dokuro Posté(e) le 18 janvier 2015 Signaler Share Posté(e) le 18 janvier 2015 Vous avez donc reçu un email avec les informations de connexion au serveur. On connait donc l'adresse IP du serveur, son hostname (nom d'hôte), le mot de passe du compte root. On se connecte par l'intermédiaire d'un terminal. ( ou d'un logiciel commePutty ) ssh root@91.91.91.91 Saisissez le mot de passe root. On fait quelques vérifications sur notre système de fichiers # uname -ar Linux ***.org 3.10.23-xxxx-std-ipv6-64 #1 SMP Tue Mar 18 (***) x86_64 GNU/Linux # cat /etc/debian_version 7.7 # cat /etc/fstab # /dev/md2 / ext4 errors=remount-ro,relatime 0 1 /dev/md3 /home ext4 defaults,relatime 1 2 /dev/md5 /var ext4 defaults,relatime 1 2 /dev/sda4 swap swap defaults 0 0 /dev/sdb4 swap swap defaults 0 0 proc /proc proc defaults 0 0 sysfs /sys sysfs defaults 0 0 tmpfs /dev/shm tmpfs defaults 0 0 devpts /dev/pts devpts defaults 0 0 Pour des raisons assez évidentes de sécurité, c'est une très bonne chose que de changer immédiatement ce mot de passe root qui a circulé par email. # passwd Tapez deux fois un nouveau mot de passe fort et sécurisé pour l'utilisateur root. Et conservez-le ! Création d'un nouvel utilisateur Profitez-en pour créer un utilisateur "normal", auquel nous donnerons les droits 'root' pour gérer les opérations d'administration du serveur. Ce sera l'utilisateur qui sera l'administrateur à privilégier, se connecter en root sur une machine est plus que déconseillé et par la suite nous interdirons toute connexion de l'utilisateur root par SSH. # adduser nom_utilisateur Saisir deux fois le mot de passe du nouvel utilisateur, là encore, penser à utiliser un mot de passe fort et sécurisé, puis on associe le nouvel utilisateur aux groupes root et adm afin qu'il puisse accéder aux tâches administratrives sur le système # adduser nom_utilisateur root # adduser nom_utilisateur adm Pour utiliser la commande sudo avec cet utilisateur, on installe le nécessaire # aptitude install sudo # visudo Ajouter la ligne suivante à la fin du fichier: %root ALL=(ALL) PASSWD: ALL Pour confirmer l'enregistrement, faire Ctrl+X, puis presser Y pour yes... On installe quelques paquets utiles # aptitude install debian-goodies fail2ban ntp ntpdate Configuration Fail2ban pour le SSH: # nano /etc/fail2ban/jail.conf Ajouter une section pour sécuriser le SSH, en fin de fichier [ssh] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 5 bantime = 900 On redémarre fail2ban # /etc/init.d/fail2ban restart Déplacer le port d'écoute de SSH # nano /etc/ssh/sshd_config Modifier la ligne Port 22 par Port 22020 (ou tout autre port non standard ouvert) On redémarre ensuite SSH # /etc/init.d/ssh restart Puis on se déconnecte du serveur # logout Reconnexion en SSH Après ces premières opérations, on donc doit pouvoir: Se connecter en SSH avec l'utilisateur root et/ou avec le nouvel utilisateur créé. S'assurer que tout cela est bien possible! On connecte avec le nouvel utilisateur, sur le nouveau port... ssh nom_utilisateur@91.91.91.91 -p 22020 -> Saisir le mot de passe de l'utilisateur Tester la fonction sudo, par exemple en mettant à jour la base de données des fichiers: $ whoaminom_utilisateur $ sudo updatedb(saisir le mot de passe pour nom_utilisateur) Tester le passage en root pour notre utilisateur $ su -(saisir le mot de passe root) # whoamiroot Si tout cela fonctionne, on peut maintenant interdire l'accès SSH à l'utilisateur root en éditant le fichier de configuration... Changer yes par no pour le paramètre PermitRootLogin # nano /etc/ssh/sshd_config PermitRootLogin no Maintenant, il suffit de relancer le serveur SSH pour prendre en compte cette modification. A compter de ce moment, il faudra donc se connecter avec l'utilisateur qui possède les droits root sur la machine, mais qui n'est pas root... # /etc/init.d/ssh restart Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.