Configuration initiale du serveur avec Ubuntu 12.04

De Get Docs
Aller à :navigation, rechercher


Statut : Obsolète

Cet article couvre une version d'Ubuntu qui n'est plus prise en charge. Si vous utilisez actuellement un serveur exécutant Ubuntu 12.04, nous vous recommandons fortement de mettre à niveau ou de migrer vers une version prise en charge d'Ubuntu :

Raison: Ubuntu 12.04 a atteint sa fin de vie (EOL) le 28 avril 2017 and no longer receives security patches or updates. This guide is no longer maintained.

Voir plutôt :
Ce guide peut toujours être utile comme référence, mais peut ne pas fonctionner sur d'autres versions d'Ubuntu. S'il est disponible, nous vous recommandons fortement d'utiliser un guide écrit pour la version d'Ubuntu que vous utilisez. Vous pouvez utiliser la fonctionnalité de recherche en haut de la page pour trouver une version plus récente.


Que signifie le Rouge

Les lignes que l'utilisateur doit saisir ou personnaliser seront en rouge dans ce tutoriel ! Le reste devrait principalement être copié-collé.

Les bases

Lorsque vous commencez à accéder à votre nouveau serveur, vous devez prendre quelques mesures préliminaires pour le rendre plus sécurisé. Certaines des premières tâches requises sur un serveur privé virtuel peuvent inclure la configuration d'un nouvel utilisateur, la fourniture des privilèges appropriés et la configuration de SSH.

Première étape—Connexion racine

Une fois que vous connaissez votre adresse IP et votre mot de passe root, connectez-vous en tant qu'utilisateur principal, root.

Il n'est pas recommandé d'utiliser root sur un VPS de manière régulière, et ce tutoriel vous aidera à configurer un autre utilisateur avec lequel vous connecter en permanence.

ssh [email protected]

Le terminal affichera :

The authenticity of host '69.55.55.20 (69.55.55.20)' can't be established.
ECDSA key fingerprint is 79:95:46:1a:ab:37:11:8e:86:54:36:38:bb:3c:fa:c0.
Are you sure you want to continue connecting (yes/no)?

Allez-y et tapez oui, puis entrez votre mot de passe root.

Deuxième étape—Modifiez votre mot de passe

Actuellement, votre mot de passe root est celui par défaut qui vous a été envoyé lors de l'enregistrement de votre droplet. La première chose à faire est de le changer pour celui de votre choix.

passwd

Troisième étape— Créer un nouvel utilisateur

Après vous être connecté et avoir changé votre mot de passe, vous n'aurez plus besoin de vous reconnecter en tant que root. Dans cette étape, nous allons créer un nouvel utilisateur et lui donner toutes les capacités root.

Vous pouvez choisir n'importe quel nom pour votre utilisateur. Ici, j'ai suggéré une démo

adduser demo

Après avoir défini le mot de passe, vous n'avez pas besoin d'entrer d'autres informations sur le nouvel utilisateur. Vous pouvez laisser toutes les lignes vides si vous le souhaitez

Quatrième étape : privilèges racine

Pour l'instant, seul root dispose de toutes les capacités d'administration. Nous allons donner au nouvel utilisateur les privilèges root.

Lorsque vous effectuez des tâches root avec le nouvel utilisateur, vous devrez utiliser la phrase "sudo" avant la commande. C'est une commande utile pour 2 raisons : 1) elle empêche l'utilisateur de commettre des erreurs destructrices du système 2) elle stocke toutes les commandes exécutées avec sudo dans le fichier '/var/log/secure' qui peut être revu ultérieurement si nécessaire.

Continuons et éditons la configuration sudo. Cela peut être fait via l'éditeur par défaut, qui dans Ubuntu s'appelle 'nano'

visudo

Recherchez la section intitulée Spécification des privilèges de l'utilisateur. Il ressemblera à ceci:

# User privilege specification
root    ALL=(ALL:ALL) ALL

En dessous, ajoutez la ligne suivante, accordant toutes les autorisations à votre nouvel utilisateur :

demo    ALL=(ALL:ALL) ALL

Tapez 'cntrl x' pour quitter le fichier.

Appuyez sur Y pour enregistrer ; appuyez sur Entrée et le fichier sera enregistré au bon endroit.

Cinquième étape— Configurez SSH (FACULTATIF)

Il est maintenant temps de rendre le serveur plus sécurisé. Ces étapes sont facultatives. Veuillez garder à l'esprit que la modification du port et la restriction de la connexion root peuvent rendre la connexion plus difficile à l'avenir. Si vous égarez ces informations, cela pourrait être presque impossible.

Ouvrir le fichier de configuration

nano /etc/ssh/sshd_config

Recherchez les sections suivantes et modifiez les informations, le cas échéant :

Port 25000
Protocol 2
PermitRootLogin no

Nous allons les prendre un par un.

Port : Bien que le port 22 soit le port par défaut, vous pouvez le remplacer par n'importe quel nombre compris entre 1025 et 65536. Dans cet exemple, j'utilise le port 25000. Assurez-vous de noter le nouveau numéro de port. Vous en aurez besoin pour vous connecter à l'avenir. Ce changement rendra plus difficile la connexion des personnes non autorisées.

PermitRootLogin : changez ceci de oui à non pour arrêter la future connexion root. Vous ne vous connecterez désormais qu'en tant que nouvel utilisateur.

Ajoutez ces lignes au bas du document, en remplaçant *demo* dans la ligne AllowUsers par votre nom d'utilisateur. (AllowUsers limitera la connexion aux seuls utilisateurs de cette ligne. Pour éviter cela, sautez cette ligne) :

UseDNS no
AllowUsers demo

Sauvegarder et quitter

Sixième étape : rechargez et c'est terminé !

Rechargez SSH et il implémentera les nouveaux ports et paramètres.

reload ssh

Pour tester les nouveaux paramètres (ne vous déconnectez pas encore de root), ouvrez une nouvelle fenêtre de terminal et connectez-vous en tant que nouvel utilisateur.

N'oubliez pas d'inclure le nouveau numéro de port.

ssh -p 25000 [email protected]

Votre invite devrait maintenant indiquer :

[[email protected] ~]$

Voir plus

Lorsque vous commencez à sécuriser votre droplet avec SSH, vous pouvez continuer à améliorer sa sécurité en installant des programmes, tels que Fail2Ban ou Deny Hosts, pour prévenir les attaques par force brute sur le serveur. Vous pouvez également trouver le tutoriel pour installer la pile LAMP sur le serveur ici ou la pile LEMP ici.

Par Etel Sverdlov