logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 26-02-2021 07:39:10

griggione
Membre
Inscription : 25-02-2021

Sécuriser un VPS

Bonjour tous,

Ce qui m'interesse, c'est de sécuriser correctement mais comment ???

Je débarque parce que mes VPS sont sous CentOS 8 (et qu'il n'est plus libre fin 21) avec Owncloud ou Nextcloud d'installer.
J'ai décidé de remplacer par Debian (j'espère avoir pris la bonne décision roll)

Normalement, je passe par SSH mais des fois, je passe par Filezilla en SFTP.

Déjà, grosse interrogation, ou s'installe ces apllis ? Dans CentOS var\www\html.

Hors ligne

#2 26-02-2021 13:33:15

cyrille
CA Debian-Facile
Lieu : Nowhere
Distrib. : SID + FreeBSD. Stable sur serveurs.
(G)UI : Xfce/Openbox
Inscription : 21-06-2020
Site Web

Re : Sécuriser un VPS

Bonjour
Je te conseille d'utiliser yunohost https://yunohost.org/#/ , très simple d'installation
Il gérera entre autre autres la sécurité mais aussi les comptes utilisateurs, serveurs mail, certification Let's encrypt,...
Tu installes ensuite les "briques" que tu souhaites (owncloud et nextclour sont des briques disponibles de yunohost). Yunohost dispo d'un annuaire ldap et de swwoat
Niveau sécurité iptables et fail2ban sont configurés

Yunohost s'installe sur une debian stable et tourne nickel.
tu peux jeter un oeil : https://debian-facile.org/atelier:chant … e-yunohost

Leur doc sur leur site est aussi très complète et en français
voici le catalogue d'applications proposées en tant que briques yunohost : https://yunohost.org/fr/apps?q=%2Fapps
ensuite rien ne t'empêche d'en installer d'autres par toi même

SI tu n'en veux pas alors tu devras configurer iptables pour un minimum de sécurité et surtout fail2ban pour au moins sécuriser l'accès ssh (https://cbiot.fr/dokuwiki/ssh-fail2ban)

++C

Dernière modification par cyrille (26-02-2021 13:34:48)


"Ils ne me comprennent point, je ne suis pas la bouche qu’il faut à ces oreilles."

Association Debian-Facile | Les cahiers du débutant | ISO Debian-FacilePage perso. sur #df

Hors ligne

#3 26-02-2021 14:10:33

griggione
Membre
Inscription : 25-02-2021

Re : Sécuriser un VPS

Bonjour cyrille,

cyrille a écrit :


Je te conseille d'utiliser yunohost https://yunohost.org/#/ , très simple d'installation


Depuis que je navigue sur DF (et même en général) j'entend parler de yunohost.

cyrille a écrit :


Tu installes ensuite les "briques" que tu souhaites (owncloud et nextclour sont des briques disponibles de yunohost).


J'avais un peu survolé parce que justement, toutes ces briques me genais.
Mais puisque on peut les sélectionner, l'affaire n'est plus la même, je vais approfondir. smile

cyrille a écrit :


Yunohost s'installe sur une debian stable et tourne nickel.
tu peux jeter un oeil : https://debian-facile.org/atelier:chant … e-yunohost


Donc mon choix de Debian se concretise, je vais suivre le lien.

cyrille a écrit :


SI tu n'en veux pas alors tu devras configurer iptables pour un minimum de sécurité et surtout fail2ban pour au moins sécuriser l'accès ssh (https://cbiot.fr/dokuwiki/ssh-fail2ban)


failban, je connais, j'utilise déjà sur CentOS, me reste à découvrir iptables.

Merci.

Hors ligne

#4 26-02-2021 14:23:38

cyrille
CA Debian-Facile
Lieu : Nowhere
Distrib. : SID + FreeBSD. Stable sur serveurs.
(G)UI : Xfce/Openbox
Inscription : 21-06-2020
Site Web

Re : Sécuriser un VPS

si tu utilises yunohost, iptables sera configuré par défaut, tu n'auras pas à t'en soucier wink
Juste paramétrer fail2ban pour avoir un rapport journalier (pas obligatoire du tout mais rassurant)

"Ils ne me comprennent point, je ne suis pas la bouche qu’il faut à ces oreilles."

Association Debian-Facile | Les cahiers du débutant | ISO Debian-FacilePage perso. sur #df

Hors ligne

#5 26-02-2021 17:10:23

griggione
Membre
Inscription : 25-02-2021

Re : Sécuriser un VPS

RE

Avant toutes choses, faut-il ou pas utiliser la commande sudo et/ou la création d’un nouvel utilisateur est suffisant.

Si je crée un utilisateur, comment désactiver/activer l'accès root sur Debian ?

Hors ligne

#6 26-02-2021 17:45:04

cyrille
CA Debian-Facile
Lieu : Nowhere
Distrib. : SID + FreeBSD. Stable sur serveurs.
(G)UI : Xfce/Openbox
Inscription : 21-06-2020
Site Web

Re : Sécuriser un VPS

Si tu parles de yunohost, lors de la post installation l'utilisateur admin  est crée, seul lui peut se connecter via ssh
Ensuite, entre root et sudo, à toi de choisir wink
https://yunohost.org/fr/ssh?q=%2Fssh

Dernière modification par cyrille (26-02-2021 17:45:35)


"Ils ne me comprennent point, je ne suis pas la bouche qu’il faut à ces oreilles."

Association Debian-Facile | Les cahiers du débutant | ISO Debian-FacilePage perso. sur #df

Hors ligne

#7 26-02-2021 17:55:22

griggione
Membre
Inscription : 25-02-2021

Re : Sécuriser un VPS

RE

Hola, je viens de suivre le lien ...... bon, je déguste tout ça et je reviens demain avec mes questions wink

Bonsoir.

Hors ligne

#8 26-02-2021 17:56:18

cyrille
CA Debian-Facile
Lieu : Nowhere
Distrib. : SID + FreeBSD. Stable sur serveurs.
(G)UI : Xfce/Openbox
Inscription : 21-06-2020
Site Web

Re : Sécuriser un VPS

Tu peux déjà tester dans une virtual box wink
yunohost te fournira un sous domaine

Dernière modification par cyrille (26-02-2021 17:56:38)


"Ils ne me comprennent point, je ne suis pas la bouche qu’il faut à ces oreilles."

Association Debian-Facile | Les cahiers du débutant | ISO Debian-FacilePage perso. sur #df

Hors ligne

#9 26-02-2021 17:57:34

griggione
Membre
Inscription : 25-02-2021

Re : Sécuriser un VPS

RE

cyrille a écrit :


Ensuite, entre root et sudo, à toi de choisir wink


Ton conseil ?

Hors ligne

#10 26-02-2021 18:15:35

cyrille
CA Debian-Facile
Lieu : Nowhere
Distrib. : SID + FreeBSD. Stable sur serveurs.
(G)UI : Xfce/Openbox
Inscription : 21-06-2020
Site Web

Re : Sécuriser un VPS

sudo pas mal si plusieurs admin (ça laisse des traces de qui à fait quoi)
si un seul admin -> root

aussi bien les 2 sont dispos sur yunohost

"Ils ne me comprennent point, je ne suis pas la bouche qu’il faut à ces oreilles."

Association Debian-Facile | Les cahiers du débutant | ISO Debian-FacilePage perso. sur #df

Hors ligne

#11 27-02-2021 09:33:39

griggione
Membre
Inscription : 25-02-2021

Re : Sécuriser un VPS

Bonjour cyrille,

cyrille a écrit :

sudo pas mal si plusieurs admin (ça laisse des traces de qui à fait quoi)


C'est bon à savoir, comme quoi .... mais je suis seul.

cyrille a écrit :


si un seul admin -> root


Mais il est plus sage de créer un utilisateur, dans le cas ou je n'installe pas yunohost, non ?
Et dans ce cas, comment désactiver/activer l'accès root sur Debian.

L'installation de yunohost comporte apache2 ou pas ?
Sinon, peut-on l'installer à part ?

En suivant https://yunohost.org/fr/ssh?q=%2Fssh, il est dit :

Durant la postinstallation, vous avez défini un mot de passe d'administration. C'est ce mot de passe qui devient le nouveau mot de passe pour les utilisateurs root et admin.


Mais est-ce que ça me change le MdP root de mon VPS ? dans le cas ou je veux me mettre un petit site via apache2.

De plus, la connexion en SSH avec l'utilisateur root est désactivée et il vous faut utiliser l'utilisateur admin !.


OK mais cet admin n'est que celui de yunohost ou du VPS complet ?

Hors ligne

#12 27-02-2021 10:05:47

cyrille
CA Debian-Facile
Lieu : Nowhere
Distrib. : SID + FreeBSD. Stable sur serveurs.
(G)UI : Xfce/Openbox
Inscription : 21-06-2020
Site Web

Re : Sécuriser un VPS

Mais il est plus sage de créer un utilisateur,


oui bien sûr ce serait insensé d'avoir une machine qu'avec un compte root

Et dans ce cas, comment désactiver/activer l'accès root sur Debian.


Je ne pense pas qu'il faille choisir cette voix. Enfin c'est possible mais en général, on paramètre simplement ssh pour interdire les  connexion root

L'installation de yunohost comporte apache2 ou pas ?


Non c'est nginx comme serveur http/https

Sinon, peut-on l'installer à part ?


ça m'a l'air compromis .... pourquoi absolument apache, nginx ne te convient il pas ? Il fait quasiment la même chose

Mais est-ce que ça me change le MdP root de mon VPS ? dans le cas ou je veux me mettre un petit site via apache2.



Si tu veux un site style classique avec par exemple php, une bdd et un accès sftp, utilise la brique webapp c'est fait pour cela

OK mais cet admin n'est que celui de yunohost ou du VPS complet ?


je ne comprends pas trop
yunohost sera une surcouche à ta debian. Les modifications toucheront tout le système. TU l'administreras via des outils spécifiques à yunohost (style yunohost tools) ou via un panel web (au choix)
Les outils debian seront toujours dispo mais il faut voir yunohost comme le nouveau gestionnaire de ton serveur.

Le simple simple serait d'essayer dans une virtual box, sur ton PC, avec un nom de domaine fictif que yunohost te fournira


"Ils ne me comprennent point, je ne suis pas la bouche qu’il faut à ces oreilles."

Association Debian-Facile | Les cahiers du débutant | ISO Debian-FacilePage perso. sur #df

Hors ligne

#13 27-02-2021 10:46:07

SuShY
CA Debian-Facile
Lieu : Chartres
Distrib. : Debian Sid x86_64
Noyau : Linux > 6.0.0-2-amd64
(G)UI : i3WM - 4.21-1
Inscription : 06-01-2018
Site Web

Re : Sécuriser un VPS

Hello,
+1 pour Yunohost, je l'utilise sur mon VPS depuis 11/2020, j'ai d’ailleurs commencer à rédiger ici un wiki à ce sujet qui se trouve là pour le moment : https://debian-facile.org/utilisateurs: … sur-un-vps

Pour la partie sécurité, j'ai modifier le port de connexion en SSH et désactiver l'utilisateur ROOT en SSH également.

Après comme dis plus haut, Yunohost possède déjà une bonne couche de sécurité intégrée et très bien gérée.

A++

Hors ligne

#14 27-02-2021 10:51:29

griggione
Membre
Inscription : 25-02-2021

Re : Sécuriser un VPS

RE

cyrille a écrit :

oui bien sûr ce serait insensé d'avoir une machine qu'avec un compte root


Nous sommes d'accord.

cyrille a écrit :

Enfin c'est possible mais en général, on paramètre simplement ssh pour interdire les  connexion root


Restons simple.

cyrille a écrit :

pourquoi absolument apache, nginx ne te convient il pas ? Il fait quasiment la même chose


Par habitude mais nginx va surement me convenir.

cyrille a écrit :

Si tu veux un site style classique avec par exemple php, une bdd et un accès sftp, utilise la brique webapp c'est fait pour cela


C'est noté.

cyrille a écrit :

TU l'administreras via des outils spécifiques à yunohost (style yunohost tools) ou via un panel web (au choix)
Les outils debian seront toujours dispo mais il faut voir yunohost comme le nouveau gestionnaire de ton serveur.


En fait, c'est ça, essayer yunohost, ça m'évitera de me poser et te poser des questions inutilement, voir ce qu'il fait exactement.

cyrille a écrit :

Le simple simple serait d'essayer dans une virtual box, sur ton PC, avec un nom de domaine fictif que yunohost te fournira


Je crée toujours un serveur spécialement pour faire les tests en conditions réelles.

Merci pour les réponses.

Dernière modification par griggione (27-02-2021 11:01:34)

Hors ligne

#15 27-02-2021 10:59:10

griggione
Membre
Inscription : 25-02-2021

Re : Sécuriser un VPS

Bonjour SuShY,

SuShY a écrit :

Hello,
+1 pour Yunohost, je l'utilise sur mon VPS depuis 11/2020, j'ai d’ailleurs commencer à rédiger ici un wiki à ce sujet qui se trouve là pour le moment : https://debian-facile.org/utilisateurs: … sur-un-vps


Merci pour le lien, mis dans la besace avec ceux de cyrille, je vais avoir un week-end studieux smile

SuShY a écrit :

Pour la partie sécurité, j'ai modifier le port de connexion en SSH et désactiver l'utilisateur ROOT en SSH également.


Sécurité classique mais efficace, je suis d'accord avec toi.

SuShY a écrit :

Après comme dis plus haut, Yunohost possède déjà une bonne couche de sécurité intégrée et très bien gérée.


J'espère que c'est suffisant pour me faire mon cloud perso.

Hors ligne

#16 27-02-2021 11:00:24

SuShY
CA Debian-Facile
Lieu : Chartres
Distrib. : Debian Sid x86_64
Noyau : Linux > 6.0.0-2-amd64
(G)UI : i3WM - 4.21-1
Inscription : 06-01-2018
Site Web

Re : Sécuriser un VPS

griggione a écrit :


SuShY a écrit :

Après comme dis plus haut, Yunohost possède déjà une bonne couche de sécurité intégrée et très bien gérée.


J'espère que c'est suffisant pour me faire mon cloud perso.


Oui avec Nextcloud tu as largement de quoi faire wink

Hors ligne

#17 27-02-2021 11:00:41

cyrille
CA Debian-Facile
Lieu : Nowhere
Distrib. : SID + FreeBSD. Stable sur serveurs.
(G)UI : Xfce/Openbox
Inscription : 21-06-2020
Site Web

Re : Sécuriser un VPS

J'espère que c'est suffisant pour me faire mon cloud perso.


Oui tout à fait

En fait, c'est ça, essayer yunohost, ça m'évitera de me poser et te poser des questions inutilement, voir ce qu'il fait exactement.


Il vaut mieux bien se renseigner avant wink
Pas de ce soucis un forum est fait pour cela


"Ils ne me comprennent point, je ne suis pas la bouche qu’il faut à ces oreilles."

Association Debian-Facile | Les cahiers du débutant | ISO Debian-FacilePage perso. sur #df

Hors ligne

#18 27-02-2021 11:01:05

SuShY
CA Debian-Facile
Lieu : Chartres
Distrib. : Debian Sid x86_64
Noyau : Linux > 6.0.0-2-amd64
(G)UI : i3WM - 4.21-1
Inscription : 06-01-2018
Site Web

Re : Sécuriser un VPS

cyrille a écrit :

Pas de ce soucis un forum est fait pour cela

+1

Hors ligne

#19 27-02-2021 11:04:51

cyrille
CA Debian-Facile
Lieu : Nowhere
Distrib. : SID + FreeBSD. Stable sur serveurs.
(G)UI : Xfce/Openbox
Inscription : 21-06-2020
Site Web

Re : Sécuriser un VPS

modifier le port ssh


j'ai un VPS sur lequel je l'ai modifié
Sur mon autohébergement à la maison je ne l'ai pas fait

Le soucis en le modifiant c'est que le diagnostic de yunohost signale une modification du fichier non conforme au fichier attendu de yunohost et donc ne le met pas à jour automatiquement. Mais bon pas un réel problème.

Ensuite le mieux est également de s’identifier par clef ssh et non par mot de passe

Mais tu verras ces procédures au fur et à mesure, de basen yunohost "out of the box" est déjà hyper sécurisé wink

La plus grande crainte est de franchir le pas ensuite ça roule hyper bien wink


"Ils ne me comprennent point, je ne suis pas la bouche qu’il faut à ces oreilles."

Association Debian-Facile | Les cahiers du débutant | ISO Debian-FacilePage perso. sur #df

Hors ligne

#20 27-02-2021 11:09:40

griggione
Membre
Inscription : 25-02-2021

Re : Sécuriser un VPS

RE

Vu ce qui m'attend pour le suite, je vais finir la matinée tranquille.
En attendant, c'est la mienne ...

casanis2.JPG

Hors ligne

#21 27-02-2021 11:15:21

griggione
Membre
Inscription : 25-02-2021

Re : Sécuriser un VPS

RE

cyrille a écrit :

Ensuite le mieux est également de s’identifier par clef ssh et non par mot de passe


Je n'ai pas fait encore et faudrait bien que je m'y essaye mais d'abord la "pillulle" yunohost.

cyrille a écrit :

La plus grande crainte est de franchir le pas ensuite ça roule hyper bien wink


C'est pourquoi, au vu de mon post d'avant, je me prépare smile

Hors ligne

#22 27-02-2021 11:26:31

griggione
Membre
Inscription : 25-02-2021

Re : Sécuriser un VPS

RE

Juste pour savoir, yunohost s'installe mais se désinstalle aussi facilement ?

Pour ceux qui utilisent nextcloud via yunohost :
1) quel est le lien dans ce cas : https://domain.tld/nextcloud ?
2) quand on active nextcloud via le lien, il est bien demandé la création de l'admin+pass ?

Hors ligne

#23 27-02-2021 11:45:27

cyrille
CA Debian-Facile
Lieu : Nowhere
Distrib. : SID + FreeBSD. Stable sur serveurs.
(G)UI : Xfce/Openbox
Inscription : 21-06-2020
Site Web

Re : Sécuriser un VPS

Juste pour savoir, yunohost s'installe mais se désinstalle aussi facilement ?


jamais desinstallé. Je pense que dans ce cas, c'est aussi vite fait de repartir sur une installation propre d'un VPS à partir d'une image fournit par celui qui héberge
Il est chez qui ce VPS ?


https://yunohost.org/en/app_nextcloud
Accès en sous domaine ou en URL

https://nextcloud.domain.tld/** if you use a subdomain
    https://domain.tld/nextcloud/* if you have deployed Nextcloud in a directory



Configurer les sous domaines depuis ton registar au préalable

Dernière modification par cyrille (27-02-2021 11:48:52)


"Ils ne me comprennent point, je ne suis pas la bouche qu’il faut à ces oreilles."

Association Debian-Facile | Les cahiers du débutant | ISO Debian-FacilePage perso. sur #df

Hors ligne

#24 27-02-2021 11:47:59

cyrille
CA Debian-Facile
Lieu : Nowhere
Distrib. : SID + FreeBSD. Stable sur serveurs.
(G)UI : Xfce/Openbox
Inscription : 21-06-2020
Site Web

Re : Sécuriser un VPS

Pour installer nextclound, depuis le panel d'admin de yunohost --> ajouter une application > choisir nextclound et il y aura un assistant qui te fournira toutes les informations nécessaires.
Désolé, je n'utilise pas nextclound (trop grosse usine à gaz pour moi wink

https://github.com/YunoHost-Apps/nextcloud_ynh

"Ils ne me comprennent point, je ne suis pas la bouche qu’il faut à ces oreilles."

Association Debian-Facile | Les cahiers du débutant | ISO Debian-FacilePage perso. sur #df

Hors ligne

#25 27-02-2021 12:14:36

griggione
Membre
Inscription : 25-02-2021

Re : Sécuriser un VPS

RE

cyrille a écrit :

Il est chez qui ce VPS ?


Je suis chez hosteur et j'ai les sauvegardes ou images quand je veux.

cyrille a écrit :

Désolé, je n'utilise pas nextclound


Si quelqu'un l'utilise, ce serait sympa de répondre ou me dire où poser la question ?

cyrille a écrit :

(trop grosse usine à gaz pour moi wink


D'accord avec toi, mais Owncloud ou SeaFile sont pareils.

J'aimerais bien trouver quelque chose de plus simple :
- Synchronisation de fichiers 
- Transfert crypté
- Création d'user lecture seule ou lecture/écriture (gestion des droits)
- Visionneuse de documents en ligne
- Galerie d'images multiformats
- accessible navigateur web et mobile

Hors ligne

Pied de page des forums