Aller au contenu
Couillaman le site une demo bientot ! ×

02 - Premier accès, sécurisation SSH


dokuro
 Share

Messages recommandés

Vous avez donc reçu un email avec les informations de connexion au serveur.

On connait donc l'adresse IP du serveur, son hostname (nom d'hôte), le mot de passe du compte root. On se connecte par l'intermédiaire d'un terminal. ( ou d'un logiciel commePutty )

ssh root@91.91.91.91

Saisissez le mot de passe root.

On fait quelques vérifications sur notre système de fichiers

# uname -ar

Linux ***.org 3.10.23-xxxx-std-ipv6-64 #1 SMP Tue Mar 18 (***) x86_64 GNU/Linux

# cat /etc/debian_version

7.7

# cat /etc/fstab

/dev/md2    /    ext4    errors=remount-ro,relatime    0    1

/dev/md3    /home    ext4    defaults,relatime    1    2

/dev/md5    /var    ext4    defaults,relatime    1    2

/dev/sda4    swap    swap    defaults    0    0

/dev/sdb4    swap    swap    defaults    0    0

proc        /proc    proc    defaults        0    0

sysfs        /sys    sysfs    defaults        0    0

tmpfs        /dev/shm    tmpfs    defaults    0    0

devpts        /dev/pts    devpts    defaults    0    0

Pour des raisons assez évidentes de sécurité, c'est une très bonne chose que de changer immédiatement ce mot de passe root qui a circulé par email. 

# passwd

Tapez deux fois un nouveau mot de passe fort et sécurisé pour l'utilisateur root. Et conservez-le !

 

Création d'un nouvel utilisateur 

Profitez-en pour créer un utilisateur "normal", auquel nous donnerons les droits 'root' pour gérer les opérations d'administration du serveur. Ce sera l'utilisateur qui sera l'administrateur à privilégier, se connecter en root sur une machine est plus que déconseillé et par la suite nous interdirons toute connexion de l'utilisateur root par SSH.

# adduser nom_utilisateur

Saisir deux fois le mot de passe du nouvel utilisateur, là encore, penser à utiliser un mot de passe fort et sécurisé, puis on associe le nouvel utilisateur aux groupes root et adm afin qu'il puisse accéder aux tâches administratrives sur le système

# adduser nom_utilisateur root

# adduser nom_utilisateur adm

 

Pour utiliser la commande sudo avec cet utilisateur, on installe le nécessaire

# aptitude install sudo

# visudo

Ajouter la ligne suivante à la fin du fichier: 

%root ALL=(ALL) PASSWD: ALL

Pour confirmer l'enregistrement, faire Ctrl+X, puis presser Y pour yes...

 

On installe quelques paquets utiles

# aptitude install debian-goodies fail2ban ntp ntpdate

 

Configuration Fail2ban pour le SSH:

# nano /etc/fail2ban/jail.conf

 

Ajouter une section pour sécuriser le SSH, en fin de fichier

[ssh]

enabled  = true

port     = ssh

filter   = sshd

logpath  = /var/log/auth.log

maxretry = 5

bantime = 900

On redémarre fail2ban

# /etc/init.d/fail2ban restart

 

Déplacer le port d'écoute de SSH

# nano /etc/ssh/sshd_config

Modifier la ligne Port 22 par Port 22020 (ou tout autre port non standard ouvert)

On redémarre ensuite SSH

# /etc/init.d/ssh restart

Puis on se déconnecte du serveur

# logout

 

Reconnexion en SSH

Après ces premières opérations, on donc doit pouvoir:

 

Se connecter en SSH avec l'utilisateur root et/ou avec le nouvel utilisateur créé.

S'assurer que tout cela est bien possible! On connecte avec le nouvel utilisateur, sur le nouveau port...

ssh nom_utilisateur@91.91.91.91 -p 22020

-> Saisir le mot de passe de l'utilisateur

 

Tester la fonction sudo, par exemple en mettant à jour la base de données des fichiers:

$ whoami

nom_utilisateur

$ sudo updatedb

(saisir le mot de passe pour nom_utilisateur)

Tester le passage en root pour notre utilisateur

$ su -

(saisir le mot de passe root)

# whoami

root

Si tout cela fonctionne, on peut maintenant interdire l'accès SSH à l'utilisateur root en éditant le fichier de configuration... Changer yes par no pour le paramètre PermitRootLogin

# nano /etc/ssh/sshd_config

PermitRootLogin no

Maintenant, il suffit de relancer le serveur SSH pour prendre en compte cette modification. A compter de ce moment, il faudra donc se connecter avec l'utilisateur qui possède les droits root sur la machine, mais qui n'est pas root...

# /etc/init.d/ssh restart

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

×
×
  • Créer...