.org/wiki/index.php/Main_Page|Fail2ban]] permet de surveiller les tentatives de connexion ratées. Il est un peu technique à configurer, mais bien documenté. Il permet de bloquer les attaques destinées à craquer un mot de passe en essayant toutes les combinaisons possibles (attaque par //bruteforce//).+[[http://www.fail2ban.org/wiki/index.php/Main_Page|Fail2ban]] permet de surveiller les tentatives de connexion ratées et réagir en conséquence, par exemple en bloquant l'adresse IP source. Il est un peu technique à configurer, mais bien documenté. Il permet de bloquer les attaques destinées à craquer un mot de passe en essayant énormément de combinaisons possibles (attaque par //bruteforce//).
  
 Voir l'article complet : [[fr:securite_sysadmin#fail2ban]] Voir l'article complet : [[fr:securite_sysadmin#fail2ban]]
  
 ==== Rkhunter ==== ==== Rkhunter ====
-Il peut être utile d'installer Rkhunter //après// avoir installé vos logiciels préférés. En effet, Rkhunter va vous signaler les changements sur votre système et tout ce qui lui semble louche, comme l'installation de trucs...+Il peut être utile d'installer Rkhunter //juste après// avoir installé vos logiciels préférés. En effet, Rkhunter va vous signaler les changements sur votre système et tout ce qui lui semble louche, comme l'installation de trucs... //juste// après, idéalement, parce-que si on attend trop longtemps, ça laisse plus de temps à un attaquant pour attaquer.
  
-Pour installer et configurer RKhunter, voir [[http://doc.ubuntu-fr.org/rkhunter|la doc d'Ubunutu,]] très complète. Nous avons aussi une [[fr:securite_sysadmin#rkhunter|documentation complémentaire]] qui résume l'essentiel. +Pour installer et configurer RKhunter, voir [[http://doc.ubuntu-fr.org/rkhunter|la doc d'Ubuntu,]] très complète. Nous avons aussi une [[fr:securite_sysadmin#rkhunter|documentation complémentaire]] qui résume l'essentiel. 
  
  
CC Attribution-Share Alike 4.0 International Driven by DokuWiki
fr/1eres_etapes_serveur.txt · Dernière modification : 2023/06/21 08:57 de zatalyz
Licences Mentions légales Accueil du site Contact