logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#51 27-02-2021 19:42:17

SuShY
CA Debian-Facile
Lieu : Chartres
Distrib. : Debian Sid x86_64
Noyau : Linux > 6.0.0-2-amd64
(G)UI : i3WM - 4.21-1
Inscription : 06-01-2018
Site Web

Re : Sécuriser un VPS

@cyrille : tu as mis quoi comme permission sur le fichier fail2ban-status-ban.sh stp ?

Hors ligne

#52 27-02-2021 19:49:27

cyrille
CA Debian-Facile
Lieu : Nowhere
Distrib. : SID + FreeBSD. Stable sur serveurs.
(G)UI : Xfce/Openbox
Inscription : 21-06-2020
Site Web

Re : Sécuriser un VPS

admin@cbiot:~/scripts$ ls -la
total 32
drwxr-xr-x 2 admin 1007 4096 Dec 30 17:22 .
drwxr-xr-x 7 admin 1007 4096 Sep 24 20:48 ..
-rwxr-xr-x 1 admin 1007  293 Dec 30 17:22 fail2ban-status-ban.sh
-rw-r--r-- 1 admin 1007  670 Dec 26 20:04 send-notification-data.txt
-rwxr-xr-x 1 admin 1007 4740 Jul  4  2019 send-notification.sh




Stockés sous le compte admin dans un dossier "scripts", 1007 étant le groupe de l'admin
Sinon je présume qu'un 750 doit convenir et être plus "sécurisant"

Dernière modification par cyrille (27-02-2021 19:49:55)


"Ils ne me comprennent point, je ne suis pas la bouche qu’il faut à ces oreilles."

Association Debian-Facile | Les cahiers du débutant | ISO Debian-FacilePage perso. sur #df

Hors ligne

#53 27-02-2021 20:30:20

cyrille
CA Debian-Facile
Lieu : Nowhere
Distrib. : SID + FreeBSD. Stable sur serveurs.
(G)UI : Xfce/Openbox
Inscription : 21-06-2020
Site Web

Re : Sécuriser un VPS

au passage pas mal aussi de mettre apticron afin d'être notifier des mises à jour et de leurs contenus / impact wink

"Ils ne me comprennent point, je ne suis pas la bouche qu’il faut à ces oreilles."

Association Debian-Facile | Les cahiers du débutant | ISO Debian-FacilePage perso. sur #df

Hors ligne

#54 27-02-2021 22:58:09

SuShY
CA Debian-Facile
Lieu : Chartres
Distrib. : Debian Sid x86_64
Noyau : Linux > 6.0.0-2-amd64
(G)UI : i3WM - 4.21-1
Inscription : 06-01-2018
Site Web

Re : Sécuriser un VPS

Merci cyrille, c'est opérationnel pour les mails.

Hors ligne

#55 27-02-2021 23:34:38

cyrille
CA Debian-Facile
Lieu : Nowhere
Distrib. : SID + FreeBSD. Stable sur serveurs.
(G)UI : Xfce/Openbox
Inscription : 21-06-2020
Site Web

Re : Sécuriser un VPS

nickel tongue

"Ils ne me comprennent point, je ne suis pas la bouche qu’il faut à ces oreilles."

Association Debian-Facile | Les cahiers du débutant | ISO Debian-FacilePage perso. sur #df

Hors ligne

#56 01-03-2021 09:44:37

cyrille
CA Debian-Facile
Lieu : Nowhere
Distrib. : SID + FreeBSD. Stable sur serveurs.
(G)UI : Xfce/Openbox
Inscription : 21-06-2020
Site Web

Re : Sécuriser un VPS

Maintenant, dans ce cas, est-ce que j'ai besoin de yunohost ???


ne serait ce que pour la sécurité

Le problème est que je fais un VPS par personne (oui, je sais, ils sont paranos).


SInon yunohost gére le multidomaine wink .


"Ils ne me comprennent point, je ne suis pas la bouche qu’il faut à ces oreilles."

Association Debian-Facile | Les cahiers du débutant | ISO Debian-FacilePage perso. sur #df

Hors ligne

#57 01-03-2021 13:50:48

griggione
Membre
Inscription : 25-02-2021

Re : Sécuriser un VPS

RE

griggione a écrit :


cyrille a écrit :

il est géré via le SSO, je présume que l'assistant d'installation de yunohost se connecte directement à l'annuaire ldap et suate cette étape wink


C'est là que j'aimerais savoir, si jamais, je vais poser la question dans le forum que tu m'as cité.



Je viens d'avoir une réponse :

Sous Yunohost, au moment d’installer l’application Nextcloud, on spécifie un utilisateur Yunohost qui deviendra l’administrateur de l’instance Nextcloud créée. En effet, Nextcloud vient “piocher” dans les utilisateurs Yunohost au moment de l’identification. Si l’on s’identifie dans Nextcloud avec l’utilisateur Yunohost qui a été spécifié comme administrateur Nextcloud, on s’identifie donc automatiquement comme administrateur de l’instance



Donc pour mes VPS, je vais être obliger de me passer de yunohost.
Ce qui me raméne à ma 1ere question : Ce qui m'interesse, c'est de sécuriser correctement mes VPS, mais comment ???

Hors ligne

#58 01-03-2021 13:52:14

griggione
Membre
Inscription : 25-02-2021

Re : Sécuriser un VPS

RE

SInon yunohost gére le multidomaine wink .


Donc installation de Apache2, etc. ?

Hors ligne

#59 01-03-2021 14:52:59

cyrille
CA Debian-Facile
Lieu : Nowhere
Distrib. : SID + FreeBSD. Stable sur serveurs.
(G)UI : Xfce/Openbox
Inscription : 21-06-2020
Site Web

Re : Sécuriser un VPS

non le multidomaine, c'est à dire la gestion de plusieurs noms de domaine
monsite1.fr
monsite2.fr
unautresite.com
encoreuautre.org

yunohost utilise nginx tu n'installeras pas apache dessus

"Ils ne me comprennent point, je ne suis pas la bouche qu’il faut à ces oreilles."

Association Debian-Facile | Les cahiers du débutant | ISO Debian-FacilePage perso. sur #df

Hors ligne

#60 01-03-2021 15:52:58

griggione
Membre
Inscription : 25-02-2021

Re : Sécuriser un VPS

RE

cyrille a écrit :

yunohost utilise nginx tu n'installeras pas apache dessus


Ha oui c'est vrai .... pas encore l'habitude.

cyrille a écrit :

non le multidomaine, c'est à dire la gestion de plusieurs noms de domaine


Pourquoi faire, ces VPS ne me servent que pour du cloud ? (et ne gerera qu'un domaine)
J'ai juste besoin d'un Nextcloud ou autre et de capacité.

Puisque yunohost ne permet pas d'avoir un démarrage Nextcloud classique, est-ce que j'en ai vraiment besoin ?

Pour le mien, c'est autre chose, mais je n'y suis pas encore.

Hors ligne

#61 01-03-2021 17:31:19

cyrille
CA Debian-Facile
Lieu : Nowhere
Distrib. : SID + FreeBSD. Stable sur serveurs.
(G)UI : Xfce/Openbox
Inscription : 21-06-2020
Site Web

Re : Sécuriser un VPS

Puisque yunohost ne permet pas d'avoir un démarrage Nextcloud classique, est-ce que j'en ai vraiment besoin ?
ça c'est à toi de voir, hormis le démarrage le reste sera identique
si tu installes que debian et nextcound es tu prêt à gérer la sécurité (iptables, fail2ban, etc...) ?

"Ils ne me comprennent point, je ne suis pas la bouche qu’il faut à ces oreilles."

Association Debian-Facile | Les cahiers du débutant | ISO Debian-FacilePage perso. sur #df

Hors ligne

#62 01-03-2021 17:35:25

griggione
Membre
Inscription : 25-02-2021

Re : Sécuriser un VPS

RE

cyrille a écrit :

si tu installes que debian et nextcound es tu prêt à gérer la sécurité (iptables, fail2ban, etc...) ?


Au départ, je suis venu pour ça smile

Hors ligne

#63 01-03-2021 18:09:39

cyrille
CA Debian-Facile
Lieu : Nowhere
Distrib. : SID + FreeBSD. Stable sur serveurs.
(G)UI : Xfce/Openbox
Inscription : 21-06-2020
Site Web

Re : Sécuriser un VPS

bah alors configurer iptables et fail2ban
iptables c'est assez chaud
fail2ban : https://cbiot.fr/dokuwiki/ssh-fail2ban

Bon courage avec iptables wink
tiens https://wiki.visionduweb.fr/index.php/C … u_Iptables

"Ils ne me comprennent point, je ne suis pas la bouche qu’il faut à ces oreilles."

Association Debian-Facile | Les cahiers du débutant | ISO Debian-FacilePage perso. sur #df

Hors ligne

#64 01-03-2021 18:12:23

vv222
Administrateur
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : Sécuriser un VPS

griggione a écrit :

Ce qui m'interesse, c'est de sécuriser correctement mes VPS, mais comment ???


Le problème c’est que sans précision supplémentaire cette question ne veut pas dire grand chose wink
Par exemple sur le serveur que je loue pour y faire tourner une instance de GitLab j’ai installé Debian Buster, et à partir de là j’ai un serveur sécurisé. Donc ma réponse à « Comment sécuriser correctement un serveur ? » je réponds simplement : « En installant Debian stable dessus, c’est tout. ».

Après si ce que tu appelles « sécuriser » est en fait la mise en place d’une politique de sécurité face à un modèle de menace donné, il va falloir nous indiquer le modèle de menace en question pour qu’un puisse proposer quelque chose d’approprié.

---

Par exemple dans le cas de ce serveur Debian Buster avec GitLab, je n’utilise pas iptables ni fail2ban. Tout simplement parce qu’ils ne correspondent pas à mon modèle de menace, et donc représenteraient du boulot de mise en place et de maintenance sans aucun gain en sécurité. Et comme du boulot, bah ça fatigue l’administrateur du serveur, et qu’il est moins efficace quand il est fatigué… au final ça diminuerait la sécurité de ce serveur !


Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

Hors ligne

#65 01-03-2021 18:17:20

cyrille
CA Debian-Facile
Lieu : Nowhere
Distrib. : SID + FreeBSD. Stable sur serveurs.
(G)UI : Xfce/Openbox
Inscription : 21-06-2020
Site Web

Re : Sécuriser un VPS

Déjà mets un fail2ban et affiche le rapport quotidien des attaques (essai de connexion échouées et ip bannies (en général 3 tentatives)) et tu verras que même un serveur perdu sans importance peut être intéressants pour des "pirates" (je ne sais si le terme est juste...)

Exemple sur mon serveur buster / yunohost en home hébergement ouvert sur l'extérieur depuis début janvier : 765 récidives... Donc faut un minimum de sécurisation wink

Status for the jail: recidive
|- Filter
|  |- Currently failed: 8
|  |- Total failed: 765
|  `- File list:  /var/log/fail2ban.log
`- Actions
   |- Currently banned: 13
   |- Total banned: 32
   `- Banned IP list: 221.181.185.135 221.181.185.29 221.131.165.86 221.181.185.140 221.131.165.85 222.187.222.55 221.181.185.19 222.187.238.87 221.181.185.220 221.181.185.223 221.181.185.143 221.181.185.198 221.181.185.148


"Ils ne me comprennent point, je ne suis pas la bouche qu’il faut à ces oreilles."

Association Debian-Facile | Les cahiers du débutant | ISO Debian-FacilePage perso. sur #df

Hors ligne

#66 01-03-2021 21:07:00

SuShY
CA Debian-Facile
Lieu : Chartres
Distrib. : Debian Sid x86_64
Noyau : Linux > 6.0.0-2-amd64
(G)UI : i3WM - 4.21-1
Inscription : 06-01-2018
Site Web

Re : Sécuriser un VPS

cyrille a écrit :

Déjà mets un fail2ban et affiche le rapport quotidien des attaques (essai de connexion échouées et ip bannies

+1 !

Hors ligne

#67 02-03-2021 07:41:22

griggione
Membre
Inscription : 25-02-2021

Re : Sécuriser un VPS

RE

vv222 a écrit :


Le problème c’est que sans précision supplémentaire cette question ne veut pas dire grand chose wink

Après si ce que tu appelles « sécuriser » est en fait la mise en place d’une politique de sécurité face à un modèle de menace donné, il va falloir nous indiquer le modèle de menace en question pour qu’un puisse proposer quelque chose d’approprié.


Un exemple, mon comptable, je lui ai installé un serveur local pour les sauvegardes de ces données perso et clients et un autre local pour les images des PCs.
MAIS, il y a le risque incendie, par exemple, ou chez nous, en Corse, une charge ...
Donc, des VPS hébergés à l'extérieur permettent de doubler la sécurité des données et images.

vv222 a écrit :

je réponds simplement : « En installant Debian stable dessus, c’est tout. ».


D'accord mais est-ce VRAIMENT suffisant dans ce cas ?

cyrille a écrit :

bah alors configurer iptables et fail2ban


Voila un début de réponse, attendons de voir avec les précisions données si c'est ce qu'il faut et si c'est suffisant.

cyrille a écrit :

Bon courage avec iptables wink


Aïe ... mais s'il faut, je dois le mettre en place.

SuShY a écrit :

cyrille a écrit :

Déjà mets un fail2ban et affiche le rapport quotidien des attaques (essai de connexion échouées et ip bannies

+1 !


Je le mettais déjà avec CentOS (3 tentatives)

Hors ligne

#68 02-03-2021 08:28:03

griggione
Membre
Inscription : 25-02-2021

Re : Sécuriser un VPS

RE

Je dois précisé, nous sommes une association d'informatique et nous faisons surtout des VPS pour des petites mairies, maisons de retraites, anciens combattants, assos handicap, écoles du village.
J'ai pris l'exemple du comptable car ça parait le plus sensible.

SuShY, je suis allé voir la fiche d'inscription, Titre civilité, un président d'association ne peut pas s'inscrire scratchhead.gif smile

Dernière modification par griggione (02-03-2021 08:29:15)

Hors ligne

#69 02-03-2021 10:41:43

SuShY
CA Debian-Facile
Lieu : Chartres
Distrib. : Debian Sid x86_64
Noyau : Linux > 6.0.0-2-amd64
(G)UI : i3WM - 4.21-1
Inscription : 06-01-2018
Site Web

Re : Sécuriser un VPS

griggione a écrit :

SuShY, je suis allé voir la fiche d'inscription, Titre civilité, un président d'association ne peut pas s'inscrire

En tant que personne morale non ?

Hors ligne

#70 02-03-2021 14:38:58

vv222
Administrateur
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : Sécuriser un VPS

griggione a écrit :

vv222 a écrit :

je réponds simplement : « En installant Debian stable dessus, c’est tout. ».


D'accord mais est-ce VRAIMENT suffisant dans ce cas ?



Mes serveurs tournent depuis des années sans intrusion ni vol de données, donc pour moi c’est suffisant.
Si tu veux mettre à l’épreuve celui qui est évoqué ici, il se trouve derrière le nom de domaine mjollnir.dotslashplay.it wink

Pour reprendre les deux exemples qui reviennent ici :

  • iptables ne m’apporterait rien, je n’expose pas de services que je ne veux pas rendre accessibles par l’extérieur

  • fail2ban ne m’apporterait rien, j’utilise des systèmes d’authentification qui ne sont pas sensibles aux attaques de type brute force



À mon avis ce n’est pas une bonne idée de passer du temps à installer plein de couches juste parce que celles-ci "donnent l’impression" d’un serveur sécurisé. Il faut plutôt passer du temps en amont à identifier les risques raisonnables pour un serveur donné, et agir en fonction de ceux-ci.


Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

Hors ligne

#71 02-03-2021 17:23:12

griggione
Membre
Inscription : 25-02-2021

Re : Sécuriser un VPS

RE

SuShY a écrit :

En tant que personne morale non ?


OK mais après, pour Titre civilité, je mets quoi ?

Hors ligne

#72 02-03-2021 17:34:02

griggione
Membre
Inscription : 25-02-2021

Re : Sécuriser un VPS

RE

vv222 a écrit :


Mes serveurs tournent depuis des années sans intrusion ni vol de données, donc pour moi c’est suffisant.


J'ai donné l'utilisation qui sera faite pour ces VPS, si tu penses que c'est inutile, d'accord.

vv222 a écrit :


Il faut plutôt passer du temps en amont à identifier les risques raisonnables pour un serveur donné, et agir en fonction de ceux-ci.


Oui et c'est pour ça que je suis venu.
Comment identifier ces risques ?

vv222 a écrit :

Si tu veux mettre à l’épreuve celui qui est évoqué ici,...


Je suis trés loin de savoir comment faire, ops.gif d'abord savoir comment se protéger est déjà trés bien.

EDIT :

vv222 a écrit :

..., je n’expose pas de services que je ne veux pas rendre accessibles par l’extérieur


Oui mais je dois mettre un Nextcloud dessus ???

Dernière modification par griggione (02-03-2021 17:41:05)

Hors ligne

#73 02-03-2021 20:19:19

vv222
Administrateur
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : Sécuriser un VPS

griggione a écrit :

J'ai donné l'utilisation qui sera faite pour ces VPS


Ce bout-ci je ne l’ai pas vu, ou alors pas compris.

---

griggione a écrit :

Oui mais je dois mettre un Nextcloud dessus ???


Bah ce Nextcloud, tu veux bien qu’on puisse y accéder depuis l’extérieur, non ?
Sinon je ne comprends pas bien comment l’utiliser (après je ne connais pas bien Nextcloud).


Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

Hors ligne

#74 02-03-2021 21:51:36

SuShY
CA Debian-Facile
Lieu : Chartres
Distrib. : Debian Sid x86_64
Noyau : Linux > 6.0.0-2-amd64
(G)UI : i3WM - 4.21-1
Inscription : 06-01-2018
Site Web

Re : Sécuriser un VPS

griggione a écrit :

RE

SuShY a écrit :

En tant que personne morale non ?


OK mais après, pour Titre civilité, je mets quoi ?


Pas obligatoire wink

Hors ligne

#75 03-03-2021 08:13:10

griggione
Membre
Inscription : 25-02-2021

Re : Sécuriser un VPS

RE

vv222 a écrit :

griggione a écrit :

J'ai donné l'utilisation qui sera faite pour ces VPS


Ce bout-ci je ne l’ai pas vu, ou alors pas compris.


Nous sommes une association d'informatique et nous faisons surtout des VPS pour des petites mairies, maisons de retraites, anciens combattants, assos handicap, écoles du village.
Ces VPS sont des cloud tout simplement.
Nextcloud pour permettre l'automatisme des sauvegardes, on sait trés bien que les gens se lassent vite (même si c'est pour eux) et le partage facile de certains fichiers.
D'où le besoin de sécurité smile

SuShY, je m'en occupe
EDIT:
C'est fait. wink

Dernière modification par griggione (03-03-2021 08:31:36)

Hors ligne

Pied de page des forums