vendredi 2 décembre 2022

Ménager et protéger RaspBerry Pi

Vous n’utilisez pas le serveur X de votre framboise, et c’est normal pour un serveur domotique.
Je vous propose donc de supprimer tous les paquets qui ne servent pas :

# aptitude purge xserver-xorg xserver-xorg-core xserver-xorg-input-all  
xserver-xorg-input-evdev xserver-xorg-input-synaptics xserver-xorg-video-fbdev 
xserver-common xpdf xinit x11-common x11-utils x11-xkb-utils xarchiver screen 
pcmanfm penguinspuzzle lxde-common lxappearance lxde-icon-theme lxinput 
lxmenu-data lxpanel lxpolkit lxrandr lxsession lxsession-edit lxshortcut 
lxtask lxterminal leafpad dillo galculator gnome-icon-theme gnome-themes-standard 
gnome-themes-standard-data gpicview hicolor-icon-theme

Un dernier coup de balai s’impose dans les fichiers de configuration :

# aptitude purge

Enfin, on installe localepurge pour faire de la place dans les fichier de locales et on l’execute :

# aptitude -R install localepurge && localepurge

Voila pour la partie ménage. Attelons nous maintenant à la partie sécurité. Rien de bien terrible, mais cela fait partie de mes habitudes.
Tout d’abord, on serre un peu la vis du SSH avec le fichier /etc/ssh/sshd_config. Pour cela, on va interdire l’accès au root et autoriser que les membres d’un groupe à se connecter :

...
PermitRootLogin no
Banner /etc/issue.net
AllowGroups staff
Protocol 2
...

Maintenant, on installe fail2ban et créer des règles pour contrer les petits malins. Ce service va donc lire les fichiers logs, repérer les échecs d’identification et les adresses IP correspondantes, les bloquer avec une règle iptables et vous envoyer un mail pour vous avertir.

# aptitude -R install fail2ban

Maintenant, on passe à la configuration. Tout d’abord le fichier /etc/fail2ban/jail.conf . Je modifie l’action par défaut :

action = %(action_mwl)s

Qui correspond à :

action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
 %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s"]

Ensuite nous activons les régles pour les services ssh-ddos, apache, apache-noscript, et apache-overflows en positionnant la variable enable sur true :

enabled  = true

Il faut redémarrer le service pour prendre en compte ces modifications :

# /etc/init.d/fail2ban restart

 

About Mehdi HAMIDA

Moi en quelques mots: je m'appelle Mehdi, j'habite à Lyon, je suis chef de projet technique et papa geek. Je m’intéresse aux nouvelles technologies, à la publicité, la musique, à l’art en général et à la culture 2.0, ainsi qu’à tout ce qui a trait de près ou de loin à Internet : réseaux sociaux, webmarketing, le marketing viral et la veille stratégique.

Check Also

Quand TOR agace les russes

Le ministère de l’Intérieur de la Fédération de Russie a publié un avis sur son site …

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.