Chap 1. Prise en main du RPi et installation de Mate sur un Raspbian
Chap 2. Installation de OwnCloud sur un Raspberry Pi
Chap 3. Sécuriser votre RPi
Chap 4. Accès au serveur Web server à partir de son nom de domaine
Chap 5. Connection SSH
Chap 6. Les fichiers journaux
Chap 7. Let’s Encrypt (LE)
Chap 8. Ajout d’un disque dur externe et migration de données
Chap 9. Suppression et ajout d’une interface graphique
Chap 10. Rappel sur les différentes étapes pour mettre en place un server dédié à Owncloud
Chap 3. Sécuriser votre RPi
Pour sécuriser le RPi, il nous faut:
1. Créer un utilisateur autre que Pi
2. Créer une connection sécurisée entre votre ordinateur et le RPi
3. Désactiver l’authentification SSH par mot de passe ainsi que la connection en tant que Root
4. Créer des règles de parefeux
5. Installer Fail2ban
Comme toujours, lisez l’article jusqu’au bout avant d’effectuer des modifications sur votre(vos) appareil(s).
I. Création d’un nouvel utilisateur Pi
Vous l’avez surement remarqué que le système d’exploitation Raspbian, a deux utilisateurs par défaut: root et pi. Pour plus de sécurité, mieux vaut désactiver ces deux comptes, et d’en créer un qui aura les mêmes permissions que root en utilisant la commande « sudo ».
Création du nouvel utilisateur
Méthode 1:
Lancer une connection ssh avec l’utilisateur pi, le temps d’activer temporairement le compte root puisque ce dernier est inactif par défaut.
Le format pour se connecter en ssh à partir d’un terminal sous linux est de la forme « ssh pi@ ».
mon@ordi$ ssh pi@10.1.2.3
Puis taper la commande ci-dessous et entrer deux fois le mot de passe pour l’utilisateur root.
pi@raspberrypi:~$ sudo passwd
Enter new UNIX password:
Retype new UNIX password:
Autoriser l’accès root via SSH, en éditant le fichier sshd_config.
pi@raspberrypi:~$ vim /etc/ssh/sshd_config
Puis éditer la ligne PermitRootLogin en remplacant « #PermitRootLogin prohibit-password » par « PermitRootLogin yes » après avoir supprimé l’option de commentaire « # ».
pi@raspberrypi:~$ service sshd restart
pi@raspberrypi:~$ exit
Après avoir fermée la connection ssh, relancez-en une nouvelle en vous connectant cette fois-ci avec l’utilisateur root.
mon@ordi$ ssh root@10.1.2.3
La commande suivante permet de renommer l’utilisateur pi (option -l) par le nom d’utilisateur de votre choix. Ici; j’ai décidé d’appeler mon utilisateur « USERNAME », puis créer un nouvel espace /home (option -d) et d’y placer le contenu de l’ancien /home (option -m).
root@raspberrypi:~# su -
root@raspberrypi:~# usermod -l USERNAME -d /home/USERNAME -m pi
root@raspberrypi:~# groups USERNAME
USERNAME : pi adm dialout cdrom sudo audio video plugdev games users input netdev spi i2c gpio root@raspberrypi:~# sudo groupmod -n USERNAME pi
La commande groupmod permet de remplacer le nom du groupe initialement associé à USERNAME, qui est « pi », par USERNAME. Pour rappel, généralement sous linux, le nom d’utilisateur et le nom du groupe sont identique.
root@raspberrypi:~# groupmod -n USERNAME pi
root@raspberrypi:~# groups USERNAME
USERNAME : USERNAME adm dialout cdrom sudo audio video plugdev games users input netdev spi i2c gpio
La commande utilisée avec « usermod », peut se décomposer en deux étapes:
1. Renommer pi par USERNAME
root@raspberrypi:~# usermod -l USERNAME pi
2. Supprimer le /home/pi après avoir déplacé son contenu dans /home/USERNAME (option -d -m)
pi@raspberrypi:~$ usermod -d /home/USERNAME -m pi
Ci-dessous les quelques messages d’erreur que j’ai rencontré, mais je ne vais pas trop tarder dessus.
root@raspberrypi:~# usermod -l USERNAME -d /home/USERNAME -m pi
bash: usermod: command not found
Lancer la commande « su – » pour se placer dans le même environnement que root.
Ensuite, tuer le process utilisé par l’utilisateur PI lors de sa connection en mode GUI, sinon vous risquez d’avoir une erreur du type:
root@raspberrypi:~# su -
root@raspberrypi:~# usermod -l USERNAME -d /home/USERNAME -m pi
usermod: user pi is currently used by process 1234
root@raspberrypi:~# ps -lp 1234
F S UID PID PPID C PRI NI ADDR SZ WCHAN TTY TIME CMD
4 S 1000 4146 4141 0 80 0 - 12556 poll_s ? 00:00:00 x-session-manag
root@raspberrypi:~# kill 4146
Méthode 2:
Cette deuxième méthode demande un peu plus d’étapes à suivre, pour arriver aux mêmes fins que précédement. Cependant, il n’est pas nécessaire d’activer le compte root pour l’ajout et la suppression d’utilisateurs. De ce fait, vous pouvez vous connecter directement en ssh avec l’utilisateur pi.
mon@ordi$ ssh pi@10.1.2.3
1. Création d’un nouvel utilisateur
$ sudo adduser USERNAME
$ sudo adduser USERNAME sudo
Vérifier que USERNAME fait bien du groupe « sudo ».
$ groups USERNAME
USERNAME : USERNAME adm dialout cdrom sudo audio video plugdev games users input netdev spi i2c gpio
Fermer la session pour l’ouvrir de nouveau, en vous connectant cette fois-ci avec le nouvel utilisateur .
mon@ordi$ ssh USERNAME@10.1.2.3
Pour information, le groupe SUDO n’a pas de “pouvoirs” (permissions) particuliers. C’est un groupe comme un autre. Par contre, il est spécifié dans /etc/sudoers, que tous les membres de ce groupe peuvent avoir les mêmes permissions que root lorsque la commande sudo est évoquée.
Pour vérifier cette information, taper visudo dans une console.
Nano étant le mode d’édition utilisé par défaut, si vous préférez un éditeur, lancer la commande update-alternatives pour faire votre choix.
sudo update-alternatives --config editor
Mon choix se limite à Vim, et donc je passe par une commande plus directe.
sudo update-alternatives --set editor /usr/bin/vim.tiny
Lancer maintenant visudo:
sudo visudo
Je tiens à préciser qu’il est fortement déconseillé de modifier directement le contenu de /etc/sudoers, sans passer par la commande visudo.
La ligne qui nous intéresse:
# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL
Je vous renvoie sur cette page pour plus d’information concernant cette ligne.
2. Vérification
Vérifier que les utilisateurs USERNAME et pi font parti des mêmes groupes avant de supprimer définitivement ce deuxième.
$ groups pi
$ groups USERNAME
S’il manque des groupes au nouvel utilisateur, n’hésitez pas à en rajouter avec la commande:
$ sudo usermod -a -G sudo USERNAME
3. Suppression de l’utilisateur Pi
N’oubliez pas que parmis les choix possible de ce que vous pouvez faire avec cet utilisateur pi. Le mien est de le supprimer définitivement ainsi que de le dossier home associé.
sudo deluser --remove-home USERNAME
Pour supprimer tous les fichiers ayant appartenu à cet utilisateur (je vous déconseille de le faire à moins que vous sachiez exactement ce que vous faites),
sudo deluser --remove-all-files USERNAME
4. Redémarrer le Raspi
Et voilà. Il nous a fallu quatre étapes, pour faire plus ou moins la même chose qu’avec la méthode 1.
Avant de clôturer ce chapitre, je tiens à vous préciser qu’en utilisant un système debian, il est fortement conseillé d’utiliser les commandes adduser/deluser au lieu des commandes généralement trouvées sur les autres distributions linux, que je ne vais pas citer ici afin de réduire les risques de confusions.
Désactivation/activation du compte Root
Maintenant qu’avec le nouvel utilisateur, on peut utiliser sudo, vous pouvez désactiver le compte Root si ce n’est déjà fait.
Supprimer le mot de passe du compte root (option -d, –delete), puis le vérouiller ensuite avec l’option -l (–lock).
$ sudo passwd -dl root
passwd: password expiry information changed.
Verification:
$ su -
Password:
su: Authentication failure
Pour lancer un shell en mode root, utiliser plutôt l’option -s avec sudo (similaire à “sudo su”) au lieu de l’option -i (similaire à sudo su -). Le premier garde les informations actuel du shell, par contre la deuxième option vous envoie dans l’environement du root. Cette deuxième option est à déconseiller puisque vous allez perdre les bénéfices de sécurité offerts par sudo.
sudo -s
Si, pour une raison quelconque, vous avez besoin d’activer l’utilisateur root, l’option -u (–unlock) fera l’affaire.
$ sudo passwd -u root
Pour donner un mot de passe à l’utilisateur root,
$ sudo passwd root
II. Connection sécurisée
Je vous recommande vivement de lire l’article SSH Tutorial for Linux. Pour plus d’information sur le SSH et sur ce qu’on va faire par la suite, je vous renvoie sur le site officiel de Debian, ainsi que de lire les bonnes pratiques pour l’utilisation de SSH.
Pour créer une connection de type sécurisée, entre votre machine et le RPi, nous allons utiliser le système d’authentification SSH par clé plutôt que par mot de passe. Pour ce faire, générer une paire de clé (une privée, et une autre publique) à partir du poste qui va se connecter en ssh au RPi. Puis, envoyer une copie de la clé publique sur notre serveur RPi. Garder ensuite précieusement et loin de tout regards indiscrets, votre clé privée.
La méthode d’authentification par paire de clés a pour avantage de limiter les attaques par force brute de votre mot de passe, pour l’authentification au RPi.
Côté client
Sur votre ordinateur, vérifier que le paquet openssh-client est bien installé. Si ce n’est pas le cas, il faut le faire.
mon@ordi$ dpkg -l | grep ssh
mon@ordi$ sudo apt-get install openssh-client
Générer une paire de clés avec l’utilitaire SSH keygen.
mon@ordi$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/matakasi/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
N’ommetez pas la passphrase, qui est une forme de sécurité supplémentaire. Si quelqu’un réussit à s’approprier vos clés, il lui faut toujours entrer cette passphrase pour pouvoir se connecter à votre Serveur.
Pour bien choisir son mot de passe, je vous conseille de lire cet article.
Les clés générées devraient se trouver dans le répertoire ~/.ssh:
– clé privée: id_rsa (vous devez ne jamais fournir cette clé à personne)
– clé publique: id_rsa.pub.
Copier la clé publique sur l’hôte distant (RPi) avec la commande ssh-copy-id.
mon@ordi$ ssh-copy-id -i ~/.ssh/id_rsa.pub USERNAME@10.1.2.3
Le fichier .ssh/authorized_keys sera créé automatiquement suite à cette commande. Pour voir son contenu,
mon@ordi$ ssh USERNAME@10.1.2.3
USERNAME@raspberrypi$ cat ~/.ssh/authorized_keys
Le fichier /home/.ssh/authorized_keys est le fichier contenant les clés publiques permettant à un utilisateur de s’authentifier à l’aide de sa clé privée.
Côté Serveur
Vérifier que openssh-server est déjà installé ou non.
USERNAME@raspberrypi$ aptitude search ssh-server
Si ce n’est pas le cas,
USERNAME@raspberrypi$ sudo apt-get install openssh-server
Modifier ensuite les permissions du dossier /home/.ssh si vous n’avez pas les mêmes informations que ci-dessous.
USERNAME@raspberrypi$ ls -al | grep .ssh
drwx------ 2 USERNAME USERNAME 4096 Feb 23 00:14 .ssh
USERNAME@raspberrypi$ ls -al .ssh/authorized_keys
-rw------- 1 USERNAME USERNAME 397 Feb 23 00:14 .ssh/authorized_keys
Vous ne devriez pas avoir à modifier quoi que ce soit concernant les permissions, mais si vous n’avez pas les mêmes permissions que moi, vous pouvez toujours mettre à jour vos permissions avec la commande chmod.
sudo chmod 700 .ssh
sudo chmod 600 .ssh/authorized_keys
III. Désactivation du mot de passe pour l’autentification SSH et du compte Root
sudo vim /etc/ssh/sshd_config
Rechercher les informations PasswordAuthentication puis PermitRootLogin, et de remplacer leurs valeurs par « no ».
#Désactiver l’utilisation du mot de passe pour l’authentification
PasswordAuthentication no
#Désactiver l’utilisation du compte root
PermitRootLogin no
Relancer ensuite le serveur SSH.
sudo service ssh restart
IV. Creating a Firewall
Maintenant, il nous faut ajuster les paramètres du parefeux pour limiter/bloquer certain traffics vers le RPi.
Vérifier quelles sont les règles actuelles de votre parefeux sur le RPi
sudo iptables -L
Par défaut, vous ne devriez pas avoir de règles du tout. Tout traffic devrait être autorisé,
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Créer un fichier pour y placer les règles du parefeux
sudo vim /etc/iptables.firewall.rules
Copier les règles ci-dessous dans /etc/iptables.firewall.rules.
*filter
# Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 -j REJECT
# Accept all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Allow all outbound traffic - you can modify this to only allow certain traffic
-A OUTPUT -j ACCEPT
# Allow HTTP and HTTPS connections from anywhere (the normal ports for websites and SSL).
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
# Allow RDP connections from anywhere (uncomment if rdp connection is needed)
# -A INPUT -p tcp --dport 3389 -j ACCEPT
# Allow SSH connections
# The -dport number should be the same port number you set in sshd_config
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
# Allow ping
-A INPUT -p icmp --icmp-type echo-request -j ACCEPT
# Log iptables denied calls
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
# Drop all other inbound - default deny unless explicitly allowed policy
-A INPUT -j DROP
-A FORWARD -j DROP
COMMIT
Vous pouvez supprimer le commentaire au niveau du RDP (3389), si vous avez besoin d’accéder à l’interface graphique du RPi. Les règles appliquées ci-dessus autorise les traffics en HTTP (80), HTTPS (443), SSH (22), ainsi que les ping.
Activer les nouvelles règles du parefeux
sudo iptables-restore < /etc/iptables.firewall.rules
Vérifier de nouveau que les nouvelles règles sont actifs.
sudo iptables -L
Vous devriez maintenant avoir quelque chose de similaire.
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
REJECT all -- anywhere loopback/8 reject-with icmp-port-unreachable
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:3389
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
ACCEPT icmp -- anywhere anywhere icmp echo-request
LOG all -- anywhere anywhere limit: avg 5/min burst 5 LOG level debug prefix "iptables denied: "
DROP all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
Activation automatique des règles du parefeux
Vous devriez vous assurer que ces règles sont toujours activées à chaque fois que vous redémarrer le RPi. Pour ce faire, nous allons créer un script pour automatiser la tâche.
sudo vim /etc/network/if-pre-up.d/firewall
Copier les lignes ci-dessous:
#!/bin/sh
/sbin/iptables-restore < /etc/iptables.firewall.rules
Puis modifier les permissions de ce fichier.
sudo chmod +x /etc/network/if-pre-up.d/firewall
V. Installation et Configuration de Fail2Ban
Fail2Ban est un très bon outil pour détecter les tentatives de connection sur vos serveurs. Une fois une intrusion détectée, après un nombre défini de tentative de connection, Fail2Ban va créer automatiquement une règle dans iptable pour bannir l’adresse IP de l’intrus (blacklister).
Fail2Ban se trouve dans les dépots officiels de Debian. Pour l’installer,
sudo apt-get install fail2ban
Une fois l’installation terminée, il n’y a rien de plus à faire, à part vérifier dans les logs dans /var/log/fail2ban.log les informations enregistrées par l’application.
Pour information, Fail2Ban surveille uniquement les traffics pour le protocol SSH par défaut. Mais vous pouvez le configurer afin de superviser les tentatives de connections à votre serveur pour d’autres protocols tel HTTP, RDP, SMTP, etc.
Notes:
How do I change pi’s username?
How can I add a new user as sudoer using the command line?
How to properly configure sudoers file, on debian wheezy?
How to add self to sudoers list?
Allowing other users to run sudo
Add a User to a Group (or Second Group) on Linux
How to change owner and group of a file in Linux
Raspberry Pi Home Server: Part 4, Web Administration
A Complete Guide to Usage of ‘usermod’ command – 15 Practical Examples with Screenshots
What do the “ALL”s in the line “ %admin ALL=(ALL) ALL ” in Ubuntu’s /etc/sudoers file stand for?
Effect of (ALL:ALL) in sudoers?
Sudo and Sudoers Configuration
Securing Your Server
Users and Groups Administration in Linux