Sécuriser un VPS

SuShY · 27-02-2021 19:42:17

@cyrille : tu as mis quoi comme permission sur le fichier fail2ban-status-ban.sh stp ?

cyrille · 27-02-2021 19:49:27

admin@cbiot:~/scripts$ ls -la

total 32

drwxr-xr-x 2 admin 1007 4096 Dec 30 17:22 .

drwxr-xr-x 7 admin 1007 4096 Sep 24 20:48 ..

-rwxr-xr-x 1 admin 1007  293 Dec 30 17:22 fail2ban-status-ban.sh

-rw-r--r-- 1 admin 1007  670 Dec 26 20:04 send-notification-data.txt

-rwxr-xr-x 1 admin 1007 4740 Jul  4  2019 send-notification.sh

Stockés sous le compte admin dans un dossier "scripts", 1007 étant le groupe de l'admin
Sinon je présume qu'un 750 doit convenir et être plus "sécurisant"

Dernière modification par cyrille (27-02-2021 19:49:55)

cyrille · 27-02-2021 20:30:20

au passage pas mal aussi de mettre apticron afin d'être notifier des mises à jour et de leurs contenus / impact

SuShY · 27-02-2021 22:58:09

Merci cyrille, c'est opérationnel pour les mails.

cyrille · 27-02-2021 23:34:38

nickel

cyrille · 01-03-2021 09:44:37

Maintenant, dans ce cas, est-ce que j'ai besoin de yunohost ???

ne serait ce que pour la sécurité

Le problème est que je fais un VPS par personne (oui, je sais, ils sont paranos).

SInon yunohost gére le multidomaine .

griggione · 01-03-2021 13:50:48

RE

griggione a écrit :

cyrille a écrit :
il est géré via le SSO, je présume que l'assistant d'installation de yunohost se connecte directement à l'annuaire ldap et suate cette étape

C'est là que j'aimerais savoir, si jamais, je vais poser la question dans le forum que tu m'as cité.

Je viens d'avoir une réponse :

Sous Yunohost, au moment d’installer l’application Nextcloud, on spécifie un utilisateur Yunohost qui deviendra l’administrateur de l’instance Nextcloud créée. En effet, Nextcloud vient “piocher” dans les utilisateurs Yunohost au moment de l’identification. Si l’on s’identifie dans Nextcloud avec l’utilisateur Yunohost qui a été spécifié comme administrateur Nextcloud, on s’identifie donc automatiquement comme administrateur de l’instance

Donc pour mes VPS, je vais être obliger de me passer de yunohost.
Ce qui me raméne à ma 1ere question : Ce qui m'interesse, c'est de sécuriser correctement mes VPS, mais comment ???

griggione · 01-03-2021 13:52:14

RE

SInon yunohost gére le multidomaine .

Donc installation de Apache2, etc. ?

cyrille · 01-03-2021 14:52:59

non le multidomaine, c'est à dire la gestion de plusieurs noms de domaine
monsite1.fr
monsite2.fr
unautresite.com
encoreuautre.org
yunohost utilise nginx tu n'installeras pas apache dessus

griggione · 01-03-2021 15:52:58

RE

cyrille a écrit :

yunohost utilise nginx tu n'installeras pas apache dessus

Ha oui c'est vrai .... pas encore l'habitude.

cyrille a écrit :

non le multidomaine, c'est à dire la gestion de plusieurs noms de domaine

Pourquoi faire, ces VPS ne me servent que pour du cloud ? (et ne gerera qu'un domaine)
J'ai juste besoin d'un Nextcloud ou autre et de capacité.

Puisque yunohost ne permet pas d'avoir un démarrage Nextcloud classique, est-ce que j'en ai vraiment besoin ?

Pour le mien, c'est autre chose, mais je n'y suis pas encore.

cyrille · 01-03-2021 17:31:19

Puisque yunohost ne permet pas d'avoir un démarrage Nextcloud classique, est-ce que j'en ai vraiment besoin ?
ça c'est à toi de voir, hormis le démarrage le reste sera identique
si tu installes que debian et nextcound es tu prêt à gérer la sécurité (iptables, fail2ban, etc...) ?

griggione · 01-03-2021 17:35:25

RE

cyrille a écrit :

si tu installes que debian et nextcound es tu prêt à gérer la sécurité (iptables, fail2ban, etc...) ?

Au départ, je suis venu pour ça

cyrille · 01-03-2021 18:09:39

bah alors configurer iptables et fail2ban
iptables c'est assez chaud
fail2ban : https://cbiot.fr/dokuwiki/ssh-fail2ban

Bon courage avec iptables

tiens https://wiki.visionduweb.fr/index.php/C … u_Iptables

vv222 · 01-03-2021 18:12:23

griggione a écrit :

Ce qui m'interesse, c'est de sécuriser correctement mes VPS, mais comment ???

Le problème c’est que sans précision supplémentaire cette question ne veut pas dire grand chose
Par exemple sur le serveur que je loue pour y faire tourner une instance de GitLab j’ai installé Debian Buster, et à partir de là j’ai un serveur sécurisé. Donc ma réponse à « Comment sécuriser correctement un serveur ? » je réponds simplement : « En installant Debian stable dessus, c’est tout. ».

Après si ce que tu appelles « sécuriser » est en fait la mise en place d’une politique de sécurité face à un modèle de menace donné, il va falloir nous indiquer le modèle de menace en question pour qu’un puisse proposer quelque chose d’approprié.

---

Par exemple dans le cas de ce serveur Debian Buster avec GitLab, je n’utilise pas iptables ni fail2ban. Tout simplement parce qu’ils ne correspondent pas à mon modèle de menace, et donc représenteraient du boulot de mise en place et de maintenance sans aucun gain en sécurité. Et comme du boulot, bah ça fatigue l’administrateur du serveur, et qu’il est moins efficace quand il est fatigué… au final ça diminuerait la sécurité de ce serveur !

cyrille · 01-03-2021 18:17:20

Déjà mets un fail2ban et affiche le rapport quotidien des attaques (essai de connexion échouées et ip bannies (en général 3 tentatives)) et tu verras que même un serveur perdu sans importance peut être intéressants pour des "pirates" (je ne sais si le terme est juste...)

Exemple sur mon serveur buster / yunohost en home hébergement ouvert sur l'extérieur depuis début janvier : 765 récidives... Donc faut un minimum de sécurisation

Status for the jail: recidive

|- Filter

|  |- Currently failed: 8

|  |- Total failed: 765

|  `- File list:  /var/log/fail2ban.log

`- Actions

   |- Currently banned: 13

   |- Total banned: 32

   `- Banned IP list: 221.181.185.135 221.181.185.29 221.131.165.86 221.181.185.140 221.131.165.85 222.187.222.55 221.181.185.19 222.187.238.87 221.181.185.220 221.181.185.223 221.181.185.143 221.181.185.198 221.181.185.148

SuShY · 01-03-2021 21:07:00

cyrille a écrit :

Déjà mets un fail2ban et affiche le rapport quotidien des attaques (essai de connexion échouées et ip bannies

+1 !

griggione · 02-03-2021 07:41:22

RE

vv222 a écrit :

Le problème c’est que sans précision supplémentaire cette question ne veut pas dire grand chose

Après si ce que tu appelles « sécuriser » est en fait la mise en place d’une politique de sécurité face à un modèle de menace donné, il va falloir nous indiquer le modèle de menace en question pour qu’un puisse proposer quelque chose d’approprié.

Un exemple, mon comptable, je lui ai installé un serveur local pour les sauvegardes de ces données perso et clients et un autre local pour les images des PCs.
MAIS, il y a le risque incendie, par exemple, ou chez nous, en Corse, une charge ...
Donc, des VPS hébergés à l'extérieur permettent de doubler la sécurité des données et images.

vv222 a écrit :

je réponds simplement : « En installant Debian stable dessus, c’est tout. ».

D'accord mais est-ce VRAIMENT suffisant dans ce cas ?

cyrille a écrit :

bah alors configurer iptables et fail2ban

Voila un début de réponse, attendons de voir avec les précisions données si c'est ce qu'il faut et si c'est suffisant.

cyrille a écrit :

Bon courage avec iptables

Aïe ... mais s'il faut, je dois le mettre en place.

SuShY a écrit :

cyrille a écrit :
Déjà mets un fail2ban et affiche le rapport quotidien des attaques (essai de connexion échouées et ip bannies
+1 !

Je le mettais déjà avec CentOS (3 tentatives)

griggione · 02-03-2021 08:28:03

RE

Je dois précisé, nous sommes une association d'informatique et nous faisons surtout des VPS pour des petites mairies, maisons de retraites, anciens combattants, assos handicap, écoles du village.
J'ai pris l'exemple du comptable car ça parait le plus sensible.

SuShY, je suis allé voir la fiche d'inscription, Titre civilité, un président d'association ne peut pas s'inscrire

Dernière modification par griggione (02-03-2021 08:29:15)

SuShY · 02-03-2021 10:41:43

griggione a écrit :

SuShY, je suis allé voir la fiche d'inscription, Titre civilité, un président d'association ne peut pas s'inscrire

En tant que personne morale non ?

vv222 · 02-03-2021 14:38:58

griggione a écrit :

vv222 a écrit :
je réponds simplement : « En installant Debian stable dessus, c’est tout. ».

D'accord mais est-ce VRAIMENT suffisant dans ce cas ?

Mes serveurs tournent depuis des années sans intrusion ni vol de données, donc pour moi c’est suffisant.
Si tu veux mettre à l’épreuve celui qui est évoqué ici, il se trouve derrière le nom de domaine mjollnir.dotslashplay.it

Pour reprendre les deux exemples qui reviennent ici :

iptables ne m’apporterait rien, je n’expose pas de services que je ne veux pas rendre accessibles par l’extérieur
fail2ban ne m’apporterait rien, j’utilise des systèmes d’authentification qui ne sont pas sensibles aux attaques de type brute force

À mon avis ce n’est pas une bonne idée de passer du temps à installer plein de couches juste parce que celles-ci "donnent l’impression" d’un serveur sécurisé. Il faut plutôt passer du temps en amont à identifier les risques raisonnables pour un serveur donné, et agir en fonction de ceux-ci.

griggione · 02-03-2021 17:23:12

RE

SuShY a écrit :

En tant que personne morale non ?

OK mais après, pour Titre civilité, je mets quoi ?

griggione · 02-03-2021 17:34:02

RE

vv222 a écrit :

Mes serveurs tournent depuis des années sans intrusion ni vol de données, donc pour moi c’est suffisant.

J'ai donné l'utilisation qui sera faite pour ces VPS, si tu penses que c'est inutile, d'accord.

vv222 a écrit :

Il faut plutôt passer du temps en amont à identifier les risques raisonnables pour un serveur donné, et agir en fonction de ceux-ci.

Oui et c'est pour ça que je suis venu.
Comment identifier ces risques ?

vv222 a écrit :

Si tu veux mettre à l’épreuve celui qui est évoqué ici,...

Je suis trés loin de savoir comment faire, d'abord savoir comment se protéger est déjà trés bien.

EDIT :

vv222 a écrit :

..., je n’expose pas de services que je ne veux pas rendre accessibles par l’extérieur

Oui mais je dois mettre un Nextcloud dessus ???

Dernière modification par griggione (02-03-2021 17:41:05)

vv222 · 02-03-2021 20:19:19

griggione a écrit :

J'ai donné l'utilisation qui sera faite pour ces VPS

Ce bout-ci je ne l’ai pas vu, ou alors pas compris.

---

griggione a écrit :

Oui mais je dois mettre un Nextcloud dessus ???

Bah ce Nextcloud, tu veux bien qu’on puisse y accéder depuis l’extérieur, non ?
Sinon je ne comprends pas bien comment l’utiliser (après je ne connais pas bien Nextcloud).

SuShY · 02-03-2021 21:51:36

griggione a écrit :

RE

SuShY a écrit :
En tant que personne morale non ?

OK mais après, pour Titre civilité, je mets quoi ?

Pas obligatoire

griggione · 03-03-2021 08:13:10

RE

vv222 a écrit :

griggione a écrit :
J'ai donné l'utilisation qui sera faite pour ces VPS

Ce bout-ci je ne l’ai pas vu, ou alors pas compris.

Nous sommes une association d'informatique et nous faisons surtout des VPS pour des petites mairies, maisons de retraites, anciens combattants, assos handicap, écoles du village.
Ces VPS sont des cloud tout simplement.
Nextcloud pour permettre l'automatisme des sauvegardes, on sait trés bien que les gens se lassent vite (même si c'est pour eux) et le partage facile de certains fichiers.
D'où le besoin de sécurité

SuShY, je m'en occupe
EDIT:
C'est fait.

Dernière modification par griggione (03-03-2021 08:31:36)

Debian-facile

#51 27-02-2021 19:42:17

Re : Sécuriser un VPS

#52 27-02-2021 19:49:27

Re : Sécuriser un VPS

#53 27-02-2021 20:30:20

Re : Sécuriser un VPS

#54 27-02-2021 22:58:09

Re : Sécuriser un VPS

#55 27-02-2021 23:34:38

Re : Sécuriser un VPS

#56 01-03-2021 09:44:37

Re : Sécuriser un VPS

#57 01-03-2021 13:50:48

Re : Sécuriser un VPS

#58 01-03-2021 13:52:14

Re : Sécuriser un VPS

#59 01-03-2021 14:52:59

Re : Sécuriser un VPS

#60 01-03-2021 15:52:58

Re : Sécuriser un VPS

#61 01-03-2021 17:31:19

Re : Sécuriser un VPS

#62 01-03-2021 17:35:25

Re : Sécuriser un VPS

#63 01-03-2021 18:09:39

Re : Sécuriser un VPS

#64 01-03-2021 18:12:23

Re : Sécuriser un VPS

#65 01-03-2021 18:17:20

Re : Sécuriser un VPS

#66 01-03-2021 21:07:00

Re : Sécuriser un VPS

#67 02-03-2021 07:41:22

Re : Sécuriser un VPS

#68 02-03-2021 08:28:03

Re : Sécuriser un VPS

#69 02-03-2021 10:41:43

Re : Sécuriser un VPS

#70 02-03-2021 14:38:58

Re : Sécuriser un VPS

#71 02-03-2021 17:23:12

Re : Sécuriser un VPS

#72 02-03-2021 17:34:02

Re : Sécuriser un VPS

#73 02-03-2021 20:19:19

Re : Sécuriser un VPS

#74 02-03-2021 21:51:36

Re : Sécuriser un VPS

#75 03-03-2021 08:13:10

Re : Sécuriser un VPS

Pied de page des forums