Configuration initiale du serveur avec Debian 11

Introduction

Lorsque vous créez un nouveau serveur Debian 11, il y a quelques étapes de configuration que vous devez effectuer dès le début dans le cadre de la configuration de base. Cela augmentera la sécurité et la facilité d’utilisation de votre serveur et vous fournira une base solide pour les actions ultérieures.

Dans ce tutoriel, nous apprendrons comment nous connecter à notre serveur en tant qu’utilisateur root, créer un nouvel utilisateur avec des privilèges d’administration et configurer un pare-feu de base.

Étape 1 — Se connecter en tant que Root

Pour vous connecter à votre serveur, vous devrez connaître l’adresse IP publique de votre serveur. Vous aurez également besoin du mot de passe ou, si vous avez installé une clé SSH pour l’authentification, de la clé privée du compte utilisateur root. Si vous n’avez pas encore ouvert de session sur votre serveur, vous voudrez peut-être suivre notre guide sur comment se connecter à votre Droplet avec SSH, qui couvre ce processus en détail.

Si vous n’êtes pas déjà connecté à votre serveur, connectez-vous en tant qu’utilisateur root en utilisant la commande suivante (remplacez la partie surlignée de la commande par l’adresse IP publique de votre serveur) :

ssh root@your_server_ip

Acceptez l’avertissement sur l’authenticité de l’hôte s’il apparaît. Si vous utilisez l’authentification par mot de passe, fournissez votre mot de passe root pour vous connecter. Si vous utilisez une clé SSH protégée par un mot de passe, vous pouvez être invité à entrer le mot de passe la première fois que vous utilisez la clé à chaque session. Si c’est votre première fois de vous connecter au serveur avec un mot de passe, vous pouvez également être invité à changer le mot de passe root.

À propos de Root

L’utilisateur root est l’utilisateur administratif dans un environnement Linux qui possède des privilèges très étendus. En raison des privilèges accrus du compte root, il est déconseillé de l’utiliser régulièrement. C’est parce qu’une partie du pouvoir inhérent au compte root est la capacité de faire des changements très destructeurs, même par accident.

La prochaine étape consiste à configurer un compte utilisateur alternatif avec un champ d’influence réduit pour le travail quotidien. Plus tard, nous expliquerons comment obtenir des privilèges accrus pour ces moments où vous en avez besoin.

Étape 2 — Création d’un Nouvel Utilisateur

Une fois connecté en tant que root, nous sommes prêts à ajouter le nouveau compte utilisateur que nous utiliserons désormais pour nous connecter.

Cet exemple crée un nouvel utilisateur appelé sammy, mais vous devriez le remplacer par un nom d’utilisateur que vous aimez :

adduser sammy

Vous serez invité à répondre à quelques questions, en commençant par le mot de passe du compte.

Entrez un mot de passe fort et, éventuellement, remplissez les informations supplémentaires que vous souhaitez. Ceci n’est pas obligatoire et vous pouvez simplement appuyer sur ENTRÉE dans n’importe quel champ que vous souhaitez ignorer.

Ensuite, nous allons configurer ce nouvel utilisateur avec des privilèges d’administrateur.

Étape 3 — Attribution des privilèges d’administration

Maintenant, nous avons créé un nouveau compte utilisateur avec des privilèges de compte réguliers. Cependant, nous devons parfois effectuer des tâches administratives avec celui-ci.

Pour éviter de devoir vous déconnecter de notre utilisateur normal et de vous reconnecter en tant que compte root, nous pouvons configurer ce que l’on appelle les privilèges de superutilisateur ou root pour notre utilisateur normal. Cela permettra à notre utilisateur normal d’exécuter des commandes avec des privilèges administratifs en plaçant le mot sudo avant la commande.

Pour ajouter ces privilèges à notre nouvel utilisateur, nous devons ajouter le nouvel utilisateur au groupe sudo. Par défaut, sur Debian 11, les utilisateurs qui appartiennent au groupe sudo sont autorisés à utiliser la commande sudo.

En tant que root, exécutez cette commande pour ajouter votre nouvel utilisateur au groupe sudo (remplacez le mot surligné par votre nouvel utilisateur) :

usermod -aG sudo sammy

Maintenant, lorsque vous êtes connecté en tant qu’utilisateur régulier, vous pouvez taper sudo avant les commandes pour exécuter la commande avec des privilèges de superutilisateur.

Étape 4 — Configuration d’un pare-feu de base

Les serveurs Debian peuvent utiliser des pare-feu pour s’assurer que seules certaines connexions à des services spécifiques sont autorisées. Dans ce guide, nous allons installer et utiliser le pare-feu UFW pour aider à définir des politiques de pare-feu et gérer les exceptions.

Nous pouvons utiliser le gestionnaire de paquets apt pour installer UFW. Mettez à jour l’index local pour récupérer les dernières informations sur les paquets disponibles, puis installez le logiciel de pare-feu UFW en tapant :

apt update
apt install ufw

Les profils de pare-feu permettent à UFW de gérer des ensembles nommés de règles de pare-feu pour les applications installées. Les profils pour certains logiciels courants sont inclus avec UFW par défaut et les paquets peuvent enregistrer des profils supplémentaires avec UFW lors du processus d’installation. OpenSSH, le service nous permettant de nous connecter à notre serveur maintenant, a un profil de pare-feu que nous pouvons utiliser.

Vous pouvez lister tous les profils d’application disponibles en tapant :

ufw app list

Output
Available applications:
 . . .
 OpenSSH
 . . .

Nous devons nous assurer que le pare-feu autorise les connexions SSH afin que nous puissions nous reconnecter la prochaine fois. Nous pouvons autoriser ces connexions en tapant :

ufw allow OpenSSH

Ensuite, nous pouvons activer le pare-feu en tapant :

ufw enable

Tapez y et appuyez sur ENTRÉE pour procéder. Vous pouvez vérifier que les connexions SSH sont toujours autorisées en tapant :

ufw status

Output
Status: active

To             Action   From
--             ------   ----
OpenSSH          ALLOW    Anywhere
OpenSSH (v6)     ALLOW    Anywhere (v6)

Comme le pare-feu bloque actuellement toutes les connexions sauf SSH, si vous installez et configurez des services supplémentaires, vous devrez ajuster les paramètres du pare-feu pour permettre le trafic acceptable. Vous pouvez apprendre quelques opérations UFW courantes dans notre guide essentiel sur UFW.

Étape 5 — Activation de l’accès externe pour votre utilisateur régulier

Maintenant que nous avons un utilisateur régulier pour une utilisation quotidienne, nous devons nous assurer que nous pouvons nous connecter en SSH sur le compte directement.

Le processus de configuration de l’accès SSH pour votre nouvel utilisateur dépend de savoir si le compte root de votre serveur utilise un mot de passe ou des clés SSH pour l’authentification.

Si le compte Root utilise l’authentification par mot de passe

Si vous vous êtes connecté à votre compte root à l’aide d’un mot de passe, alors l’authentification par mot de passe est activée pour SSH. Vous pouvez vous connecter en SSH à votre nouveau compte utilisateur en ouvrant une nouvelle session terminal et en utilisant SSH avec votre nouveau nom d’utilisateur :

ssh sammy@your_server_ip

Après avoir saisi le mot de passe de votre utilisateur habituel, vous serez connecté. N’oubliez pas, si vous avez besoin d’exécuter une commande avec des privilèges administratifs, tapez sudo devant comme ceci :

sudo command_to_run

Vous serez invité à saisir le mot de passe de votre utilisateur habituel lors de l’utilisation de sudo pour la première fois à chaque session (et périodiquement par la suite).

Pour améliorer la sécurité de votre serveur, nous vous recommandons vivement de configurer des clés SSH au lieu d’utiliser l’authentification par mot de passe. Suivez notre guide sur la configuration des clés SSH sur Debian 11 pour apprendre comment configurer l’authentification basée sur les clés.

Si le compte root utilise l’authentification par clé SSH

Si vous vous êtes connecté à votre compte root en utilisant des clés SSH, alors l’authentification par mot de passe est désactivée pour SSH. Vous devrez ajouter une copie de votre clé publique locale au fichier ~/.ssh/authorized_keys du nouvel utilisateur pour vous connecter avec succès.

Étant donné que votre clé publique est déjà dans le fichier ~/.ssh/authorized_keys du compte root sur le serveur, nous pouvons copier ce fichier et la structure du répertoire vers notre nouveau compte utilisateur dans notre session existante avec la commande cp. Ensuite, nous pouvons ajuster la propriété des fichiers en utilisant la commande chown.

Assurez-vous de modifier les parties en surbrillance de la commande ci-dessous pour correspondre au nom de votre utilisateur régulier :

cp -r ~/.ssh /home/sammy
chown -R sammy:sammy /home/sammy/.ssh

La commande cp -r copie l’intégralité du répertoire vers le répertoire personnel du nouvel utilisateur, et la commande chown -R change le propriétaire de ce répertoire (et de tout ce qui s’y trouve) vers le nom_utilisateur:groupe spécifié (Debian crée un groupe portant le même nom que votre nom d’utilisateur par défaut).

Maintenant, ouvrez une nouvelle session de terminal et connectez-vous via SSH avec votre nouveau nom d’utilisateur :

ssh sammy@your_server_ip

Vous devriez être connecté au nouveau compte utilisateur sans utiliser de mot de passe. N’oubliez pas que si vous avez besoin d’exécuter une commande avec des privilèges administratifs, saisissez sudo devant, comme ceci :

sudo command_to_run

Vous devrez saisir votre mot de passe utilisateur normal lorsque vous utilisez sudo pour la première fois à chaque session (et périodiquement par la suite).

Quoi Faire Ensuite ?

À ce stade, vous disposez d’une base solide pour votre serveur. Vous pouvez maintenant installer n’importe quel logiciel dont vous avez besoin sur votre serveur.