Sécuriser un VPS

Objectif

Lorsque vous commandez votre VPS, une distribution ou un système d’exploitation est pré-installé, mais aucun protocole de sécurité n’est implémenté nativement. Il vous appartient donc de sécuriser votre machine.

Ce guide vous propose quelques conseils généraux pour sécuriser votre serveur.

Prérequis

Être connecté en SSH à votre VPS (accès root).

En pratique


Plusieurs conseils vont vous être apportés. Attention, ce guide est général. Certaines commandes nécessitent d’être adaptées à la distribution que vous utilisez. Quelques informations vous conseillent d’utiliser des outils externes. N’hésitez pas à vous référer à la documentation officielle de ceux-ci pour obtenir de l’aide.

Mettre à jour le système

Cette mise à jour passera par deux étapes.

La mise à jour de la liste des paquets :
> apt-get update

La mise à jour des paquets eux-mêmes :
> apt-get upgrade

Une fois cette étape terminée, votre système est à jour. Cette opération est à effectuer régulièrement.

Modifier le port par défaut du service SSH

L’une des premières actions à effectuer sur votre serveur est de configurer le service SSH en changeant le port SSH. Le port est par défaut définie sur le port 22. Il est donc conseillé de ne pas le laisser en l’état et de le modifier. En effet, la plupart des tentatives de piratage de serveur sont effectuées par des robots ciblant par défaut le port 22. Modifier son paramétrage leur compliquera la tâche et rendra votre serveur plus difficile à atteindre.

Voici la commande pour modifier le fichier de configuration du service :

> nano /etc/ssh/sshd_config

Vous devez ensuite trouver la ligne suivante :

> #What ports, IPs and protocols we listen for Port 22
> Port 22

Remplacez le nombre 22 par le numéro de port de votre choix. Veillez toutefois à ne pas renseigner un numéro de port déjà utilisé sur votre système. Enregistrez et quittez le fichier de configuration.

Vous devez ensuite redémarrer votre service :

> service sshd restart

À présent, lors de votre demande de connexion SSH à votre machine, vous devrez obligatoirement renseigner le nouveau port :

Modifier le mot de passe « root »


À l’installation d’une distribution, un mot de passe est créé automatiquement pour l’accès principal (root). Il est très fortement recommandé de le personnaliser en le modifiant. Pour ce faire, une fois connecté, il vous suffit d’entrer la commande suivante :

> passwd root

Votre système vous demandera ensuite d’entrer votre nouveau mot de passe deux fois pour le valider. Attention, pour des raisons de sécurité, le mot de passe ne sera pas affiché lors de l’écriture. Vous ne pourrez donc pas voir les caractères saisis.

Une fois cette opération effectuée, vous devez renseigner le nouveau mot de passe dès votre prochaine connexion au système.

Créer un utilisateur avec des droits restreints et agir dans le système avec des droits root


Vous pouvez créer un nouvel utilisateur avec la commande suivante :

> adduser exemple

Vous devez ensuite remplir les informations demandées par le système : mot de passe, nom, etc.

Une fois connecté à votre système avec ces informations d’identification, si vous souhaitez effectuer des opérations nécessitant des droits d’administrateur, il suffira de taper la commande suivante :

> su root

Vous devez ensuite entrer le mot de passe associé à l’utilisateur root pour valider l’opération.

Désactiver l’accès au serveur via l’utilisateur root


L’utilisateur root est créé par défaut sur les systèmes UNIX et il possède les droits les plus élevés sur votre système. Il n’est pas conseillé et même dangereux de laisser votre VPS accessible uniquement via cet utilisateur.
Il est recommandé de désactiver l’accès direct des utilisateurs root via le protocole SSH.

Pour effectuer cette opération, vous devez modifier le fichier de configuration SSH comme vous l’avez fait précédemment pour modifier le port d’accès à votre serveur.

> nano /etc/ssh/sshd_config

Recherchez ensuite la section suivante :

> #Authentication:
> LoginGraceTime 120
> PermitRootLogin yes
> StrictModes yes

Remplacez le oui par non sur la ligne "PermitRootLogin".

Pour que cette modification soit prise en compte, vous devez redémarrer le service SSH :

> service sshd restart

Maintenant, pour vous connecter à votre système, utilisez les informations d’identification de compte (utilisateur) que vous venez de créer.




Cette article à été lu 277 fois.

Cet article vous a-t-il été utile ?Oui (40) / Non (14)

Pour des raisons de sécurité
Votre adresse IP (52.205.167.104) sera enregistrée mais ne sera pas visible.