Questions sur la sécurité (supprimer l'utilisateur pi)


#1

Bonjour à tous,

J’utilise depuis maintenant une semaine ma Raspberry Pi 3 comme serveur web (lamp) et je regardais la page sur la sécurité de raspberrypi.org :

Ce qui m’a interpellé c’est qu’ils conseillent de supprimer le compte pi et d’en ajouter un autre à la place. J’ai plusieurs questions :

  • Pour être sûr, c’est pour protéger le serveur d’un brute force en ssh?
  • Ils disent que certaines tâches doivent être exécutées à partir du compte pi sous Raspbian, lesquelles?

Si au passage vous avez d’autres conseils sur comment sécuriser un serveur web sur Raspberry Pi…

Merci


#2

Hello,
Supprimer le user pi est idot. Cela risque de poser tout un tas de problèmes avec les dispositifs et tutos qui sont prévus pour fonctionner avec.
Il faut mettre en place l’accès par clé, et désactiver le login ssh par mot de passe (pleins de tutos sur le web, attention à ne pas perdre la clé…). Il faut changer le port ssh par défaut (le 22, plein de tutos itou), simplement car les tentatives de connexion vont encombrer les logs.
Installer un firewall sur un serveur qui ne route pas est une imbécillité. Il faut de toutes façons sécuriser les ports ouverts sur l’extérieur (http, ssh, ftp, samba le plus souvent, et ce n’est pas le firewall qui va le faire), et les ports non ouverts ne sont pas attaquables. Le seul cas utile d’installation d’un firewall est pour… un firewall, qui route les requêtes de l’extérieur vers l’intérieur.
Et s’ils conseillent de remplacer pi, c’est que c’est presque impossible de deviner le compte sur lequel se connecter si ce n’est pas pi. Mais en changeant le port et en désactivant le login par mot de passe, on obtient mille fois mieux, et plus pratique aussi.


#3

Bonjour,

Merci pour votre réponse et pour vos conseils.
Par la même occasion, j’ai installé fail2ban pour bloquer les tentatives de brute force par ssh et je viens de me rendre compte (en examinant le fichier /var/log/auth.log) qu’il y avait pas mal d’activité… (et que la provenance de l’IP est souvent douteuse :face_with_raised_eyebrow:)


#4

Je ne connaissais pas fail2ban avant, merci pour ce tuyau je vais l’installer aussi.

VPN Sai Mannat AnyDesk