[Débutant] Gestion d'un utilisateur ?

Support Debian
#1

Bonjour à tous,

Avant de vous exposer mon problème, je me permet de faire une légère présentation. J’ai 30 ans et j’ai un Blog que je fais vivre depuis 6 ans maintenant. J’ai toujours été sur du mutualisé chez le même hébergeur. Mais voilà, comme beaucoup, aujourd’hui je suis trop à l’étroit et j’aimerai développer mon Blog.

J’ai donc sauté le pas et j’ai pris un VPS SSD2 chez OVH ! Je suis totalement novice dans l’univers de Linux, je ne suis pas bête qu’un autre mais il y a tellement de choses à voir que je suis un peu perdu.

Cette présentation passée, place à mon problème ! J’ai lu pas mal de tutos pour débutants sur les étapes clés pour sécuriser un VPS (Interdire Root, port SSH, Fail2Ban, IPTables, Users MySQL, etc). Si jusqu’ici j’arrive à peu près à me débrouiller je bloque totalement sur les utilisateurs. Je vous explique

Comme préconisé partout, j’ai désactivé le SSH pour le root. Du coup il me faut un autre utilisateur pour accéder en SSH, après quelques lectures, je suis tombé sur ça: https://askubuntu.com/questions/19898/whats-the-simplest-way-to-edit-and-add-files-to-var-www

J’ai donc appliqué ces commandes:

adduser alex
sudo adduser alex www-data
sudo chown -R www-data:www-data /var/www
sudo chmod -R g+rwX /var/www

Seulement voilà, avec cet utilisateur je peux quand même naviguer en SFTP partout sur mon serveur, ne serait-il pas judicieux de le bloquer dans var/www ? Si oui, pourriez-vous m’expliquer comment et simplement :smiley:

Et si on bloque Alex dans le dossier /var/www/ je ne pourrais pas éditer par exemple mon fichier de configuration Apache ? Donc il faudrait un 3e utilisateur ?

Merci pour vos réponses !

#2

Pour commencer, pas forcément besoin d’un troisième utilisateur car tu pourra très bien te connecter sur le compte alex en ssh et faire un “su” pour passer en root. Une fois tes services configuré, tu ne te reconnectera que très rarement pour modifier les fichiers de configurations.

Pour bloquer l’utilisateur dans le dossier /var/www c’est normalement possible après je ne l’ai fait que sur CentOS avec vsftpd où il suffisait de mettre chroot_local_user=YES mais je ne sait pas si c’est pareille sur Debian. Je laisse les autres t’aider sur ce point.

#3

Sans avoir trop approfondi, et vite fait :
Une fois que tu t’es connecté en tant qu’utilisateur normal, si tu as accès à une console, tu ne peux pas te connecter en tant que root ?
root est interdit de connexion direct en SSH, et c’est bien, mais ensuite ?
Je vais tester ça avec ma liaison en SSH sur mon serveur distant, avant de continuer à dire des bêtises.

#4

Oui, ça fonctionne :

ricardo@stretch-ssd:~$ ssh serveur
Enter passphrase for key ‘/home/ricardo/.ssh/XXXXX’:
Linux ricardo 3.16.0-0.bpo.4-amd64 #1 SMP Debian 3.16.7-ckt2-1~bpo70+1 (2014-12-08) x86_64

The programs included with BLABLA…

ricardo@machineX:~$ sudo ls /var
[sudo] password for ricardo:
backups cache lib local lock log mail opt run spool tmp www

#5

Je parlais d’un éventuel 3e utilisateur pour cloisonner Alex uniquement dans la partie Web (je pars du principe qu’une paersonne mal intentionnée récupère mon identifiant par X ou Y raisons). Après si vous me dites que 2 utilisateurs c’est suffisant et qu’il n’y a pas besoin d’un 3e étant donné que je peux SU Alex, très bien dans ce cas. Je peux rester avec cette configuration, je veux juste faire les choses proprement :smiley:

#6

Sisi je peux me connecter en root avec Alex, comme indiqué, je suis novice et je veux adopter les bonnes pratiques en termes de sécurité. Mais si la désactivation de la connexion en root + utilisateur lambda qui peut se SU est suffisant, très bien dans ce cas.

#7

Ben à mon avis, on fait tous ainsi.
Il est bien d’interdire la connexion SSH à root.
Mais il faut bien que quelqu’un ait la possibilité de faire les opérations sensibles sur le serveur distant, et ce quelqu’un le plus sûr c’est quand même root qui, en principe, a le mot de passe le mieux bétonné de tout le système.
Attends d’autres avis car il existe ptet une autre solution.
Moi, je pratique comme ça depuis environ 15 ans sous linux dont 13 sous debian, et mon serveur n’a encore pas été violé. Maintenant, je ne pense pas que la CIA s’intéresse à moi, pas plus que les RGx :innocent:

EDIT :
Par exemple, mets les droits les plus restreints à ces dossiers sensibles.

#8

Merci ! Je vais rester alors avec mon utilisateur Alex qui se connectera en SU si besoin. C’est ma crainte de voir quelqu’un s’introduire dans le système qui m’inquiète. C’est sûr que pour le coup avec du mutualisé, j’y pensais pas à tout ça même si j’ai toujours essayé d’appliquer des règles simples pour ne pas avoir de soucis avec mon Blog (MAJ des plugins régulières, etc).