Aller au contenu

Sécurité⚓︎



Mises-à-jour⚓︎

Warning

Il est fortement recommandé de faire les mises-à-jour ! C'est simplement une question de sécurité :

1
2
3
4
sudo apt update
sudo apt upgrade
sudo apt update
sudo reboot # Redémarre votre raspy

Configuration SSH⚓︎

Créez un groupe pour l'accès par ssh :

sudo groupadd nomgroupessh

Ajoutez l'activation par les utilisateurs d'un groupe :

1
2
3
4
5
sudo nano /etc/ssh/sshd_config 
# Ajoutez la ligne 'AllowGroups nomgroupessh' dans le fichier 'sshd_config'

sudo adduser nomutilisateur nomgroupessh # Ajout de 'nomutilisateur' au groupe ssh
sudo systemctl restart sshd # Redémarrer le service ssh

Désactivez l'utilisateur root dans ssh :

sudo nano /etc/ssh/sshd_config

Commentez la ligne suivante (avec "#" devant la ligne) :

#PermitRootLogin prohibit-password

Redémarrez le service ssh :

sudo service ssh restart # Redémarrer le service

Changement du port par défaut :

sudo nano /etc/ssh/sshd_config

Trouvez la ligne 'Port' et choisissez un autre port (vérification des ports disponible ici) :

Port 1111

Connexion ssh avec un port différent :

ssh nomutilisateur@adresseip -p 1111

Tip

l'option -p permet de préciser le port pour la connexion.

Mises-à-jour de sécurité automatique⚓︎

Ici nous allons mettre en place les mises-à-jour de sécurité automatiquement grâce à unattended-upgrades.

sudo apt install unattended-upgrades

Modifiez ensuite le fichier de configuration :

sudo nano /etc/apt/apt.conf.d/50unattended-upgrades

Activez la ligne suivante :

Unattended-Upgrade::Mail "votreadressemail@exemple.com";

Définissez les intervalles de mises-à-jour dans le fichier suivant :

sudo nano /etc/apt/apt.conf.d/02periodic

Collez ou modifiez les lignes suivantes :

1
2
3
4
5
6
APT::Periodic::Enable "1";
APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Download-Upgradeable-Packages "1";
APT::Periodic::Unattended-Upgrade "1";
APT::Periodic::AutocleanInterval "1";
APT::Periodic::Verbose "2";

Fail2Ban⚓︎

Fail2Ban permet de limiter les connexions aux services. Par défaut vous n'aurez que 5 tentatives de connexion avec échec autorisées (après il est mis en place un délai pour la connexion).

sudo apt install fail2ban
sudo service fail2ban restart

Pare-feu⚓︎

1
2
3
4
sudo apt install ufw # Installation du Pare-feu
sudo ufw allow 1111 # Activation du port 1111
sudo ufw enable # Activation du pare-feu
sudo ufw status verbose # Vérification des ports ouverts