Quentin Demoulière

Mon blog personnel

Configuration basique de mes serveurs Debian

Rédigé par Quentin Demouliere - - 2 commentaires

Suite à l'excellent billet de NicoLargo : http://blog.nicolargo.com/2013/03/mes-5-premieres-minutes-sur-un-serveur-debian.html, j'ai également décidé d'évoquer la configuration que j'utilise lorsque je configure un nouveau serveur Debian.

  • Utilisation de LVM avec les répertoires /, /home, /tmp, /var, /boot, /srv sur des volumes logiques différents (j'utilise pour l'instant les systèmes de fichier ext4 et XFS)
  • Mise en place d'un password au niveau du Grub
  • Création d'un utilisateur classique en plus du root avec mot de passe fort
  • Activation de SSH avec authentification par clefs RSA ou ECDSA avec interdiction de se connecter en root (utilisation de la commande su par la suite)
  • Automatisation d'une partie des mises à jour avec CRON-APT
  • Mise en place d'un Firewall avec Netfilter / IPTABLES
  • Chroot ou Jails des principaux services sensibles (DNS et WEB)
  • Utilisation de FAIL2BAN pour les services SSH, HTTP, DNS, SMTP
  • Mise en place de PortSentry pour éviter les Scan basiques
  • En fonction des besoins mise en place d'un Reverse-Proxy (HAProxy, Apache, NGinx ou Varnish) en Frontal
  • Utilisation régulière de ClamAV, CHKROOTKIT et Lynis (Virus, Trojan, Rootkit)
  • Mise en place de LogWatch pour obtenir des remontées régulières d'informations par mail
  • Scripts de sauvegarde avec Rsync over SSH + CRON

Je n'ai pas encore eu l'occasion de tester GLANCES, l'outil de supervision développé par Nico Largo... mais Why not ? Voilà, ce que je fais lorsque je décide de mettre en production un serveur Debian accessible sur le NET.

Si vous avez des idées ou des suggestions pour améliorer, ou optimiser ma configuration, je suis bien entendu preneur ;) .

Debian and Unix Addict

2 commentaires

#1 Passat a dit :

Hey, Pour quoi ne pas mettre en place docker pour le partitionnement des différents services sur une même machine.
En complément ossec + snort-base (ou suricata-kibana)
cordialement,

#2 Quentin Demouliere a dit :

@Passat :
Bonjour Pierre,

Bonnes remarques merci :)

Oui, je pourrais mettre en place des conteneurs avec Docker ou LXC et également patcher mon noyau avec le patch GRSecurity.
Concernant ossec, je ne connais pas. Pour ce qui est de snort, suricata (IDS, NIDS) et kibana-logstach-elasticsearch, je pense qu'il est plus pertinent de les mettre en oeuvre à des points stratégiques sur le réseau plutôt que directement sur un serveur qui héberge un certain nombre de services même avec des conteneurs.

J'espère que tout va bien te concernant niveau formation et entreprise.
Cordialement.

Écrire un commentaire

Quelle est la dernière lettre du mot nlbpr ? :