Debian Debian-France Debian-Facile Debian-fr.org Debian-fr.xyz Debian ? Communautés

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#76 03-03-2021 13:42:13

SuShY
CA Debian-Facile
Lieu : Chartres
Distrib. : Debian Sid x86_64
Noyau : Linux > 5.14.x-x-amd64
(G)UI : i3WM - 4.20-1
Inscription : 06-01-2018
Site Web

Re : Sécuriser un VPS

griggione a écrit :

SuShY, je m'en occupe
EDIT:
C'est fait.

Vu, merci.

Hors ligne

#77 03-03-2021 15:57:04

vv222
Administrateur
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : Linux ≥ 5.10 (amd64)
(G)UI : Openbox
Inscription : 18-11-2013
Site Web

Re : Sécuriser un VPS

Oh, OK, je pense que je vois mieux le but wink
Si vraiment il ne va y avoir que Nextcloud à tourner sur les serveurs, je ne serai pas forcément de bon conseil, je ne l’ai jamais utilisé.

Jouer sous Debian ? Facile !

Hors ligne

#78 03-03-2021 16:12:31

griggione
Adhérent(e)
Inscription : 25-02-2021

Re : Sécuriser un VPS

RE

vv222 a écrit :


Si vraiment il ne va y avoir que Nextcloud à tourner sur les serveurs, je ne serai pas forcément de bon conseil, je ne l’ai jamais utilisé.


OK merci pour la précision.
Je vais donc continuer sur les conseils donnés.

cyrille a écrit :

bah alors configurer iptables et fail2ban
fail2ban : https://cbiot.fr/dokuwiki/ssh-fail2ban
Bon courage avec iptables wink
tiens https://wiki.visionduweb.fr/index.php/C … u_Iptables



Est-ce que ceux sont les premières choses à faire sur mon Debian ?
Histoire de préparer le serveur correctement. wink

EDIT:
Je suppose que je dois d'abord créer un utilisateur (qui puisse se loger en SSH) et désactiver root, non ?

Dernière modification par griggione (03-03-2021 16:25:44)

Hors ligne

#79 03-03-2021 17:36:55

cyrille
CA Debian-Facile
Distrib. : SID + FreeBSD. Stable sur serveurs.
(G)UI : Xfce/Openbox
Inscription : 21-06-2020
Site Web

Re : Sécuriser un VPS

on desactive pas un compte root, on désactive la connexion root par ssh. Ce n'est pas pareil wink
Oui bien bien sûr il faut te créer un user

"Ils ne me comprennent point, je ne suis pas la bouche qu’il faut à ces oreilles."

Association Debian-Facile | Les cahiers du débutant | ISO Debian-FacilePage perso. sur #df

Hors ligne

#80 03-03-2021 19:43:34

vv222
Administrateur
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : Linux ≥ 5.10 (amd64)
(G)UI : Openbox
Inscription : 18-11-2013
Site Web

Re : Sécuriser un VPS

cyrille a écrit :

on desactive pas un compte root, on désactive la connexion root par ssh. Ce n'est pas pareil wink


Tiens, je vois souvent ce conseil, mais je ne suis pas sûr de comprendre le but de la manœuvre.
C’est uniquement pour qu’un attaquant ne puisse pas deviner le nom du compte à viser pour se connecter via SSH ?


Jouer sous Debian ? Facile !

Hors ligne

#81 04-03-2021 08:53:46

griggione
Adhérent(e)
Inscription : 25-02-2021

Re : Sécuriser un VPS

Bonjour tous,

cyrille a écrit :

on désactive la connexion root par ssh. Ce n'est pas pareil wink
Oui bien bien sûr il faut te créer un user


J'ai du mal avec le wiki de DF pour trouver comment créer un user, désactiver la connexion root, etc.
Bref, faire les choses dans l'ordre, éviter les inutiles.

J'ai trouvé ce lien, est-il valable ? https://wiki.debian.org/fr/SSH

Hors ligne

#82 05-03-2021 07:39:06

tux12
Membre
Lieu : ./
Distrib. : stable
Noyau : celui de la stable
(G)UI : KDE
Inscription : 27-02-2008

Re : Sécuriser un VPS

Bonjour,

Pour ajouter un utilisateur qui puisse se connecter en SSH voir la commande adduser. Une recherche sur le wiki du site ou la commande "man adduser" peuvent te renseigner.

La connexion SSH en root n'est plus permise sur Debian depuis la version 8 de mémoire. Voir par exemple cet article de blog pour Debian9. Je n'ai pas vérifié si la syntaxe du fichier est la même avec Debian10, mais quoiqu'il en soit, si tu ne l''as pas expressément autorisée la connexion root en SSH n'est pas permise par défaut.

Pour le reste tu devrais pouvoir trouver facilement un tuto d'installation de Nextcloud sur le net, j'ai trouvé celui-ci en Anglais qui est bien fait. ou regarder ici par exemple.

Si ça peut aider...

Tout est un sauf zéro. - Wau Holland

Hors ligne

#83 05-03-2021 09:56:41

griggione
Adhérent(e)
Inscription : 25-02-2021

Re : Sécuriser un VPS

RE

tux12 a écrit :


voir la commande adduser. Une recherche sur le wiki du site ou la commande "man adduser" peuvent te renseigner.


Je te remercie, avec la bonne recherche, c'est plus simple smile
Je suppose que je dois choisir "Ajouter un utilisateur système" dans mon cas.

tux12 a écrit :


Je n'ai pas vérifié si la syntaxe du fichier est la même avec Debian10, mais quoiqu'il en soit, si tu ne l''as pas expressément autorisée la connexion root en SSH n'est pas permise par défaut.


C'est là que j'ai du mal.
Pour me connecter en SSH, j'utilise Putty.
Et là, il me semble bien que je sois connecté en root :
849.png

tux12 a écrit :


Pour le reste tu devrais pouvoir trouver facilement un tuto d'installation de Nextcloud sur le net,


Oui, pas de problème, j'avais vu celui de DF.
Ce qui m'interpelle, c'est qu'il est écrit la création d'une BDD aprés l'installation de Nextcloud ???

tux12 a écrit :

Si ça peut aider...


smile_chinois.gif

Bon, ben, j'ai du travail ......yes.gif

Hors ligne

#84 05-03-2021 10:30:54

tux12
Membre
Lieu : ./
Distrib. : stable
Noyau : celui de la stable
(G)UI : KDE
Inscription : 27-02-2008

Re : Sécuriser un VPS

griggione a écrit :

Je suppose que je dois choisir "Ajouter un utilisateur système" dans mon cas.


Non, tu dois ajouter un utilisateur normal.


griggione a écrit :

Et là, il me semble bien que je sois connecté en root :


En effet, donc s'agissant d'un vps il a sans doute été livré ainsi.  Donc dans le fichier /etc/ssh/sshd_config tu dois avoir une ligne

PermitRootLogin yes

remplacer "yes" par "no", sauvegarder et redémarrer le service pour prise en compte.


griggione a écrit :

Ce qui m'interpelle, c'est qu'il est écrit la création d'une BDD aprés l'installation de Nextcloud ???


Ça doit (au moins) servir à gérer les utilisateurs, leurs droits d'accès aux fichiers/répertoires/services/... et sans doute pas mal d'autres paramètres nécessaires au fonctionnement. C'est le cas de nombreuses applications web, sauf à utiliser des alternatives tels que des fichiers XML ou autre (voir NoSQL)


Tout est un sauf zéro. - Wau Holland

Hors ligne

#85 05-03-2021 10:40:21

cyrille
CA Debian-Facile
Distrib. : SID + FreeBSD. Stable sur serveurs.
(G)UI : Xfce/Openbox
Inscription : 21-06-2020
Site Web

Re : Sécuriser un VPS

Dans /etc/ssh/sshd_config

Refuser une connexion root

PermitRootLogin no



Limiter la connexion ssh à certains users

AllowUsers <nom_utilisateur_autorisé> <nom2> <nom3>



Changer le port d'écoute ssh

nano /etc/ssh/sshd_config



changer le

Port 22



En

Port 123456


(prendre un Port non existant bien sûr)

Puis se connecter avec l'option -p 123456

Dans les 2 cas relancé le service ssh pour prise en compte

systemctl restart ssh




Et le mieux étant une identification par clef ssh
https://cbiot.fr/dokuwiki/ssh-fail2ban# … t_de_passe

Dernière modification par cyrille (05-03-2021 10:40:59)


"Ils ne me comprennent point, je ne suis pas la bouche qu’il faut à ces oreilles."

Association Debian-Facile | Les cahiers du débutant | ISO Debian-FacilePage perso. sur #df

Hors ligne

#86 05-03-2021 12:49:00

griggione
Adhérent(e)
Inscription : 25-02-2021

Re : Sécuriser un VPS

RE

Mon travail pour cet aprés-midi wink

tux12 a écrit :


Non, tu dois ajouter un utilisateur normal.


OK, c'est noté.

tux12 a écrit :


Donc dans le fichier /etc/ssh/sshd_config tu dois avoir une ligne

PermitRootLogin yes

remplacer "yes" par "no", sauvegarder et redémarrer le service pour prise en compte.


Une fois l'user créé, je le ferais.
Si je comprend bien, je ne pourrais plus me connecter en root (sauf si j'annule).

tux12 a écrit :


Ça doit (au moins) servir à gérer les utilisateurs, leurs droits d'accès aux fichiers/répertoires/services/...


Oui, mais pour installer Nextcloud, il faut bien une BDD.

cyrille a écrit :


Limiter la connexion ssh à certains users

Changer le port d'écoute ssh


Ce que je ferais pour le port d'écoute ssh.
Pour les users, je note (comme tout ce que je vais faire d'ailleur)

cyrille a écrit :


Et le mieux étant une identification par clef ssh


Depuis le temps que je dois m'y mettre ...... je vais me lancer maintenant que j'ai le bon lien yes.gif

Hors ligne

#87 05-03-2021 12:55:31

tux12
Membre
Lieu : ./
Distrib. : stable
Noyau : celui de la stable
(G)UI : KDE
Inscription : 27-02-2008

Re : Sécuriser un VPS

griggione a écrit :

Si je comprend bien, je ne pourrais plus me connecter en root (sauf si j'annule).


Oui c'est réversible.

griggione a écrit :

Oui, mais pour installer Nextcloud, il faut bien une BDD.


Oui pardon, j'ai lu un peu vite; la création de la BdD fait partie de l'installation en effet.

Dernière modification par tux12 (05-03-2021 12:57:15)


Tout est un sauf zéro. - Wau Holland

Hors ligne

#88 05-03-2021 12:58:41

cyrille
CA Debian-Facile
Distrib. : SID + FreeBSD. Stable sur serveurs.
(G)UI : Xfce/Openbox
Inscription : 21-06-2020
Site Web

Re : Sécuriser un VPS

Si je comprend bien, je ne pourrais plus me connecter en root (sauf si j'annule).


Tu ne pourras plus de connecter en ssh en root dirrectement
par contre, tu te connectes en user puis

su -



et tu seras en root

Dernière modification par cyrille (05-03-2021 12:58:52)


"Ils ne me comprennent point, je ne suis pas la bouche qu’il faut à ces oreilles."

Association Debian-Facile | Les cahiers du débutant | ISO Debian-FacilePage perso. sur #df

Hors ligne

#89 05-03-2021 16:49:46

vv222
Administrateur
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : Linux ≥ 5.10 (amd64)
(G)UI : Openbox
Inscription : 18-11-2013
Site Web

Re : Sécuriser un VPS

griggione a écrit :

tux12 a écrit :


Donc dans le fichier /etc/ssh/sshd_config tu dois avoir une ligne

PermitRootLogin yes

remplacer "yes" par "no", sauvegarder et redémarrer le service pour prise en compte.


Une fois l'user créé, je le ferais.
Si je comprend bien, je ne pourrais plus me connecter en root (sauf si j'annule).



Exact. Et pour annuler, bah il te faut un accès au compte root wink

N'hésite donc pas à vérifier deux bonnes fois avant de modifier cette option que :

  • tu peux te connecter via SSH à un autre utilisateur que root

  • cet utilisateur te permet de passer root, via su ou sudo

  • tout ça fonctionne encore après un redémarrage du serveur


Jouer sous Debian ? Facile !

Hors ligne

#90 05-03-2021 17:23:10

griggione
Adhérent(e)
Inscription : 25-02-2021

Re : Sécuriser un VPS

RE

vv222 a écrit :

griggione a écrit :


Si je comprend bien, je ne pourrais plus me connecter en root (sauf si j'annule).


Exact. Et pour annuler, bah il te faut un accès au compte root wink


Donc je suis cette directive:

cyrille a écrit :


Tu ne pourras plus de connecter en ssh en root dirrectement
par contre, tu te connectes en user puis

su -


et tu seras en root



Je comprend pourquoi tu précises :

vv222 a écrit :


N'hésite donc pas à vérifier deux bonnes fois avant de modifier cette option que :

  • tu peux te connecter via SSH à un autre utilisateur que root

  • cet utilisateur te permet de passer root, via su ou sudo

  • tout ça fonctionne encore après un redémarrage du serveur


OK, bien vérifier avant de désactiver l'accés en ssh en root.
De toute façon, je peux toujours accéder au /etc/ssh/sshd_config via filezilla en sftp, non ?

cyrille a écrit :


par contre, tu te connectes en user puis

su -


et tu seras en root


Et pour revenir sur user ?

Hors ligne

#91 05-03-2021 17:39:48

vv222
Administrateur
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : Linux ≥ 5.10 (amd64)
(G)UI : Openbox
Inscription : 18-11-2013
Site Web

Re : Sécuriser un VPS

griggione a écrit :

De toute façon, je peux toujours accéder au /etc/ssh/sshd_config via filezilla en sftp, non ?



Justement, ce n'est pas gagné. L'authentification SFTP et SSH reposent en général sur le même système (OpenSSH chez Debian).
Donc en bloquant l'accès root via SSH, tu bloques aussi probablement l'accès root via SFTP.


Jouer sous Debian ? Facile !

Hors ligne

#92 05-03-2021 17:50:33

griggione
Adhérent(e)
Inscription : 25-02-2021

Re : Sécuriser un VPS

RE

Aïe, alors la grande question : pour la sécurité, faut-il oui ou non désactiver l'accès root via SSH ?

Hors ligne

#93 05-03-2021 17:53:07

cyrille
CA Debian-Facile
Distrib. : SID + FreeBSD. Stable sur serveurs.
(G)UI : Xfce/Openbox
Inscription : 21-06-2020
Site Web

Re : Sécuriser un VPS

perso je dirais oui
tu te connecteras au sftp via le compte user

"Ils ne me comprennent point, je ne suis pas la bouche qu’il faut à ces oreilles."

Association Debian-Facile | Les cahiers du débutant | ISO Debian-FacilePage perso. sur #df

Hors ligne

#94 05-03-2021 17:59:33

griggione
Adhérent(e)
Inscription : 25-02-2021

Re : Sécuriser un VPS

RE

cyrille a écrit :

perso je dirais oui
tu te connecteras au sftp via le compte user


Bon d'accord, ça laisse une autre porte de sortie.

Ce qui n'empeche pas de faire les tests comme recommandé par vv222 wink

Hors ligne

#95 05-03-2021 18:17:32

tux12
Membre
Lieu : ./
Distrib. : stable
Noyau : celui de la stable
(G)UI : KDE
Inscription : 27-02-2008

Re : Sécuriser un VPS

Sur ce genre de manip qui comporte un risque de se retrouver "enfermé dehors" (je pense à la mise en place de règles iptables aussi), une astuce consiste à créer un cron qui sera exécuté au bout de quelques minutes pour remettre en place l'ancien fichier de config et redémarrer le service. Quand la manip fonctionne je supprime le cron.

Je n'utilise pas FTP, je fais les transferts par scp. Dans ce contexte je suis toujours ennuyé quand je veux faire un scp en root pour copier un ensemble de fichiers appartenant à des users différents d'une machine à une autre (migration de serveur, backup); seule la copie par root permet de conserver les propriétaires et groupes de chaque fichier/répertoire. (en contrepartie ça  évite un service de plus sur la machine - le FTP)

Question de choix et d'usage. smile

Tout est un sauf zéro. - Wau Holland

Hors ligne

#96 05-03-2021 18:21:37

vv222
Administrateur
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : Linux ≥ 5.10 (amd64)
(G)UI : Openbox
Inscription : 18-11-2013
Site Web

Re : Sécuriser un VPS

griggione a écrit :

Aïe, alors la grande question : pour la sécurité, faut-il oui ou non désactiver l'accès root via SSH ?



J'ai posé cette même question un peu plus haut wink

Je vois que cyrille et tux12 soutiennent que c'est une bonne pratique de sécurité, mais je ne suis toujours pas sûr de comprendre pourquoi. En particulier, je ne vois pas de quel type d'attaque c'est censé protéger.

Après je ne suis pas non plus un expert en sécurité, donc il y a très certainement pas mal de choses qui m'échappent sur ces sujets.


Jouer sous Debian ? Facile !

Hors ligne

#97 05-03-2021 18:35:13

tux12
Membre
Lieu : ./
Distrib. : stable
Noyau : celui de la stable
(G)UI : KDE
Inscription : 27-02-2008

Re : Sécuriser un VPS

Damned, jusqu'ici j'avais réussi à éviter d'avoir à répondre sur ce point, mais là...  faut y aller big_smile

Du coup j'avoue faire partie de ceux qui laissent actif l'accès en root parce que je dors très bien avec un bon mot de passe, un port autre que le 22 et un DROP fail2ban de 24h au bout de 3 essais sur le ssh. Ça présente à mon sens pas plus de risques que les clés, mais plus de souplesse (connexion depuis n'importe quelle machine, il est plus facile de retenir un passwd qu'une clé RSA tongue; possibilité d'utiliser scp en root pour des migrations comme dit plus haut )

Edit: Je note qu'on parle beaucoup de la sécurisation du SSH dans ce fil ou dans cet autre  mais il y a généralement des points d'entrée beaucoup plus prometteurs que SSH pour attaquer un serveur.

Dernière modification par tux12 (05-03-2021 18:41:45)


Tout est un sauf zéro. - Wau Holland

Hors ligne

#98 05-03-2021 18:43:36

cyrille
CA Debian-Facile
Distrib. : SID + FreeBSD. Stable sur serveurs.
(G)UI : Xfce/Openbox
Inscription : 21-06-2020
Site Web

Re : Sécuriser un VPS

@vv222 : en fait je ne n'en sais rien. Juste éplucher de fond en comble la doc de yunohost. Pour moi ça reste une référence en matériel de sécurité serveur. Et il le conseille. Donc étant plus compétent que moi, je ne fais que relayer les infos que j'ai en ma possesion que j'ai appliquées sur mes serveurs (qui pour l'instant ne mont jamais posés (trop) de soucis)

"Ils ne me comprennent point, je ne suis pas la bouche qu’il faut à ces oreilles."

Association Debian-Facile | Les cahiers du débutant | ISO Debian-FacilePage perso. sur #df

Hors ligne

#99 05-03-2021 19:23:42

griggione
Adhérent(e)
Inscription : 25-02-2021

Re : Sécuriser un VPS

RE

J'ai créé l'user.
Je peux me connecter en ssh.
Je peux me connecter par sftp.
Quand je suis en user, avec su -, je passe bien en root.
Je ne sais pas si on peut faire l'inverse ?

Maintenant, je désire désactiver l'accés ssh en root :

editor /etc/ssh/sshd_config


OK j'y suis mais comment je change yes en no ops.gif
Je veux dire, en ligne de commande.

Dernière modification par griggione (05-03-2021 19:24:55)

Hors ligne

#100 05-03-2021 19:30:46

tux12
Membre
Lieu : ./
Distrib. : stable
Noyau : celui de la stable
(G)UI : KDE
Inscription : 27-02-2008

Re : Sécuriser un VPS

À tout moment en console, tu fermes le shell courant avec Ctrl+D. Du coup si tu as fait "su -" pour passer root, le Ctrl+D te ramenera au niveau du shell d'appel (celui du user normal). Si tu refais Ctrl+D ça te déconnectera du serveur.

On modifie un fichier en CLI avec un éditeur de texte en CLI (nano, vi, emacs....). Ici il faudra être root pour pouvoir enregistrer les modifs.

Tout est un sauf zéro. - Wau Holland

Hors ligne

Pied de page des forums