Sécuriser un VPS

SuShY · 03-03-2021 13:42:13

griggione a écrit :

SuShY, je m'en occupe
EDIT:
C'est fait.

Vu, merci.

vv222 · 03-03-2021 15:57:04

Oh, OK, je pense que je vois mieux le but

Si vraiment il ne va y avoir que Nextcloud à tourner sur les serveurs, je ne serai pas forcément de bon conseil, je ne l’ai jamais utilisé.

griggione · 03-03-2021 16:12:31

RE

vv222 a écrit :

Si vraiment il ne va y avoir que Nextcloud à tourner sur les serveurs, je ne serai pas forcément de bon conseil, je ne l’ai jamais utilisé.

OK merci pour la précision.
Je vais donc continuer sur les conseils donnés.

cyrille a écrit :

bah alors configurer iptables et fail2ban
fail2ban : https://cbiot.fr/dokuwiki/ssh-fail2ban
Bon courage avec iptables
tiens https://wiki.visionduweb.fr/index.php/C … u_Iptables

Est-ce que ceux sont les premières choses à faire sur mon Debian ?
Histoire de préparer le serveur correctement.

EDIT:
Je suppose que je dois d'abord créer un utilisateur (qui puisse se loger en SSH) et désactiver root, non ?

Dernière modification par griggione (03-03-2021 16:25:44)

cyrille · 03-03-2021 17:36:55

on desactive pas un compte root, on désactive la connexion root par ssh. Ce n'est pas pareil

Oui bien bien sûr il faut te créer un user

vv222 · 03-03-2021 19:43:34

cyrille a écrit :

on desactive pas un compte root, on désactive la connexion root par ssh. Ce n'est pas pareil

Tiens, je vois souvent ce conseil, mais je ne suis pas sûr de comprendre le but de la manœuvre.
C’est uniquement pour qu’un attaquant ne puisse pas deviner le nom du compte à viser pour se connecter via SSH ?

griggione · 04-03-2021 08:53:46

Bonjour tous,

cyrille a écrit :

on désactive la connexion root par ssh. Ce n'est pas pareil
Oui bien bien sûr il faut te créer un user

J'ai du mal avec le wiki de DF pour trouver comment créer un user, désactiver la connexion root, etc.
Bref, faire les choses dans l'ordre, éviter les inutiles.

J'ai trouvé ce lien, est-il valable ? https://wiki.debian.org/fr/SSH

anonyme · 05-03-2021 07:39:06

Bonjour,

Pour ajouter un utilisateur qui puisse se connecter en SSH voir la commande adduser. Une recherche sur le wiki du site ou la commande "man adduser" peuvent te renseigner.

La connexion SSH en root n'est plus permise sur Debian depuis la version 8 de mémoire. Voir par exemple cet article de blog pour Debian9. Je n'ai pas vérifié si la syntaxe du fichier est la même avec Debian10, mais quoiqu'il en soit, si tu ne l''as pas expressément autorisée la connexion root en SSH n'est pas permise par défaut.

Pour le reste tu devrais pouvoir trouver facilement un tuto d'installation de Nextcloud sur le net, j'ai trouvé celui-ci en Anglais qui est bien fait. ou regarder ici par exemple.

Si ça peut aider...

griggione · 05-03-2021 09:56:41

RE

tux12 a écrit :

voir la commande adduser. Une recherche sur le wiki du site ou la commande "man adduser" peuvent te renseigner.

Je te remercie, avec la bonne recherche, c'est plus simple
Je suppose que je dois choisir "Ajouter un utilisateur système" dans mon cas.

tux12 a écrit :

Je n'ai pas vérifié si la syntaxe du fichier est la même avec Debian10, mais quoiqu'il en soit, si tu ne l''as pas expressément autorisée la connexion root en SSH n'est pas permise par défaut.

C'est là que j'ai du mal.
Pour me connecter en SSH, j'utilise Putty.
Et là, il me semble bien que je sois connecté en root :

tux12 a écrit :

Pour le reste tu devrais pouvoir trouver facilement un tuto d'installation de Nextcloud sur le net,

Oui, pas de problème, j'avais vu celui de DF.
Ce qui m'interpelle, c'est qu'il est écrit la création d'une BDD aprés l'installation de Nextcloud ???

tux12 a écrit :

Si ça peut aider...

Bon, ben, j'ai du travail ......

anonyme · 05-03-2021 10:30:54

griggione a écrit :

Je suppose que je dois choisir "Ajouter un utilisateur système" dans mon cas.

Non, tu dois ajouter un utilisateur normal.

griggione a écrit :

Et là, il me semble bien que je sois connecté en root :

En effet, donc s'agissant d'un vps il a sans doute été livré ainsi. Donc dans le fichier /etc/ssh/sshd_config tu dois avoir une ligne

PermitRootLogin yes

remplacer "yes" par "no", sauvegarder et redémarrer le service pour prise en compte.

griggione a écrit :

Ce qui m'interpelle, c'est qu'il est écrit la création d'une BDD aprés l'installation de Nextcloud ???

Ça doit (au moins) servir à gérer les utilisateurs, leurs droits d'accès aux fichiers/répertoires/services/... et sans doute pas mal d'autres paramètres nécessaires au fonctionnement. C'est le cas de nombreuses applications web, sauf à utiliser des alternatives tels que des fichiers XML ou autre (voir NoSQL)

cyrille · 05-03-2021 10:40:21

Dans /etc/ssh/sshd_config

Refuser une connexion root

PermitRootLogin no

Limiter la connexion ssh à certains users

AllowUsers <nom_utilisateur_autorisé> <nom2> <nom3>

Changer le port d'écoute ssh

nano /etc/ssh/sshd_config 

changer le

Port 22

En

Port 123456

(prendre un Port non existant bien sûr)

Puis se connecter avec l'option -p 123456

Dans les 2 cas relancé le service ssh pour prise en compte

systemctl restart ssh

Et le mieux étant une identification par clef ssh
https://cbiot.fr/dokuwiki/ssh-fail2ban# … t_de_passe

Dernière modification par cyrille (05-03-2021 10:40:59)

griggione · 05-03-2021 12:49:00

RE

Mon travail pour cet aprés-midi

tux12 a écrit :

Non, tu dois ajouter un utilisateur normal.

OK, c'est noté.

tux12 a écrit :

Donc dans le fichier /etc/ssh/sshd_config tu dois avoir une ligne
PermitRootLogin yes
remplacer "yes" par "no", sauvegarder et redémarrer le service pour prise en compte.

Une fois l'user créé, je le ferais.
Si je comprend bien, je ne pourrais plus me connecter en root (sauf si j'annule).

tux12 a écrit :

Ça doit (au moins) servir à gérer les utilisateurs, leurs droits d'accès aux fichiers/répertoires/services/...

Oui, mais pour installer Nextcloud, il faut bien une BDD.

cyrille a écrit :

Limiter la connexion ssh à certains users

Changer le port d'écoute ssh

Ce que je ferais pour le port d'écoute ssh.
Pour les users, je note (comme tout ce que je vais faire d'ailleur)

cyrille a écrit :

Et le mieux étant une identification par clef ssh

Depuis le temps que je dois m'y mettre ...... je vais me lancer maintenant que j'ai le bon lien

anonyme · 05-03-2021 12:55:31

griggione a écrit :

Si je comprend bien, je ne pourrais plus me connecter en root (sauf si j'annule).

Oui c'est réversible.

griggione a écrit :

Oui, mais pour installer Nextcloud, il faut bien une BDD.

Oui pardon, j'ai lu un peu vite; la création de la BdD fait partie de l'installation en effet.

Dernière modification par anonyme (05-03-2021 12:57:15)

cyrille · 05-03-2021 12:58:41

Si je comprend bien, je ne pourrais plus me connecter en root (sauf si j'annule).

Tu ne pourras plus de connecter en ssh en root dirrectement
par contre, tu te connectes en user puis

su -

et tu seras en root

Dernière modification par cyrille (05-03-2021 12:58:52)

vv222 · 05-03-2021 16:49:46

griggione a écrit :

tux12 a écrit :

Donc dans le fichier /etc/ssh/sshd_config tu dois avoir une ligne
PermitRootLogin yes
remplacer "yes" par "no", sauvegarder et redémarrer le service pour prise en compte.

Une fois l'user créé, je le ferais.
Si je comprend bien, je ne pourrais plus me connecter en root (sauf si j'annule).

Exact. Et pour annuler, bah il te faut un accès au compte root

N'hésite donc pas à vérifier deux bonnes fois avant de modifier cette option que :

tu peux te connecter via SSH à un autre utilisateur que root
cet utilisateur te permet de passer root, via su ou sudo
tout ça fonctionne encore après un redémarrage du serveur

griggione · 05-03-2021 17:23:10

RE

vv222 a écrit :

griggione a écrit :

Si je comprend bien, je ne pourrais plus me connecter en root (sauf si j'annule).

Exact. Et pour annuler, bah il te faut un accès au compte root

Donc je suis cette directive:

cyrille a écrit :

Tu ne pourras plus de connecter en ssh en root dirrectement
par contre, tu te connectes en user puis
su -

et tu seras en root

Je comprend pourquoi tu précises :

vv222 a écrit :

N'hésite donc pas à vérifier deux bonnes fois avant de modifier cette option que :
tu peux te connecter via SSH à un autre utilisateur que root
cet utilisateur te permet de passer root, via su ou sudo
tout ça fonctionne encore après un redémarrage du serveur

OK, bien vérifier avant de désactiver l'accés en ssh en root.
De toute façon, je peux toujours accéder au /etc/ssh/sshd_config via filezilla en sftp, non ?

cyrille a écrit :

par contre, tu te connectes en user puis
su -

et tu seras en root

Et pour revenir sur user ?

vv222 · 05-03-2021 17:39:48

griggione a écrit :

De toute façon, je peux toujours accéder au /etc/ssh/sshd_config via filezilla en sftp, non ?

Justement, ce n'est pas gagné. L'authentification SFTP et SSH reposent en général sur le même système (OpenSSH chez Debian).
Donc en bloquant l'accès root via SSH, tu bloques aussi probablement l'accès root via SFTP.

griggione · 05-03-2021 17:50:33

RE

Aïe, alors la grande question : pour la sécurité, faut-il oui ou non désactiver l'accès root via SSH ?

cyrille · 05-03-2021 17:53:07

perso je dirais oui
tu te connecteras au sftp via le compte user

griggione · 05-03-2021 17:59:33

RE

cyrille a écrit :

perso je dirais oui
tu te connecteras au sftp via le compte user

Bon d'accord, ça laisse une autre porte de sortie.

Ce qui n'empeche pas de faire les tests comme recommandé par vv222

anonyme · 05-03-2021 18:17:32

Sur ce genre de manip qui comporte un risque de se retrouver "enfermé dehors" (je pense à la mise en place de règles iptables aussi), une astuce consiste à créer un cron qui sera exécuté au bout de quelques minutes pour remettre en place l'ancien fichier de config et redémarrer le service. Quand la manip fonctionne je supprime le cron.

Je n'utilise pas FTP, je fais les transferts par scp. Dans ce contexte je suis toujours ennuyé quand je veux faire un scp en root pour copier un ensemble de fichiers appartenant à des users différents d'une machine à une autre (migration de serveur, backup); seule la copie par root permet de conserver les propriétaires et groupes de chaque fichier/répertoire. (en contrepartie ça évite un service de plus sur la machine - le FTP)

Question de choix et d'usage.

vv222 · 05-03-2021 18:21:37

griggione a écrit :

Aïe, alors la grande question : pour la sécurité, faut-il oui ou non désactiver l'accès root via SSH ?

J'ai posé cette même question un peu plus haut

Je vois que cyrille et tux12 soutiennent que c'est une bonne pratique de sécurité, mais je ne suis toujours pas sûr de comprendre pourquoi. En particulier, je ne vois pas de quel type d'attaque c'est censé protéger.

Après je ne suis pas non plus un expert en sécurité, donc il y a très certainement pas mal de choses qui m'échappent sur ces sujets.

anonyme · 05-03-2021 18:35:13

Damned, jusqu'ici j'avais réussi à éviter d'avoir à répondre sur ce point, mais là... faut y aller

Du coup j'avoue faire partie de ceux qui laissent actif l'accès en root parce que je dors très bien avec un bon mot de passe, un port autre que le 22 et un DROP fail2ban de 24h au bout de 3 essais sur le ssh. Ça présente à mon sens pas plus de risques que les clés, mais plus de souplesse (connexion depuis n'importe quelle machine, il est plus facile de retenir un passwd qu'une clé RSA

; possibilité d'utiliser scp en root pour des migrations comme dit plus haut )

Edit: Je note qu'on parle beaucoup de la sécurisation du SSH dans ce fil ou dans cet autre mais il y a généralement des points d'entrée beaucoup plus prometteurs que SSH pour attaquer un serveur.

Dernière modification par anonyme (05-03-2021 18:41:45)

cyrille · 05-03-2021 18:43:36

@vv222 : en fait je ne n'en sais rien. Juste éplucher de fond en comble la doc de yunohost. Pour moi ça reste une référence en matériel de sécurité serveur. Et il le conseille. Donc étant plus compétent que moi, je ne fais que relayer les infos que j'ai en ma possesion que j'ai appliquées sur mes serveurs (qui pour l'instant ne mont jamais posés (trop) de soucis)

griggione · 05-03-2021 19:23:42

RE

J'ai créé l'user.
Je peux me connecter en ssh.
Je peux me connecter par sftp.
Quand je suis en user, avec su -, je passe bien en root.
Je ne sais pas si on peut faire l'inverse ?

Maintenant, je désire désactiver l'accés ssh en root :

editor /etc/ssh/sshd_config

OK j'y suis mais comment je change yes en no
Je veux dire, en ligne de commande.

Dernière modification par griggione (05-03-2021 19:24:55)

anonyme · 05-03-2021 19:30:46

À tout moment en console, tu fermes le shell courant avec Ctrl+D. Du coup si tu as fait "su -" pour passer root, le Ctrl+D te ramenera au niveau du shell d'appel (celui du user normal). Si tu refais Ctrl+D ça te déconnectera du serveur.

On modifie un fichier en CLI avec un éditeur de texte en CLI (nano, vi, emacs....). Ici il faudra être root pour pouvoir enregistrer les modifs.

Debian-facile

#76 03-03-2021 13:42:13

Re : Sécuriser un VPS

#77 03-03-2021 15:57:04

Re : Sécuriser un VPS

#78 03-03-2021 16:12:31

Re : Sécuriser un VPS

#79 03-03-2021 17:36:55

Re : Sécuriser un VPS

#80 03-03-2021 19:43:34

Re : Sécuriser un VPS

#81 04-03-2021 08:53:46

Re : Sécuriser un VPS

#82 05-03-2021 07:39:06

Re : Sécuriser un VPS

#83 05-03-2021 09:56:41

Re : Sécuriser un VPS

#84 05-03-2021 10:30:54

Re : Sécuriser un VPS

#85 05-03-2021 10:40:21

Re : Sécuriser un VPS

#86 05-03-2021 12:49:00

Re : Sécuriser un VPS

#87 05-03-2021 12:55:31

Re : Sécuriser un VPS

#88 05-03-2021 12:58:41

Re : Sécuriser un VPS

#89 05-03-2021 16:49:46

Re : Sécuriser un VPS

#90 05-03-2021 17:23:10

Re : Sécuriser un VPS

#91 05-03-2021 17:39:48

Re : Sécuriser un VPS

#92 05-03-2021 17:50:33

Re : Sécuriser un VPS

#93 05-03-2021 17:53:07

Re : Sécuriser un VPS

#94 05-03-2021 17:59:33

Re : Sécuriser un VPS

#95 05-03-2021 18:17:32

Re : Sécuriser un VPS

#96 05-03-2021 18:21:37

Re : Sécuriser un VPS

#97 05-03-2021 18:35:13

Re : Sécuriser un VPS

#98 05-03-2021 18:43:36

Re : Sécuriser un VPS

#99 05-03-2021 19:23:42

Re : Sécuriser un VPS

#100 05-03-2021 19:30:46

Re : Sécuriser un VPS

Pied de page des forums