Auteur Sujet: Débutant sur un VPS Ubuntu, besoin d'aide (Lu 7104 fois)

Solidus · « **le:** 15 avril 2020 à 00:39:35 »

Bonswar LaFibre,

Je me suis pris un VPS Ubuntu Bidouille, comme son nom l'indique, c'est pour me familiariser avec Ubuntu.
J'ai donc commencé par suivre quelques tutos de noob pour bien sécuriser sa vm et avoir les bons reflexes et pour pratiquer Ubuntu.

https://docs.ovh.com/fr/vps/conseils-securisation-vps/

1erement, changer le port ssh par défaut, J'ai donc bien changé le port SSH qui est par défaut 22, je reboot mes services, quand je vais dans le fichier de conf (vim /etc/ssh/ssh_config) je vois bien que mon port a été changé, je me déconnecte donc de ma vm, puis je retest toujours en ssh sur le port 22 pour voir si c'est bien bloqué.....Et le problème c'est que j'arrive toujours à me connecter en SSH sur le port 22 alors que sur le fichier de conf je l'ai bien changé.

Idem pour la securisation des droits root
Désactiver l’accès au serveur via l’utilisateur root >> je l'ai fait, mais quand je suis sur ma VM, quand je fais sudo - s >> je passe direct en root, sans demande de mdp ou autre...

Une ame charitable pour m'aider à bien demarrer sr ubuntu, merci beaucoup.

ValpeX · « **Réponse #1 le:** 15 avril 2020 à 00:51:59 »

Bonsoir Solidus

Est-ce bien le fichier /etc/ssh/sshd_config que tu as modifié et non ssh_config comme tu l’as écrit ? Ensuite il te faudra redémarrer le service sshd

Sur quelle version de Ubuntu es-tu ?

Fais également attention si tu as un firewall activé a bien avoir autorisé le nouveau port

« **Réponse #2 le:** 15 avril 2020 à 00:54:24 »

Hello,

Pour le port SSH, modifie plutôt /etc/ssh/sshd_config, puis un petit service ssh restart. Dans ce même fichier, tu désactives la connexion SSH en root.

Si tu veux désactiver l'accès root sans mot de passe (avec sudo su), il faudra après avoir défini un nouveau mot de passe root (passwd root) supprimer ce fichier : /etc/sudoers.d/<ton user>

stylou08 · « **Réponse #3 le:** 15 avril 2020 à 09:12:19 »

Bonjour, pas mieux.

Citation de: Solidus le 15 avril 2020 à 00:39:35

...quand je vais dans le fichier de conf (vim /etc/ssh/ssh_config) ...

plutôt sudo nano /etc/ssh/sshd_config (j'utilise nano par habitude, à chacun son truc)

Tu dé-commente la ligne et change le port. Profites en aussi par trouver et changer
#Décommenter et mettre
MaxAuthTries 4
MaxSessions 5

A toi de voir

voir cette page si besoin et celle là

Et à ta place je laisserais tombé l'histoire du root pour l'instant et me concentrerai sur les règles du pare feu ainsi que fail2ban. Tu y reviendra lorsque tu aura tout configuré sans erreur.

Perso je commence toujours par un do-release-upgrade pour avoir la dernière version (LTS ou pas, à toi de voir), j'édite le fichier /etc/apt/sources.list afin d'y mettre tous les dépots qui me sont utiles ~~et je passe les paquets backports au même niveau que les autres ( voir https://doc.ubuntu-fr.org/depots#backports)~~
(la dernière ligne est à ne pas faire sans de bonnes raisons et sans connaitre les bénéfices/risques)

Hugues · « **Réponse #4 le:** 15 avril 2020 à 11:10:25 »

Backporter des paquets sans avoir une bonne raison de le faire est plutôt une mauvaise pratique.

stylou08 · « **Réponse #5 le:** 15 avril 2020 à 13:14:10 »

C'est vrai. Même si j'ai jamais eu de gros soucis. En même temps, mon serveur peut péter demain, il me sert juste pour quelques sauvegarde, me faire la main sur le déploiement de site perso (pas de trafic dessus)... Bref plutôt pour tester des trucs et des services. J'admets que je ne le faisais pas avant mais j'étais sous debian et avait une utilisation communautaire (mumble, bdd, et forum assez fournis par les joueurs).

Hugues · « **Réponse #6 le:** 15 avril 2020 à 14:09:10 »

Ton serveur peut péter demain, mais c'est pas forcément la chose à recommander a un débutant justement ;-)

stylou08 · « **Réponse #7 le:** 15 avril 2020 à 16:09:44 »

C'est vrai , je vais éditer mon message

kgersen · « **Réponse #8 le:** 15 avril 2020 à 16:23:05 »

le tuto OVH est un peu obsolete par endroit:

Code: [Sélectionner]

/etc/init.d/ssh restart

De nos jours toutes les grandes distrib Linux sont sous Systemd. Si y'a donc un truc a apprendre de nos jours c'est bien cela. Je vois trop de gens meme en pro faire encore des manips a l'ancienne (cron, init.d, configs aux mauvais endroits, etc).

la version moderne c'est:

Code: [Sélectionner]

systemctl restart sshd(avec sudo si pas root)

qui fonctionnera quasi partout alors que sur pas mal de distrib, init.d n'existe plus du tout.

Scaleway a fait une petite intro a systemd: https://www.scaleway.com/en/docs/learn-systemd-essentials/

Thornhill · « **Réponse #9 le:** 15 avril 2020 à 16:39:04 »

Citation de: kgersen le 15 avril 2020 à 16:23:05

Code: [Sélectionner]
systemctl restart sshd(avec sudo si pas root)

qui fonctionnera quasi partout alors que sur pas mal de distrib, init.d n'existe plus du tout.

Il est toujours bon de s'adapter aux évolutions, mais ceci dit :

Code: [Sélectionner]

service sshd restart
...fonctionnera assez souvent à la fois sur les anciens et les nouveaux (remappé en systemctl restart).

RHEL-like 6- :

Code: [Sélectionner]

# service sshd restart
Stopping sshd: [  OK  ]
Starting sshd: [  OK  ]

RHEL-like 7+ :

Code: [Sélectionner]

# service sshd restart
Redirecting to /bin/systemctl restart sshd.service

vivien · « **Réponse #10 le:** 15 avril 2020 à 16:46:16 »

Tuto pour supprimer l'utilisateur root :

Étape N°1 : Connecté avec l'utilisateur root crée par OVH, commencez par créer votre utilisateur VOTRE_LOGIN :

sudo adduser VOTRE_LOGIN
sudo usermod -a -G sudo VOTRE_LOGIN

Regarder les groupes dont root :
group

Rajouter ces mêmes groupes à votre utilisateur :
usermod -a -G adm,cdrom,dip,plugdev,lpadmin,sambashare VOTRE_LOGIN

Étape N°2 : Vérifier que tout est OK avant de supprimer root :

Il faut maintenant se déconnecter de root et tester les droit root de l'utilisateur créer (exemple la commande sudo -s doit permettre d'avoir les droits super-utilisateur).

Étape N°3 : Supprimer root :

sudo usermod -L root

pour plus de sécurité, supprimez l'autorisation de se connecter en root depuis ssh :
nano /etc/ssh/sshd_config

Chercher la ligne "PermitRootLogin" et la metre à "no" : PermitRootLogin no

Thornhill · « **Réponse #11 le:** 15 avril 2020 à 17:01:28 »

Citation de: vivien le 15 avril 2020 à 16:46:16

[pour plus de sécurité, supprimez l'autorisation de se connecter en root depuis ssh :

Je suis toujours sceptique sur la validité actuelle de cette recommandation en matière de sécurité.
A l'époque des mots de passe limités à 8 caractères, ça pouvait faire sens en étendant le champ des attaques brute-forces (il fallait deviner le nom+le mot de passe au lieu du mot de passe uniquement).

Mais de nos jours, d'un point de vue combinatoire / attaque brute-force, utiliser un user lamba (longueur X caractères)+ mot de passe (N caractères) ne sera pas plus sécurisé que d'allonger le mot de passe root de X caractères.

De ce point de vue, interdire l'accès SSH root ne sécurise guère plus que rallonger le mot de passe root.

(On peux aussi choisir une autre approche et n'autoriser que les connexions par clés SSH).

Après, on peut vouloir interdire l'accès root direct dans une optique de traçabilité des accès root (si on donne l'autorisation sudo à plusieurs utilisateurs), mais c'est une autre problématique plus liée à l'audit qu'à la sécurisation.