Guide de configuration Debian pour serveur

[Mezalor]

Bonjour,

J'ai rédigé un guide pour l'installation de Debian sur un serveur dédié ou un VPS avec un attention particulière pour la sécurité.
Voici l'adresse : https://mezalor.github.io/DebianServer

J'espère que cela pourra être utile.
N'hésitez pas à faire toutes remarques et critiques. Vous pouvez également télécharger le code sur GitHub et le modifier ou proposer des changements.

[diesel]

Juste une petite critique : Utiliser ifupdown aujourd'hui, c'est, comment dire, un peu has been.

Cela dit, document très intéressant dont je vais probablement me servir pour réinstaller un routeur sécurisé.

Amicalemenbt.

Jean-Marie

[lol]

Salut,
Merci pour ton partage.
Une question: Pourquoi un chroot alors que la plupart des hébergeurs proposent des installations ou pre-installation avec Debian 12 ?

[Mezalor]

Effectivement, j'étais passé à coté du fait que ifupdown était sur le déclin. Il faut que je me renseigne sur les alternatives pour mettre à jour le document. Merci pour la remarque.

Comme indiqué ici je préfère installer Debian avec debootstrap (puis fait un chroot) plutôt qu'utiliser les images proposées par les hébergeur pour plus de souplesse (en particulier pour choisir le partitionnement) et pour éviter d'avoir les logiciels préinstallés par l’hébergeur sur mon système. En gros c'est plus propre et plus minimal.

[diesel]

Aujourd'hui, pour gérer le réseau sur un serveur, j'utilise systemd-networkd.

Amicalement.

Jean-Marie

[vv222]

Effectivement, j'étais passé à coté du fait que ifupdown était sur le déclin. Il faut que je me renseigne sur les alternatives pour mettre à jour le document. Merci pour la remarque.

Depuis que je n’utilise plus ifupdown, je l’ai remplacé par ip et optionnellement dhclient dans les cas où je n’ai pas assigné d’IP statique à la machine.

[dezix]

@Mezalor Merci pour ce partage bien documenté

Pourquoi un chroot alors que la plupart des hébergeurs proposent des installations ou pre-installation avec Debian 12 ?

à moins de n'avoir pas capté toute la subtilité, c'est justement pour partir sur une base vraiment minimale,
évitant ainsi de devoir détricoter la tambouille embarquée dans l'image d'install du fournisseur.


Personnellement, jusqu'à trouver mieux (si c'est possible ???) je vais adopter cette approche via debootstrap
je connaissais un peu pour un chroot ou un conteneur, mais je n'avais pas fait le lien avec p.ex. un vps.... c'est cool

[vv222]

Personnellement, jusqu'à trouver mieux (si c'est possible ???) je vais adopter cette approche via debootstrap

Trouver mieux que debootstrap va être très facile : mmdebstrap.

C’est ce que j’utilise par exemple pour mon générateur de backports, en particulier pour la possibilité de l’utiliser sans accès root : Debian backports builder.

[dezix]

Trouver mieux que debootstrap va être très facile : mmdebstrap.

C'est SUPER !

... Y-a plus qu'à tester

[zargos]

Bonne documentation.
j'ai quelques remarques:

Ce n'est pas le choix fait ici puisque cela rajouterait une couche logiciel ce qu'on essaye d'éviter par le principe de minimisation. De plus le partitionnement proposé a prouvé son efficacité pour l'utilisation souhaité du serveur. Finalement si on dispose d'une grande quantité d'espace disque, on peut également laisser de l'espace entre chaque partition dans le cas où l'on souhaiterait en agrandir certaine par la suite.

LVM n'impacte pas vraiment le fait de faire du minima.
C'est mieux pour la gestion des volumes car il est alors possible de faire facilement des changements de taille de partition.
Laisser des espaces libre entre les partition n'est pas une bonne méthode, car il n'y a pas forcement moyen de savoir qu'elle est la taille minimum dont on peut avoir besoin et de se retrouver à devoir malgré tout déplacer les partition pour obtenir une place libre suffisante. Dans la pratique c'est très contraignant.
LVM permet d'éviter tous ces problèmes.

Pour le partitionnement, j'ajoute /var/tmp qui implique les mêmes risques que /tmp. Attention de ne pas mettre le flag noexec car certains packages deb lancent des script à partir du répertoire.
Et si tu utilise auditd (audit sécurité système), ajouter /var/log/audit.

Pour une installation sécurisé, nombre d'outils ne sont pas dans main pour le sources.list mais dans contrib voir dans nonfree.

Il y a une erreur dans ton fichiers /etc/network/interfaces:

address 10.11.12.13/32

devrait être

Code : Tout sélectionner

address 10.11.12.13/24 

(si c'est un sous réseau de 254 hosts)
Car le masque est celui du sous-réseau.

Pour le SSH, met les Ciphers et keying suivant, les autres sont à éviter:

Code : Tout sélectionner

Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
KexAlgorithms curve25519-sha256,curve25519-sha256@libssh.org,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256

[dezix]

Personnellement, j'opte pour LVM pour la flexibilité des capacités,
mais aussi pour les snapshots qui permettent des sauvegardes consistantes sans interrompre quoique ce soit pendant la sauvegarde.

[piratebab]

Je vais probablement récupérer un serveur physique retiré du service .
Je n'envisage pas d'utiliser le méthode du chroot pour isoler les services, mais des conteneurs. Ce me semble une méthode plus appropriée au XXI siécle.

[dezix]

Je n'envisage pas d'utiliser le méthode du chroot pour isoler les services, mais des conteneurs.

Les conteneurs de systemd-nspawn ou un autre moyen ?

[piratebab]

Les containeurs linux.Je vais d'abord expérimenter avec LXC et Docker comme gestionnaires de conteneurs. Avec l'approche micro services

[vv222]

Pour une installation sécurisé, nombre d'outils ne sont pas dans main pour le sources.list mais dans contrib voir dans nonfree.

L’utilisation de paquets propriétaires me semble difficilement conciliable avec une recherche de sécurisation du système.

---

Les conteneurs de systemd-nspawn ou un autre moyen ?

Si le sujet t’intéresse n’hésite pas à ouvrir une nouvelle discussion, j’utilise une poignée de conteneurs systemd-nspawn sur mon serveur.

[dezix]

@vv222 Merci, c'est noté.