Bonjour à tous,

Aujourd’hui suite de la série d’article sur l’auto-hébergement. Je vais aujourd’hui vous parler de la sécurité générale  du système. J’évoquerais la sécurité des différents contenus (web, mail etc…) au fil de l’eau.

Tout d’abord la première sécurité à mettre en place réside dans la connexion au serveur. En effet, pour pouvoir se connecter au terminal, on utilise le protocole SSH, qui peut rendre votre système vulnérable si il est mal configuré.
Exemple : ssh utilisateur@nomdedomaine.exemple ou ssh utilisateur@IP

Pour cela il faut modifier le fichier /etc/ssh/sshd_config (chemin de base sur Linux). Je vais évoquer par la suite une suite de paramètres assez communs ayant fait leurs preuves. N’hésitez pas à consulter la doc complète pour plus d’informations.

  • Le port de connexion : le paramètre de base est Port 22. La plupart des personnes vous conseilleront de modifier ce port pour éviter les attaques de robots sur ce port. Cependant cela peut-être une contrainte sur les configurations de vos futurs logiciels qui devront tous prendre en compte ce changement. Vous pouvez choisir le port de votre choix à condition qu’il ne soit pas déjà occupé. Sachez qu’il est aussi possible de laisser le port par défaut et de mettre en place un mécanisme de ban d’IP (à l’aide de fail2ban par exemple)
  • PermitRootLogin : paramètre critique, il autorise ou non la connexion en tant qu’utilisateur root. Une fois un utilisateur standard crée, il faut passer ce paramètre à no
  • RSAAuthentication,PubkeyAuthentication et PasswordAuthentication : Ces paramètres permettent de définir la façon par laquelle vous souhaitez vous authentifier à savoir avec un mot de passe ou bien avec un fichier clé. Pensez à bien passer à no les paramètres non utilisés.

Le choix du mode d’authentification ne dépend que de vous, même si la plupart des personnes tendent à penser que la clé est plus sécurisé que le mot de passe. Dans le cas du mot de passe, il doit être suffisamment long et complexe (mais je pense que vous le saviez déjà 🙂 ). Il correspond au mot de passe de l’utilisateur que vous souhaitez utiliser.

Pour créer un clé, placez vous dans terminal sur votre PC personnel et entrez la commande ssh-keygen -t rsa. Laissez les chemins par défaut et saisissez un mot de passe pour le fichier si vous le souhaitez. Ensuite il suffit d’utiliser la commande
ssh-copy-id utilisateur@nomdedomaine.exemple
et de saisir le mot de passe de l’utilisateur distant pour activer votre fichier clé sur votre serveur. Désormais vous pourrez vous connecter sans utiliser votre mot de passe (sauf celui de la clé bien sûr)

ATTENTION : n’hésitez surtout pas à sauvegarder votre clé ssh dans le cas ou elle serait altérée. Dans le cas contraire vous courrez le risque de ne plus pouvoir vous connecter à votre serveur.

Une fois SSH configuré n’oubliez pas de relancer le service (service ssh restart sur Debian) pour appliquer les paramètres.

Passons maintenant au Pare-feu. Sans pour autant pousser la sécurité à un stade extrême, le pare-feu permet de protéger vous protéger de connexion entrantes non voulues, en particulier sur des ports ouverts par des programmes sans que vous en ayez conscience.
Le Pare-feu par défaut de la plupart des distributions est iptables, mais je préfère utiliser un frontend à ce module qui s’appelle ufw(Uncomplicated FireWall). Il permet de grandement simplifier la configuration d’iptables (qui est très fastidieuse) au moyen de commandes simples mais efficaces.

Une fois installé(il est présent dans la majorité des repositories de distributions), commencer par lister les paramètres par défaut au moyen de ufw status.

Ensuite si vous souhaitez ajouter une régle par exemple le port ssh si vous l’avez modifié (obligatoire car la politique par défaut est de refuser les ports non listés), il vous suffit de saisir ufw allow <numero de port>. Enfin activer le pare-feu à l’aide de ufw enable.

Voilà vous disposer désormais d’un serveur possédant un minimum de sécurité sans être poser top de contraintes. Bien entendu, vous pouvez ajouter de nouveaux éléments si vous le souhaitez mais n’oubliez pas que l’ajout de sécurité implique un ajout de contraintes d’utilisation.

Mythseur

Do you prefer Windaube or iPay

Bonjour à tous,

Je démarre aujourd’hui une série d’articles sur mon expérience dans l’hébergement de mes différents services.

Premièrement la machine. Il existe différentes possibilités à savoir un VPS ou bien un serveur dédié. La différence majeure entre ces deux possibilités la virtualisation. En effet un VPS est une instance de serveur qui est simulée par un serveur physique. Ce serveur physique gère plusieurs instances au même moment, ce qui fait qu’elle doivent cohabiter et se partager les resources matérielles. Cependant la sécurité induite par ce genre de méthode ainsi que le prix réduit en fait une solution assez souvent utilisée.

Personnellement, je souhaitais avoir plus de liberté au niveau de l’administration de ma machine, aussi j’ai opté pour un serveur dédié chez Kimsufi (une filiale d’OVH proposant des serveurs à prix réduits).

Vient ensuite la question du nom de domaine. Il existe certes des solutions gratuites permettant d’obtenir des sous-domaines personnalisé (par exemple monnomdedomaine.fr.cr), cependant il est tout de même plus sérieux  et fiable de se procurer un nom de domaine complet moyennant quelques finances.

Pour le choix du fournisseur, j’ai opté de rester chez OVH. Les critéres entre les différentes possibilités sont en général le prix et la qualité du service. N’hésitez pas à comparer même si il ne s’agit pas de l’entreprise qui héberge votre serveur 🙂 .

Pour configurer le DNS, il vous faut ajouter une entrée A(ipv4) ou AAAA(ipv6) avec votre nom de domaine suivi d’un point (par exemple mythseur.fr.) et pointant vers l’adresse de votre serveur. De plus il peut être pratique de rajouter les sous-domaine www et pourquoi pas mail par la suite.

Après une petite journée de patience, le serveur était disponible et j’ai pu lancer l’installation d’un Debian 8 pour commencer à construire mon serveur. Rassurez-vous, les systèmes d’exploitation sont fournis pour les serveurs.

L’étape suivante a été de commencer par installer de la sécurité. Mais nous verrons cela la prochaine fois 🙂

Mythseur

Do you prefer Windaube or iPay

Bonjour à tous,

Après un long moment d’absence je me suis décidé à relancer ce site de zéro.

Mes différentes occupations me permettent désormais de pratiquer des choses de plus en plus différentes que je pourrais partager à loisir.

Il n’y aura pas de rythme prédéfini mais j’aimerais pouvoir fournir plusieurs articles sur des thèmes variés avant la fin de l’année.

Mythseur
Do you prefer windaube or iPay ?