Installer un serveur dédié Debian "Dedibox" #2
Nous avons vu, avec le premier billet de la série, comment éviter que la Dedibox ne freeze.
Maintenant que nous avons un système beaucoup plus stable, passons à sa protection.
Seconde partie - Chapitre 1 : Protéger le serveur
Les 3 premières choses à faire pour assurer a minima une sécurité au serveur sont de limiter les accès SSH, de limiter les consoles et de désactiver/supprimer quelques services inutiles.
1 / Interdire l'accès root en SSH
Editez le fichier sshd_config[1] :
# nano /etc/ssh/sshd_config
Ajoutez y cette ligne :
PermitRootLogin no
Enregistrez. C'est fait !
2 / Désactivez les consoles inutiles
Vos consoles sont désignées par tty1... ttyn. Comme vous êtes en accès distant, il est inutile de bouffer de la mémoire à rien. Autant les désactiver :
Tapez :
# nano /etc/inittab
et commentez sous les lignes, sauf celle correspondant à l'id 1 :
# /sbin/getty invocations for the runlevels. # # The "id" field MUST be the same as the last # characters of the device (after "tty"). # # Format: # <id>:<runlevels>:<action>:<process> # # Note that on most Debian systems tty7 is used by the X Window System, # so if you want to add more getty's go ahead but skip tty7 if you run X. # 1:2345:respawn:/sbin/getty 38400 tty1 #2:23:respawn:/sbin/getty 38400 tty2 #3:23:respawn:/sbin/getty 38400 tty3 #4:23:respawn:/sbin/getty 38400 tty4 #5:23:respawn:/sbin/getty 38400 tty5 #6:23:respawn:/sbin/getty 38400 tty6
Pour que la manipulation soit prise en compte, il vous faudra rebooter à l'occasion.
3/ Désactivation des services inutiles
Nous allons virer ce qui ne sert pas, à savoir ppp, portmap (si vous n'utilisez ni NFS, ni FAM) et inetd (parce que tout tournera en standalone).
Certains dégagent atd au bénéfice de crond. C'est un choix. Evitez juste de vous amuser avec at si vous le faites.
Revenons à nos moutons. Pour supprimer ces services, tapez :
# apt-get remove ppp # apt-get remove portmap # update-rc.d -f inetd remove # update-rc.d -f ppp remove
Dans le prochain épisode, nous verrons comment modifier quelques paramètres d'interface pour rendre le système un peu plus sûr, puis de quelle manière se prémunir des tentatives d'accès en brute force.
Notes
[1] Comme précisé en première partie, $ devant la commande correspond à votre utilisateur normal et # à votre utilisateur root.
Aucun commentaire pour le moment.
Leave a comment