• Sécuriser un serveur Linux

    # Mesures de bon sens
    - Réduire la surface d'exposition : on installe que le stricte minimum.
    -------> pas d'environnement de bureau, utiliser le net-installer

    - Le système doit être à jour.

    urpmi --auto-update


    -Utiliser des mots de passe suffisamment complexes.

    -On désactive/supprime les comptes utilisateurs inactifs.

    -On octroie, aux utilisateurs, que les permissions minimales nécessaire aux opérations, pas plus.

    -Mettre en place des resctrictions de paramètres des services (ex : cadence d'envoi de mail pour lutter contre les envois de spam, ou une taille maximale de fichiers pour un serveur FTP, le nombre de connexions maximum par seconde pour une IP sur un seveur web etc...)

    # Un firewall
    En entrée, mais aussi en sortie.

    On interdit tout puis on autorise au cas par cas.
    Plus laborieux à maintenir mais plus robuste.
    Restriction par ip aux services d'administration
    Bannir une IP (fail2ban)

    echo "DROP net:IP-A-BANNIR fw" > /etc/shorewall/rules

    # Durcissement du service SSH
    Génerer des clefs SSH pour se connecter à un serveur distant
    - Désactiver l'accès au compte root (déjà le cas par défaut)

    vi /etc/ssh/sshd_config

    -Interdire l'accès par mot de passe : que par clé

    vi /etc/ssh/sshd_config
    # Chercher la ligne "#PasswordAuthentication yes#, décommenter et modifier comme ci-dessous :
    PasswordAuthentification no


    - Envoyer un mail à chaque connexion réussie.

    - Autoriser l'authentification par clé privée

    vi /etc/ssh/sshd_config
    # Chercher la ligne "#PubkeyAuthentication#, décommenter et modifier comme ci-dessous :
    PubkeyAuthentication yes


    - Protection d'un site web. Configuration Apache
    Restrtiction d'acccès par ip : Allow ip

    # Protection contre les attaques brute force
    Définition de brute force
    Pourquoi : soulage le serveur
    Une solution classique : fail2ban
    Principe de fonctionnement de fail2ban
    Expérimentation fail2ban : ssh plus un autre service

    # Superviser et alerter
    Mettre en place d'outil de supervision

    # Protection contre les backdoors
    Défintion de backdoor

    urpmi rkhunter --force

    Principe de fonctionnement de rkhunter

    vi /etc/default/rkhunter
    CRON_DAILY_RUN="yes"
    REPORT_EMAIL="moi@mondomaine.fr"


    Mettre à jour les empreintes md5

    rkhunter --propupd

    # Surveiller les logs avec logwatch

    # Sécuriser Apache
    Masquer les signatures serveur
    nosnif
    mod_evasive
    mod_security

    # Pour aller plus loin
    ## Détection d'intrusion : snort

    uprmi snort --force

    Tags Tags : , , , , , , ,
  • Commentaires

    Aucun commentaire pour le moment

    Suivre le flux RSS des commentaires


    Ajouter un commentaire

    Nom / Pseudo :

    E-mail (facultatif) :

    Site Web (facultatif) :

    Commentaire :