Pour ce premier mémo, je vous partage ce j’ai l’habitude de faire après une installation de Debian 9 toute fraîche.
On va vérifier si nous avons accès correctement à internet, les dernières mises à jour, et les configurations des fonctionnalités vitale du serveur. Et un peut de sécurisation simple mais indispensable, cela ne fait pas de mal.
Modifications des serveurs de Noms (DNS)
Avoir des serveurs de noms fonctionnels est indispensable pour que votre serveur puisse résoudre toutes sortes de requête vers l’extérieur. Pour un souci de haute disponibilité et de fiabilité nous allons utiliser les serveurs de noms de notre ami google.
nameserver 8.8.8.8 nameserver 8.8.4.4
S’assurer que nous possédons toutes les dernières mises à jour
Avoir un serveur avec les paquets à jour est primordial. Par la même occasion, cela va nous permettre de vérifier si le serveur arrive correctement à résoudre ses requêtes vers l’extérieur.
apt-get update && apt-get upgrade
Vérification du fuseau horaire
Bien que par convention nous utilisons le fuseau horaire UTC Z. Il est toujours plus pratique d’avoir un serveur qui es sur le même fuseau horaire que nous.
date # Si le fuseau horaire n'est pas bon dpkg-reconfigure tzdata
Si quelconque problème avec les accents
apt-get install locales dpkg-reconfigure locales # Il faut cocher en_US.UTF8 ou en_GB.UTF8 les autres, nous ne les utiliserons pas.
Installation de quelques paquets selon moi indispensable
Nous allons installer et vérifier la présence de quelques paquets indispensable pour que nous puissions utiliser de manière confortable notre serveur. Vim sera votre éditeur couteau suisse et screen comme sont nom l’indique, il permet de gérer des fenêtres.
apt-get install vim nano wget zip unzip bzip2 linux-kernel-headers screen ca-certificates curl
Ajout de couleurs pour la commande ls
Cela nous permet que lorsqu’on fait un ls, de différencier plus facilement les différents types de fichier.
# Il faut dé-commenté ces lignes export LS_OPTIONS=’–color=auto’ eval “`dircolors`” alias ls=’ls $LS_OPTIONS’ alias ll=’ls $LS_OPTIONS -l’ alias l=’ls $LS_OPTIONS -lA’
#Une fois le fichier édité, il faut ensuite l'exécuter pour que cela prenne effet . .bashrc
Personnalisation du message d’accueil SSH
Personnaliser le message d’accueil, est bien pratique quand vous possédez de multiples serveurs ou machines virtuelles. Cela vous permettra à chaque connexion de vous rappeler où vous êtes et l’utilité du serveur. Un autre conseil personnel, donnez des petits prénoms à vos serveurs.
# Exemple de message d'accueil // Pour générer cette magnifique entête en ASCII http://bit.ly/1xbuSeP ██╗ ██╗███╗ ███╗ ██╗ ██║ ██║████╗ ████║ ███║ ██║ ██║██╔████╔██║ ╚██║ ╚██╗ ██╔╝██║╚██╔╝██║ ██║ ╚████╔╝ ██║ ╚═╝ ██║███████╗██║ ╚═══╝ ╚═╝ ╚═╝╚══════╝╚═╝ |-----------------------------| | Bienvenue | |-----------------------------| |---------- Udona.fr ---------| |-----------------------------| | | | Server VM_1 | | | | IP 163.172.XXX.XX | | Hypervisor 163.172.XXX.XX | | Provider OVH | | Machine server-122XXX | | Purpose Site de jeux | | | |-----------------------------|
Cacher les processus entre utilisateurs
Dans le cas d’un système multi-utilisateur, on ne souhaite pas que les utilisateurs puissent voir des informations sur les processus qui ne leur appartiennent pas. Nous allons procéder à un durcissement du kernel avec l’option hidepid.
mount -o remount,rw,hidepid=2 /proc
# Ont ajout/Modifie afin de rendre la modification permanente. proc /proc proc defaults, hidepid = 2 0 0
Configuration / Sécurisation basique SSH
Une configuration / sécurisation basique et requise pour un SSH qui se respecte un minimum. On va modifier le port de connexion SSH, car le port par défaut et bien connu de nos amis les bots force brut du dimanche. Et puis on va empêcher la connexion direct avec l’user root.
# Modification du port par défaut port 1234 # Il faut commenter cette ligne si elle est présente #PermitRootLogin without-password # On vérifie la présence de cette ligne, pour forcer l'utilisation de ce protocol Protocol 2 # Ajout dans la section Authentification // On refuse le RootLogin PermitRootLogin no # Ajout dans la section Authentification // On autorise les users désirés à ce connecté Allowusers mon_user mon_user2
# Une fois la configuration SSH effectuer, il ne reste qu'a restart le SSH Service ssh restart
Bien sûr n’oubliez surtout pas de tester la configuration ssh avant de fermer la session en cours !
Conclusion
Nous avons dès à présent un serveur avec une configuration basique mais qui est essentiel pour partir sur de bonnes bases. Après niveau sécurisation SSH, il existe des solutions bien plus avancé avec l’authentification par clé, mais ce n’est sujet de ce mémo, j’en ferais un complet sur le SSH prochainement.