Comment simplement sécuriser sa machine

Apprenez à sécuriser votre VPS

Comment simplement sécuriser sa machine

Apprenez à sécuriser votre VPS

Crée le 23 févr. 2021

Ce qu'on va faire

Dans ce tutoriel, nous allons faire 4 choses pour avoir une sécurité de base pour votre machine (VPS)

On va faire dans ce tutoriel:

  1. Changement du port SSH
  2. Changement du Mot de Passe root
  3. Bloquer la connexion au root à distance
  4. Installation de Fail2Ban

Ces quelques protections peut-être basique pour certains, permettent déjà de contrer le spam de requête (de connexion SSH) (Fail2ban va bannir pendant un temps défini les ip). Et de bloquer les bots qui spamment le port SSH pour se connecter (changement de port SSH)

Attention ce tutoriel est seulement valable pour des machines sous Ubuntu et Debian

Attention, nous (Arvix#8443 et GCA) ne sommes en aucun cas, responsable des choses que vous faites sur votre machine, si vous vous bloquez l'accès à la machine,nous n'en sommes pas responsable

Toutes les actions s'effectuent avec les permissions root

Changement du port SSH

La port SSH par défaut est le 22, nous allons donc le changer pour un port un peu plus lointain, comme le port 45454 (vous pouvez choisir n'importe lequel mais assurez vous qu'il n'est pas déjà utilisé).

Premièrement, ouvrons la config du SSH

nano /etc/ssh/sshd_config

La commande nano est donnée comme exemple, vous pouvez utiliser la commande vim ou toute autre commande permettant de modifier le fichier « sshd_config ».

Vous devez ensuite trouver la ligne suivante :

# What ports, IPs and protocols we listen for Port 22
Port 22

Remplacez le numéro 22 par le port que vous voulez.

Attention, vérifiez d'abord quels ports sont déjà utilisés sur votre machine, afin de ne pas créer de conflits

Enregistrez et quittez le fichier.

Vous pouvez maintenant restart le système ssh, avec la commande suivante :

/etc/init.d/ssh restart

Maintenant, reconnectez-vous à votre machine avec le nouveau port.

Changement du Mot de Passe root

Pour changer le mot de passe root, il suffit de taper la commande suivante :

Attention, le mot de passe ne s'affiche pas durant l'écriture, je vous conseille de l'écrire dans un document texte sur votre PC et ensuite, le copier/coller

passwd root

Voilà, maintenant à la prochaine connexion root, le mot de passe sera le nouveau.

Bloquer la connexion au root à distance

Attention, pour faire cela, vous devez avoir un autre compte créé sur votre machine, sinon vous risquez de perdre l'accès à votre machine. Ce compte devra avoir la permission d'exécuter des commandes via root. Un outil comme sudo peut s'avérer utile.

Effectuez la commande suivante:

nano /etc/ssh/sshd_config

Elle permet d'ouvrir la configuration SSH

Trouvez dans la config les lignes suivantes:

# Authentication: 
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes

Passez PermitRootLogin de yes à no

Vous pouvez à présent redémarrer le service SSH

/etc/init.d/ssh restart

Désormais personne ne peut se connecter au root à distance, vous pouvez seulement vous connecter à votre machine via un autre compte.

Installation de Fail2Ban

Fail2ban est un framework de prévention contre les intrusions dont le but est de bloquer les adresses IP inconnues qui tentent de pénétrer dans votre système. Ce logiciel est recommandé, même essentiel, pour se prémunir contre toute attaque brutale contre vos services.

Pour installer celui-ci faites :

apt-get install fail2ban

Une fois le paquet installé, il faut modifier le fichier de configuration de ce dernier pour l’adapter à la vôtre. Avant toute modification, il est recommandé d’effectuer une sauvegarde du fichier de configuration en tapant la commande suivante :

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.backup

Apportez ensuite vos modifications sur le fichier :

nano /etc/fail2ban/jail.conf

Une fois ces modifications terminées, redémarrez le service à l’aide de la commande suivante :

/etc/init.d/fail2ban restart

Pour toute demande complémentaire concernant Fail2Ban, n’hésitez pas à consulter la documentation officielle de cet outil en cliquant sur ce lien


Voilà c'est tout pour ce tutoriel, si vous voulez rajouter encore plus de sécurité, je vous conseille d'aller voir la documentation d'OVH.

Envie de lire la suite de ce tutoriel ?

Connecte-toi dès maintenant, et accède entièrement à tous les tutoriels de GCA !

#Sécurité

Écrit par ArviX#8443

3

Sommaire