Configuration initiale du serveur avec Debian 11

Introduction

Lorsque vous créez un nouveau serveur Debian 11 pour la première fois, vous devez suivre quelques étapes de configuration dès le début dans le cadre de la configuration de base. Cela augmentera la sécurité et la convivialité de votre serveur et vous donnera une base solide pour les actions ultérieures.

Dans ce didacticiel, nous apprendrons à nous connecter à notre serveur en tant qu'utilisateur root, à créer un nouvel utilisateur avec des privilèges d'administrateur et à configurer un pare-feu de base.

Étape 1 - Connexion en tant que root

Pour vous connecter à votre serveur, vous devez connaître l'adresse IP publique de votre serveur. Vous aurez également besoin du mot de passe ou, si vous avez installé une clé SSH pour l'authentification, de la clé privée du compte de l'utilisateur root. Si vous n'êtes pas encore connecté à votre serveur, vous pouvez suivre notre guide sur comment se connecter à votre Droplet avec SSH, qui couvre ce processus en détail.

Si vous n'êtes pas déjà connecté à votre serveur, continuez et connectez-vous en tant qu'utilisateur root à l'aide de la commande suivante (remplacez la partie en surbrillance de la commande par l'adresse IP publique de votre serveur) :

ssh [email protected]_server_ip

Acceptez l'avertissement concernant l'authenticité de l'hôte s'il s'affiche. Si vous utilisez l'authentification par mot de passe, fournissez votre mot de passe root pour vous connecter. Si vous utilisez une clé SSH protégée par une phrase secrète, vous pouvez être invité à saisir la phrase secrète la première fois que vous utilisez la clé à chaque session. S'il s'agit de votre première connexion au serveur avec un mot de passe, vous pouvez également être invité à modifier le mot de passe root.

À propos de la racine

L'utilisateur root est l'utilisateur administratif dans un environnement Linux qui dispose de privilèges très étendus. En raison des privilèges accrus du compte root, vous êtes déconseillé de l'utiliser régulièrement. En effet, une partie de la puissance inhérente au compte root est la capacité d'apporter des modifications très destructrices, même par accident.

L'étape suivante consiste à créer un compte utilisateur alternatif avec un champ d'influence réduit pour le travail quotidien. Plus tard, nous expliquerons comment obtenir des privilèges accrus pour les moments où vous en aurez besoin.

Étape 2 - Création d'un nouvel utilisateur

Une fois que vous êtes connecté en tant que root, nous sommes prêts à ajouter le nouveau compte utilisateur que nous utiliserons pour nous connecter à partir de maintenant.

Cet exemple crée un nouvel utilisateur appelé sammy, mais vous devez le remplacer par un nom d'utilisateur que vous aimez :

adduser sammy

Quelques questions vous seront posées, en commençant par le mot de passe du compte.

Entrez un mot de passe fort et, éventuellement, remplissez les informations supplémentaires que vous souhaitez. Ce n'est pas obligatoire et vous pouvez simplement appuyer sur ENTER dans n'importe quel champ que vous souhaitez ignorer.

Ensuite, nous allons configurer ce nouvel utilisateur avec des privilèges d'administrateur.

Étape 3 - Octroi de privilèges administratifs

Maintenant, nous avons créé un nouveau compte d'utilisateur avec des privilèges de compte réguliers. Cependant, nous pouvons parfois avoir besoin de faire des tâches administratives avec.

Pour éviter d'avoir à nous déconnecter de notre utilisateur normal et à nous reconnecter en tant que compte root, nous pouvons configurer ce que l'on appelle les privilèges superuser ou root pour notre compte normal. Cela permettra à notre utilisateur normal d'exécuter des commandes avec des privilèges administratifs en plaçant le mot sudo avant la commande.

Pour ajouter ces privilèges à notre nouvel utilisateur, nous devons ajouter le nouvel utilisateur au groupe sudo. Par défaut, sur Debian 11, les utilisateurs appartenant au groupe sudo sont autorisés à utiliser la commande sudo.

En tant que root, exécutez cette commande pour ajouter votre nouvel utilisateur au groupe sudo (remplacez le mot en surbrillance par votre nouvel utilisateur) :

usermod -aG sudo sammy

Désormais, lorsque vous êtes connecté en tant qu'utilisateur habituel, vous pouvez taper sudo avant les commandes pour exécuter la commande avec les privilèges de superutilisateur.

Étape 4 - Configuration d'un pare-feu de base

Les serveurs Debian peuvent utiliser des pare-feu pour s'assurer que seules certaines connexions à des services spécifiques sont autorisées. Dans ce guide, nous allons installer et utiliser le pare-feu UFW pour vous aider à définir des politiques de pare-feu et à gérer les exceptions.

Nous pouvons utiliser le gestionnaire de packages apt pour installer UFW. Mettez à jour l'index local pour récupérer les dernières informations sur les packages disponibles, puis installez le logiciel de pare-feu UFW en tapant :

apt update
apt install ufw

Les profils de pare-feu permettent à UFW de gérer des ensembles nommés de règles de pare-feu pour les applications installées. Les profils de certains logiciels courants sont fournis avec UFW par défaut et les packages peuvent enregistrer des profils supplémentaires avec UFW pendant le processus d'installation. OpenSSH, le service nous permettant de nous connecter à notre serveur maintenant, a un profil de pare-feu que nous pouvons utiliser.

Vous répertoriez tous les profils d'application disponibles en tapant :

ufw app list

OutputAvailable applications:
 . . .
 OpenSSH
 . . .

Nous devons nous assurer que le pare-feu autorise les connexions SSH afin que nous puissions nous reconnecter la prochaine fois. Nous pouvons autoriser ces connexions en tapant :

ufw allow OpenSSH

Ensuite, nous pouvons activer le pare-feu en tapant :

ufw enable

Tapez y et appuyez sur ENTER pour continuer. Vous pouvez voir que les connexions SSH sont toujours autorisées en tapant :

ufw status

OutputStatus: active

To             Action   From
--             ------   ----
OpenSSH          ALLOW    Anywhere
OpenSSH (v6)     ALLOW    Anywhere (v6)

Comme le pare-feu bloque actuellement toutes les connexions à l'exception de SSH, si vous installez et configurez des services supplémentaires, vous devrez ajuster les paramètres du pare-feu pour autoriser un trafic acceptable. Vous pouvez apprendre certaines opérations UFW courantes dans notre guide des éléments essentiels UFW.

Étape 5 - Activation de l'accès externe pour votre utilisateur régulier

Maintenant que nous avons un utilisateur régulier pour une utilisation quotidienne, nous devons nous assurer que nous pouvons nous connecter directement en SSH au compte.

Le processus de configuration de l'accès SSH pour votre nouvel utilisateur varie selon que le compte root de votre serveur utilise un mot de passe ou des clés SSH pour l'authentification.

Si le compte racine utilise l'authentification par mot de passe

Si vous vous êtes connecté à votre compte racine à l'aide d'un mot de passe, l'authentification par mot de passe est activée pour SSH. Vous pouvez vous connecter en SSH à votre nouveau compte utilisateur en ouvrant une nouvelle session de terminal et en utilisant SSH avec votre nouveau nom d'utilisateur :

ssh [email protected]_server_ip

Après avoir entré votre mot de passe d'utilisateur habituel, vous serez connecté. N'oubliez pas que si vous devez exécuter une commande avec des privilèges administratifs, tapez sudo avant comme ceci :

sudo command_to_run

Vous serez invité à entrer votre mot de passe d'utilisateur habituel lors de la première utilisation de sudo pour la première fois à chaque session (et périodiquement par la suite).

Pour améliorer la sécurité de votre serveur, nous vous recommandons fortement de configurer des clés SSH au lieu d'utiliser l'authentification par mot de passe . Suivez notre guide sur configuration des clés SSH sur Debian 11 pour savoir comment configurer l'authentification basée sur les clés.

Si le compte racine utilise l'authentification par clé SSH

Si vous vous êtes connecté à votre compte racine à l'aide de clés SSH, l'authentification par mot de passe est désactivée pour SSH. Vous devrez ajouter une copie de votre clé publique locale au fichier ~/.ssh/authorized_keys du nouvel utilisateur pour vous connecter avec succès.

Étant donné que votre clé publique se trouve déjà dans le fichier ~/.ssh/authorized_keys du compte racine sur le serveur, nous pouvons copier ce fichier et cette structure de répertoires dans notre nouveau compte utilisateur dans notre session existante avec le [ commande X201X]. Ensuite, nous pouvons ajuster la propriété des fichiers à l'aide de la commande chown.

Assurez-vous de modifier les parties en surbrillance de la commande ci-dessous pour qu'elles correspondent au nom de votre utilisateur habituel :

cp -r ~/.ssh /home/sammy
chown -R sammy:sammy /home/sammy/.ssh

La commande cp -r copie l'intégralité du répertoire dans le répertoire personnel du nouvel utilisateur, et la commande chown -R change le propriétaire de ce répertoire (et tout ce qu'il contient) en username:groupname ( Debian crée un groupe avec le même nom que votre nom d'utilisateur par défaut).

Maintenant, ouvrez une nouvelle session de terminal et connectez-vous via SSH avec votre nouveau nom d'utilisateur :

ssh [email protected]_server_ip

Vous devez être connecté au nouveau compte utilisateur sans utiliser de mot de passe. N'oubliez pas que si vous devez exécuter une commande avec des privilèges administratifs, tapez sudo avant comme ceci :

sudo command_to_run

Vous serez invité à entrer votre mot de passe d'utilisateur habituel lors de la première utilisation de sudo pour la première fois à chaque session (et périodiquement par la suite).

Où aller en partant d'ici?

À ce stade, vous disposez d'une base solide pour votre serveur. Vous pouvez installer tous les logiciels dont vous avez besoin sur votre serveur dès maintenant.