Catégories
Debian Linux

Les indispensables après l’installation de Debian 9 Stretch

Pour ce premier mémo, je vous partage ce j’ai l’habitude de faire après une installation de Debian 9 toute fraîche.

On va vérifier si nous avons accès correctement à internet, les dernières mises à jour, et les configurations des fonctionnalités vitale du serveur. Et un peut de sécurisation simple mais indispensable, cela ne fait pas de mal.


Modifications des serveurs de Noms (DNS)

Avoir des serveurs de noms fonctionnels est indispensable pour que votre serveur puisse résoudre toutes sortes de requête vers l’extérieur. Pour un souci de haute disponibilité et de fiabilité nous allons utiliser les serveurs de noms de notre ami google.

nameserver 8.8.8.8
nameserver 8.8.4.4

S’assurer que nous possédons toutes les dernières mises à jour

Avoir un serveur avec les paquets à jour est primordial. Par la même occasion, cela va nous permettre de vérifier si le serveur arrive correctement à résoudre ses requêtes vers l’extérieur.

apt-get update && apt-get upgrade

Vérification du fuseau horaire

Bien que par convention nous utilisons le fuseau horaire UTC Z. Il est toujours plus pratique d’avoir un serveur qui es sur le même fuseau horaire que nous.

date
# Si le fuseau horaire n'est pas bon

dpkg-reconfigure tzdata

Si quelconque problème avec les accents

apt-get install locales

dpkg-reconfigure locales
# Il faut cocher en_US.UTF8 ou en_GB.UTF8 les autres, nous ne les utiliserons pas.

Installation de quelques paquets selon moi indispensable

Nous allons installer et vérifier la présence de quelques paquets indispensable pour que nous puissions utiliser de manière confortable notre serveur. Vim sera votre éditeur couteau suisse et screen comme sont nom l’indique, il permet de gérer des fenêtres.

apt-get install vim nano wget zip unzip bzip2 linux-kernel-headers screen ca-certificates curl

Ajout de couleurs pour la commande ls

Cela nous permet que lorsqu’on fait un ls, de différencier plus facilement les différents types de fichier.

# Il faut dé-commenté ces lignes
export LS_OPTIONS=’–color=auto’
eval “`dircolors`”
alias ls=’ls $LS_OPTIONS’
alias ll=’ls $LS_OPTIONS -l’
alias l=’ls $LS_OPTIONS -lA’
#Une fois le fichier édité, il faut ensuite l'exécuter pour que cela prenne effet
. .bashrc

Personnalisation du message d’accueil SSH

Personnaliser le message d’accueil, est bien pratique quand vous possédez de multiples serveurs ou machines virtuelles. Cela vous permettra à chaque connexion de vous rappeler où vous êtes et l’utilité du serveur. Un autre conseil personnel, donnez des petits prénoms à vos serveurs.

# Exemple de message d'accueil // Pour générer cette magnifique entête en ASCII http://bit.ly/1xbuSeP

██╗   ██╗███╗   ███╗        ██╗
██║   ██║████╗ ████║       ███║
██║   ██║██╔████╔██║       ╚██║
╚██╗ ██╔╝██║╚██╔╝██║        ██║
 ╚████╔╝ ██║ ╚═╝ ██║███████╗██║
  ╚═══╝  ╚═╝     ╚═╝╚══════╝╚═╝

|-----------------------------|
|          Bienvenue          |
|-----------------------------|
|---------- Udona.fr ---------|
|-----------------------------|
|                             |
|  Server      VM_1           |
|                             |
|  IP          163.172.XXX.XX |
|  Hypervisor  163.172.XXX.XX |
|  Provider    OVH            |
|  Machine     server-122XXX  |
|  Purpose     Site de jeux   |
|                             |
|-----------------------------|

Cacher les processus entre utilisateurs

Dans le cas d’un système multi-utilisateur, on ne souhaite pas que les utilisateurs puissent voir des informations sur les processus qui ne leur appartiennent pas. Nous allons procéder à un durcissement du kernel avec l’option hidepid.

mount -o remount,rw,hidepid=2 /proc
# Ont ajout/Modifie afin de rendre la modification permanente.

proc /proc proc defaults, hidepid = 2     0     0

Configuration / Sécurisation basique SSH

Une configuration / sécurisation basique et requise pour un SSH qui se respecte un minimum. On va modifier le port de connexion SSH, car le port par défaut et bien connu de nos amis les bots force brut du dimanche. Et puis on va empêcher la connexion direct avec l’user root.

# Modification du port par défaut
port 1234

# Il faut commenter cette ligne si elle est présente
#PermitRootLogin without-password

# On vérifie la présence de cette ligne, pour forcer l'utilisation de ce protocol
Protocol 2

# Ajout dans la section Authentification // On refuse le RootLogin
PermitRootLogin no

# Ajout dans la section Authentification // On autorise les users désirés à ce connecté
Allowusers mon_user mon_user2
# Une fois la configuration SSH effectuer, il ne reste qu'a restart le SSH

Service ssh restart

Bien sûr n’oubliez surtout pas de tester la configuration ssh avant de fermer la session en cours !


Conclusion

Nous avons dès à présent un serveur avec une configuration basique mais qui est essentiel pour partir sur de bonnes bases. Après niveau sécurisation SSH, il existe des solutions bien plus avancé avec l’authentification par clé, mais ce n’est sujet de ce mémo, j’en ferais un complet sur le SSH prochainement.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.