Bonjour à tous
J'ai sécurisé mon serveur de la façon suivante:
ROOT ne peut pas se connecter en SSH
Port changé !
Utilisateur d'origine UBUNTU a été renommé
Mot de passe de fou bien sur
Donc impossible de demander une connexion SSH avec ROOT et UBUNTU.
Plesk caché sur un sous domaine.
Pas de connexion ROOT possible dans Plesk. Seulement ADMIN avec mot de passe de fou bien sûr.
CLé RSA installé mais non fonctionnelle
Clé installé à partir des codes suivants:
ssh-keygen -t rsa -b 4096
ssh-copy-id newuser@vps-xxxxx.vps.ovh.net -p 00000
ssh-copy-id donc pas de souci avec les chmod
authorized_keys bien rempli de sa clé (745Ko)
Et dans sshd.config:
PermitRootLogin no
StrictModes yes
PubkeyAuthentification yes
AuthorizedKeysFile ~/.ssh/authorized_keys ~/.ssh/authorized_keys2
PasswordAuthentification no
PermitEmptyPasswords no
J'ai retiré les clefs du serveur et je les ai mis dans mon répertoire .SSH dans Utilisateur Windows.
Quand je me connecte il faut entrer la paraphrase mais si j'enlève les clés RSA du répertoire .SSH, dans ce cas, Linux me demande le mot de passe. Donc ca ne fonctionne pas 
Que pensez vous de ma sécurité ? Est ce que le minimum est atteint ?
Auriez vous une idée svp pour les clés RSA ?
Merci,
Olivier
dans ce cas, Linux me demande le mot de passe. Donc ca ne fonctionne pas :(
C'est plus vicieux quand il demande un password, mais que de toute façon il ne l'acceptera pas.
Vous avez bien fait un restart de sshd, j'espère ?
Enfin il reste à installer et configurer fail2ban afin de tenir éloignés les lourdingues qui découvriraient votre n° de port de fou ...
/etc/init.d/ssh restart
et
reboot
Ha si il accepte le mot de passe je me connecte avec en SSH. C'est ça qui est dingue je ne comprends pas vu les lignes entrées dans sshd_config
Fail2ban est installé c'est Plesk qui le gère.
Merci de ton intervention Fritz2cat 
Bien à toi
Olivier
Bonjour,
- Quel est le rôle du serveur ? (services accessibles depuis l'extérieur)
- Le firewall est-il configuré ?
- Portsentry est-il installé et correctement configuré ?
- Installez et configurer RKhunter, même si certain le disent obsolète, il m'a sauvé la mise 2 ou 3 fois.
Passez les mises à jours le plus rapidement possible et vérifier qu'aucune ancienne librairie est utilisé (paquet needrestart). Quand le kernel est mis à jour, rebooter.
Enfin, lancez un audit lynis https://cisofy.com/lynis/ pour avoir des indications sur les choses que vous pouvez améliorer (sans péter les services).
Bonjour TTY
On sent que vous connaissez votre sujet.
Le rôle du serveur est l'hébergement de site(s)
Oui il y a un firewall dans Plesk qui est actif.
Portsentry, je ne connais pas je vais me renseigner.
RKhunter, idem je ne connais pas je vais me renseigner.
paquet needrestart, Je vais me renseigner.
J'utilise apt-get update apt-get upgrade pour mettre à jour ce qui n'inclut pas le kernel si je comprends bien.
Bon j'ai de quoi faire ! Merci beaucoup j'ai du boulot !
Bien à toi,
Olivier
On sent que vous connaissez votre sujet.
C'est gentil mais non. Ce sont juste les bases pour une machine qui à un adressage IP publique et est directement connecté à Internet.
Oui il y a un firewall dans Plesk qui est actif.
Rien qui n'est pas nécessaire ne doit pouvoir sortir (80,443,53...)
Portsentry, je ne connais pas je vais me renseigner.
Portsentry va détecter des connexions sur des ports qui ne sont pas pris par un service. C'est une sorte d'anti sniffer de ports.
Voilà l'idée :
Sur le firewall en INPUT vous autorisez des ports communs qui seront des pièges.
Dans Portsentry vous configurez ces mêmes ports qui sont ouverts dans le FW.
Portsentry bannira les IPs faisant des requêtes sur ces port (à commencer par le 22 vu que vous avez modifié le port SSH).
Sans Portsentry, votre nouveau port SSH sera très vite trouvé par les attaquants.
Portsentry, je ne connais pas je vais me renseigner.
La config est un peu chiante pour éliminer les faux positifs mais je pense que ça vaut le coup
paquet needrestart, Je vais me renseigner.
J'utilise apt-get update apt-get upgrade pour mettre à jour ce qui n'inclut pas le kernel si je comprends bien.
si, apt-upgrade va mettre à jour les noyaux.
Après les mise à jours, tout un tas de process utiliseront les vielles versions des paquets (lib).
Sans effectuer un needrestart pour savoir quoi redémarrer c'est plus compliqué.
Une fois installé il se lancera après chaque apt-upgrade.
> Bon j'ai de quoi faire ! Merci beaucoup j'ai du boulot !
Oui c'est sur mais aller j'en rajoute :
Fail2ban et Portsentry note sur les perf :
Attention aux nombre règles iptables chargées dans netfilter. Au bout de qq miliers d'adresses IP votre bande passante va littéralement s’effondrer (sans que la RAM ou les CPU ne soient impactés).
Je vous conseil de configurer directement votre Fail2ban et Portsentry (+ tout autre système de bannissement) pour fonctionner avec Ipset.
Ipset est une sorte de basse de donnée d'adresse IP indexées . Les performances n'ont rien à voir.
Pensez également au monitoring afin de détecter les activités anormales et prédire les futures pannes. Un des produit le plus simple est Munin.
needrestart !
C'est top ça. Génial pour redémarrer les services
Je continue avec le reste
Bonjour,
dans Plesk
oui alors attention a pas installer des trucs que plesk ne sait pas gérer, la dernière fois que j'ai vu quelqu'un mettre les main dans un plesk en CLI sans utiliser les commandes PLESK le serveur était KO car plesk avais parasité le système de base
A titre perso je ne touche pas au panel "boite noir" (plesk/cpanel & cie) à cause de ce genre de problématique (aka lire la doc constrcuteur, si public, et y réfléchir à 5 fois avant de faire une commande).
Cordialement, janus57
Merci janus
Non c'est le firewall de Plesk, c'est Plesk qui le propose et qui l'installe
C'est un composant de base dans Plesk. Pas de CLI
Bonjour,
je parle de manière générale par rapport aux conseils de @TTY, et si avec plesk il y a un CLI (aka accès SSH), c'est d'ailleurs la seule solution de connexion à votre serveur si le panel plesk plante (et ce sera le premier en cas de gros problèmes).
Cordialement, janus57
Je ne vais pas ajouter grd chose, si ce n'est d'utiliser crowdsec à la place de fail2ban.
Mais je doute qu'il existe un module plesk pour ça.
Portsentry je ne suis pas un grd fan, perso j'active tjrs le parefeu ovh devant le serveur, ce qui va fortement limiter le bruit sur le parefeu (et qd on a de nbreuses IPFO ça commence à se ressentir).
Et sinon oui, ipset obligatoire qd on a une grande liste d'ip à bannir.
[EDIT]
Je rajouterai que ces étapes sont importantes / utiles.
Mais généralement les hacks vont se faire via un site pas à jour…
C'est la première faille de sécurité…
Pour se faire avoir par un brute force ssh faut vraiment le chercher…
[/EDIT]