Installer un serveur dédié Debian "Dedibox" #2

Nous avons vu, avec le premier billet de la série, comment éviter que la Dedibox ne freeze.

Maintenant que nous avons un système beaucoup plus stable, passons à sa protection.

Seconde partie – Chapitre 1 : Protéger le serveur

Les 3 premières choses à faire pour assurer a minima une sécurité au serveur sont de limiter les accès SSH, de limiter les consoles et de désactiver/supprimer quelques services inutiles.

1 / Interdire l’accès root en SSH

Editez le fichier sshd_config[1] :

# nano /etc/ssh/sshd_config

Ajoutez y cette ligne :

PermitRootLogin no

Enregistrez. C’est fait !

2 / Désactivez les consoles inutiles

Vos consoles sont désignées par tty1… ttyn. Comme vous êtes en accès distant, il est inutile de bouffer de la mémoire à rien. Autant les désactiver :

Tapez :

# nano /etc/inittab

et commentez sous les lignes, sauf celle correspondant à l’id 1 :

# /sbin/getty invocations for the runlevels. # # The "id" field MUST be the same as the last # characters of the device (after "tty"). # # Format: #  <id>:<runlevels>:<action>:<process> # # Note that on most Debian systems tty7 is used by the X Window System, # so if you want to add more getty's go ahead but skip tty7 if you run X. # 1:2345:respawn:/sbin/getty 38400 tty1 #2:23:respawn:/sbin/getty 38400 tty2 #3:23:respawn:/sbin/getty 38400 tty3 #4:23:respawn:/sbin/getty 38400 tty4 #5:23:respawn:/sbin/getty 38400 tty5 #6:23:respawn:/sbin/getty 38400 tty6

Pour que la manipulation soit prise en compte, il vous faudra rebooter à l’occasion.

3/ Désactivation des services inutiles

Nous allons virer ce qui ne sert pas, à savoir ppp, portmap (si vous n’utilisez ni NFS, ni FAM) et inetd (parce que tout tournera en standalone).

Certains dégagent atd au bénéfice de crond. C’est un choix. Evitez juste de vous amuser avec at si vous le faites.

Revenons à nos moutons. Pour supprimer ces services, tapez :

# apt-get remove ppp # apt-get remove portmap # update-rc.d -f inetd remove # update-rc.d -f ppp remove

Dans le prochain épisode, nous verrons comment modifier quelques paramètres d’interface pour rendre le système un peu plus sûr, puis de quelle manière se prémunir des tentatives d’accès en brute force.

Notes

[1] Comme précisé en première partie, $ devant la commande correspond à votre utilisateur normal et # à votre utilisateur root.

Giskette

Geekette coquette avec un chat et un gros défaut... mes parents : je m'appelle Gisèle

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *


*