Aller au contenu principal

Dix choses à faire après l’installation d’un serveur sous Debian

PermitRootLogin no PasswordAuthentication no AllowUsers admin etc…

En gros:

  • je désactive l’envoi de session X11;
  • je désactive l’authentification par mot de passe - seul la connexion par clé reste possible;
  • j’explicite précisément les utilisateurs autorisés à se connecter.

6. Désactiver l’affichage des versions des logiciels

Bon, je sais, la sécurité par l’obscurité c’est pas bien. Mais mon côté parano me dit que cela ne peut pas faire de mal non plus. Ce n’est pas la peine de tendre le bâton pour être battu, même si une personne motivée trouvera un bâton de toute façon.

Apache

Dans le fichier conf.d/security j’active les balises suivantes:

ServerTokens Prod
ServerSignature Off

Sshd: deuxième partie de la configuration du démon ssh

Les dernières version de ssh permettent d’éviter l’affichage de la version de debian par le démon ssh. Il suffit pour cela d’ajouter la directive suivante:

DebianBanner no

7. En vrac: configuration des logiciels

Ensuite je configure un certains nombres de logiciels dont la configuration par défaut ne me convient pas.

Par exemple screen:

$ cat /etc/screenrc
escape ^Oo

Je choisis aussi emacs comme éditeur par défaut: update-alternatives --config editor.

8. Desinstaller portmap

Qui utilise encore NFS? Pas moi.

9. S’inscrire à la liste de debian sécurité

Si cela n’est pas encore fait, c’est le moment de s’inscrire à la liste debian security announce.

S’inscrire aussi sur les listes de chaque logiciel installé manuellement, spécialement les logiciels web.

10. Vérification nmap

Dans le doute, on vérifie une nouvelle fois que la maison est bien fermée à clé:

nmap -sT my-server
nmap -sU my-server