Installation Ubuntu Server - Chapitre 1

B / Pré-requis

Un peu de patience et une bonne grosse demi-journée de travail

I / Ménage et sécurité

1 / Mise à jour du système

Votre système est fraichement installé mais aucune mise à jour n'a encore été faite.
Commencez par éditer le sources.list et fournissez lui les bons dépôts (sauf exception, inutile d'ajouter de fioritures, c'est un serveur, pas un desktop) :

$ sudo nano /etc/apt/sources.list

puis ajoutez ces lignes en remplacement de celles proposées

deb http://fr.archive.ubuntu.com/ubuntu/ edgy main restricted
deb-src http://fr.archive.ubuntu.com/ubuntu/ edgy main restricted
#Major bug fix updates produced after the final release of the
## distribution.
deb http://fr.archive.ubuntu.com/ubuntu/ edgy-updates main restricted
deb-src http://fr.archive.ubuntu.com/ubuntu/ edgy-updates main restricted

## Uncomment the following two lines to add software from the 'universe'
## repository.
## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team, and may not be under a free licence. Please satisfy yourself as to
## your rights to use the software. Also, please note that software in
## universe WILL NOT receive any review or updates from the Ubuntu security
## team.
deb http://fr.archive.ubuntu.com/ubuntu/ edgy universe multiverse
deb-src http://fr.archive.ubuntu.com/ubuntu/ edgy universe multiverse

## Uncomment the following two lines to add software from the'backports'
## repository.
## N.B. software from this repository may not have been tested as
## extensively as that contained in the main release, although it includes
## newer versions of some applications which may provide useful features.
## Also, please note that software in backports WILL NOT receive any review
## or updates from the Ubuntu security team.
deb http://fr.archive.ubuntu.com/ubuntu/ edgy-backports main restricted universe multiverse
deb-src http://fr.archive.ubuntu.com/ubuntu/ edgy-backports main restricted universe multiverse

deb http://security.ubuntu.com/ubuntu edgy-security main restricted
deb-src http://security.ubuntu.com/ubuntu edgy-security main restricted
deb http://security.ubuntu.com/ubuntu edgy-security universe multiverse
deb-src http://security.ubuntu.com/ubuntu edgy-security universe multiverse

Enregistrez et faites :

$ sudo apt-get update && sudo apt-get upgrade

pour procéder à la mise à jour

2 / Supprimer les services inutiles

Typiquement, sur un serveur, il y a pas mal de services, dont vous n'aurez jamais aucune utilité, qui méritent d'être débarqués. Quel intérêt de charger ppp par exemple ?

Par conséquent, vous pouvez supprimer sans vergogne le superflu et désactiver les services associés.

J'ai pris le parti de dégager ppp, daytime, telnet, time, finger, talk, ntalk, ftp, discard, pcmciautils. Dont acte :

$ sudo apt-get remove --purge ppp lpr nfs-common pidentd pcmcia-cs ppoe ppoeconf pppconfig^[1]
$ sudo update-rc.d --remove ppp
$ sudo update-rc.d --remove telnet
$ sudo update-rc.d --remove time
$ sudo update-rc.d --remove finger
$ sudo update-rc.d --remove talk
$ sudo update-rc.d --remove ntalk
$ sudo update-rc.d --remove ftp
$ sudo update-rc.d --remove discard
$ sudo update-rc.d --remove pcmciautils

3 / Supprimer la connexion root de SSH

Accéder son serveur en ssh, c'est bien. Se faire enfoncer le fion parce qu'on a bêtement laissé l'accès root en connexion, c'est plus embêtant. Pour parer à cette sale éventualité, interdisons l'accès au serveur en ssh au compte root.

$ sudo nano /etc/ssh/sshd_config

Dans ce fichier, cherchez la chaine "PermitRootLogin" et placez sa valeur à "no".

Fermez le fichier et enregistrez le.

4 / Sécurisation noyau

Maintenant, nous allons, sous compte root, modifier les paramètres ipv4 afin de sécuriser un peu plus notre serveur, notamment en ignorant les paquets broadcast, désactiver le routage des paquets d'origine interne, désactiver les autorisations de redirection depuis le serveur, loguer les paquets falsifiés, ...

$ sudo -s
$ echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
$ echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcast
$ echo "1" > /proc/sys/net/ipv4/tcp_syncookies
$ echo "1024" > /proc/sys/net/ipv4/tcp_max_syn_backlog
$ echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
$ echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
$ echo "0" > /proc/sys/net/ipv4/conf/all/secure_redirects
$ echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
$ echo "1" > /proc/sys/net/ipv4/conf/all/log_martians
$ exit

5 / Synchronisation du serveur (NTP)

Avoir un serveur, c'est bien. Avoir un serveur à l'heure, c'est mieux. Intéressons nous à la synchronisation de notre machine sur un serveur d'horodatage :

$ sudo ntpdate ntp.dedibox.fr
$ sudo apt-get install ntp-simple
$ sudo nano /etc/ntp.conf^[2]

Dans le fichier ntp.conf, indiquer ces deux lignes:

server pool.ntp.org
server ntp.dedibox.fr

Enregistrez, quittez.

6 / Fail2ban et Chkrootkit

Administrer une machine, c'est aussi faire face à une multitude de comiques qui tenteront d'accéder par tous les moyens à un compte. La méthode n'est sans doute pas parfaite mais 2 utilitaires nommés fail2ban et chkrootkit peuvent vous faciliter la vie.

Fail2ban scanne vos fichiers de log en temps réel et banni, si l'option est activée, les gugus qui s'approchent d'un peu trop près du serveur. Il s'installe comme suit :

$ sudo apt-get install fail2ban

ATTENTION : Avec la version 6.10 d'Ubuntu, vous installerez la version 0.6.1 de fail2ban. Elle est buggée. Suivez ces indications pour corriger l'erreur

Quant à chkrootkit, son rôle se cantonne à vérifier fréquemment la présence de rootkits et vous en avertir.

$ sudo apt-get install chkrootkit

Alors que fail2ban tourne en daemon, chkrootkit doit être lancé à la mimine. Pour ne pas trop se fatiguer (faut pas déconner, non plus), assignons-lui un cron :

$ sudo crontab -e

Dans le fichier cron, plaçons cette ligne :

0 3 * * *  chkrootkit 2>&1 | mail votre@adresse.mail -s "Rapport quotidien RootKit"

Enregistrez, quittez. Vous recevrez alors par mail ^[3] quotidiennement, à 3 heures du matin, le rapport.

Le chapitre 1 est clos.

Votre serveur est installé et sécurisé contre les principales attaques.

J'aborderai, dans les prochains chapitres, l'installation et la configuration du serveur de mail postfix, l'installation d'un serveur LAMP (Linux - Apache - Mysql - PHP), la configuration de fail2ban que nous n'avons pour l'instant qu'installé, la configuration d'Apache afin de gérer les Vhosts et l'installation de ProFTP.

Notes :

^[1] Indiquer oui à la demande de suppression des autres paquets

^[2] Il se peut que ce fichier n'existe pas. Le créer, le cas échéant.

^[3] L'installation et la configuration de Postfix seront abordées dans un prochain billet

1. Jsp, le mardi 18 septembre 2007:

Bravo pour ce tutorial. A quand le chapitre 2?

Merci encore!

2. Val, le mardi 18 septembre 2007:

Il faut savoir que je suis un gros fainéant. Le chapitre deux est en préparation. A vrai dire, il y a même deux potentiels chapitre 2 en cours : installation et configuration de Postfix ou Configuration de LAMP avec config des vhosts.

Puisque vous êtes demandeur, qu'est-ce qui vous intéresse prioritairement ? Je finaliserai votre choix en premier (puisque vous êtes le premier à demander)

3. Jsp, le mardi 18 septembre 2007:

Merci pour votre réponse rapide.

La configuration de LAMP avec ensuite l'installation de ProFTP avec configurations des users et des dossiers FTP me tenterait assez.

Encore merci par avance.

4. Val, le mardi 18 septembre 2007:

Ah mais ça va carrèment me faire les chapitres 2 et 3 d'un coup ça !

Ok, je m'y colle dès demain et je ponds ça au plus vite (d'ici ce week-end en principe)

5. Safe, le jeudi 11 octobre 2007:

Super Val t'assure grave merci

6. david, le mercredi 28 mai 2008:

merci pour ce super chapitre, je débute en administration de serveur ubuntu et la j'ai bien progressé !

7. golfeur, le mardi 27 janvier 2009:

Salut a tous
je souhaite mettre un serveur ubuntu en production pour
serveur radius
serveur dhcp
serveur de fichier pour un eple

lun	mar	mer	jeu	ven	sam	dim
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31

Installation Ubuntu Server - Chapitre 1

Sponsoring

Notes :

Sponsoring

Billets en relation

Un truc à dire ?

Affaires à faire

Contact et recommandation

Pub

Divers

Syndication

On en parle à c't'heure

Les 10 derniers billets publiés

Eud'la lecture saine

Geek

Copinage

Divers à lire

En relation avec fourre-tout

Archives:.