Configuration du serveur initial avec Debian 10/9/8

Nous avons lancé une nouvelle instance Debian Linux pour l'exécuter en tant que serveur de production pour nos nouvelles applications. C'est une bonne pratique pour effectuer une configuration de serveur initiale avec le système Debian Linux. Ce qui améliorera la sécurité et la convivialité du serveur principal pour votre nouveau serveur.

Ce guide comprend les étapes suivantes:

1. Mettre à jour et mettre à niveau un système Debian
2. Créer un utilisateur sudo dans Debian
3. Configurer le nom d'hôte dans un système debian
4. Secure SSH Server
5. Configuration de Firewalld

Commençons par la configuration du serveur initial sur le système Debian Linux.

1. Améliorer Debian

Après avoir été connecté dans le serveur Debian, la première tâche consiste à mettre à niveau les packages actuels du système Debian. Parce que le serveur peut être construit avec l'ancien fichier image. L'équipe Debian continue de travailler pour améliorer la sécurité du serveur et fournir régulièrement des packages mis à jour.

Tout d'abord, mettez à jour le cache APT sur votre système.

Mise à jour Sudo Apt  

Ensuite, exécutez la commande de mise à niveau pour mettre à niveau les packages.

SUDO APT APPOSITION  

C'est aussi un bon choix d'exécuter la mise à niveau Dist pour un système nouvellement installé.

Sudo Apt Dist-grade  

Appuyez sur «Y» pour toute confirmation invitée à terminer l'installation des packages.

Exécutez également la commande suivante pour supprimer les packages qui ne sont plus requis. Ceci est également utile pour supprimer les fichiers des anciennes versions du noyau.

sudo apt autoremove  

2. Créer un utilisateur sudo

Certains des fournisseurs d'hébergement comme DigitalOcean lancent uniquement des instances avec un compte racine. Ce n'est pas une bonne pratique pour continuer à utiliser une instance de production en utilisant le compte SuperUser. Nous recommandons fortement de créer un nouvel utilisateur avec les privilèges sudo et de l'utiliser pour accéder à votre instance Debian.

En supposant que vous êtes déjà connecté à un compte racine. Exécutez la commande suivante pour créer un nouvel utilisateur sur Debian:

sudo addUser tecadmin  

Le compte nouvellement créé est un utilisateur régulier. Vous aurez besoin que les privilèges administratifs effectuent plusieurs tâches. Accorder les privilèges administratifs à cet utilisateur en les ajoutant Sudo groupe. Pour ajouter l'utilisateur au groupe sudo, tapez:

sudo usermod -a -g sudo tecadmin  

Maintenant, vous pouvez passer à un compte nouvellement créé pour d'autres instructions.

Sudo Su - Tecadmin  

3. Configurer le nom d'hôte du système

Un nom d'hôte d'un système est le nom de l'instance utilisée comme identité pour les réseaux informatiques. Il aide les utilisateurs et la machine réseau à reconnaître facilement une machine au sein d'un réseau dans un format lisible par l'homme.

C'est une bonne pratique pour définir un nom d'hôte approprié pour votre instance. Dans le type de borne système HostNamectl et appuyez sur Entrée:

hostnamectl  

Cela vous donnera des détails sur les détails du système, y compris le nom d'hôte. Même vous pouvez taper la commande de nom d'hôte pour afficher les systèmes.

Ensuite, modifiez le nom d'hôte du système en

sudo hostnamectl set-hostname debian10  

Une fois que vous avez mis à jour le nom d'hôte des systèmes, vous devez passer à un nouveau shell pour activer dans la session en cours. Après avoir modifié le shell actuel, l'invite de shell sera changée en un nouveau nom d'hôte.

nom d'hôte  

4. Sécuriser SSH

SSH (Secure Shell) est le protocole utilisé pour connecter les serveurs distants. Nous avons recommandé de configurer le serveur OpenSSH pour écouter sur un port non standard. Qui vous offre une autre couche de sécurité des pirates.

Pour modifier le port par défaut et désactiver la connexion racine, modifier le fichier de configuration OpenSSH / etc / ssh / sshd_config et effectuer les modifications suivantes.

• Modifier le port par défaut - Il sera bon de modifier le port SSH par défaut car les ports par défaut sont toujours sur les attaquants.

   Port 2232 

• Désactiver la connexion SSH - Vous souhaitez également désactiver la connexion racine via SSH.

   Permutrootlogine no 

Enregistrez le fichier de configuration et redémarrez le service OpenSSH pour appliquer les modifications.

sudo systemctl redémarrer ssh  

5. Configuration du pare-feu (pare-feu)

L'édition Debian Server par défaut n'a pas d'installation de pare-feu. Vous pouvez simplement exécuter la commande suivante pour installer les packages requis à partir des référentiels par défaut.

sudo apt install Firewalld -y  

Lors de l'installation réussie, le service de pare-feu sera à démarrer automatiquement et à activer votre système.

Le pare-feu par défaut permet à SSH aux utilisateurs distants. Mais si le port SSH est modifié, vous pouvez ajouter une règle pour permettre à l'accès SSH sur un autre port.

Sudo Firewall-CMD - Permanent --Add-Port = 2232 / TCP  

Vous pouvez fournir directement un nom de service comme «HTTP» ou «HTTPS» pour permettre. Le fichier de lecture / etc / services / services de Firewalld pour déterminer le port correspondant du service.

Sudo Firewall-CMD - Permanent --Add-Service = HTTP  Sudo Firewall-CMD - PERMANENT --Add-Service = HTTPS  

Après avoir apporté des modifications à votre pare-feu, assurez-vous de recharger les modifications en utilisant la commande suivante.

SUDO FIRWALL-CMD - Reload  

Pour afficher, tous les ports et services autorisés utilisent la commande suivante.

Sudo Firewall-CMD - PERMANENT - LIST-ALL  

Sortir:

Cible publique: par défaut ICMP-Block Inversion: pas d'interfaces: Sources: Services: Cockpit DHCPV6-CLIENT HTTP HTTPS SSH PORTS: Protocoles: Masquerade: Pas de ports directs: Source-Ports: ICMP-blocks: Règles Règles: 

Conclusion

Dans ce guide, nous avons parcouru la configuration initiale du serveur d'un système Debian Linux. Une fois que vous avez terminé avec succès toutes les configurations de configuration du serveur initial, votre système est prêt à l'emploi.