Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Sécurisation vps & divers

janv

Bonsoir à tous.

J'ai loué un vps dans le but d' apprendre à me servir d'un serveur distant.
Il va servir dans un premier temps à faire une seedbox occasionnelle, serveur madsonic et blog statique (Pelican ou Jekyll)

J'ai pour l'instant sécurisé le port ssh de manière basique (anti script-kiddies) soit:
- AllowUsers user1 user2
-PermitRootLogin no
UFW
ufw allow ssh
ufw limit ssh
+ 1 règle fail2ban sur ssh

J'ai pas mal consulté de doc, tuto, bouquins, mais pas trouvé de réponse aux questions qui suivent.
La suite logique serait authentification par clé et port knocking pour ssh. Seulement j'utilise un user sftp pour l’accès aux fichiers distants. Je me connecte via l’explorateur de fichiers nemo ou windows7 pour monter le répertoire distant.
User que j'ai créé ainsi:

useradd -d /home/downloader -m downloader
usermod -a -G debian-transmission downloader
passwd downloader
mkdir /home/downloader/incomplete
chown -R downloader:debian-transmission /home/downloader
chmod -R 775 /home/downloader

Là, déjà j'ai un doute sur le bien fondé de la procédure, si vous avez des commentaires 🙂

Ensuite si je met en place une authentification ssh par clé, est-ce que ça aura une incidence sur la procédure pour se connecter en sftp?
Je me pose la même question concernant la mise en place d'un port-knocking.

tiramiseb

N'oublie pas les herses devant tes 4 portes d'entrée...

janv

Je comptais aussi mettre des pieux enduits de salive de dragon de komodo, la mort sera plus lente 😃

J'ai bien conscience que rien n' empêchera les exploit de faille comme tu as pu le dire sur l'autre topic, mais je n'en suis pas au stade de savoir auditer un serveur, chacun son métier...

tiramiseb

Euh non, mes remarques (sur ce fil et sur l'autre) étaient ironiques hein...

Quand je lis tout ce que tu mets en place comme "sécurisation", je me dis que ça doit faire peur quand on vient chez toi, car bien sûr tu mets le même niveau de sécurisation sur ta maison que sur ton serveur...

Non mais sérieusement.... pare-feu + changement de ports + limite de nombre de requêtes + fail2ban + port knocking... etc etc. Tu n'as pas l'impression d'en faire trop ?

Ne veux-tu pas commencer d'abord à apprendre à administrer un serveur, plutôt que de mettre des éléments de sécurité que tu ne maîtrises pas et que de nombreux professionnels n'appliqueraient que sur des serveurs ultrasensibles ?

Chez moi, c'est SSH sur port 22, connexion en root, authentification par clé SSH et mots de passe désactivés. C'est mise à jour systématique des serveurs. C'est configurations précises et limitées, d'un minimum d'éléments.

Plus tu mets de choses, plus tu risques de faire une erreur.

janv

Si ufw limit ssh + une règle fail2ban sur ssh c'est too much, je peux le comprendre, c'est aussi pour ça que je viens en discuter ici...
En même temps, faire 3 phrases à ce sujet est plus long que d'ajouter/retirer la règle "limit" dans UFW... Pour autant, si ça fait double emploi, ça ne me pose pas de problème de ne laisser que fail2ban.
Vu le nombre de tentatives de brute-force ssh sur le compte root (ou autre service/pseudo) je suis convaincu du bien fondé de la mise en place de l' authentification par clé SSH.

J'ai une question précise en suspend, la mise en place de l' authentification par clé SSH change t-elle la manière de négocier une connexion SFTP ? En gros si je désactive l'authentification par mot de passe comment je me connecte en sftp pour monter dans nemo mon fichier distant?

tiramiseb

Vu le nombre de tentatives de brute-force ssh sur le compte root (ou autre service/pseudo) je suis convaincu du bien fondé de la mise en place de l' authentification par clé SSH.

C'est un moyen de sécurisation extrêmement efficace.

[...] comment je me connecte en sftp [...]

Tout fonctionne de la même manière, c'est juste l'authentification qui est différente.

D'ailleurs, avec un agent SSH (qui démarre tout seul sur les environnements de bureau les plus courants), tu entres ta phrase de passe une seule fois par session, ensuite la clé est automatiquement utilisée, sans aucune question 🙂

janv

Très bien 🙂

Après test par clé RSA, en sftp, dans la fenêtre de connexion nemo, il faut procéder de la même manière que l'authentification par mot de passe. La seule chose qui diffère, c'est qu'il faut laisser le champs du mot de passe vide.

janv

Je remonte le sujet ayant un petit soucis de droits.

Le compte user a été créé comme indiqué dans le 1er post. Avec les droits 775 impossible de se connecter en sftp avec la clé d'authentification, uniquement par mdp. En changeant les droits en 755 cela devient possible seulement dans ce cas il devient impossible de télécharger un torrent. J'obtiens alors un message dans transmission

Permission denied (/home/downloader...

Une idée de comment régler le problème ?

janv

Bon j'ai résolu le soucis en créant un sous dossier au lieu d'écrire directement dans le home:

mkdir /home/downloader/downloads