Jump to content
Sign in to follow this  
Cloudfordream

Comment sécuriser un VPS Linux ?

Recommended Posts

La sécurisation de votre serveur Linux est essentielle pour vous prémunir des menaces de piratage.

Lors de la livraison de votre VPS, un système d'exploitation est installé mais aucune sécurité n'est activée. Afin de sécuriser votre VPS, il vous appartient d'effectuer quelques manipulations.

Cloudfordream vous propose quelques notions de sécurité de base pour votre VPS. Pour effectuer ces manipulations, vous devez être connecté en SSH à votre VPS (root).

I) Mettre à jour le système

Dans un premier temps, nous vous recommandons de mettre à jour les paquets. Ces derniers sont mis à jour régulièrement par les développeurs des distributions afin de garantir la sécurité. Pensez à mettre régulièrement à jour les paquets de votre VPS, cette manipulation est essentielle à la sécurisation continue de votre VPS.

La mise à jour se fait en deux étapes, commencez tout d'abord par mettre à jour la liste des paquets :

apt-get update

Puis mettez à jour les paquets :

apt-get upgrade

Votre système est maintenant à jour.

II) Modifier le mot de passe root

A la livraison de votre VPS, un mot de passe est généré automatiquement pour l'accès principal (root) à votre serveur. Nous vous recommandons vivement de le modifier.

Attention: Si vous modifiez le mot de passe de votre machine notez-le bien, le nouveau mot de passe ne sera pas indiqué dans votre espace client et Cloudfordream n’a aucun moyen de récupérer votre mot de passe. En cas de perte, vous serez dans l’obligation de réinstaller votre VPS et donc de perdre toutes les données présentes dessus.

Pour modifier le mot de passe, une fois connecté à votre VPS, entrer la commande suivante :

passwd root

Le système vous demandera d'entrer le nouveau mot de passe deux fois de suite pour le valider. Pour des raisons de sécurité, le mot de passe ne sera pas affiché à l'écran pendant l'écriture, il est donc normal que vous ne voyez pas les caractères saisis.

III) Créer un utilisateur avec des droits restreints

Pour créer un nouvel utilisateur, entrer la commande suivante :

adduser NomUtilisateurDeVotreChoix

Vous serez ensuite amené à remplir les informations liées au compte demandées: mot de passe, nom, ...

Cet utilisateur sera alors autorisé à se connecter en SSH avec le mot de passe choisi à la création du compte.

Lorsque vous serez connecté avec ce nouveau compte, si vous souhaitez effectuer des opérations nécessitant les droits root, utiliser la commande suivante :

su root

Vous devrez alors renseigner le mot de passe associé au compte root pour valider.

IV) Modifier le port d'écoute par défaut

Nous vous conseillons également de modifier le port d'écoute par défaut du SSH.

Par défaut, l'écoute est définie par défaut sur le port 22, il est vivement conseillé de modifier ce dernier. Les robots visant à tenter le piratage de votre serveur ciblent en premier le port 22. En modifiant ce port, vous compliquez la tâche de personnes mal intentionnées.

Pour modifier le fichier de configuration entrer cette commande :

nano /etc/ssh/sshd_config

Trouvez la ligne suivante :

# What ports, IPs and protocols we listen for Port 22
Port 22

Modifier alors le 22 par le numéro de port de votre choix. Veillez à ne pas utiliser un numéro de port déjà utilisé sur votre système. Enregistrez et quittez le fichier de configuration.

Redémarrez le service :

/etc/init.d/ssh restart

Lors de votre demande de connexion SSH à votre VPS, vous devrez renseigner le nouveau port :

ssh [email protected] -p NewPort

IV) Désactiver l'accès root

L'utilisateur root possède les droits les plus élevés sur votre système. Il est dangereux de laisser votre VPS accessible uniquement via cet utilisateur, en effet, ce compte peut effectuer des opérations irréversibles sur votre serveur.

Nous vous recommandons de désactiver l'accès direct des utilisateurs root via SSH

Pour ce faire, vous allez devoir modifier le fichier de configuration SSH comme nous l'avons fait à l'étape précédente pour modifier le port d'accès :

nano /etc/ssh/sshd_config

Trouver la section suivante :

# Authentication: 
LoginGraceTime 120
PermitRootLogin yes 
StrictModes yes

A la ligne PermitRootLogin remplacer le yes par no.

Afin de valider cette modification, vous devez redémarrer le service SSH :

/etc/init.d/ssh restart

Désormais, pour vous connecter, utilisez l'utilisateur que nous venons de créer à l'étape 3.

V) Installer et configurer le framework Fail2ban

Il s'agit d'un framework préventif contre les intrusions dont le but est de bloquer les adresses IP inconnues qui tenteraient de se connecter à votre serveur. Ce logiciel est primordial pour vous prémunir des attaques contre votre système.

Commencez d'abord par installer le paquet :

apt-get install fail2ban

Le paquet, installé, il faut désormais modifier le fichier de configuration pour l'adapter à vos besoins. Avant d'effectuer ces modifications, nous vous recommandons d'effectuer une sauvegarde du fichier de configuration de base :

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.backup

Modifier les fichiers :

nano /etc/fail2ban/jail.conf

Lorsque vous avez terminé, redémarrez le service :

/etc/init.d/fail2ban restart

Si vous avez besoin d'aide supplémentaire concernant Fail2ban, vous pouvez consulter la documentation officielle en cliquant ici.

VI) Configuration iptables

Les distributions Linux sont fournies avec un service de pare-feu nommé iptables. Par défaut, aucune règle n'est activée. Pour consulter la liste des règles actives, utiliser la commande suivante :

iptables -L

Nous vous recommandons de créer des règles sur mesure selon votre utilisation. Pour plus d'informations, référez vous à la documentation officielle de la distribution installée sur votre VPS.

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.
Sign in to follow this  

×