Ménager et protéger RaspBerry Pi

Mehdi HAMIDA 9 février 2013 Non classé Laisser un commentaire 42 Views

Vous n’utilisez pas le serveur X de votre framboise, et c’est normal pour un serveur domotique.
Je vous propose donc de supprimer tous les paquets qui ne servent pas :

# aptitude purge xserver-xorg xserver-xorg-core xserver-xorg-input-all  
xserver-xorg-input-evdev xserver-xorg-input-synaptics xserver-xorg-video-fbdev 
xserver-common xpdf xinit x11-common x11-utils x11-xkb-utils xarchiver screen 
pcmanfm penguinspuzzle lxde-common lxappearance lxde-icon-theme lxinput 
lxmenu-data lxpanel lxpolkit lxrandr lxsession lxsession-edit lxshortcut 
lxtask lxterminal leafpad dillo galculator gnome-icon-theme gnome-themes-standard 
gnome-themes-standard-data gpicview hicolor-icon-theme

Un dernier coup de balai s’impose dans les fichiers de configuration :

# aptitude purge

Enfin, on installe localepurge pour faire de la place dans les fichier de locales et on l’execute :

# aptitude -R install localepurge && localepurge

Voila pour la partie ménage. Attelons nous maintenant à la partie sécurité. Rien de bien terrible, mais cela fait partie de mes habitudes.
Tout d’abord, on serre un peu la vis du SSH avec le fichier /etc/ssh/sshd_config. Pour cela, on va interdire l’accès au root et autoriser que les membres d’un groupe à se connecter :

...
PermitRootLogin no
Banner /etc/issue.net
AllowGroups staff
Protocol 2
...

Maintenant, on installe fail2ban et créer des règles pour contrer les petits malins. Ce service va donc lire les fichiers logs, repérer les échecs d’identification et les adresses IP correspondantes, les bloquer avec une règle iptables et vous envoyer un mail pour vous avertir.

# aptitude -R install fail2ban

Maintenant, on passe à la configuration. Tout d’abord le fichier /etc/fail2ban/jail.conf . Je modifie l’action par défaut :

action = %(action_mwl)s

Qui correspond à :

action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
 %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s"]

Ensuite nous activons les régles pour les services ssh-ddos, apache, apache-noscript, et apache-overflows en positionnant la variable enable sur true :

enabled  = true

Il faut redémarrer le service pour prendre en compte ces modifications :

# /etc/init.d/fail2ban restart

 

A propos de Mehdi HAMIDA

Avec plus de 20 ans d’expérience dans la tech, je me suis spécialisé dans la gestion des données, le cloud (AWS, Snowflake) et l'architecture IT. Avant ça, j’étais expert technique et chef de projet sur des missions stratégiques. Je m'appelle Mehdi HAMIDA, et aujourd’hui, je partage simplement mes découvertes et connaissances à travers ce blog.

Lire aussi

Harry Potter : Wizards Unite

Le studio Niantic, qui a conçu Ingress et Pokémon Go (mais surtout Ingress), a annoncé …

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

"On a toujours tort d'essayer d'avoir raison devant des gens qui ont toutes les bonnes raisons de croire qu'ils n'ont pas tort" R. Devos
© Mehdi HAMIDA - 2025