{"id":232497,"date":"2023-01-22T16:13:00","date_gmt":"2023-01-22T13:13:00","guid":{"rendered":"https:\/\/wordpress.mediadoma.com\/?p=232497"},"modified":"2022-11-10T10:03:00","modified_gmt":"2022-11-10T07:03:00","slug":"securisez-le-serveur-linux-en-interdisant-la-connexion-racine-a-distance-base-de-donnees-ssh-et-ftp-et-mysql","status":"publish","type":"post","link":"https:\/\/wordpress.mediadoma.com\/fr\/securisez-le-serveur-linux-en-interdisant-la-connexion-racine-a-distance-base-de-donnees-ssh-et-ftp-et-mysql\/","title":{"rendered":"S\u00e9curisez le serveur Linux en interdisant la connexion racine \u00e0 distance (base de donn\u00e9es SSH et FTP et MySQL)"},"content":{"rendered":"\n

Dans cet article<\/a>, nous savons \u00e0 quel point la s\u00e9curit\u00e9 est importante. Si vous g\u00e9rez votre serveur (VPS, h\u00e9bergement cloud ou serveur d\u00e9di\u00e9), alors vous devez avoir un acc\u00e8s root<\/strong>. La racine<\/strong> est comme le compte administrateur<\/strong> sur Windows, mais seulement plus puissante (vous pouvez pratiquement tout faire).<\/p>\n

Ce n’est probablement pas une bonne id\u00e9e de renommer le compte root<\/strong> (ou de le masquer) sur le syst\u00e8me Linux, cela est d\u00fb au fait que de nombreuses applications\/programmes tels que sendmail<\/strong> supposent qu’il existe un compte root<\/strong> ou que les choses commenceront \u00e0 se casser si la racine<\/strong> est introuvable (Sous Windows, vous pouvez renommer le compte administrateur<\/strong> ). Cependant, vous devez avoir et \u00eatre sugg\u00e9r\u00e9 d’avoir un compte d’utilisateur normal (moins puissant) qui g\u00e8re les t\u00e2ches quotidiennes, de sorte que vous n’endommagerez pas le syst\u00e8me si vous faites occasionnellement des erreurs.<\/p>\n

SSH<\/h3>\n

Pour cr\u00e9er un utilisateur normal, ex\u00e9cutez la commande sudo adduser nuser<\/strong> o\u00f9 le nuser<\/strong> est le compte d’utilisateur que nous voulons ajouter. Suivez les instructions pour d\u00e9finir le mot de passe ou vous pouvez \u00e9mettre passwd nuser<\/strong> plus tard.<\/p>\n

V\u00e9rifiez que vous pouvez r\u00e9ellement vous connecter en utilisant SSH et passer \u00e0 root<\/strong> en utilisant su<\/strong>. Une fois ceux-ci confirm\u00e9s, vous devez \u00e9diter le fichier dans \/etc\/ssh\/sshd_config<\/strong> avec votre \u00e9diteur de texte pr\u00e9f\u00e9r\u00e9 (par exemple vim). Recherchez ensuite la ligne PermitRootLogin yes<\/strong> et remplacez-la par PermitRootLogin no<\/strong>. Red\u00e9marrez le serveur ssh comme ceci\u00a0:<\/p>\n

Ensuite, si vous vous reconnectez en utilisant root<\/strong>, il sera toujours refus\u00e9, ce qui rend le syst\u00e8me un peu s\u00e9curis\u00e9 (comme vous le savez, il y a beaucoup d’IP qui forcent brutalement et essaient de pirater votre compte root).<\/p>\n

FTP (contre FTP)<\/h3>\n

FTP n’est pas si s\u00e9curis\u00e9, mais si vous insistez pour l’utiliser, assurez-vous d’utiliser SFTP ou SSL\/TLS,<\/strong> le cas \u00e9ch\u00e9ant. Le serveur FTP populaire sous Linux est vsFTP<\/strong> et apr\u00e8s l’avoir install\u00e9, assurez-vous \u00e9galement de d\u00e9sactiver la connexion root.<\/p>\n

La configuration de vsFTP<\/strong> se trouve dans le fichier \/etc\/vsftp.conf<\/strong> et vous devez vous assurer que les valeurs suivantes sont d\u00e9finies (peuvent \u00eatre ajout\u00e9es)\u00a0:<\/p>\n

anonymous_enable=NO \u00a0# no anonymous login plz\nlocal_enable=YES\nwrite_enable=YES\nuserlist_enable=YES\nuserlist_deny=NO\nuserlist_file=\/etc\/vsftpd.users<\/code><\/pre>\n
Et cr\u00e9ez un fichier dans \/etc\/vsftpd.users<\/strong> s’il n’y est pas encore, et ajoutez les utilisateurs autoris\u00e9s ligne par ligne dans le fichier. Red\u00e9marrez le vsFTP en\u00a0:<\/p>\n
sudo service vsftpd restart<\/code><\/pre>\n
Et si vous vous connectez en utilisant root<\/strong>, il refusera avec ce message\u00a0:<\/p>\n
Connecting to: XXXXXXXXX\n220 (vsFTPd 3.0.2)\nUSER root\n530 Permission denied.\n220 (vsFTPd 3.0.2)\nUSER root\n530 Permission denied.\nCertificate: \nCan't connect\nLastError: 0<\/code><\/pre>\n
Base de donn\u00e9es MySQL<\/h3>\n
D\u00e9sactiver la connexion root \u00e0 distance<\/h4>\n
Supprimez la connexion root \u00e0 distance \u00e0 votre base de donn\u00e9es MySQL car il reste des risques \u00e9lev\u00e9s d’avoir votre compte root accessible depuis une autre machine plut\u00f4t localement. Cependant, si vous avez un serveur d\u00e9di\u00e9 servant de base de donn\u00e9es, c’est une autre histoire, auquel cas vous devez renforcer le mot de passe root et \u00e9ventuellement utiliser des comptes normaux dans votre wordpress ou d’autres sites Web. Assurez-vous de ne pas exposer ces fichiers de configuration (par exemple wp-config.php) facilement. Rendez simplement ces fichiers non inscriptibles.<\/p>\n
Connectez-vous \u00e0 MySQL \u00e0 partir de la ligne de commande et ex\u00e9cutez les deux commandes suivantes pour supprimer la connexion root \u00e0 distance.<\/p>\n
DELETE FROM mysql.user WHERE User='root' AND Host NOT IN ('localhost', '127.0.0.1', '::1');\nflush privileges;<\/code><\/pre>\n
D\u00e9sactiver toutes les connexions \u00e0 distance<\/h4>\n
Si vous souhaitez interdire toutes les connexions \u00e0 distance et n’autoriser que les connexions locales, vous pouvez simplement ajouter skip-networking<\/strong> (ou d\u00e9commenter la ligne) dans \/etc\/mysql\/my.cnf<\/strong> dans la section [mysqld]<\/strong>.<\/p>\n
[mysqld]\nport=3306\nskip-networking<\/code><\/pre>\n
Vous devez ensuite red\u00e9marrer le d\u00e9mon MySQLd.<\/p>\n
sudo service mysqld restart<\/code><\/pre>\n
Configurations de s\u00e9curit\u00e9 recommand\u00e9es pour les serveurs Linux<\/h3>\n