YunoHost/doc
1
0
Fork 0
mirror of https://github.com/YunoHost/doc.git synced 2024-09-03 20:06:26 +02:00
Code Issues Projects Releases Packages Wiki Activity

Remove obsolete / dangerous / irrelevant security stuff ...

Browse source
This commit is contained in:
Alexandre Aubin 2021-04-09 22:46:47 +02:00 committed by GitHub
parent dfa884b178
commit 1d1a9f0700
No known key found for this signature in database
GPG key ID: 4AEE18F83AFDEB23
1 changed files with 0 additions and 42 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

42
pages/01.administrate/06.overview/12.security/security.fr.md
View file

@ -129,39 +129,6 @@ ssh -p <votre_numero_de_port_ssh> admin@<votre_serveur_yunohost>
---
### Changer lutilisateur autorisé à se connecter par SSH
Afin déviter de multiples tentatives de forçage du login admin par des robots, on peut éventuellement changer lutilisateur autorisé à se connecter.
!!! Dans le cas dune authentification par clé, la force brute na aucune chance de réussir. Cette étape nest donc pas vraiment utile dans ce cas
**Sur votre serveur**, ajoutez un utilisateur.
```bash
sudo adduser nom_utilisateur
```
Choisissez un mot de passe fort, puisque cest lutilisateur qui sera chargé dobtenir des droits root.
Ajoutez lutilisateur au groupe sudo, afin justement de lautoriser à effectuer des tâches de maintenance nécessitant les droits root.
```bash
sudo adduser nom_utilisateur sudo
```
À présent, modifiez la configuration SSH pour autoriser ce nouvel utilisateur à se connecter.
**Sur votre serveur**, éditez le fichier de configuration SSH
```bash
sudo nano /etc/ssh/sshd_config
# Recherchez le paragraphe « Authentication » et ajoutez à la fin de celui-ci :
AllowUsers nom_utilisateur
```
Seuls les utilisateurs mentionnés dans la directive AllowUsers seront alors autorisés à se connecter via SSH, ce qui exclut donc lutilisateur admin.
Sauvegardez et relancez le démon SSH.
```bash
systemctl restart ssh
```
---
### Durcir la sécurité de la configuration des services
La configuration TLS par défaut des services tend à offrir une bonne compatibilité avec les vieux appareils. Vous pouvez régler cette politique pour les services SSH et NGINX. Par défaut, la configuration du NGINX suit la [recommandation de compatibilité intermédiaire](https://wiki.mozilla.org/Security/Server_Side_TLS#Intermediate_compatibility_.28default.29) de Mozilla. Vous pouvez choisir de passer à la configuration "moderne" qui utilise des recommandations de sécurité plus récentes, mais qui diminue la compatibilité, ce qui peut poser un problème pour vos utilisateurs et visiteurs qui utilisent de vieux appareils. Plus de détails peuvent être trouvés sur [cette page](https://wiki.mozilla.org/Security/Server_Side_TLS#Modern_compatibility).
@ -186,12 +153,3 @@ YunoHost est administrable via une **API HTTP**, servie sur le port 6787 par dé
sudo systemctl disable yunohost-api
sudo systemctl stop yunohost-api
```
### Tests dintrusion de YunoHost
Des [pentests](https://fr.wikipedia.org/wiki/pentest) ont été effectués sur une instance de YunoHost 2.4 :
- [1) Préparation](https://exadot.fr/blog/2016-07-03-pentest-dune-instance-yunohost-1-preparation)
- [2) Le fonctionnement](https://exadot.fr/blog/2016-07-12-pentest-dune-instance-yunohost-2-le-fonctionnement)
- [3) Audit en Black Box](https://exadot.fr/blog/2016-08-26-pentest-dune-instance-yunohost-3-audit-en-black-box)
- [4) Audit en Grey Box](https://exadot.fr/blog/2016-11-03-pentest-dune-instance-yunohost-4-audit-en-grey-box)