Dans ce tutoriel nous allons apprendre à sécuriser un VPS
Tout d'abord connectez vous en ssh
Mettez à jour le système
Cette mise à jour passera par deux étapes.
- La mise à jour de la liste des paquets :
- La mise à jour des paquets eux-mêmes :
Cette opération est à effectuer régulièrement afin de conserver un système à jour.
Modifier le port d’écoute par défaut du service SSH
L’une des premières actions à effectuer sur votre serveur est de configurer le service SSH en changeant le port d’écoute. Il est défini sur le port 22 par défaut. Par conséquent, les tentatives de piratage de serveurs par des robots cibleront ce port. La modification de ce paramètre à l’aide d’un autre port est une mesure simple pour renforcer la protection de votre serveur contre les attaques automatisées.
Voici la commande pour modifier le fichier de configuration du service :
nano /etc/ssh/sshd_config
Vous devez ensuite trouver les lignes suivantes:
# What ports, IPs and protocols we listen for
Port 22
Remplacez le numéro 22 par le numéro de port de votre choix. N’entrez pas de numéro de port déjà utilisé sur votre système. Pour des raisons de sécurité, utilisez un nombre compris entre 49152 et 65535.
Enregistrez et quittez le fichier de configuration.
Redémarrez le service:
Cela devrait suffire pour appliquer les modifications. Vous pouvez également redémarrer le VPS (reboot).
N’oubliez pas que vous devez indiquer le nouveau port chaque fois que vous demandez une connexion SSH à votre serveur.
Modification du mot de passe associé à l’utilisateur “root”
Il est fortement recommandé de modifier le mot de passe de l’utilisateur root de façon à ne pas le laisser à la valeur par défaut sur un nouveau système. Pour plus d’informations, reportez-vous aux informations de ce guide
Création d’un utilisateur avec des droits restreints
En général, les tâches qui ne nécessitent pas de privilèges root doivent être effectuées via un utilisateur standard. Vous pouvez créer un utilisateur à l’aide de la commande suivante:
adduser nom_de_l-utilisateur
Remplissez ensuite les informations demandées par le système (mot de passe, nom, etc.).
Le nouvel utilisateur sera autorisé à se connecter via SSH. Lors de la connexion, utilisez les informations d’identification spécifiées.
Une fois connecté à votre système avec ces informations d’identification, si vous souhaitez effectuer des opérations nécessitant des droits administrateur, tapez la commande suivante :
Entrez le mot de passe lorsque vous y êtes invité et la connexion active sera basculée vers l’utilisateur root.
Désactivation de l’accès au serveur via l’utilisateur root
Vous devez modifier le fichier de configuration SSH de la même manière que décrit ci-dessus :
nano /etc/ssh/sshd_config
Localisez la section suivante:
# Authentication:
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes
Remplacez yes par no sur la ligne PermitRootLogin.
Pour que cette modification soit prise en compte, vous devez redémarrer le service SSH:
systemctl restart sshd
Par la suite, les connexions à votre serveur via l’utilisateur root seront rejetées.
Installation de Fail2ban
Fail2ban est un framework de prévention contre les intrusions dont le but est de bloquer les adresses IP inconnues qui tentent de pénétrer dans votre système. Ce logiciel est recommandé, même essentiel, pour se prémunir contre toute attaque brutale contre vos services.
Pour installer le package logiciel, utilisez la commande suivante :
Une fois le paquet installé, il faut modifier le fichier de configuration de ce dernier pour l’adapter à votre usage. Avant toute modification, il est recommandé d’effectuer une sauvegarde du fichier de configuration en tapant la commande suivante :
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.backup
Apportez ensuite vos modifications sur le fichier :
nano /etc/fail2ban/jail.conf
Une fois ces modifications terminées, redémarrez le service à l’aide de la commande suivante :
/etc/init.d/fail2ban restart
