Comment sécuriser un serveur domestique Linux

Il y a beaucoup de raisons Pour configurer un serveur domestique. Vous pouvez l'utiliser en tant que serveur de médias, serveur de fichiers ou même serveur de sauvegarde local. Fondamentalement, tous les fichiers de vos fichiers qui ne nécessitent pas de connexion Internet sont un bon candidat pour être un serveur domestique. Il est relativement facile de configurer un serveur domestique qui fonctionne Linux Surtout ces jours-ci. Cependant, la préservation de cette Le serveur est en sécurité Est une autre histoire tout à fait. Peut être Maintenir la sécurité Difficile car important.

Il suffit d'installer ce dont vous avez besoin exactement

L'un des moyens les plus simples de sécuriser votre serveur domestique est de mettre la sécurité à l'esprit dès le début. Cela commence à partir de l'installation. Vous n'êtes pas sûr d'avoir besoin d'une application ou d'un service? Ne l'installez pas. Vous pouvez toujours l'installer plus tard.

Si vous installez Système Linux Plusieurs fois, ce sera plus facile. Au lieu de vous en tenir aux paramètres par défaut, utilisez les modes qui vous donnent un contrôle maximal sur l’installation. Parfois, cela s'appelle le mode expert ou quelque chose de similaire.

Conserver les options d'installation avec précaution peut vous faire gagner du temps en désactivant les services pour des raisons de sécurité ultérieurement.

Configurer sudo

Avant de passer à toute autre étape, vous devez configurer sudo. Pourquoi Parce qu'une fois que vous avez terminé ici, vous vous connecterez à votre serveur via SSH Et vous ne pourrez pas vous connecter en tant que compte courant. Pour apporter d'autres modifications à votre système, vous devez utiliser sudo.

Tout d’abord, vérifiez si vous êtes déjà capable d’utiliser sudo. À partir de votre compte d'utilisateur, exécutez la commande suivante en utilisant votre nom d'utilisateur au lieu de USERNAME:

sudo -lU USERNAME

Si vous voyez un message indiquant que votre nom d'utilisateur peut exécuter "ALL (ALL)" ou quelque chose de similaire, vous êtes prêt à continuer.

Maintenant, en tant que compte avec les routines sur votre serveur, exécutez ce qui suit pour éditer le "/ etc / sudoers"Il a dit. Si vous préférez un autre éditeur, utilisez-le à la place de nano.

EDITOR=nano visudo

Modifiez le fichier pour inclure les éléments suivants, en utilisant votre nom d'utilisateur au lieu de USERNAME:

USERNAME   ALL=(ALL) ALL

Configuration de SSH

SSH est peut-être déjà activé sur votre serveur domestique. Probablement, en fait, car c’est ainsi qu’ils interagissent avec le serveur.

Tout d’abord, assurez-vous que OpenSSH est installé. Si vous utilisez une autre distribution, la commande variera, mais le nom du paquet doit être relativement statique. Sous Ubuntu, procédez comme suit:

sudo apt install openssh-server

L'utilisation de l'authentification par clé est plus sécurisée que celle par mot de passe. Nous allons donc configurer SSH pour qu'il fonctionne de cette manière. Pour ce faire, assurez-vous que vous exécutez sur un ordinateur client qui prévoit de s'y connecter avec le serveur, pas avec le serveur lui-même. Tout d'abord, vous voulez vous assurer que vous n'avez pas déjà de clé SSH:

ls ~/.ssh/

Si vous voyez "id_rsaEt id_rsa.pub"Parmi les noms de fichiers répertoriés, vous avez déjà des clés SSH. Passer cette étape suivante.

ssh-keygen -t rsa -b 4096 -C "youremail@domain.com"

Vous allez maintenant copier la clé SSH sur votre serveur:

ssh-copy-id USERNAME@SERVER

Pour un serveur domestique, vous utilisez probablement une adresse IP pour votre serveur au lieu de votre nom. Si vous ne connaissez pas le nom de votre serveur, utilisez votre adresse IP à la place de SERVEUR ci-dessus.

Nous allons maintenant modifier les paramètres SSH pour les sécuriser davantage. Connectez-vous à votre serveur à partir du client sur lequel vous avez créé les clés. Cela vous permettra de vous reconnecter après cette étape. Exécutez Suivant et remplacez nano par l'éditeur de votre choix.

sudo nano /etc/ssh/sshd_config

Vous devez éditer le fichier avec les paramètres suivants. Ceux-ci seront situés à différents endroits du fichier. Assurez-vous qu'il n'y a pas de doublons, car ils ne seront utilisés que lors de la première répétition de la configuration.

ChallengeResponseAuthentication no

PasswordAuthentication no

UsePAM no

PermitRootLogin no

Vous devez maintenant redémarrer le serveur SSH en utilisant l’une des commandes suivantes.

Sur Ubuntu, lancez:

sudo systemctl restart ssh

Configurez le pare-feu

Selon les services que vous exécutez et la durée pendant laquelle votre serveur est connecté à Internet, vous pouvez activer un pare-feu. Il existe quelques options pour cela, mais la méthode éprouvée sur un système Linux est iptables.

Préparer la configuration iptables En dehors du cadre de cet article, mais ne vous inquiétez pas. Nous avons un guide complet pour la configuration iptables Sur votre appareil

Un autre moyen plus simple de configurer le pare-feu consiste à l'utiliser ufw. Vous pouvez l'installer en utilisant la commande:

sudo apt install ufw

Par défaut, tous les ports seront bloqués. Pour activer l'accès en ligne et ssh, exécutez des commandes ufw 80 et 443:

sudo ufw allow 80

sudo ufw allow 443

sudo ufw allow 22

Enfin, activer un service ufw:

sudo ufw enable

Gardez le serveur à jour

Les serveurs peuvent être faciles à oublier s'ils ne fonctionnent que, mais cela peut être dangereux. Assurez-vous de mettre à jour votre logiciel. Vous pouvez utiliser des mises à niveau qui ne sont pas surveillées, mais peuvent être imprévisibles. Le moyen le plus sûr est de planifier une maintenance régulière du serveur hebdomadaire ou mensuelle pour vous assurer que tout va bien.

Où aller d'ici

Vous avez maintenant un bon départ pour protéger votre serveur des menaces externes. Et si vous avez besoin d'accéder à votre serveur depuis chez vous? L'attaquant utilisera probablement chaque port que vous ouvrez, et chaque port ouvert augmente votre vulnérabilité.

L’un des moyens les plus simples d’accéder de l’extérieur à votre réseau domestique consiste à utiliser un VPN, ce qui n’entre pas dans le cadre de cet article, mais ne vous inquiétez pas, nous l’avons fait. Regarde Notre liste des meilleurs services VPN sécurisés disponibles Pour l'idée de vos options.

Aller au bouton supérieur