Auteur Sujet: Débutant sur un VPS Ubuntu, besoin d'aide  (Lu 5479 fois)

0 Membres et 1 Invité sur ce sujet

Solidus

  • Abonné SFR THD (câble)
  • *
  • Messages: 282
  • Marseille (13)
Débutant sur un VPS Ubuntu, besoin d'aide
« le: 15 avril 2020 à 00:39:35 »
Bonswar LaFibre,

Je me suis pris un VPS Ubuntu Bidouille, comme son nom l'indique, c'est pour me familiariser avec Ubuntu.
J'ai donc commencé par suivre quelques tutos de noob pour bien sécuriser sa vm et avoir les bons reflexes et pour pratiquer Ubuntu.

https://docs.ovh.com/fr/vps/conseils-securisation-vps/

1erement, changer le port ssh par défaut, J'ai donc bien changé le port SSH qui est par défaut 22, je reboot mes services, quand je vais dans le fichier de conf (vim /etc/ssh/ssh_config) je vois bien que mon port a été changé, je me déconnecte donc de ma vm, puis je retest toujours en ssh sur le port 22 pour voir si c'est bien bloqué.....Et le problème c'est que j'arrive toujours à me connecter en SSH sur le port 22 alors que sur le fichier de conf je l'ai bien changé.

Idem pour la securisation des droits root
Désactiver l’accès au serveur via l’utilisateur root >> je l'ai fait, mais quand je suis sur ma VM, quand je fais sudo - s >> je passe direct en root, sans demande de mdp ou autre...

Une ame charitable pour m'aider à bien demarrer sr ubuntu, merci  beaucoup.

ValpeX

  • Abonné Free fibre
  • *
  • Messages: 45
  • Obernai (67)
    • Portfolio
Débutant sur un VPS Ubuntu, besoin d'aide
« Réponse #1 le: 15 avril 2020 à 00:51:59 »
Bonsoir Solidus  :)


Est-ce bien le fichier /etc/ssh/sshd_config que tu as modifié et non ssh_config comme tu l’as écrit ? Ensuite il te faudra redémarrer le service sshd


Sur quelle version de Ubuntu es-tu ?


Fais également attention si tu as un firewall activé a bien avoir autorisé le nouveau port  ;)

Alexis-Fox

  • Invité
Débutant sur un VPS Ubuntu, besoin d'aide
« Réponse #2 le: 15 avril 2020 à 00:54:24 »
Hello,

Pour le port SSH, modifie plutôt /etc/ssh/sshd_config, puis un petit service ssh restart. Dans ce même fichier, tu désactives la connexion SSH en root.

Si tu veux désactiver l'accès root sans mot de passe (avec sudo su), il faudra après avoir défini un nouveau mot de passe root (passwd root) supprimer ce fichier : /etc/sudoers.d/<ton user>

stylou08

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 495
  • Ardennes (08)
Débutant sur un VPS Ubuntu, besoin d'aide
« Réponse #3 le: 15 avril 2020 à 09:12:19 »
Bonjour, pas mieux.
...quand je vais dans le fichier de conf (vim /etc/ssh/ssh_config) ...
plutôt sudo nano /etc/ssh/sshd_config (j'utilise nano par habitude, à chacun son truc)

Tu dé-commente la ligne et change le port. Profites en aussi par trouver et changer
#Décommenter et mettre
MaxAuthTries 4
MaxSessions 5

A toi de voir  ;)

voir cette page si besoin et celle là

Et à ta place je laisserais tombé l'histoire du root pour l'instant et me concentrerai sur les règles du pare feu ainsi que fail2ban. Tu y reviendra lorsque tu aura tout configuré sans erreur.

Perso je commence toujours par un do-release-upgrade pour avoir la dernière version (LTS ou pas, à toi de voir), j'édite le fichier /etc/apt/sources.list afin d'y mettre tous les dépots qui me sont utiles et je passe les paquets backports au même niveau que les autres ( voir https://doc.ubuntu-fr.org/depots#backports)
(la dernière ligne est à ne pas faire sans de bonnes raisons et sans connaitre les bénéfices/risques)



« Modifié: 15 avril 2020 à 16:15:25 par stylou08 »

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 424
  • Lyon (69) / St-Bernard (01)
    • Twitter
Débutant sur un VPS Ubuntu, besoin d'aide
« Réponse #4 le: 15 avril 2020 à 11:10:25 »
Backporter des paquets sans avoir une bonne raison de le faire est plutôt une mauvaise pratique.

stylou08

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 495
  • Ardennes (08)
Débutant sur un VPS Ubuntu, besoin d'aide
« Réponse #5 le: 15 avril 2020 à 13:14:10 »
C'est vrai. Même si j'ai jamais eu de gros soucis. En même temps, mon serveur peut péter demain, il me sert juste pour quelques sauvegarde, me faire la main sur le déploiement de site perso (pas de trafic dessus)... Bref plutôt pour tester des trucs et des services. J'admets que je ne le faisais pas avant mais j'étais sous debian et avait une utilisation communautaire (mumble, bdd, et forum assez fournis par les joueurs).

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 424
  • Lyon (69) / St-Bernard (01)
    • Twitter
Débutant sur un VPS Ubuntu, besoin d'aide
« Réponse #6 le: 15 avril 2020 à 14:09:10 »
Ton serveur peut péter demain, mais c'est pas forcément la chose à recommander a un débutant justement ;-)

stylou08

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 495
  • Ardennes (08)
Débutant sur un VPS Ubuntu, besoin d'aide
« Réponse #7 le: 15 avril 2020 à 16:09:44 »
C'est vrai , je vais éditer mon message  ;)

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Débutant sur un VPS Ubuntu, besoin d'aide
« Réponse #8 le: 15 avril 2020 à 16:23:05 »
le tuto OVH est un peu obsolete par endroit:

/etc/init.d/ssh restart

De nos jours toutes les grandes distrib Linux sont sous Systemd. Si y'a donc un truc a apprendre de nos jours c'est bien cela. Je vois trop de gens meme en pro faire encore des manips a l'ancienne (cron, init.d, configs aux mauvais endroits, etc).

la version moderne c'est:
systemctl restart sshd(avec sudo si pas root)

qui fonctionnera quasi partout alors que sur pas mal de distrib, init.d n'existe plus du tout.

Scaleway a fait une petite intro a systemd: https://www.scaleway.com/en/docs/learn-systemd-essentials/

Thornhill

  • Abonné SFR fibre FttH
  • *
  • Messages: 3 976
  • Saint-Médard-en-Jalles (33)
Débutant sur un VPS Ubuntu, besoin d'aide
« Réponse #9 le: 15 avril 2020 à 16:39:04 »

systemctl restart sshd(avec sudo si pas root)

qui fonctionnera quasi partout alors que sur pas mal de distrib, init.d n'existe plus du tout.

Il est toujours bon de s'adapter aux évolutions, mais ceci dit :

service sshd restart
...fonctionnera assez souvent à la fois sur les anciens et les nouveaux (remappé en systemctl restart).

RHEL-like 6- :

# service sshd restart
Stopping sshd: [  OK  ]
Starting sshd: [  OK  ]

RHEL-like 7+ :

# service sshd restart
Redirecting to /bin/systemctl restart sshd.service

vivien

  • Administrateur
  • *
  • Messages: 47 086
    • Twitter LaFibre.info
Débutant sur un VPS Ubuntu, besoin d'aide
« Réponse #10 le: 15 avril 2020 à 16:46:16 »
Tuto pour supprimer l'utilisateur root :

Étape N°1 : Connecté avec l'utilisateur root crée par OVH, commencez par créer votre utilisateur VOTRE_LOGIN :

sudo adduser VOTRE_LOGIN
sudo usermod -a -G sudo VOTRE_LOGIN


Regarder les groupes dont root :
group

Rajouter ces mêmes groupes à votre utilisateur :
usermod -a -G adm,cdrom,dip,plugdev,lpadmin,sambashare VOTRE_LOGIN


Étape N°2 : Vérifier que tout est OK avant de supprimer root :

Il faut maintenant se déconnecter de root et tester les droit root de l'utilisateur créer (exemple la commande sudo -s doit permettre d'avoir les droits super-utilisateur).


Étape N°3 : Supprimer root :

sudo usermod -L root

pour plus de sécurité, supprimez l'autorisation de se connecter en root depuis ssh :
nano /etc/ssh/sshd_config

Chercher la ligne "PermitRootLogin" et la metre à "no" : PermitRootLogin no

Thornhill

  • Abonné SFR fibre FttH
  • *
  • Messages: 3 976
  • Saint-Médard-en-Jalles (33)
Débutant sur un VPS Ubuntu, besoin d'aide
« Réponse #11 le: 15 avril 2020 à 17:01:28 »
[pour plus de sécurité, supprimez l'autorisation de se connecter en root depuis ssh :

Je suis toujours sceptique sur la validité actuelle de cette recommandation en matière de sécurité.
A l'époque des mots de passe limités à 8 caractères, ça pouvait faire sens en étendant le champ des attaques brute-forces (il fallait deviner le nom+le mot de passe au lieu du mot de passe uniquement).

Mais de nos jours, d'un point de vue combinatoire / attaque brute-force, utiliser un user lamba (longueur X caractères)+ mot de passe (N caractères) ne sera pas plus sécurisé que d'allonger le mot de passe root de X caractères.

De ce point de vue, interdire l'accès SSH root ne sécurise guère plus que rallonger le mot de passe root.

(On peux aussi choisir une autre approche et n'autoriser que les connexions par clés SSH).


Après, on peut vouloir interdire l'accès root direct dans une optique de traçabilité des accès root (si on donne l'autorisation sudo à plusieurs utilisateurs), mais c'est une autre problématique plus liée à l'audit qu'à la sécurisation.