• Sécuriser un Serveur Linux

    Par majekla dans Debian le 2 Mars 2022 à 09:00

    # Mesures de bon sens
    -Réduire la surface d'exposition : on installe que le stricte minimum.
    -------> pas d'environnement de bureau, utiliser le net-installer

    -Le système doit être à jour.
    -------> apt update
    -------> apt full-upgrade

    -Utiliser des mots de passe suffisamment complexes.

    -On désactive/supprime les comptes utilisateurs inactifs.

    -On octroie, aux utilisateurs, que les permissions minimales nécessaire aux opérations, pas plus.

    -Mettre en place des resctrictions de paramètres des services (ex : cadence d'envoi de mail pour lutter contre les envois de spam, ou une taille maximale de fichiers pour un serveur FTP, le nombre de connexions maximum par seconde pour une IP sur un seveur web etc...)

    # Un firewall
    En entrée, mais aussi en sortie.
    On interdit tout puis on autorise au cas par cas.
    Plus laborieux à maintenir mais plus robuste.
    Restriction par ip aux services d'administration
    Bannir une IP (fail2ban)
    iptables -A INPUT -s adresse_ip -j DROP

    # Durcissement du service SSH
    -Génerer des clefs SSH pour se connecter à un serveur distant

    -Désactiver l'accès au compte root (déjà le cas par défaut)
    -------> vi /etc/ssh/sshd_config

    -Interdire l'accès par mot de passe : que par clé
    -----> vi /etc/ssh/sshd_config
    # Chercher la ligne "#PasswordAuthentication yes#, décommenter et modifier comme ci-dessous :
    PasswordAuthentification no

    -Envoyer un mail à chaque connexion réussie.

    -Autoriser l'authentification par clé privée
    -----> vi /etc/ssh/sshd_config
    # Chercher la ligne "#PubkeyAuthentication#, décommenter et modifier comme ci-dessous :
    PubkeyAuthentication yes

    -Protection d'un site web. Configuration Apache
    Restrtiction d'acccès par ip : Allow ip

    # Protection contre les attaques brute force
    Définition de brute force
    Pourquoi : soulage le serveur
    Une solution classique : fail2ban
    Principe de fonctionnement de fail2ban
    Expérimentation fail2ban : ssh plus un autre service

    # Superviser et alerter
    Mettre en place d'outil de supervision

    # Protection contre les backdoors
    Défintion de backdoor
    rkhunter
    Principe de fonctionnement de rkhunter
    /etc/default/rkhunter
    CRON_DAILY_RUN="yes"
    REPORT_EMAIL="moi@mondomaine.fr"
    Mettre à jour les empreintes md5
    rkhunter --propupd

    # Surveiller les logs avec logwatch

    # Sécuriser Apache
    Masquer les signatures serveur
    nosnif
    mod_evasive
    mod_security

    # Pour aller plus loin
    ## Détection d'intrusion : snort
    ## Détection de scan de port : portsentry

     


    Tags Tags : , ,

  • Commentaires

    Aucun commentaire pour le moment

    Suivre le flux RSS des commentaires


    Ajouter un commentaire

    Nom / Pseudo :

    E-mail (facultatif) :

    Site Web (facultatif) :

    Commentaire :