GH3.be WIKI

WIKI

Outils pour utilisateurs

Outils du site

Vous êtes ici : Accueil » Articles » Linux » Debian 12 - Perfect Server
article:linux:debian_12_-_perfect_server

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
article:linux:debian_12_-_perfect_server [2024/03/18 22:25] Garyarticle:linux:debian_12_-_perfect_server [2025/09/25 22:35] (Version actuelle) Gary
Ligne 2: Ligne 2:
  
 <WRAP center round important 70%> <WRAP center round important 70%>
-{{:under-construction.gif|}}+Debian 12 n'est plus la dernière version disponible. Cependant l'article est probablement compatible en grande partie avec une version proche de celle de l'article. 
 + 
 +Pour consulter la nouvelle version, Voir[[Debian 13 Perfect Server]]
 </WRAP> </WRAP>
  
Ligne 25: Ligne 27:
 ^ca-certificates|Magasin de certificat SSL| ^ca-certificates|Magasin de certificat SSL|
 ^wget|Outil pour télécharger des fichiers| ^wget|Outil pour télécharger des fichiers|
- 
-<WRAP center round todo 60%> 
-tasksel --task-packages standard 
- 
-a voir: groff-base 
-</WRAP> 
  
 ===== Configuration de base ===== ===== Configuration de base =====
Ligne 74: Ligne 70:
  
 === 2. Serveur DNS === === 2. Serveur DNS ===
 +
 +La configuration DNS se trouve dans ''/etc/resolv.conf''
 +
 +Note: Si la carte réseau a été en DHCP avant, le fichier contient le dernier serveur DNS qu'il a obtenu via DHCP.
 +
 +<code>
 +nameserver <dns1>
 +nameserver <dns2>
 +domain <domain.local>
 +search <domain1 domain2 domain3 ...>
 +</code>
 +
 +==== Configuration du serveur SSH ====
 +<WRAP center round important 100%>
 +Avant d'activer les paramètres d'authentification par clé publique, il est important d'avoir ajouté sa propre clé dans "authorized_keys"
 +
 +[[article:linux:comment_generer_une_cle_ssh|]]
 +</WRAP>
 +
 +Ce fichier remplace celui d'origine, sous-entendu: Ce qui n'est pas entre commentaire dans le fichier d'origine et qui ne se trouve pas dans la configuration ci-dessous n'est pas activé (typiquement la clause "Include")
 +
 +<code bash /etc/ssh/sshd_config [enable_line_numbers="true"]>
 +## Réseau
 +
 +# Changement du port d'écoute recommandé
 +Port 22
 +# Désactivation du TCP Forwarding (permettant de créer un tunnel sur le serveur)
 +# ⚠️ Un tunnel est toujours possible au départ d'un shell
 +AllowTcpForwarding no
 +# Ne pas autoriser X11 (Interface graphique au départ de SSH)
 +X11Forwarding no
 +
 +## Authentication
 +
 +# Refuser le login root
 +PermitRootLogin no
 +# Autoriser uniquement les logins nécessaire
 +AllowUsers gary
 +# Désactivation du login par mot de passe, par challenge/réponse, par mot de passe vide, par le module PAM
 +# ⚠️ Nécessite une clé pour s'identifier !
 +# <!--
 +PasswordAuthentication no
 +ChallengeResponseAuthentication no
 +KbdInteractiveAuthentication no
 +PermitEmptyPasswords no
 +UsePAM no
 +# Activation du login par clé publique uniquement (N'autorisera plus par mot de passe)
 +PubkeyAuthentication yes
 +AuthenticationMethods publickey
 +# -->
 +
 +## Sécurité
 +
 +# Logging
 +LogLevel VERBOSE
 +# Logging SFTP
 +Subsystem       sftp    /usr/lib/openssh/sftp-server -f AUTHPRIV -l INFO
 +
 +## Options
 +
 +# Ne pas afficher le /etc/motd
 +PrintMotd no
 +
 +## Default config
 +AcceptEnv LANG LC_*
 +</code>
 +
 +===== Configuration supplémentaire =====
 +==== Mise à jour automatique ====
 +
 +Afin de garder la distribution à jour de manière automatique
 +
 +  apt install unattended-upgrades apt-listchanges
 +
 +Pour activer les mises à jour automatique:
 +
 +  dpkg-reconfigure unattended-upgrades
 +
 +Cette commande créer le fichier ''/etc/apt/apt.conf.d/20auto-upgrades''
 +
 +La configuration se fait dans ''/etc/apt/apt.conf.d/50unattended-upgrades'', vous pourrez par exemple ajouter votre mail afin d'avoir un rapport :
 +
 +<code>//Unattended-Upgrade::Mail "";</code>
 +
 +===== Firewall =====
 +
 +Afin que le serveur ne soit pas inutilement exposé, un firewall basique va permettre de diminuer la surface d'attaque
 +
 +  apt install ufw
 +  
 +<code bash  [enable_line_numbers="true"]>
 +# Exemple d'autorisation du SSH
 +ufw allow 22/tcp
 +# Si on veut limiter sur une IP(/plage)
 +ufw allow proto tcp from 192.168.0.0/24 to any port 22
 +# Activation du firewall
 +ufw enable
 +</code>
 +
 +Pour contrôller le status du firewall:
 +
 +  ufw status verbose
 +
 +===== Changelog =====
 +
 +Changement par rapport à l'article précédent ([[article:linux:debian_11_-_perfect_server|]]):
 +  * Amélioration des outils de base sur base de la commande ''tasksel''
 +  * Suppression de la configuration de bash-completion, elle se fait maintenant automatiquement
 +  * Suppression de la partie MOTD
 +  * Ajout d'un firewall
article/linux/debian_12_-_perfect_server.1710797103.txt.gz · Dernière modification : de Gary
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki

GH3.BE WIKI 2025