Dans ce tutoriel je vous explique étape par étape comment déployer un serveur cloud sous Linux Debian 11 ainsi que la façon appropriée de le sécuriser selon les meilleures pratiques de sécurité informatique. Pas besoin d’être ingénieur en informatique pour procéder à ses courtes modifications qui seront très efficaces.
Par le contenu de ce tutoriel vous apprendrez à effectuer les tâches suivantes sur un serveur cloud sous Linux Debian 11:
#1: Déployer un serveur cloud avec Vultr.
#2: Configurer une instance Linux Debian 11 pour une sécurité optimale.
#3: Changer le mot de passe d’origine de l’utilisateur “root” sous Debian 11.
#4: Créer un nouvel utilisateur pour vos opérations courantes sous Linux Debian 11.
#5: Configurer le port SSH sur un nouveau port afin d’optimiser la filtration d’accès.
#6: Introduire et retirer des nouvelles règles de pare-feu afin de sécuriser l’accès SSH à votre serveur.
Si vous décidez d’effectuer la configuration de votre serveur cloud en même temps que de procéder à la lecture de ce tutoriel, vous devrez au préalable avoir procédé à votre inscription chez Vultr pour devenir membre. N’hésitez pas à utiliser notre lien affilié ci-dessous pour vous rendre sur le site web de Vultr afin d’y créer votre compte, ce lien pourrait vous faire obtenir un crédit allant de 100$ à 200$ si la promotion est toujours en vigueur au moment de votre lecture ou visionnement. Ce crédit vous permettra de tester les produits de Vultr sans même débourser 1$.
**Si vous désirez créer votre compte Vultr en référencement par Okayweb Concept cliquez ici: https://www.vultr.com
**Visionnez ce tutoriel en vidéo sur notre chaîne Youtube par le liens suivant:
Ce tutoriel débute quand vous en aurez terminé avec la création de votre compte client. Un courriel vous invitant à créer votre première instance cloud vous sera envoyé à l’adresse indiqué lors de la création de votre compte. En cliquant sur le bouton bleu dans le courriel, vous serez redirigé sur votre tableau de bord Vultr.
Une fois connecté à votre tableau de bord Vultr, il sera très facile de vous repérer. La colonne de gauche est le menu principal composé de 6 sections.
#1: Les produits Vultr.
#2: La facturation en direct.
#3: Le support en direct.
#4: Le programme de référencement.
#5: Votre profil Vultr.
#6: La documentation et les tutoriels Vultr.
La section produits de votre tableau de bord Vultr est l’endroit où vous retrouverez les choix d’instances cloud disponibles. Beaucoup d’autres produits et services sont disponibles dans cette section tels que des Blocs Storage, Firewall, Kubernetes et Load Balancers.
La facturation chez Vultr s’effectue en direct. La facturation est disponible en tout temps via votre tableau de bord. La facturation générale du compte client est visible dans la section facturation et la facturation individuelle par machine est aussi visible en direct par le tableau de bord de chaque machine via la section produits.
Le support technique de Vultr est toujours accessible via votre tableau de bord. Répondez à quelques questions relatives à votre problème en soumettant le ticket aux responsables du support. Leur service technique répond généralement dans l’heure suivant la soumission du ticket.
Vultr offrent à tous les membres un programme de référencement très intéressant. Ce programme vous offre de gagner de l’argent en effectuant la promotion des produits Vultr. Offrez des promotions à votre entourage en gagnant de l’argent que vous pourrez transférer directement vers votre compte bancaire.
La zone profil de votre tableau de bord est la zone où vous pourrez prendre toutes les actions nécessaires et relatives à votre compte et vos opérations client chez Vultr.
La section tutoriels chez Vultr est bien remplie de tout ce dont vous avez besoin pour vous aider ou vous perfectionner avec vos produits et services cloud. Apprenez-y des astuces utiles de programmation et de configuration pour vos serveurs en suivant des tutoriels complets.
Les serveurs cloud optimisés vous proposent des instances aux performances CPU dédiées à vos services. Ils sont conçus pour vous offrir des performances stables en tous temps qui ne dépendent pas des autres utilisateurs du réseau. C’est le type de serveur cloud parfait pour héberger plusieurs sites web bien achalandés ou encore pour administrer vos ressources d’entreprise. Vous n’aurez aucuns problèmes à développer avec une instance graphique de bureau à distance et connecter plusieurs utilisateurs possédant le plein potentiel de vos ressources CPU sur ce serveur. Le plan le moins cher pour un serveur dédié chez Vultr est 28$ par mois. C’est probablement le tarif le moins cher pour une instance dédiée disponible sur le marché.
Les serveurs cloud réguliers sont ce qu’il y a de plus malléables comme machines virtuelles. Avec des tarifs débutants aussi bas que 2,50$, c’est très abordable de posséder un serveur dans le cloud. Les choix, vraiment riches en diversités, vous proposent une multitude de plans de configurations différentes qui sauront rencontrer les performances des professionnels comme des amateurs. Ce sont les machines les plus polyvalentes elles vous permettront de faire tout ce que vous avez en tête allant de créer votre propre VPN jusqu’à héberger quelques sites web.
Les serveurs graphiques sont des merveilles de la technologie. Idéal pour établir le cœur des applications qui requièrent des performances de pointe. Ce sont des serveurs basés sur la performance RAM et la disponibilité RAM graphique. Ce sont les types de machines cloud utilisées à des fins de développements technologiques et d’analyse de données. Les tarifs de cette gamme de serveurs commencent à 90$ par mois.
Les instances bare métal sont des serveurs isolés qui disposent d’un CPU réel et non virtuel. Ses machines sont pleinement malléables et le type de machine le plus recommandé pour les grandes entreprises. Idéal pour les projets en besoin d’une sécurité et d’un service plus personnalisé. C’est le type de serveur sur lequel vous pourrez mener toutes vos opérations peux importe votre projet. Pour posséder un serveur Bare Métal chez Vultr vous devez vous attendre à débourser au moins 120$ par mois au minimum. C’est très abordable prenant en considération le prix d’acheter une serveur aux performances similaires pour la maison.
Chacune des quatre types d’instances vous proposent des bases de configurations différentes que vous devrez spécifier avant de choisir votre serveur. Les configurations définissent quels types de spécificités garniront votre serveur. Vous pouvez spécifier des configurations axés sur les ressources CPU, les ressources RAM ou encore sur des ressources plus générales. Elles sont affichées en dessous de chaque type d’instance. Vous devrez sélectionner la base de configuration qui vous conviendra le mieux
Choisissez dans quel centre de données établir vos serveurs et vos services cloud parmi plus de 23 Pays différents. Testez la vitesses des serveurs Vultr si vous le désirez avant d’en prendre possession via le lien ci bas. Déployez vos instances dans les régions du monde convenant le mieux à vos services.
Testez la rapidité des serveurs Vultr: https://tor-ca-ping.vultr.com/
Vous aurez la possibilité de choisir parmi les instances les plus réputées de l’industrie de l’informatique. Vultr met à votre disposition plus de 10 images telles que Arch Linux, CentOS, Windows, Debian Linux et beaucoup d’autres. Certaines des images présentés peuvent entraîner des frais additionnels d’inscriptions ou de licences.
Le Marketplace Vultr met à votre disposition plus de 90 images préconfigurées avec plusieurs types de systèmes d’exploitations et de logiciels préinstallés. Ce type de déploiement réduit au maximum les heures passées en téléchargement et en programmation en vous livrant des instances déployables pratiquement prêtes à servir. Parmi ses images vous y trouverez entre autres des configurations cPanel, serveur Minecraft, WordPress, GitLab, WooCommerce et bien plus encore. Certaines des images requiers des frais ou des inscriptions additionnels.
Chez Vultr vous avez aussi l’opportunité de télécharger les systèmes d’exploitations pour vos serveurs cloud directement de la source ISO téléchargeable par les fournisseurs ou autres. Cette option vous offre littéralement des possibilités illimité d’installation sur vos serveurs. Développez vos propres scriptes de déploiements et déployez les sur vos instances cloud en quelques étapes simples. Nous couvrirons ce type de lancements lors d’un prochain tutoriel.
Vultr vous propose une variété de versions d’ISO possibles avec lesquelles déployer vos serveurs. Vous aurez la chance de choisir parmis + – 60 ISO de plusieurs versions différentes comme Rocky Linux 9.0 | 8.6, Debian Buster | Bullseye, openSUSE, pfSense, etc.
L’option “Backup” vous laissera importer une copie de sauvegarde d’un de vos anciens ou actuel serveurs. Vous devrez au préalable avoir effectué une sauvegarde d’un serveur cloud sur votre profil afin d’avoir accès à cette option.
L’option snapshot sera couverte lors d’un prochain tutoriel mais vous offre une option similaire à l’option backup par contre la procédure est un peu différente.
Pour les besoins de ce tutoriel nous utiliserons un système d’opération régulier Linux Debian 11 X64
Les différents forfaits proposés par Vultr vous offrent différentes configurations de stockage, de performances ram, de cpu et bande passante. Par exemple, afin de créer ce tutoriel, notre laboratoire cloud chez Vultr sera basé sur un forfait à 10$ par mois. Selon les configurations précédentes que nous avons sélectionnées, ce serveur nous offre 55 GB de stockage SSD, 1 CPU Intel, 2GB de RAM et 2 TB de bande passante. Si la promotion de 100$ à 200$ est toujours en vigueur au moment de votre lecture, c’est l’équivalent de 10 mois à 1 an de gratuités avec ce forfait.
Vous pourriez facilement héberger des projets de développements WordPress contenant 3 à 4 sites web ou encore créer un serveur Minecraft en ligne pour 25 à 30 joueurs sur ce serveur. D’ailleurs c’est aussi une instance proposé dans le Marketplace Vultr. À vous de décider de l’utilité de vos serveurs vous avez pratiquement une totale liberté avec le cloud.
Les tarifs chez Vultr son facturés au mois et calculés à l’heure. Si vous utilisez votre serveur pour une semaine et quelques heures, il vous sera facturé pour la période uniquement. Un serveur éteint relève toujours des frais, vous devez détruire le serveur pour en arrêter la tarification. Tant que vous restez dans les barèmes de bande passante de votre forfait, votre tarif ne vous coûtera jamais plus cher que le prix entendu. La tarification est très claire et accessible en tout temps. Vous verrez plus loin dans ce tutoriel qu’il est facile de s’y repérer c’est pourquoi nous recommandons ce types de services avant ceux de biens d’autres autant pour les amateurs que les professionnels.
Chez Vultr ils vous offrent par défaut les sauvegardes automatiques. Un modules très simple que vous pouvez activer et désactiver selon votre volonté. Le tarif imposé pour ce service est relatif à la taille de votre instance et de votre forfait. Si vous travaillez sur des projets importants, il est recommandé de sélectionner cette option pour vous sauver d’éventuelles tracas. Pour les besoins temporaires de ce tutoriel nous n’activerons pas ce service.
Vultr vous offrira au choix d’activer ou de désactiver les adresses IPv6. Les adresses IPv6 sont le futur de la connectivité. Les adresses IPv4 venant t’a manquer dans un futur éventuel, vous avez aussi la possibilité de les désactiver. La protection DDOS sur votre connexion est offerte pour un supplément de 10$ par mois si vous en cochez l’option. Les deux autres options si bas relèvent de compétences un peu plus expérimentées et seront couvertes lors d’un prochain tutoriel.
Les bénéfices de l’ajout d’une clé SSH sur un serveur est un atout en sécurité et en accessibilité indéniable. Sécuriser votre serveur en configurant un accès facilité par signature d’appareils. Les procédures de création et de programmation d’une telle clé sont trop longues pour ce tutoriel mais elles seront décrites dans un prochain tutoriel.
La dernière étape avant de lancer votre machine consistera à établir quel sera le nom de l’hôte et le label pour votre serveur. Le nom de l’hôte est souvent un domaine ou un sous domaine. Le nom de l’hôte se retrouvera dans votre machine et sera le nom à droite de l’arobase conformément à l’exemple suivant: “nom@nom-de-l’hôte:”. Si vous concevez ce serveur dans le but de concevoir un serveur web, le nom de l’hôte est la partie se retrouvant devant votre nom de domaine ou votre nom de domaine.
Des désignatifs communs de nom d’hôtes sont par exemple mail, blogue, serveur ou les désignations de sous domaine que vous désirez. Pour ce tutoriel nous utiliserons “poule-ou-oeuf”. Le label est le nom que vous donnez à votre machine dans votre profil Vultr. Il sert à identifier spécifiquement votre machine. Nous utiliserons ici “Laboratoire Cloud”.
Appuyer sur le bouton “Deploy now” pour débuter l’installation de votre serveur. Vous serez redirigé vers la section Produits de votre tableau de bord. C’est l’endroit où sera affiché absolument toutes les informations à propos des serveurs que vous possédez avec Vultr. Au bas de la page vous y trouverez vos serveurs ainsi que leurs statuts en direct.
Tant que le status de votre machine est au jaune c’est qu’elle procède à l’installation. Quand le statut passera au vert c’est qu’elle sera en opération et prête à configurer. Quand elle sera passée au vert, cliquez sur le titre de votre machine pour accéder à son panneau de contrôle.
Sur le panneau de configuration de votre nouveau serveur Vultr vous y trouverez toutes les informations d’usages et de tarifications spécifiques pour chaque machines. Pour votre première connexion à votre serveur vous aurez besoin du mot de passe de l’utilisateur root. Ce mot de passe vous est fourni avec l’installation par défaut. Il est localisé au bas de la colonne de gauche sous le nom de l’utilisateur.
Vous apprendrez dans quelques instants comment remplacer le mot de passe de l’utilisateur root ainsi que la façon de créer un nouvel utilisateur sous Linux Debian 11. Copiez le mot de passe de l’utilisateur dans votre presse papier ou bien gardez-le accessible à proximité. Dans le coin supérieur droit, le bouton d’accès à la console de votre serveur est le premier de gauche. Celui qui ressemble à un écran de terminal. Cliquez sur ce bouton pour accéder à votre serveur.
L’écran de la première connexion est plutôt gavé des informations de l’installation de Linux Debian. Les prochaines connexions se feront sur un écran plus propre comme celui-ci plus bas.
Sur une installation d’instance régulière votre première connexion à votre serveur s’effectuera directement par le site web de Vultr. Nous allons maintenant nous connecter en tant qu’utilisateur root. Dans login entrez le nom d’utilisateur root et appuyez sur enter. Les mots de passe entrés sous Linux sont toujours invisibles. Vous pouvez entrer le mot de passe que vous avez récupéré sur le panneau de contrôle de votre serveur. Dans le cas présent je vais utiliser la fonction copier coller parce que de toute façon nous changerons le mot de passe une fois connecté.
Quand vous serez enfin connecté à votre serveur nous procéderons à quelques configurations de base. Nous allons premièrement changer le mot de passe de l’utilisateur root. Pour ce faire vous devrez procéder avec la commande “passwd”. Entrez la commande et appuyer sur entrer.
sudo passwd
Vous serez invité à entrer deux fois votre nouveau mot de passe pour sa confirmation. Les mots de passe acceptés doivent idéalement ne pas figurer dans le dictionnaire et comporter certains caractères spéciaux. Quand vous aurez entré votre mot de passe pour la deuxième fois, un message de confirmation s’affiche à l’écran. Votre mot de passe est maintenant changé pour l’utilisateur root et prendra effet lors de votre prochaine connexion.
Pour des raisons de sécurité, il vous est recommandé de créer un nouvel utilisateur pour vos opérations régulières sur votre serveur. Selon les meilleures pratiques de sécurité, l’idéal est d’isoler l’utilisateur root des tâches courantes. Pour créer un nouvel utilisateur sous Linux Debian 11 vous utiliserez la commande “adduser”. Dans l’exemple suivant j’ajoute l’utilisateur “Raph”
sudo adduser raph
Pour les besoins de ce tutoriel ce sera “Raph”. Tout comme à l’étape précédente, il vous sera demandé de créer un nouveau mot de passe. Quand vous aurez créé votre nouveau mot de passe, il vous sera demandé de compléter quelques informations concernant le nouvel utilisateur. Ses étapes sont optionnelles, vous pouvez appuyer sur enter à chacunes d’entre elles ou les compléter à votre choix. Linux vous demandera de confirmer que les informations entrées sont correctes. Pour procéder, entrez la touche “Y” puis appuyer sur enter. Votre nouvel utilisateur Linux est maintenant créé.
Le port d’accès SSH par défaut sur la majorité des installations est le port 22. Ce port d’accès à votre serveur est aussi une des portes d’accès les plus connues par les hackers. Changer le port d’accès SSH pour un port moins connu est une bonne façon de réduire le nombre de tentatives automatisées sur ce port ainsi qu’une bonne façon de distinguer les robots des vraies tentatives par des hackers. Utilisez un port peu utilisé au-dessus de 1024 afin d’éviter de congestionner un service actuel. Aux fins du tutoriel aujourd’hui nous utiliserons le port 1025.
Le fichier de configuration d’accès SSH est situé dans /etc/ssh/. Le dossier que nous allons configurer est le dossier “sshd_config”. Pour accéder à ce dossier vous pouvez vous diriger dans le répertoire ssh grâce à la commande “cd”.
cd /etc/ssh
Si vous désirez consulter la liste de tous les dossiers dans votre répertoire actuel sous Linux, utilisez la commande “ls” puis appuyez sur enter.
ls
Pour débuter la modification de la configuration du dossier “sshd_config”, nous utiliserons l’outil nano . En prenant en considération que vous êtes toujours dans le répertoire /etc/ssh, la commande à entrer afin de modifier le dossier de configuration sous Linux est la suivante:
nano sshd_config
Si vous n’êtes pas dans le répertoire /etc/ssh la commande sera la suivante:
nano /etc/ssh/sshd_config
Pour notre configuration d’aujourd’hui nous remplacerons le port 22 au haut de la fiche. Remplacez Port 22 par Port 1025 et assurez vous d’enlever le hashtag devant la ligne du Port. Quand votre nouvelle ligne de commande sera écrite vous pourrez sortir de nano en 3 commandes: #1 Appuyez sur “CTRL-X” pour terminer l’édition. #2 Il vous sera demandé de confirmer avoir apporté des modifications au dossier, appuyez sur “Y” puis entrer pour fermer la fenêtre.
Les politiques de pare-feu de l’installation d’origine étant configurées pour le port 22 et plutôt permissives, nous allons rapidement établir une base de configuration sécuritaire pour votre pare-feu avec UFW. L’interface UFW est en quelque sorte le logiciel servant à simplifier la gestion du pare-feu linux. UFW fonctionne en corrélation avec nftables ou iptables sous Linux.
La configuration qui suit est idéalement à appliquer sur un serveur frais démarrer car vous risquez de perdre vos configurations de pare-feu existantes si vous les appliquez sur un serveur déjà configuré.
Pour obtenir la liste des règles de pare-feu actuelles sous Linux vous pouvez demander le statut régulier ou bien le statut énuméré par UFW. Pour ce faire vous devez utiliser une des commandes suivantes:
sudo ufw status
Vous constaterez que dans cette version de Debian 11 la seule règle mise en place est une règle qui autorise n’importe quel type de trafic, entrant et sortant sur le port 22. Ce qui veut dire que n’importe quelle adresse IP peut actuellement se connecter à votre serveur via SSH sur le port 22.
Vous pouvez retirer une règle de pare-feu à tout moment avec UFW. Pour ce faire, la façon la plus facile est de demander le statut énuméré et d’ensuite supprimer la règle par le numéro qui lui correspond. Nous allons supprimer la règle ouvrant le port 22 à titre d’exemple. De toute façon ce port doit être fermé puisque suite aux modifications faite plus haut, l’accès SSH est maintenant sur le port 2022. Entrez la commande suivante dans le terminal:
sudo ufw status numbered
Vous obtiendrez un résultat affiché comme celui-ci. Les chiffres de la colonne de gauche sont les numéros de règles. Pour supprimer une règle de pare-feu avec UFW vous devez entrer la commande dans cet ordre: ufw delete “règles à supprimer”. Vous pouvez supprimer plus d’une règle à la fois en entrant un espace ou une virgule entre les numéros de règles. Tapez la commande suivante dans le terminal:
sudo ufw delete 1
Afin d’être certain que votre règle de pare-feu a bien été supprimé, redemandez maintenant le statut de ufw à l’aide de la commande “ufw status” de l’étape précédente.
Il ne devrait plus y avoir de règle inscrite à présent et le statut devrait ressembler à l’image si haut. Si une règle persiste sur le port 22 c’est que la règle s’applique par défaut sur le IPv6 ainsi que sur le IPv4 et que la commande d’avant a supprimé seulement une des deux règles. Si c’est le cas veuillez entrer une nouvelle fois “sudo ufw delete 1” et redemandez le sudo “ufw status” pour confirmer la suppression.
Par défaut, ufw refuse les connexions entrantes et autorise les connexions sortantes. Ceci assure que votre serveur ne réponde pas aux tentatives de connexions d’appareils ou de logiciels externes qui n’auront pas été au préalable accepté sur un port spécifique. En contrepartie, les logiciels et les applications sur le serveurs peuvent procéder à leur opérations normales envers les fournisseurs de services externes.
Ayant changé votre port d’accès SSH et retiré l’ancienne règle de pare-feu, vous devez maintenant implanter une nouvelle règle vous autorisant à vous connecter depuis votre ordinateur en connexion SSH à votre serveur distant. Pour ce faire vous devez implanter une règle autorisant votre adresse IP sur le nouveau port 1025 désigné plus tôt. La commande à entrer afin d’accepter votre adresse IP sur votre nouveau port est la suivante. Dans l’exemple suivant j’utilise 127.0.0.1 localHost. Remplacer cette adresse IP par la vôtre.
sudo ufw allow from 127.0.0.1 to any port 1025
Il ne vous reste maintenant qu’à redémarrer votre serveur afin d’appliquer les réglages que vous venez d’y apporter.
reboot
Dorénavant vous n’aurez plus besoin d’accéder à vos services via le site web de Vultr sous la connexion de votre compte. Vous pourrez à votre convenance utiliser l’invite de commande Windows ou le Terminal linux pour accéder en connexion SSH de votre appareil à votre serveur cloud distant en directe. Afin de vous connecter vis SSH à votre serveur à distance, ouvrez l’invite de commande Windows ou le terminal Linux et entrez la commande suivante en prenant soins de remplacer l’adresse IP par la vôtre.
Dans l’exemple suivant, j’utilise le nom du nouvel utilisateur “raph” créé plus tôt afin de connecter via SSH à mon serveur distant sur le nouveau port désigné. Remplacez l’adresse IP par la vôtre et le nom d’utilisateur par l’utilisateur désiré. Il vous sera demandé de signé votre appareil afin d’établir la connexion, vous devez répondre “Yes” puis entrez votre mot de passe.
ssh raph@127.0.0.1 -p 1025
Vous êtes maintenant connecté via SSH à votre nouveau serveur cloud sécurisé. Comme vous l’avez sûrement constaté, j’effectue ma connexion SSH via un autre serveur cloud possédant une installation de bureau à distance graphique. Si vous désirez apprendre comment installer une instance graphique Gnome sous Linux Debian 11 ou comment sécuriser Linux plus en profondeur, je vous invite à suivre mes prochains tutoriels!