Bonjour,
je suis nouveau sur du vps (j'avais déjà eu un kimsufi il y a un moment)
Je souhaiterais avoir votre avis sur mon installation.
J'ai pris un vps 2016 Cloud RAM 1 pour remplacer mes 2 mutu pro et 1 mutu perso.
J'ai commencé par installer la release3 d'ovh mais après deux jours de fonctionnement j'ai eu des rappels tous les 5min de fail2ban de 2/3 tentatives de connexion au FTP en utilisant divers variante nom utilisateur donc en 1 journée j'ai reçus environ 800mails
J'ai donc décider d'installer juste débian avec apache2/php/mysql et phpmyadmin et transférer les fichier par SFTP afin de réduire les risques de tentative de connexion.
1) Pensez vous déjà que soit soit une bonne solution pour réduire les risques de piratage avoir un minimum de paquet d'installé.
2) faut-il quand même installé fail2ban et iptable ?
3) faut-il modifier la liste des paquets debian ? j'ai vu sur des tuto qu'il rajoute des liste :
> nano /etc/apt/sources.list
> deb mirrors.kernel.org/debian/ jessie main contrib non-free
> deb-src mirrors.kernel.org/debian/ jessie main contrib non-free
> deb security.debian.org/ jessie/updates main contrib non-free
> deb-src security.debian.org/ jessie/updates main contrib non-free
> deb mirrors.kernel.org/debian/ jessie-updates main contrib non-free
> deb-src mirrors.kernel.org/debian/ jessie-updates main contrib non-free
> deb mirrors.kernel.org/debian/ jessie-backports main contrib non-free
> deb-src mirrors.kernel.org/debian/ jessie-backports main contrib non-free
4) Pouvez me dire si ma procédure d'installation est bonne et sécurisé ?
> - je rajoute un user à SSH et je le rajoute au groupe root et donne les droits sur les dossier :
> sudo usermod -a -G www-data v-e_amw80px-f7
> sudo chgrp -R www-data /var/www
> sudo chmod -R g+w /var/www
> - je change le mot d epasse root
> - je modifie le fichier sshd_config :
> désactivation de la connexion root en ssh
> j'ajoute le nouvelle user pour la connexion ssh
> - Ensuite je lance l’installation de apache2/ mysql/php et phpmyadmin
> - je change le répertoire de phpmyadmin
Pensez vous qu'il est d'autre chose à faire ? pour surtout sécurisé ? éviter les tentatives d'intrusion.
Y a t il un gain de performance à ne pas installer un webmin ?
En vous remerciant d'avance.
c'est difficile de dire comme ça si l'installation est sécurisée…
Mais dans tous les cas fail2ban ne fait pas de mal.
Pour ma part je change toujours le port SSH, on réduit ainsi 99% des scans et tentatives d'attaques sur ce service.
Après pour tes changements de perms et autre c'est toi qui vois à l'usage. Tout dépend qui s'y connecte et les services installés dessus.
Merci,
oui le port ssh je le change aussi.
je suis le seul à me connecter au serveur et au niveau des services j'ai juste php/apache2/mysql et phpmyadmin pour le moment.
Je pense rajouter juste la fonction mail de php. pour ce dernier es ce juste un paquet de php ou un service en plus . Si service en plus y a t il des précaution de secu ?
Pas spécialement, généralement les problèmes viennent d'appli mal sécurisées ou d'entrées sur SSH.
Bonjour,
Comme indiqué par Sich, la première chose à faire est de changer le port par défaut du SSH, ça limite déjà énormément les tentatives de brute force et autres.
Iptables est normalement installé nativement puisque c'est juste une interface pour netfilter qui est un composant du noyau Linux depuis la version 2.4. Fail2ban lui par contre n'est pas installé par défaut et ne peut pas faire de mal (pense bien sur à whitelister ton IP si tu utilise une IP fixe pour te connecter).
Au passage, avoir Iptables et fail2ban est une bonne chose mais il faut également configurer ces logiciels qui par défaut ne sont pas très efficace.
Pour la modification du fichier source.list, je la trouve un peu inutile. Les dépôts de bases suffisent amplement pour la plupart des besoins et il peut être intéressant d'en rajouter d'autres en cas de besoin ponctuel. Pas la peine dans le cas présent de rajouter que des dépôts de soft non-libre.
Pas possible en effet de t'indiquer si ton serveur est sécurisé via un simple post forum, tu peux par contre utiliser des soft comme lynis ou rkhunter qui sont de supers outils pour faire des diagnostique de sécurité et d'avoir une idée globale de la sécurité sur ta machine.
ok merci
j'installe actuellement iptable et fail2ban
je galère avec fail2ban mais je vais voir je ferais un autre sujet si j'arrive pas à trouver la solution.
Merci