Bien que Debian soit la meilleure distribution pour faire tourner un serveur, il faut la mettre à jour de temps en temps pour utiliser des technologies plus récentes. Je suis sur le point de migrer mon serveur agé de 8 ans de Debian 7 Wheezy à Debian 11 Bullseye, pour bénéficier d’un meilleur pare-feu, de Prometheus/Grafana à la place de Munin,… Voici la liste des procédures d’installations de base que j’utilise sur tous mes serveurs (sécurité, supervision, …) et que je vais documenter dans les prochains articles.

Pré-requis

Avant de commencer cette série pour spécialiser une machine avec un rôle de serveur, je m’attends à disposer d’une installation propre de Debian 11.

Ancienne configuration

Voici un résumé rapide de la configuration de mon ancien serveur :

  • scripts IPTables
  • portsentry
  • Tripwire
  • Logcheck
  • Logwatch

Il est extrèmement stable, comme on peut le constater sur la capture d’écran ci-dessous, plus de 900 jours sans redémarrage.

oldserver.gif

Il n’a jamais été piraté depuis son installation et a toujours rejeté les tentatives. La seule tentative qui ait réussi a été de deviner le mot de passe (faible) d’une boite de messagerie et de l’utiliser pour envoyer des pourriels. J’ai pu arrêter ce piratage en quelques minutes, grâce aux alertes et à la supervision.

Nouvelle configuration

Cette série d’articles décrit comment installer et configurer les outils serveur de base ci-dessous, comme je le fais sur chacun de mes serveurs. Il s’agit de ma base commune pour les serveurs, avant qu’ils ne soient spécialisés pour une tâche utile. Je décrirai les services utiles dans la série Services Debian 11.

  • Sécurité
    • iptables
    • portsentry
    • tripwire
    • rkhunter
    • fail2ban
    • logcheck/logwatch/fwlogwatch
    • backupmanager
  • Supervision
    • Monit
    • Prometheus, Alertmanager
    • Grafana