Sécuriser un VPS

griggione · 05-03-2021 19:00:55

RE

tux12 a écrit :

À tout moment en console, tu fermes le shell courant avec Ctrl+D.

Ctrl+D je connais, là ça va.

tux12 a écrit :

On modifie un fichier en CLI avec un éditeur de texte en CLI

Tu veux dire qu'il éditer ce sshd_config ?
Ou installer un éditeur de texte, dans ce cas, ce sera plus tard.

Bien, je suis passé par sftp.

Je ne peux plus me connecter en root par ssh.
Je confirme aussi que cela bloque l'accés via sftp.
Pour les deux, je passe bien en user.

Déjà pour cette avancée.
Demain, je me colle à une identification par clef ssh
https://cbiot.fr/dokuwiki/ssh-fail2ban# … t_de_passe

C'est pas gagné

cyrille · 05-03-2021 19:12:05

nano /etc/ssh/sshd_config

Tu navigues dans le fichier
fais les modif

puis ctrl + o puis entrée (sauvegarder)
puis ctrl + x (quitter)

une doc : https://cbiot.fr/dokuwiki/php-bash:nano

(sinon il y aussi le programme micro, mais pas sur qu'il soit dans la debian stable... ; micro supporte les raccourics habituels, ctrl c , ctrl v, ctrl s, ctrl w....)

Dernière modification par cyrille (05-03-2021 19:13:29)

griggione · 06-03-2021 09:45:23

Bonjour tous,

cyrille a écrit :

nano /etc/ssh/sshd_config

Ce que j'ai fait.

root@45:~# nano /etc/ssh/sshd_config

-bash: nano : commande introuvable

EDIT :
https://cbiot.fr/dokuwiki/ssh-fail2ban#
Du coup, pour changer le port, je suis obligé de passer par SFTP ?
.

Dernière modification par griggione (06-03-2021 09:54:10)

cyrille · 06-03-2021 09:54:54

tu es passé en root comment ?

su -

nano <MA COMMANDE>

Si tu passes que par su - sans le - - alors le path se sera pas correct, les environnements seront différents

Dernière modification par cyrille (06-03-2021 09:55:32)

griggione · 06-03-2021 10:12:27

RE

J'avais bien fait attention, su -, tu en avais parlé plus haut.
Bien sur, je viens de refaire la manip : toujours commande introuvable.

cyrille · 06-03-2021 10:22:21

TU peux donner les retours

su -

echo $PATH

whereis nano

Dernière modification par cyrille (06-03-2021 10:23:09)

vv222 · 06-03-2021 11:17:33

Je ne crois pas que nano soit forcément installé sur un serveur Debian.
En tous cas il n'a pas la priorité required qui est caractéristique des paquets essentiels.

griggione · 06-03-2021 13:14:25

RE

cyrille a écrit :

su -
echo $PATH

root@45:~# echo $PATH

/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

cyrille a écrit :

whereis nano

root@45:~# whereis nano

nano:

SuShY · 06-03-2021 13:15:21

apt install nano

cyrille · 06-03-2021 13:34:48

SI tu as micro dans tes dépôts, il est nettement plus convivial
apt install micro

Sinon il se "compile" très bien depuis le git : https://github.com/zyedidia/micro

griggione · 06-03-2021 13:34:55

RE

SuShY a écrit :

apt install nano

Bien joué ... ça confirme que nano n'est pas de base dans Debian.

Par contre, comme montré dans la saisie, je ne peux intervenir pour modifier le port ou l'accés en ssh en root.

griggione · 06-03-2021 13:36:27

RE

cyrille a écrit :

SI tu as micro dans tes dépôts, ...

C'est quoi micro ?

cyrille · 06-03-2021 13:41:23

micro c'est nano en un peu plus grand
editeur de fichier en CLI qui supporte les raccourcis clavier habituel

QU'entends tu par impossible de modifier ?

Tu le lances bien depuis le compte root ?

SI oui, tu modifies
et ctrl + O puis entrée pour sauvegarder
et ctrl + x pour quitter

cyrille · 06-03-2021 13:43:06

Et sinon avant de le lancer que te donne

whoami

il doit te retourner root

Dernière modification par cyrille (06-03-2021 13:43:18)

griggione · 06-03-2021 13:52:27

RE

cyrille a écrit :

Et sinon avant de le lancer que te donne
whoami

il doit te retourner root

root@45:~# whoami

root

root@45:~#

cyrille a écrit :

Tu le lances bien depuis le compte root ?

Oui oui, j'ai bien compris et je fais attention a bien être en root.

cyrille a écrit :

QU'entends tu par impossible de modifier ?

Comme montre la sasisie, je ne peux pas intervenir sur cette fenetre.

cyrille · 06-03-2021 14:06:03

Comme montre la sasisie, je ne peux pas intervenir sur cette fenetre.

je ne vois rien sur la photo qui montre cela,
tu te déplaces bien avec les fleches du clavier ?

griggione · 06-03-2021 14:21:59

RE

les fleches

OK, j'ai bien changé le port.
j'ai relancé : systemctl restart ssh

Je suis repassé par putty mais en mettant le nouveau port, la connexion est refusée.
A moins qu'il faille attendre ?

cyrille · 06-03-2021 14:31:36

ssh login@IP -p <1234>

remplacer <1234> par 2345, enfin ton num de port

cyrille · 06-03-2021 14:35:53

tu as bien eleve le diese devant le port ? Sinon c'est toujours le 22, par défaut

Une fois redemarrré (le démon), les changements sont de suite

griggione · 06-03-2021 14:45:40

RE

C'est là que je comprend pas, si je regarde ton tuto :

Dès lors pour se connecter , on précisera le numéro du port
serveurProliant@serveur# ssh login@serveur.ext -p 6789

Mais à partir d'ou ?

griggione · 06-03-2021 15:18:41

RE

cyrille a écrit :

tu as bien eleve le diese devant le port ? Sinon c'est toujours le 22, par défaut

Exact, c'est là qu'on voit les débutants.

Je suis allé enlever le # puis
ctrl + o puis entrée (sauvegarder)
ctrl + x (quitter)

Et j'ai ça :

[ Erreur lors de l'écriture de /etc/ssh/sshd_config : Permission non accordée ]

EDIT :
Cette fois c'est bon, j'ai du aller un peu trop vite (ça la fout mal pour un Corse )

Bon, je me lance dans : 5. Installer et configurer fail2ban

Dernière modification par griggione (06-03-2021 15:35:26)

SuShY · 06-03-2021 16:00:43

griggione a écrit :

Bon, je me lance dans : 5. Installer et configurer fail2ban

Bonne continuation

griggione · 06-03-2021 16:10:28

RE

Merci SuShY !

https://cbiot.fr/dokuwiki/ssh-fail2ban#

5. Installer et configurer fail2ban

Programme qui va analyser les logs (ssh, apache, nginx, ftp…) et rechercher les tentatives de connexions infructueuses afin de les bloquer/bannir (en ajoutant des règles au firewall). iptables). Il met donc “en prison” les services et va gérer leur connexion (les laisse passer ou les bannit)

Si je suis ce tuto, il vaudrait mieux que j'installe d'abord iptables ?

EDIT :
J'ai pas trouver dans le lien de Cyrille un tuto sur iptables.

RE-EDIT :
iptables ou fail2ban peuvent s'installer sous user ou root uniquement ?
.

Dernière modification par griggione (06-03-2021 16:25:36)

cyrille · 06-03-2021 16:32:04

iptables et fail2ban en root
Tu peux utiliser fail2ban sans forcement utiliser iptables (ou tout du moins sans le configurer de façon spécifique)

Je n'ai pas de lien depuis mon tuto vers iptables. Trop complexe pour moi, d'où l'intérêt de yunohost quand je veux de la sécurité (serveurs de mail perso par exemple). Sinon, je ne mets que fail2ban....

Sinon si tu veux vraiment te tirer les cheveux : https://wiki.visionduweb.fr/index.php/C … u_Iptables
(entre autres)

Dernière modification par cyrille (06-03-2021 16:37:04)

griggione · 06-03-2021 16:50:00

RE

cyrille a écrit :

iptables et fail2ban en root

J'ai bien fait demander.

cyrille a écrit :

Je n'ai pas de lien depuis mon tuto vers iptables. Trop complexe pour moi, ....

Ha bon, donc ça promet

cyrille a écrit :

Sinon si tu veux vraiment te tirer les cheveux : https://wiki.visionduweb.fr/index.php/C … u_Iptables

Ha oui , pour de bon !

Bien, je m'équipe d'abord, et ensuite j'essaie de comprendre :

cyrille a écrit :

Tu peux utiliser fail2ban sans forcement utiliser iptables (ou tout du moins sans le configurer de façon spécifique)

Heureusement

Debian-facile

#101 05-03-2021 19:00:55

Re : Sécuriser un VPS

#102 05-03-2021 19:12:05

Re : Sécuriser un VPS

#103 06-03-2021 09:45:23

Re : Sécuriser un VPS

#104 06-03-2021 09:54:54

Re : Sécuriser un VPS

#105 06-03-2021 10:12:27

Re : Sécuriser un VPS

#106 06-03-2021 10:22:21

Re : Sécuriser un VPS

#107 06-03-2021 11:17:33

Re : Sécuriser un VPS

#108 06-03-2021 13:14:25

Re : Sécuriser un VPS

#109 06-03-2021 13:15:21

Re : Sécuriser un VPS

#110 06-03-2021 13:34:48

Re : Sécuriser un VPS

#111 06-03-2021 13:34:55

Re : Sécuriser un VPS

#112 06-03-2021 13:36:27

Re : Sécuriser un VPS

#113 06-03-2021 13:41:23

Re : Sécuriser un VPS

#114 06-03-2021 13:43:06

Re : Sécuriser un VPS

#115 06-03-2021 13:52:27

Re : Sécuriser un VPS

#116 06-03-2021 14:06:03

Re : Sécuriser un VPS

#117 06-03-2021 14:21:59

Re : Sécuriser un VPS

#118 06-03-2021 14:31:36

Re : Sécuriser un VPS

#119 06-03-2021 14:35:53

Re : Sécuriser un VPS

#120 06-03-2021 14:45:40

Re : Sécuriser un VPS

#121 06-03-2021 15:18:41

Re : Sécuriser un VPS

#122 06-03-2021 16:00:43

Re : Sécuriser un VPS

#123 06-03-2021 16:10:28

Re : Sécuriser un VPS

#124 06-03-2021 16:32:04

Re : Sécuriser un VPS

#125 06-03-2021 16:50:00

Re : Sécuriser un VPS

Pied de page des forums