Nous avons lancé une nouvelle instance Debian Linux pour l'exécuter en tant que serveur de production pour nos nouvelles applications. Il s'agit d'une bonne pratique pour effectuer une configuration initiale du serveur avec le système Debian Linux. Ce qui améliorera la sécurité du serveur principal et la convivialité de votre nouveau serveur.
Ce guide comprend les étapes suivantes :
- Mettre à jour et mettre à niveau un système Debian
- Créer un utilisateur Sudo dans Debian
- Configurer le nom d'hôte dans un système Debian
- Serveur SSH sécurisé
- Configuration de FirewallD
Commençons par la configuration initiale du serveur sur le système Debian Linux.
1. Mettre à jour Debian
Une fois connecté au serveur Debian, la première tâche consiste à mettre à niveau les packages actuels du système Debian. Parce qu'il se peut que le serveur soit construit avec l'ancien fichier image. L'équipe Debian continue de travailler pour améliorer la sécurité du serveur et fournit régulièrement des paquets mis à jour.
Tout d'abord, mettez à jour le cache Apt sur votre système.
sudo apt update Ensuite, exécutez la commande de mise à niveau pour réellement mettre à niveau les packages.
sudo apt upgrade C'est aussi un bon choix pour exécuter la dist-upgrade pour un système nouvellement installé.
sudo apt dist-upgrade Appuyez sur 'Y' pour toute confirmation invitée à terminer l'installation des packages.
Exécutez également la commande suivante pour supprimer les packages qui ne sont plus nécessaires. Ceci est également utile pour supprimer les fichiers des anciennes versions du noyau.
sudo apt autoremove 2. Créer un utilisateur Sudo
Certains des fournisseurs d'hébergement comme DigitalOcean lancent des instances avec un compte root uniquement. Ce n'est pas une bonne pratique de continuer à utiliser une instance de production en utilisant le compte superutilisateur. Nous vous recommandons fortement de créer un nouvel utilisateur avec des privilèges Sudo et de l'utiliser pour accéder à votre instance Debian.
En supposant que vous êtes déjà connecté à un compte root. Exécutez la commande suivante pour créer un nouvel utilisateur sur Debian :
sudo adduser tecadmin
Le compte nouvellement créé est un utilisateur régulier. Vous aurez besoin des privilèges administratifs pour effectuer plusieurs tâches. Accordez les privilèges administratifs à cet utilisateur en les ajoutant dans sudo grouper. Pour ajouter un utilisateur au groupe sudo, tapez :
sudo usermod -a -G sudo tecadmin Maintenant, vous pouvez passer à un compte nouvellement créé pour plus d'instructions.
sudo su - tecadmin 3. Configurer le nom d'hôte du système
Un nom d'hôte d'un système est le nom de l'instance utilisée comme identité pour les réseaux informatiques. Il aide les utilisateurs et la machine du réseau à reconnaître facilement une machine au sein d'un réseau dans un format lisible par l'homme.
C'est une bonne pratique de définir un nom d'hôte approprié pour votre instance. Dans le terminal système, tapez hostnamectl et appuyez sur Entrée :
hostnamectl Cela vous donnera des détails sur les détails du système, y compris le nom d'hôte. Même vous pouvez taper la commande hostname pour afficher le nom d'hôte des systèmes.
Ensuite, changez le nom d'hôte du système en
sudo hostnamectl set-hostname debian10 Une fois que vous avez mis à jour le nom d'hôte des systèmes, vous devez passer à un nouveau shell à activer dans la session en cours. Après avoir changé le shell actuel, l'invite du shell sera remplacée par un nouveau nom d'hôte.
hostname
4. Sécuriser SSH
SSH (Secure Shell) est le protocole utilisé pour connecter des serveurs distants. Nous vous recommandons de configurer le serveur OpenSSH pour écouter sur un port non standard. Ce qui vous offre une autre couche de sécurité contre les pirates.
Pour modifier le port par défaut et désactiver la connexion root, modifiez le fichier de configuration OpenSSH /etc/ssh/sshd_config et effectuez les modifications suivantes.
- Modifier le port par défaut – Il serait bon de changer le port ssh par défaut car les ports par défaut sont toujours sur les attaquants.
Port 2232
- Désactiver la connexion SSH racine – Vous souhaitez également désactiver la connexion root via ssh.
PermitRootLogin no
Enregistrez le fichier de configuration et redémarrez le service OpenSSH pour appliquer les modifications.
sudo systemctl restart ssh 5. Configuration du pare-feu (FirewallD)
L'édition du serveur Debian par défaut n'a pas de pare-feu installé dessus. Vous pouvez simplement exécuter la commande suivante pour installer les packages requis à partir des référentiels par défaut.
sudo apt install firewalld -y Une fois l'installation réussie, le service de pare-feu sera automatiquement démarré et activé sur votre système.
Le pare-feu par défaut autorise SSH aux utilisateurs distants. Mais si le port SSH est modifié, vous pouvez ajouter une règle pour autoriser l'accès SSH sur un autre port.
sudo firewall-cmd --permanent --add-port=2232/tcp Vous pouvez directement fournir un nom de service comme "http" ou "https" pour autoriser. Le firewalld lit le fichier /etc/services pour déterminer le port correspondant du service.
sudo firewall-cmd --permanent --add-service=httpsudo firewall-cmd --permanent --add-service=https
Après avoir apporté des modifications à votre pare-feu, assurez-vous de recharger les modifications à l'aide de la commande suivante.
sudo firewall-cmd --reload Pour afficher, tous les ports et services autorisés, utilisez la commande suivante.
sudo firewall-cmd --permanent --list-all Sortie :
public target :default icmp-block-inversion :no interfaces :sources :services :cockpit dhcpv6-client http https ssh ports :protocols :masquerade :no forward-ports :source-ports :icmp-blocks :rich rules :Conclusion
Dans ce guide, nous avons parcouru la configuration initiale du serveur d'un système Debian Linux. Une fois que vous avez terminé avec succès toutes les configurations initiales du serveur, votre système est prêt à être utilisé.