Sécuriser un VPS

griggione · 26-02-2021 07:39:10

Bonjour tous,

Ce qui m'interesse, c'est de sécuriser correctement mais comment ???

Je débarque parce que mes VPS sont sous CentOS 8 (et qu'il n'est plus libre fin 21) avec Owncloud ou Nextcloud d'installer.
J'ai décidé de remplacer par Debian (j'espère avoir pris la bonne décision

)

Normalement, je passe par SSH mais des fois, je passe par Filezilla en SFTP.

Déjà, grosse interrogation, ou s'installe ces apllis ? Dans CentOS var\www\html.

cyrille · 26-02-2021 13:33:15

Bonjour
Je te conseille d'utiliser yunohost https://yunohost.org/#/ , très simple d'installation
Il gérera entre autre autres la sécurité mais aussi les comptes utilisateurs, serveurs mail, certification Let's encrypt,...
Tu installes ensuite les "briques" que tu souhaites (owncloud et nextclour sont des briques disponibles de yunohost). Yunohost dispo d'un annuaire ldap et de swwoat
Niveau sécurité iptables et fail2ban sont configurés

Yunohost s'installe sur une debian stable et tourne nickel.
tu peux jeter un oeil : https://debian-facile.org/atelier:chant … e-yunohost

Leur doc sur leur site est aussi très complète et en français
voici le catalogue d'applications proposées en tant que briques yunohost : https://yunohost.org/fr/apps?q=%2Fapps
ensuite rien ne t'empêche d'en installer d'autres par toi même

SI tu n'en veux pas alors tu devras configurer iptables pour un minimum de sécurité et surtout fail2ban pour au moins sécuriser l'accès ssh (https://cbiot.fr/dokuwiki/ssh-fail2ban)

++C

Dernière modification par cyrille (26-02-2021 13:34:48)

griggione · 26-02-2021 14:10:33

Bonjour cyrille,

cyrille a écrit :

Je te conseille d'utiliser yunohost https://yunohost.org/#/ , très simple d'installation

Depuis que je navigue sur DF (et même en général) j'entend parler de yunohost.

cyrille a écrit :

Tu installes ensuite les "briques" que tu souhaites (owncloud et nextclour sont des briques disponibles de yunohost).

J'avais un peu survolé parce que justement, toutes ces briques me genais.
Mais puisque on peut les sélectionner, l'affaire n'est plus la même, je vais approfondir.

cyrille a écrit :

Yunohost s'installe sur une debian stable et tourne nickel.
tu peux jeter un oeil : https://debian-facile.org/atelier:chant … e-yunohost

Donc mon choix de Debian se concretise, je vais suivre le lien.

cyrille a écrit :

SI tu n'en veux pas alors tu devras configurer iptables pour un minimum de sécurité et surtout fail2ban pour au moins sécuriser l'accès ssh (https://cbiot.fr/dokuwiki/ssh-fail2ban)

failban, je connais, j'utilise déjà sur CentOS, me reste à découvrir iptables.

Merci.

cyrille · 26-02-2021 14:23:38

si tu utilises yunohost, iptables sera configuré par défaut, tu n'auras pas à t'en soucier

Juste paramétrer fail2ban pour avoir un rapport journalier (pas obligatoire du tout mais rassurant)

griggione · 26-02-2021 17:10:23

RE

Avant toutes choses, faut-il ou pas utiliser la commande sudo et/ou la création d’un nouvel utilisateur est suffisant.

Si je crée un utilisateur, comment désactiver/activer l'accès root sur Debian ?

cyrille · 26-02-2021 17:45:04

Si tu parles de yunohost, lors de la post installation l'utilisateur admin est crée, seul lui peut se connecter via ssh
Ensuite, entre root et sudo, à toi de choisir

https://yunohost.org/fr/ssh?q=%2Fssh

Dernière modification par cyrille (26-02-2021 17:45:35)

griggione · 26-02-2021 17:55:22

RE

Hola, je viens de suivre le lien ...... bon, je déguste tout ça et je reviens demain avec mes questions

Bonsoir.

cyrille · 26-02-2021 17:56:18

Tu peux déjà tester dans une virtual box

yunohost te fournira un sous domaine

Dernière modification par cyrille (26-02-2021 17:56:38)

griggione · 26-02-2021 17:57:34

RE

cyrille a écrit :

Ensuite, entre root et sudo, à toi de choisir

Ton conseil ?

cyrille · 26-02-2021 18:15:35

sudo pas mal si plusieurs admin (ça laisse des traces de qui à fait quoi)
si un seul admin -> root

aussi bien les 2 sont dispos sur yunohost

griggione · 27-02-2021 09:33:39

Bonjour cyrille,

cyrille a écrit :

sudo pas mal si plusieurs admin (ça laisse des traces de qui à fait quoi)

C'est bon à savoir, comme quoi .... mais je suis seul.

cyrille a écrit :

si un seul admin -> root

Mais il est plus sage de créer un utilisateur, dans le cas ou je n'installe pas yunohost, non ?
Et dans ce cas, comment désactiver/activer l'accès root sur Debian.

L'installation de yunohost comporte apache2 ou pas ?
Sinon, peut-on l'installer à part ?

En suivant https://yunohost.org/fr/ssh?q=%2Fssh, il est dit :

Durant la postinstallation, vous avez défini un mot de passe d'administration. C'est ce mot de passe qui devient le nouveau mot de passe pour les utilisateurs root et admin.

Mais est-ce que ça me change le MdP root de mon VPS ? dans le cas ou je veux me mettre un petit site via apache2.

De plus, la connexion en SSH avec l'utilisateur root est désactivée et il vous faut utiliser l'utilisateur admin !.

OK mais cet admin n'est que celui de yunohost ou du VPS complet ?

cyrille · 27-02-2021 10:05:47

Mais il est plus sage de créer un utilisateur,

oui bien sûr ce serait insensé d'avoir une machine qu'avec un compte root

Et dans ce cas, comment désactiver/activer l'accès root sur Debian.

Je ne pense pas qu'il faille choisir cette voix. Enfin c'est possible mais en général, on paramètre simplement ssh pour interdire les connexion root

L'installation de yunohost comporte apache2 ou pas ?

Non c'est nginx comme serveur http/https

Sinon, peut-on l'installer à part ?

ça m'a l'air compromis .... pourquoi absolument apache, nginx ne te convient il pas ? Il fait quasiment la même chose

Mais est-ce que ça me change le MdP root de mon VPS ? dans le cas ou je veux me mettre un petit site via apache2.

Si tu veux un site style classique avec par exemple php, une bdd et un accès sftp, utilise la brique webapp c'est fait pour cela

OK mais cet admin n'est que celui de yunohost ou du VPS complet ?

je ne comprends pas trop
yunohost sera une surcouche à ta debian. Les modifications toucheront tout le système. TU l'administreras via des outils spécifiques à yunohost (style yunohost tools) ou via un panel web (au choix)
Les outils debian seront toujours dispo mais il faut voir yunohost comme le nouveau gestionnaire de ton serveur.

Le simple simple serait d'essayer dans une virtual box, sur ton PC, avec un nom de domaine fictif que yunohost te fournira

SuShY · 27-02-2021 10:46:07

Hello,
+1 pour Yunohost, je l'utilise sur mon VPS depuis 11/2020, j'ai d’ailleurs commencer à rédiger ici un wiki à ce sujet qui se trouve là pour le moment : https://debian-facile.org/utilisateurs: … sur-un-vps

Pour la partie sécurité, j'ai modifier le port de connexion en SSH et désactiver l'utilisateur ROOT en SSH également.

Après comme dis plus haut, Yunohost possède déjà une bonne couche de sécurité intégrée et très bien gérée.

A++

griggione · 27-02-2021 10:51:29

RE

cyrille a écrit :

oui bien sûr ce serait insensé d'avoir une machine qu'avec un compte root

Nous sommes d'accord.

cyrille a écrit :

Enfin c'est possible mais en général, on paramètre simplement ssh pour interdire les connexion root

Restons simple.

cyrille a écrit :

pourquoi absolument apache, nginx ne te convient il pas ? Il fait quasiment la même chose

Par habitude mais nginx va surement me convenir.

cyrille a écrit :

Si tu veux un site style classique avec par exemple php, une bdd et un accès sftp, utilise la brique webapp c'est fait pour cela

C'est noté.

cyrille a écrit :

TU l'administreras via des outils spécifiques à yunohost (style yunohost tools) ou via un panel web (au choix)
Les outils debian seront toujours dispo mais il faut voir yunohost comme le nouveau gestionnaire de ton serveur.

En fait, c'est ça, essayer yunohost, ça m'évitera de me poser et te poser des questions inutilement, voir ce qu'il fait exactement.

cyrille a écrit :

Le simple simple serait d'essayer dans une virtual box, sur ton PC, avec un nom de domaine fictif que yunohost te fournira

Je crée toujours un serveur spécialement pour faire les tests en conditions réelles.

Merci pour les réponses.

Dernière modification par griggione (27-02-2021 11:01:34)

griggione · 27-02-2021 10:59:10

Bonjour SuShY,

SuShY a écrit :

Hello,
+1 pour Yunohost, je l'utilise sur mon VPS depuis 11/2020, j'ai d’ailleurs commencer à rédiger ici un wiki à ce sujet qui se trouve là pour le moment : https://debian-facile.org/utilisateurs: … sur-un-vps

Merci pour le lien, mis dans la besace avec ceux de cyrille, je vais avoir un week-end studieux

SuShY a écrit :

Pour la partie sécurité, j'ai modifier le port de connexion en SSH et désactiver l'utilisateur ROOT en SSH également.

Sécurité classique mais efficace, je suis d'accord avec toi.

SuShY a écrit :

Après comme dis plus haut, Yunohost possède déjà une bonne couche de sécurité intégrée et très bien gérée.

J'espère que c'est suffisant pour me faire mon cloud perso.

SuShY · 27-02-2021 11:00:24

griggione a écrit :

SuShY a écrit :
Après comme dis plus haut, Yunohost possède déjà une bonne couche de sécurité intégrée et très bien gérée.

J'espère que c'est suffisant pour me faire mon cloud perso.

Oui avec Nextcloud tu as largement de quoi faire

cyrille · 27-02-2021 11:00:41

J'espère que c'est suffisant pour me faire mon cloud perso.

Oui tout à fait

En fait, c'est ça, essayer yunohost, ça m'évitera de me poser et te poser des questions inutilement, voir ce qu'il fait exactement.

Il vaut mieux bien se renseigner avant
Pas de ce soucis un forum est fait pour cela

SuShY · 27-02-2021 11:01:05

cyrille a écrit :

Pas de ce soucis un forum est fait pour cela

+1

cyrille · 27-02-2021 11:04:51

modifier le port ssh

j'ai un VPS sur lequel je l'ai modifié
Sur mon autohébergement à la maison je ne l'ai pas fait

Le soucis en le modifiant c'est que le diagnostic de yunohost signale une modification du fichier non conforme au fichier attendu de yunohost et donc ne le met pas à jour automatiquement. Mais bon pas un réel problème.

Ensuite le mieux est également de s’identifier par clef ssh et non par mot de passe

Mais tu verras ces procédures au fur et à mesure, de basen yunohost "out of the box" est déjà hyper sécurisé

La plus grande crainte est de franchir le pas ensuite ça roule hyper bien

griggione · 27-02-2021 11:09:40

RE

Vu ce qui m'attend pour le suite, je vais finir la matinée tranquille.
En attendant, c'est la mienne ...

griggione · 27-02-2021 11:15:21

RE

cyrille a écrit :

Ensuite le mieux est également de s’identifier par clef ssh et non par mot de passe

Je n'ai pas fait encore et faudrait bien que je m'y essaye mais d'abord la "pillulle" yunohost.

cyrille a écrit :

La plus grande crainte est de franchir le pas ensuite ça roule hyper bien

C'est pourquoi, au vu de mon post d'avant, je me prépare

griggione · 27-02-2021 11:26:31

RE

Juste pour savoir, yunohost s'installe mais se désinstalle aussi facilement ?

Pour ceux qui utilisent nextcloud via yunohost :
1) quel est le lien dans ce cas : https://domain.tld/nextcloud ?
2) quand on active nextcloud via le lien, il est bien demandé la création de l'admin+pass ?

cyrille · 27-02-2021 11:45:27

Juste pour savoir, yunohost s'installe mais se désinstalle aussi facilement ?

jamais desinstallé. Je pense que dans ce cas, c'est aussi vite fait de repartir sur une installation propre d'un VPS à partir d'une image fournit par celui qui héberge
Il est chez qui ce VPS ?

https://yunohost.org/en/app_nextcloud
Accès en sous domaine ou en URL

https://nextcloud.domain.tld/** if you use a subdomain
https://domain.tld/nextcloud/* if you have deployed Nextcloud in a directory

Configurer les sous domaines depuis ton registar au préalable

Dernière modification par cyrille (27-02-2021 11:48:52)

cyrille · 27-02-2021 11:47:59

Pour installer nextclound, depuis le panel d'admin de yunohost --> ajouter une application > choisir nextclound et il y aura un assistant qui te fournira toutes les informations nécessaires.
Désolé, je n'utilise pas nextclound (trop grosse usine à gaz pour moi

https://github.com/YunoHost-Apps/nextcloud_ynh

griggione · 27-02-2021 12:14:36

RE

cyrille a écrit :

Il est chez qui ce VPS ?

Je suis chez hosteur et j'ai les sauvegardes ou images quand je veux.

cyrille a écrit :

Désolé, je n'utilise pas nextclound

Si quelqu'un l'utilise, ce serait sympa de répondre ou me dire où poser la question ?

cyrille a écrit :

(trop grosse usine à gaz pour moi

D'accord avec toi, mais Owncloud ou SeaFile sont pareils.

J'aimerais bien trouver quelque chose de plus simple :
- Synchronisation de fichiers
- Transfert crypté
- Création d'user lecture seule ou lecture/écriture (gestion des droits)
- Visionneuse de documents en ligne
- Galerie d'images multiformats
- accessible navigateur web et mobile

Debian-facile

#1 26-02-2021 07:39:10

Sécuriser un VPS

#2 26-02-2021 13:33:15

Re : Sécuriser un VPS

#3 26-02-2021 14:10:33

Re : Sécuriser un VPS

#4 26-02-2021 14:23:38

Re : Sécuriser un VPS

#5 26-02-2021 17:10:23

Re : Sécuriser un VPS

#6 26-02-2021 17:45:04

Re : Sécuriser un VPS

#7 26-02-2021 17:55:22

Re : Sécuriser un VPS

#8 26-02-2021 17:56:18

Re : Sécuriser un VPS

#9 26-02-2021 17:57:34

Re : Sécuriser un VPS

#10 26-02-2021 18:15:35

Re : Sécuriser un VPS

#11 27-02-2021 09:33:39

Re : Sécuriser un VPS

#12 27-02-2021 10:05:47

Re : Sécuriser un VPS

#13 27-02-2021 10:46:07

Re : Sécuriser un VPS

#14 27-02-2021 10:51:29

Re : Sécuriser un VPS

#15 27-02-2021 10:59:10

Re : Sécuriser un VPS

#16 27-02-2021 11:00:24

Re : Sécuriser un VPS

#17 27-02-2021 11:00:41

Re : Sécuriser un VPS

#18 27-02-2021 11:01:05

Re : Sécuriser un VPS

#19 27-02-2021 11:04:51

Re : Sécuriser un VPS

#20 27-02-2021 11:09:40

Re : Sécuriser un VPS

#21 27-02-2021 11:15:21

Re : Sécuriser un VPS

#22 27-02-2021 11:26:31

Re : Sécuriser un VPS

#23 27-02-2021 11:45:27

Re : Sécuriser un VPS

#24 27-02-2021 11:47:59

Re : Sécuriser un VPS

#25 27-02-2021 12:14:36

Re : Sécuriser un VPS

Pied de page des forums