diff --git a/pages/01.administrate/06.overview/12.security/security.fr.md b/pages/01.administrate/06.overview/12.security/security.fr.md index dc71bc00..ff738db5 100644 --- a/pages/01.administrate/06.overview/12.security/security.fr.md +++ b/pages/01.administrate/06.overview/12.security/security.fr.md @@ -129,39 +129,6 @@ ssh -p admin@ --- -### Changer l’utilisateur autorisé à se connecter par SSH - -Afin d’éviter de multiples tentatives de forçage du login admin par des robots, on peut éventuellement changer l’utilisateur autorisé à se connecter. - -!!! Dans le cas d’une authentification par clé, la force brute n’a aucune chance de réussir. Cette étape n’est donc pas vraiment utile dans ce cas - -**Sur votre serveur**, ajoutez un utilisateur. -```bash -sudo adduser nom_utilisateur -``` -Choisissez un mot de passe fort, puisque c’est l’utilisateur qui sera chargé d’obtenir des droits root. -Ajoutez l’utilisateur au groupe sudo, afin justement de l’autoriser à effectuer des tâches de maintenance nécessitant les droits root. -```bash -sudo adduser nom_utilisateur sudo -``` - -À présent, modifiez la configuration SSH pour autoriser ce nouvel utilisateur à se connecter. -**Sur votre serveur**, éditez le fichier de configuration SSH -```bash -sudo nano /etc/ssh/sshd_config - -# Recherchez le paragraphe « Authentication » et ajoutez à la fin de celui-ci : -AllowUsers nom_utilisateur -``` -Seuls les utilisateurs mentionnés dans la directive AllowUsers seront alors autorisés à se connecter via SSH, ce qui exclut donc l’utilisateur admin. - -Sauvegardez et relancez le démon SSH. -```bash -systemctl restart ssh -``` - ---- - ### Durcir la sécurité de la configuration des services La configuration TLS par défaut des services tend à offrir une bonne compatibilité avec les vieux appareils. Vous pouvez régler cette politique pour les services SSH et NGINX. Par défaut, la configuration du NGINX suit la [recommandation de compatibilité intermédiaire](https://wiki.mozilla.org/Security/Server_Side_TLS#Intermediate_compatibility_.28default.29) de Mozilla. Vous pouvez choisir de passer à la configuration "moderne" qui utilise des recommandations de sécurité plus récentes, mais qui diminue la compatibilité, ce qui peut poser un problème pour vos utilisateurs et visiteurs qui utilisent de vieux appareils. Plus de détails peuvent être trouvés sur [cette page](https://wiki.mozilla.org/Security/Server_Side_TLS#Modern_compatibility). @@ -186,12 +153,3 @@ YunoHost est administrable via une **API HTTP**, servie sur le port 6787 par dé sudo systemctl disable yunohost-api sudo systemctl stop yunohost-api ``` - -### Tests d’intrusion de YunoHost - -Des [pentests](https://fr.wikipedia.org/wiki/pentest) ont été effectués sur une instance de YunoHost 2.4 : - -- [1) Préparation](https://exadot.fr/blog/2016-07-03-pentest-dune-instance-yunohost-1-preparation) -- [2) Le fonctionnement](https://exadot.fr/blog/2016-07-12-pentest-dune-instance-yunohost-2-le-fonctionnement) -- [3) Audit en Black Box](https://exadot.fr/blog/2016-08-26-pentest-dune-instance-yunohost-3-audit-en-black-box) -- [4) Audit en Grey Box](https://exadot.fr/blog/2016-11-03-pentest-dune-instance-yunohost-4-audit-en-grey-box)