===== Objectifs =====

Comment sécuriser un peu plus le serveur (utilisé pour Nextcloud dans mon cas), sans refaire un cours ou une distribution Linux dédiée !

J'utilise principalement une distribution Linux Debian pour ce serveur.

Thèmes abordés :

  * openSSH
  * fail2ban
  * **à faire** accès utilisateur
  * Visibilité sur l'Internet
  ** sous-domaine
  ** port non standard
  ** HTTPS
  * **à faire** Filtrage par adresse MAC

==== Sécurisation SSH ====

Le serveur sshd est en général actif par défaut.

Les réglages éventuels à faire sont :

  * interdire l'accès ssh à ''root'' mais c'est en général le cas, et à tous autres utilisateurs autres que ce qui est strictement nécessaire
  * désactivation login par mot de passe pour le remplacer par une clé publique, éventuellement pourvue d'un mot de passe
  * réglage du nombre de tentatives avant blocage...

Quelques ressources :

  * Génération de clé : https://www.ssh.com/ssh/key/
  * Clé publique : https://www.ssh.com/ssh/public-key-authentication
  * Copier sa clé : https://www.ssh.com/academy/ssh/copy-id ''ssh-copy-id -i ~/.ssh/mykey user@host''

==== Mise à jour automatique du système ====

Documentation officielle : https://wiki.debian.org/UnattendedUpgrades

Bien aussi : https://www.linode.com/docs/guides/how-to-configure-automated-security-updates-debian/

  - Test en ayant laissé des mises à jour à faire
  - Test en debug tel qu'indiqué
  - puis ''apt update'' : il restait moins de mise à jour à faire qu'avant
  - A l'usage, peut de mises à jour restantes lorsque je les réalise manuellement

  * [ ] Comment recevoir un courriel ?