{"id":49,"date":"2017-08-04T14:19:00","date_gmt":"2017-08-04T12:19:00","guid":{"rendered":"http:\/\/devinfo.kenn.udona.fr\/blog\/?p=49"},"modified":"2021-07-13T13:29:20","modified_gmt":"2021-07-13T11:29:20","slug":"indispensables-apres-linstallation-de-debian-9-stretch","status":"publish","type":"post","link":"https:\/\/udona.fr\/blog\/indispensables-apres-linstallation-de-debian-9-stretch\/","title":{"rendered":"Les indispensables apr\u00e8s l’installation de Debian 9 Stretch"},"content":{"rendered":"\n

Pour ce premier m\u00e9mo, je vous partage ce j’ai l’habitude de faire apr\u00e8s une installation de Debian 9 toute fra\u00eeche<\/strong>.<\/p>\n\n\n\n

On va v\u00e9rifier si nous avons acc\u00e8s correctement \u00e0 internet<\/strong>, les derni\u00e8res mises \u00e0 jour<\/strong>, et les configurations des fonctionnalit\u00e9s vitale du serveur<\/strong>. Et un peut de s\u00e9curisation simple<\/strong> mais indispensable<\/strong>, cela ne fait pas de mal.<\/p>\n\n\n\n

\n\n\n\n

Modifications des serveurs de Noms (DNS)<\/h2>\n\n\n\n

Avoir des serveurs de noms fonctionnels est indispensable<\/strong> pour que votre serveur puisse r\u00e9soudre toutes sortes de requ\u00eate vers l’ext\u00e9rieur. Pour un souci de haute disponibilit\u00e9 et de fiabilit\u00e9 nous allons utiliser les serveurs de noms de notre ami google.<\/p>\n\n\n\n

nameserver 8.8.8.8\nnameserver 8.8.4.4<\/pre><\/div>\n\n\n\n
S’assurer que nous poss\u00e9dons toutes les derni\u00e8res mises \u00e0 jour<\/h2>\n\n\n\n
Avoir un serveur avec les paquets \u00e0 jour est primordial.<\/strong> Par la m\u00eame occasion, cela va nous permettre de v\u00e9rifier si le serveur arrive correctement \u00e0 r\u00e9soudre ses requ\u00eates vers l’ext\u00e9rieur.<\/p>\n\n\n\n
apt-get update && apt-get upgrade<\/pre><\/div>\n\n\n\n
V\u00e9rification du fuseau horaire<\/h2>\n\n\n\n
Bien que par convention nous utilisons le fuseau horaire UTC Z. Il est toujours plus pratique d’avoir un serveur qui es sur le m\u00eame fuseau horaire que nous.<\/p>\n\n\n\n
date\n# Si le fuseau horaire n'est pas bon\n\ndpkg-reconfigure tzdata<\/pre><\/div>\n\n\n\n
Si quelconque probl\u00e8me avec les accents<\/h2>\n\n\n\n
apt-get install locales\n\ndpkg-reconfigure locales\n# Il faut cocher en_US.UTF8 ou en_GB.UTF8 les autres, nous ne les utiliserons pas.<\/pre><\/div>\n\n\n\n
Installation de quelques paquets selon moi indispensable<\/h2>\n\n\n\n
Nous allons installer et v\u00e9rifier la pr\u00e9sence de quelques paquets indispensable pour que nous puissions utiliser de mani\u00e8re confortable notre serveur. Vim sera votre \u00e9diteur couteau suisse et screen comme sont nom l’indique, il permet de g\u00e9rer des fen\u00eatres.<\/p>\n\n\n\n
apt-get install vim nano wget zip unzip bzip2 linux-kernel-headers screen ca-certificates curl<\/pre><\/div>\n\n\n\n
Ajout de couleurs pour la commande ls<\/h2>\n\n\n\n
Cela nous permet que lorsqu’on fait un ls, de diff\u00e9rencier plus facilement les diff\u00e9rents types de fichier.<\/strong><\/p>\n\n\n\n
# Il faut d\u00e9-comment\u00e9 ces lignes\nexport LS_OPTIONS=\u2019\u2013color=auto\u2019\neval \u201c`dircolors`\u201d\nalias ls=\u2019ls $LS_OPTIONS\u2019\nalias ll=\u2019ls $LS_OPTIONS -l\u2019\nalias l=\u2019ls $LS_OPTIONS -lA\u2019\n<\/pre><\/div>\n\n\n\n
#Une fois le fichier \u00e9dit\u00e9, il faut ensuite l'ex\u00e9cuter pour que cela prenne effet\n. .bashrc<\/pre><\/div>\n\n\n\n
Personnalisation du message d’accueil SSH<\/h2>\n\n\n\n
Personnaliser le message d’accueil<\/strong>, est bien pratique quand vous poss\u00e9dez de multiples serveurs ou machines virtuelles. Cela vous permettra \u00e0 chaque connexion de vous rappeler o\u00f9 vous \u00eates et l’utilit\u00e9 du serveur. Un autre conseil personnel, donnez des petits pr\u00e9noms<\/strong> \u00e0 vos serveurs.<\/p>\n\n\n\n
# Exemple de message d'accueil \/\/ Pour g\u00e9n\u00e9rer cette magnifique ent\u00eate en ASCII http:\/\/bit.ly\/1xbuSeP\n\n\u2588\u2588\u2557   \u2588\u2588\u2557\u2588\u2588\u2588\u2557   \u2588\u2588\u2588\u2557        \u2588\u2588\u2557\n\u2588\u2588\u2551   \u2588\u2588\u2551\u2588\u2588\u2588\u2588\u2557 \u2588\u2588\u2588\u2588\u2551       \u2588\u2588\u2588\u2551\n\u2588\u2588\u2551   \u2588\u2588\u2551\u2588\u2588\u2554\u2588\u2588\u2588\u2588\u2554\u2588\u2588\u2551       \u255a\u2588\u2588\u2551\n\u255a\u2588\u2588\u2557 \u2588\u2588\u2554\u255d\u2588\u2588\u2551\u255a\u2588\u2588\u2554\u255d\u2588\u2588\u2551        \u2588\u2588\u2551\n \u255a\u2588\u2588\u2588\u2588\u2554\u255d \u2588\u2588\u2551 \u255a\u2550\u255d \u2588\u2588\u2551\u2588\u2588\u2588\u2588\u2588\u2588\u2588\u2557\u2588\u2588\u2551\n  \u255a\u2550\u2550\u2550\u255d  \u255a\u2550\u255d     \u255a\u2550\u255d\u255a\u2550\u2550\u2550\u2550\u2550\u2550\u255d\u255a\u2550\u255d\n\n|-----------------------------|\n|          Bienvenue          |\n|-----------------------------|\n|---------- Udona.fr ---------|\n|-----------------------------|\n|                             |\n|  Server      VM_1           |\n|                             |\n|  IP          163.172.XXX.XX |\n|  Hypervisor  163.172.XXX.XX |\n|  Provider    OVH            |\n|  Machine     server-122XXX  |\n|  Purpose     Site de jeux   |\n|                             |\n|-----------------------------|<\/pre><\/div>\n\n\n\n
Cacher les processus entre utilisateurs<\/h2>\n\n\n\n
Dans le cas d’un syst\u00e8me multi-utilisateur, on ne souhaite pas que les utilisateurs puissent voir des informations sur les processus qui ne leur appartiennent pas<\/strong>. Nous allons proc\u00e9der \u00e0 un durcissement du kernel avec l’option hidepid.<\/p>\n\n\n\n
mount -o remount,rw,hidepid=2 \/proc<\/pre><\/div>\n\n\n\n
# Ont ajout\/Modifie afin de rendre la modification permanente.\n\nproc \/proc proc defaults, hidepid = 2     0     0<\/pre><\/div>\n\n\n\n
Configuration \/ S\u00e9curisation basique SSH<\/h2>\n\n\n\n
Une configuration \/ s\u00e9curisation basique et requise<\/strong> pour un SSH qui se respecte un minimum. On va modifier le port<\/strong> de connexion SSH, car le port par d\u00e9faut et bien connu de nos amis les bots force brut du dimanche. Et puis on va emp\u00eacher la connexion direct avec l’user root<\/strong>.<\/p>\n\n\n\n
# Modification du port par d\u00e9faut\nport 1234\n\n# Il faut commenter cette ligne si elle est pr\u00e9sente\n#PermitRootLogin without-password\n\n# On v\u00e9rifie la pr\u00e9sence de cette ligne, pour forcer l'utilisation de ce protocol\nProtocol 2\n\n# Ajout dans la section Authentification \/\/ On refuse le RootLogin\nPermitRootLogin no\n\n# Ajout dans la section Authentification \/\/ On autorise les users d\u00e9sir\u00e9s \u00e0 ce connect\u00e9\nAllowusers mon_user mon_user2<\/pre><\/div>\n\n\n\n
# Une fois la configuration SSH effectuer, il ne reste qu'a restart le SSH\n\nService ssh restart<\/pre><\/div>\n\n\n\n
Bien s\u00fbr n’oubliez surtout pas de tester la configuration ssh avant de fermer la session en cours !<\/strong><\/p>\n\n\n\n
\n\n\n\n
Conclusion<\/h2>\n\n\n\n
Nous avons d\u00e8s \u00e0 pr\u00e9sent un serveur avec une configuration basique<\/strong> mais qui est essentiel<\/strong> pour partir sur de bonnes bases<\/strong>. Apr\u00e8s niveau s\u00e9curisation SSH, il existe des solutions bien plus avanc\u00e9 avec l’authentification par cl\u00e9<\/strong>, mais ce n’est sujet de ce m\u00e9mo, j’en ferais un complet sur le SSH prochainement.<\/p>\n","protected":false},"excerpt":{"rendered":"
Pour ce premier m\u00e9mo, je vous partage ce j’ai l’habitude de faire apr\u00e8s une installation de Debian 9 toute fra\u00eeche. On va v\u00e9rifier si nous avons acc\u00e8s correctement \u00e0 internet, les derni\u00e8res mises \u00e0 jour, et les configurations des fonctionnalit\u00e9s vitale du serveur. Et un peut de s\u00e9curisation simple mais indispensable, cela ne fait pas […]<\/p>\n","protected":false},"author":1,"featured_media":90,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[24,9],"tags":[],"class_list":["post-49","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-debian","category-linux"],"_links":{"self":[{"href":"https:\/\/udona.fr\/blog\/wp-json\/wp\/v2\/posts\/49","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/udona.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/udona.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/udona.fr\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/udona.fr\/blog\/wp-json\/wp\/v2\/comments?post=49"}],"version-history":[{"count":3,"href":"https:\/\/udona.fr\/blog\/wp-json\/wp\/v2\/posts\/49\/revisions"}],"predecessor-version":[{"id":59,"href":"https:\/\/udona.fr\/blog\/wp-json\/wp\/v2\/posts\/49\/revisions\/59"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/udona.fr\/blog\/wp-json\/wp\/v2\/media\/90"}],"wp:attachment":[{"href":"https:\/\/udona.fr\/blog\/wp-json\/wp\/v2\/media?parent=49"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/udona.fr\/blog\/wp-json\/wp\/v2\/categories?post=49"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/udona.fr\/blog\/wp-json\/wp\/v2\/tags?post=49"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}