Merge pull request #876 from nqb/improve-docs

[enh] Improve security docs
This commit is contained in:
Alexandre Aubin 2019-01-06 17:08:48 +01:00 committed by GitHub
commit 92c8a4d87a
No known key found for this signature in database
GPG key ID: 4AEE18F83AFDEB23
4 changed files with 19 additions and 17 deletions

View file

@ -1,6 +1,6 @@
# Security
YunoHost has been developed to provide the best security without too much complication. Every protocol used in YunoHost are **encrypted**, only password's hash are stored and by default each user is able to access to his personal directory only.
YunoHost has been developed to provide the best security without too much complication. Every protocol used in YunoHost are **encrypted**, only password's hashs are stored and by default each user is able to access to his personal directory only.
Two things remain important to note:
@ -61,7 +61,7 @@ nano /etc/ssh/sshd_config
Port 22 # to replace by 9777 for example
```
**Open the port** in firewall (you can use -6 option to limit forbid ipv4 connexion)
**Open the port** in firewall (you can use `-6` option to deny ipv4 connection)
```bash
yunohost firewall allow TCP 9777
```
@ -77,7 +77,7 @@ yunohost firewall reload
yunohost firewall disallow TCP <your_old_ssh_port_number> # port by default 22
```
You also need to give fail2ban the new SSH port.
You also need to give `fail2ban` the new SSH port.
To do that you need to create the configuration file `my_ssh_port.conf` with the command
@ -96,13 +96,13 @@ port = <your_ssh_port>
port = <your_ssh_port>
```
Finally you have to restart fail2ban in order to apply the new configuration
Finally you have to restart `fail2ban` in order to apply the new configuration
```bash
systemctl restart fail2ban.service
systemctl restart fail2ban
```
**For the next SSH connections ** you need to add the `-p` option followed by the SSH port number.
**For the next SSH connections **, you need to add the `-p` option followed by the SSH port number.
**Sample**:
@ -147,10 +147,11 @@ systemctl restart ssh
---
### Disable YunoHost API
YunoHost administration is accessible through an **HTTP API**, served on the 6787 port by default. It can be used to administrate a lot of things on your server, so malicious actors can also use it to damage your server. The best thing to do, if you know how to use the [command-line interface](/commandline), is to deactivate the `yunohost-api` service.
YunoHost administration is accessible through an **HTTP API**, served on the 6787 port by default (only on `localhost`). It can be used to administrate a lot of things on your server, so malicious actors can also use it to damage your server. The best thing to do, if you know how to use the [command-line interface](/commandline), is to deactivate the `yunohost-api` service.
```bash
sudo service yunohost-api stop
sudo systemctl disable yunohost-api
sudo systemctl stop yunohost-api
```
### YunoHost penetration test

View file

@ -72,7 +72,7 @@ nano /etc/ssh/sshd_config
Port 22 # à remplacer par exemple par 9777
```
**Ouvrez le port** choisi dans le parefeu (vous pouvez utiliser l'option -6 pour interdire la connexion via ipv4)
**Ouvrez le port** choisi dans le parefeu (vous pouvez utiliser l'option `-6` pour interdire la connexion via ipv4)
```bash
yunohost firewall allow TCP <votre_numero_de_port_ssh>
@ -91,7 +91,7 @@ yunohost firewall reload
yunohost firewall disallow TCP <votre numéro de port> # port par défaut 22
```
Il convient également de donner à fail2ban le nouveau port SSH à bloquer en cas de bannissement d'une adresse IP.
Il convient également de donner à `fail2ban` le nouveau port SSH à bloquer en cas de bannissement d'une adresse IP.
Pour cela il suffit de créer le fichier de configuration `my_ssh_port.conf` avec
@ -109,13 +109,13 @@ port = <votre_numero_de_port_ssh>
port = <votre_numero_de_port_ssh>
```
Il reste enfin à relancer fail2ban pour prendre en compte la nouvelle configuration
Il reste enfin à relancer `fail2ban` pour prendre en compte la nouvelle configuration
```bash
systemctl restart fail2ban.service
systemctl restart fail2ban
```
**Pour les prochaines connexions SSH** il faudra ajouter loption -p suivie du numéro de port SSH.
**Pour les prochaines connexions SSH**, il faudra ajouter loption `-p` suivie du numéro de port SSH.
**Exemple** :
@ -162,10 +162,11 @@ systemctl restart ssh
### Désactivation de lAPI YunoHost
YunoHost est administrable via une **API HTTP**, servie sur le port 6787 par défaut. Elle permet dadministrer une grande partie de votre serveur, et peut donc être utilisée à des **fins malveillantes**. La meilleure chose à faire si vous êtes habitués aux lignes de commande est de désactiver le service `yunohost-api`, et **utiliser la [ligne de commande](/commandline_fr)** en SSH.
YunoHost est administrable via une **API HTTP**, servie sur le port 6787 par défaut (seulement sur `localhost`). Elle permet dadministrer une grande partie de votre serveur, et peut donc être utilisée à des **fins malveillantes**. La meilleure chose à faire si vous êtes habitués aux lignes de commande est de désactiver le service `yunohost-api`, et **utiliser la [ligne de commande](/commandline_fr)** en SSH.
```bash
sudo service yunohost-api stop
sudo systemctl disable yunohost-api
sudo systemctl stop yunohost-api
```
### Tests dintrusion de YunoHost

2
ssh.md
View file

@ -80,4 +80,4 @@ yunohost user ssh list-keys <username>
## Security and SSH
See the dedicated page [Security & SSH](security_en)
See the dedicated page [Security & SSH](security_en).

View file

@ -79,4 +79,4 @@ yunohost user ssh list-keys <username>
## SSH et sécurité
Voir la page dédiée à la [sécurité](security_fr)
Voir la page dédiée à la [sécurité](security_fr).