Outils pour utilisateurs

Outils du site


securite_linux

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Both sides previous revision Révision précédente
Prochaine révision
Révision précédente
securite_linux [2019/05/12 12:17]
g.rnd@free.fr [Configuration SSH]
securite_linux [2019/07/28 16:45] (Version actuelle)
g.rnd@free.fr [Fail2ban]
Ligne 366: Ligne 366:
 <​code>​PubkeyAuthentication ​ yes  # au lieu de no <​code>​PubkeyAuthentication ​ yes  # au lieu de no
 AuthorizedKeysFile ​     %h/​.ssh/​authorized_keys ​ # ligne à décommenter</​code>​ AuthorizedKeysFile ​     %h/​.ssh/​authorized_keys ​ # ligne à décommenter</​code>​
 +
   * Affichage __graphique déporté__,​ mettre yes   * Affichage __graphique déporté__,​ mettre yes
 <​code>​X11Forwarding ​ yes # au lieu de no</​code>​ <​code>​X11Forwarding ​ yes # au lieu de no</​code>​
 +
   * __UsePAM__ ( Pluggable Authentication Module), mettre à **no** pour ne plus avoir à saisir un mot de passe avec l'​usage des clés. Va de pair avec PubkeyAuthentication   * __UsePAM__ ( Pluggable Authentication Module), mettre à **no** pour ne plus avoir à saisir un mot de passe avec l'​usage des clés. Va de pair avec PubkeyAuthentication
 <​code>​UsePAM ​ no</​code>​ <​code>​UsePAM ​ no</​code>​
 +
   * __Connexions acceptées__. Décommenter la ligne    * __Connexions acceptées__. Décommenter la ligne 
 <​code>#​MaxStartups 10:​30:​60</​code>​ <​code>#​MaxStartups 10:​30:​60</​code>​
 Dans ce cas: le 10 représente le nombre de connexions acceptées sans qu'un utilisateur ait réussi à s'​identifier,​ si cela passe au dessus de 10, il y a 30 % de chances que les suivantes soient bloquées, et ce pourcentage augmente linéairement jusqu'​à 100 % lorsque le full est atteint, à 60 connexions. ​ Dans ce cas: le 10 représente le nombre de connexions acceptées sans qu'un utilisateur ait réussi à s'​identifier,​ si cela passe au dessus de 10, il y a 30 % de chances que les suivantes soient bloquées, et ce pourcentage augmente linéairement jusqu'​à 100 % lorsque le full est atteint, à 60 connexions. ​
 +
   * Ajouter à la fin du texte une ligne **AllowUsers** pour spécifier le ou les __utilisateurs privilégiés__ pouvant accéder en SSH:   * Ajouter à la fin du texte une ligne **AllowUsers** pour spécifier le ou les __utilisateurs privilégiés__ pouvant accéder en SSH:
 <​code>​AllowUsers paul jacques ​ # seuls les utilisateurs "​paul"​ et "​jacques"​ sont autorisés à entrer en SSH</​code>"​ <​code>​AllowUsers paul jacques ​ # seuls les utilisateurs "​paul"​ et "​jacques"​ sont autorisés à entrer en SSH</​code>"​
 >>​**Attention**. Bien mettre un espace entre les noms des utilisateurs autorisés. >>​**Attention**. Bien mettre un espace entre les noms des utilisateurs autorisés.
 +
   * Dans le même ordre d'​idées,​ on peut n'​autoriser uniquement que les utilisateurs du groupe sshusers (pour plus de sécurité)   * Dans le même ordre d'​idées,​ on peut n'​autoriser uniquement que les utilisateurs du groupe sshusers (pour plus de sécurité)
     * Créer le groupe sshusers     * Créer le groupe sshusers
 <​file>​groupadd sshuser ​ # Création du groupe sshusers <​file>​groupadd sshuser ​ # Création du groupe sshusers
 groupadd sshusers</​file>​ groupadd sshusers</​file>​
-    ​* Ajouter ​l'utilisateur à ce groupe+ 
 +    ​* Ajouter ​un utilisateur à ce groupe
 <​file>​usermod -a -G sshusers <​login></​file>​ <​file>​usermod -a -G sshusers <​login></​file>​
 +
     * Ajouter la ligne suivante dans /​etc/​ssh/​sshd-config     * Ajouter la ligne suivante dans /​etc/​ssh/​sshd-config
 <​code>​AllowGroups sshusers</​code>​ <​code>​AllowGroups sshusers</​code>​
 <note tip>​**Relancer** la connexion SSH pour __faire prendre effet aux changements__ <note tip>​**Relancer** la connexion SSH pour __faire prendre effet aux changements__
 +
 <​file>​sudo service ssh restart</​file></​note>​ <​file>​sudo service ssh restart</​file></​note>​
 +
 <note tip>​AllowUsers est prioritaire sur AllowGroups. S'il est utilisé, les seuls utilisateurs mentionnés,​ peuvent se connecter en SSH. <note tip>​AllowUsers est prioritaire sur AllowGroups. S'il est utilisé, les seuls utilisateurs mentionnés,​ peuvent se connecter en SSH.
  
Ligne 398: Ligne 407:
 **fail2ban** lit les logs de divers serveurs (SSH, Apache, FTP…) à la recherche d'​erreurs d'​authentification répétées et ajoute une règle iptables pour bannir l'​adresse IP de la source. **fail2ban** lit les logs de divers serveurs (SSH, Apache, FTP…) à la recherche d'​erreurs d'​authentification répétées et ajoute une règle iptables pour bannir l'​adresse IP de la source.
  
-  * Installation par la commande+  * Installation ​de fail2ban ​par la commande
 <​file>​sudo apt install fail2ban</​file>​ <​file>​sudo apt install fail2ban</​file>​
  
Ligne 404: Ligne 413:
 <​file>​sudo fail2ban-client -x start</​file>​ <​file>​sudo fail2ban-client -x start</​file>​
  
-  * Configuration par le fichier **/​etc/​fail2ban/​jail.conf**. En fait, il est de loin préférable de faire une copie du fichier dans **/​etc/​fail2ban/​jail.local** et de configurer ce fichier. Ce fichier **jail.local** sera automatiquement lu lors de l'​initialisation de fail2ban. ​+  * Configuration par le fichier **/​etc/​fail2ban/​jail.conf**. En fait, il est de loin préférable de faire une copie du fichier dans **/​etc/​fail2ban/​jail.local** et de configurer ce fichier. Ce fichier **jail.local** sera automatiquement lu lors de l'​initialisation de fail2ban. ​ /​var/​log/​fail2ban.log
 <​file>​sudo cp -a /​etc/​fail2ban/​jail.conf /​etc/​fail2ban/​jail.local</​file>​ <​file>​sudo cp -a /​etc/​fail2ban/​jail.conf /​etc/​fail2ban/​jail.local</​file>​
  
Ligne 423: Ligne 432:
 Status Status
  - Number of jail: 6  - Number of jail: 6
-`- Jail list:​ vsftpd,​ ssh, dropbear, proftpd, apache, ssh-ddos ​ # vsftpd est un FTP léger, dropbear un  SSH léger</​file>​+`- Jail list:​ vsftpd,​ ssh, dropbear, proftpd, apache, ssh-ddos ​ # vsftpd est un FTP léger, dropbear un  SSH client et serveur ​léger</​file>​
  
   * Vérification du blocage du protocole **sshd**:   * Vérification du blocage du protocole **sshd**:
securite_linux.1557656270.txt.gz · Dernière modification: 2019/05/12 12:17 par g.rnd@free.fr