Je viens de trouver une réponse: https://debian-handbook.info/browse/fr-FR/stable/sect.firewall-packet-filter... Je n'aurai jamais pensé le mettre ici... Mais en même temps, puisque c'est un livre de référence, je vais suivre les instructions 😄 Jim
Le 6 de mar de 2016 à 13:15, Jim <jim.joomla@gmail.com> a écrit :
Oui, sur un VM je fais quelques entorse à la regle…
Sur le Firewall/gatewall au final, ssh ne sera autorise qu’a traver la LAN, pas par le WAN, donc pas trop de soucis. Sur ce sereur, je ne veux que quelques services: DNS, DHCP, Proxy cache (squid), surf clean ( Privoxy ), et IPS pour la partie standard. Une fonction Time Capsule pour la partie un peu exotique. ( pour cette raison qu’un PFsense ne rempli par le role).
Maintenant mon script est installé sur la maquette du serveur.
Mais comment s’assurer qu’il est bien configureé pour se lancer au demarrage?
Jim,
Le 6 mars 2016 à 12h46, Jean Elchinger <jeanelchinger@riseup.net> a écrit :
Ce n'est pas une bonne pratique d'autoriser root en ssh. Ok si c'est en local dans une VM. Mais sinon en production le mieux est d'autoriser un utilisateur et interdire root.
Voici mes notes en markdown lorsque je commence à installer debian sur un nouveau serveur.
création d'un nouvel utilisateur pour ne pas utiliser root
adduser <user> visudo
Ajouter le user sous root avec les mêmes droits
**Génération des clés SSH**
Exemple :
ssh-keygen -t ed25519 -f id_ed25519 -o -a 500 ssh-keygen -t rsa -b 4096 -o -a 500
[https://stribika.github.io/2015/01/04/secure-secure-shell.html](https://stribika.github.io/2015/01/04/secure-secure-shell.html) [http://blog.patshead.com/2013/09/generating-new-more-secure-ssh-keys.html](http://blog.patshead.com/2013/09/generating-new-more-secure-ssh-keys.html)
[Un peu plus de sécurité sous Linux](http://www.libwalk.so/2015/02/15/more-security.html) [NSA - À propos de BULLRUN ](http://www.libwalk.so/2015/01/25/NSA-bullrun.html)
Se connecter sur le serveur avec le user (pas en root)
mkdir .ssh
En local
scp ~/.ssh/id_ecdsa.pub root@<serveur>:/home/<user>/.ssh/
Suivre le tuto de Korben pour sécuriser SSH [http://korben.info/tuto-ssh-securiser.html](http://korben.info/tuto-ssh-securiser.html)
cp /etc/ssh/sshd_config /etc/ssh/sshd_config_bck vi /etc/ssh/sshd_config service ssh restart systemctl restart ssh
Sur le serveur ne pas faire
chmod 0600 .ssh
Mais
chmod 0700 .ssh Sinon l'accès ne fonctionne pas
On 6 March 2016 15:08:59 CET, Jim <jim.joomla@gmail.com> wrote: Je viens de trouver
dans sshd_config, il faut changer
FROM: PermitRootLogin without-password TO: PermitRootLogin yes
Lla ligne etait bien cachée.
Jim,
Début du message réexpédié :
De: Jim <jim.joomla@gmail.com> Objet: Rép : Configuration un server Dedian Jessie en Firewall / Gateway Date: 6 mars 2016 10:57:42 UTC−3 À: Liste Auto-Hébergement <auto-hebergement-aide@listes.auto-hebergement.fr>
Bonjour,
Comment autoriser root a se connecter en ssh?
Je pose la question car: J’ai une Debian Jessie toutes fraiche installée dans un VM avec juste le minimum. C’est mon server de test, il y a un root et un utilisateur. J’ai une deuxieme VM, avec une autre debian avec juste XFCE et Fwbuilder. De cette machine, j`arrive a me connecter sur la premiere Debian avec l`utilisateur en ssh mais j`ai pas les droit root. je n’ai pas la permission de me connecter avec root via ssh. De fwbuilder, au moment d’installer le firewall sur la machine cible, j’ai juste une fenetre avec utilisateur, mot de passe et l’adresse ip ( ou le mon) de la machine. Cet utilisateur doit donc pouvoir se connecter en ssh ET avoir les droit adiminstrateur sur la machine cible.
J’ai donc un probleme pour injecter les fichiers generer par fwbuilder…
Deux solutions: - Autoriser root a se connecter via ssh… Comment faire? J’ai rien vu dans /etc/ssh/sshd_config - mettre l`utilisateur se connectant en ssh avec les memes droits que root… Comment faire?
Cordialement,
Jim
Le 5 mars 2016 à 20h17, Mrjk <mrjk.78@gmail.com> a écrit :
Yop,
Je ne connais pas spécifiquement fwbuilder, mais je voyais ca comme firewalld, qui lui permet de faire ça. Donc, je me trompe probablement sur le compte de fwbuilder :p
Perso, je te dirais d'essayer Shorewall, qui n'est pas si mal, et permet de garder des choses claires. Après, j'invite les autres membres de la liste à indiquer quelle solution ils utiliseraient, avec le pour et contre.
Cldt
-- MrJK GPG: https://jeznet.org/jez.asc
Le 5 mars 2016 à 16:07, Jim <jim.joomla@gmail.com> a écrit : Je n’avais pas compris que fwbuilder est a faire tourner sur une autre machine, puis servait a exporter le script fini. Cela semble une solution pas trop complexe…
D`apres ce que j`ai compris sur le site fwbuilder.org, il gere aussi le script de demarrage sur la machine de destination. C’est bien cela?
Jim
> Le 5 mars 2016 à 17h48, Mrjk <mrjk.78@gmail.com> a écrit : > > Yop, > > Non non non, pas d'interface graphique sur un serveur. En ce qui me concerne, tu as trois approches de dispo: > - Faire ton propre script iptables: Ca fait tout ce que tu veux, mais ca peut devenir complexe à maintenir. > - Utiliser des wrappers (sharewall, fwbuilder, firewalld): Ca simplifie pas mal la gestion, ca permet de garder les choses propres. Cependant, il faut apprendre de nouvelle notion liés à ces outils (notion de zonnage a minima, de blacklist, etc ... bon, c'est assez trivial en général, mais bon ...). En fonction de l'outils, y'a des cas qui peuvent etre un peu alembiqué au final. > - Utiliser firewalld/fwbuilder, si tu es confortable avec les GUI. Par contre, n'installe pas de X sur ton serveur, tu as dans les deux cas moyen de travailler en local (ou sur une VM), puis de faire l'export vers ton serveur. > > Voiloute voiloute, > > > -- > MrJK > GPG: https://jeznet.org/jez.asc > >> Le 5 mars 2016 à 15:24, Jim <jim.joomla@gmail.com> a écrit : >> Bonjour, >> >> Je reviens vers vous pour quelques conseils pour configurer une Debian en Firewall / Gateway. La configuration du serveur DNS, du serveur DHCP, du proxy ne me parait pas trop compliquer. >> La tâche qui m’intimide le plus est la configuration du firewall. >> Que me conseillez-vous? de passer par webmin ou autre chose? Comme par exemle installer un serveur X, un environement graphique puis passer pas fwbuilder? >> >> A vous lire, >> >> Jim >