GNU/Linux >> Tutoriels Linux >  >> Linux

6 outils et astuces open source pour sécuriser un serveur Linux pour les débutants

Étant donné qu'une grande partie de nos données personnelles et professionnelles sont disponibles en ligne aujourd'hui, il est important que tout le monde, des professionnels aux internautes en général, apprenne les bases de la sécurité et de la confidentialité. En tant qu'étudiant, j'ai pu acquérir de l'expérience dans ce domaine grâce à l'initiative CyberPatriot de mon école, où j'ai eu l'occasion d'interagir avec des experts de l'industrie pour en savoir plus sur les cyber-violations et les étapes de base pour établir la sécurité d'un système.

Plus de ressources Linux

  • Aide-mémoire des commandes Linux
  • Aide-mémoire des commandes Linux avancées
  • Cours en ligne gratuit :Présentation technique de RHEL
  • Aide-mémoire sur le réseau Linux
  • Aide-mémoire SELinux
  • Aide-mémoire sur les commandes courantes de Linux
  • Que sont les conteneurs Linux ?
  • Nos derniers articles Linux

Cet article détaille six étapes simples pour améliorer la sécurité de votre environnement Linux pour un usage personnel, sur la base de ce que j'ai appris jusqu'à présent en tant que débutant. Tout au long de mon parcours, j'ai utilisé des outils open source pour accélérer mon processus d'apprentissage et me familiariser avec les concepts de niveau supérieur liés à la sécurisation de mon serveur Linux.

J'ai testé ces étapes avec Ubuntu 18.04, la version que je connais le mieux, mais ces étapes fonctionneront également pour d'autres distributions Linux.

1. Exécuter les mises à jour

Les développeurs trouvent constamment des moyens de rendre les serveurs plus stables, rapides et sécurisés en corrigeant les vulnérabilités connues. Exécuter régulièrement des mises à jour est une bonne habitude à prendre pour maximiser la sécurité. Exécutez-les avec :

sudo apt-get update && apt-get upgrade

2. Activer la protection par pare-feu

L'activation d'un pare-feu facilite le contrôle du trafic entrant et sortant sur votre serveur. Il existe de nombreuses applications de pare-feu que vous pouvez utiliser sous Linux, notamment firewall-cmd et Uncomplicated Firewall (UFW). J'utilise UFW, donc mes exemples lui sont spécifiques, mais ces principes s'appliquent à n'importe quelle interface que vous choisissez.

Installer UFW :

sudo apt-get install ufw

Si vous souhaitez sécuriser encore plus votre serveur, vous pouvez refuser les connexions entrantes et sortantes. Soyez averti :cela coupe votre serveur du monde, donc une fois que vous avez bloqué tout le trafic, vous devez spécifier quelles connexions sortantes sont autorisées depuis votre système :

sudo ufw default deny incoming

sudo ufw default allow outgoing

Vous pouvez également rédiger des règles pour autoriser les connexions entrantes dont vous avez besoin pour un usage personnel :

ufw allow <service>

Par exemple, pour autoriser les connexions SSH :

ufw allow ssh

Enfin, activez votre pare-feu avec :

sudo ufw enable

3. Renforcer la protection par mot de passe

La mise en œuvre d'une politique de mots de passe forts est un aspect important de la protection d'un serveur contre les cyberattaques et les violations de données. Certaines meilleures pratiques pour les stratégies de mot de passe incluent l'application d'une longueur minimale et la spécification de l'âge du mot de passe. J'utilise le package libpam-cracklib pour accomplir ces tâches.

Installez le paquet libpam-cracklib :

sudo apt-get install libpam-cracklib

Pour appliquer la longueur du mot de passe :

  • Ouvrez le /etc/pam.d/common-password fichier.
  • Modifiez la longueur minimale en caractères de tous les mots de passe en modifiant le minlen=12 ligne au nombre de caractères que vous voulez.

Pour empêcher la réutilisation du mot de passe :

  • Dans le même fichier (/etc/pam.d/common-password ), ajoutez la ligne remember=x .
  • Par exemple, si vous souhaitez empêcher un utilisateur de réutiliser l'un de ses cinq derniers mots de passe, utilisez :remember=5 .

Pour appliquer l'âge du mot de passe :

  • Recherchez les lignes suivantes dans le /etc/login.defs fichier et remplacez-les par la durée de votre choix (jours). Par exemple :
    PASS_MIN_AGE: 3
    
PASS_MAX_AGE: 90
    
PASS_WARN_AGE: 14

Pour appliquer les spécifications de caractères :

  • Les quatre paramètres pour appliquer les spécifications de caractères dans les mots de passe sont lcredit (minuscule), ucredit (majuscule), dcredit (chiffre) et ocredit (autres caractères).
  • Dans le même fichier (/etc/pam.d/common-password ), recherchez la ligne contenant pam_cracklib.so .
    • Ajoutez ce qui suit à la fin de cette ligne :
      lcredit=-a ucredit=-b dcredit=-c ocredit=-d
    • Par exemple, la ligne suivante exige que les mots de passe contiennent un de chaque paramètre. Vous pouvez modifier les chiffres en fonction du niveau de sécurité de votre mot de passe :
      lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1

4. Désactiver les services non essentiels susceptibles d'être exploités

Il est recommandé de désactiver les services inutiles. Cela permet à moins de ports d'être ouverts à l'exploitation.

Installez le paquet systemd :

sudo apt-get install systemd

Voir quels services sont en cours d'exécution :

systemctl list-units

Identifiez les services susceptibles de causer des vulnérabilités potentielles à votre système. Pour chaque service :

  • Arrêtez le service s'il est en cours d'exécution :
    systemctl stop <service>
  • Désactiver le service à partir du démarrage :
    systemctl disable <service>
  • Après avoir exécuté ces commandes, vérifiez l'état du service :
    systemctl status <service>

5. Vérifier les ports d'écoute

Les ports ouverts peuvent poser des risques de sécurité, il est donc important de vérifier les ports qui écoutent sur votre serveur. J'utilise la commande netstat pour afficher toutes les connexions réseau :

netstat -tulpn

Regardez les colonnes d'adresse pour déterminer le numéro de port. Une fois que vous avez trouvé des ports ouverts, passez-les en revue pour vous assurer qu'ils sont tous nécessaires. Si ce n'est pas le cas, ajustez les services que vous utilisez ou ajustez les paramètres de votre pare-feu (ou laissez fail2ban l'ajuster pour vous).

6. Recherche de logiciels malveillants

Un logiciel d'analyse antivirus peut être utile pour empêcher les virus d'entrer dans votre système. Les utiliser est un moyen simple de protéger votre serveur contre les logiciels malveillants. Mon outil préféré est le logiciel open source ClamAV.

Installer ClamAV :

sudo apt-get install clamav

Mettre à jour les signatures de virus :

sudo freshclam

Analysez tous les fichiers et imprimez les fichiers infectés, en faisant sonner une cloche lorsqu'un est trouvé :

sudo clamscan -r --bell -i /

Vous pouvez et devez automatiser les analyses afin de ne pas avoir à vous en souvenir ou à passer du temps à les faire manuellement. Pour une automatisation simple comme celle-ci, vous pouvez utiliser des minuteurs systemd ou votre cron préféré.

Protégez votre serveur

Nous ne pouvons pas laisser la responsabilité de la sécurisation des serveurs à une seule personne ou organisation. Alors que le paysage des menaces continue de s'étendre rapidement, il appartient à chacun de nous d'être conscient de l'importance de la sécurité des serveurs et d'employer quelques bonnes pratiques de sécurité simples et efficaces.

Ce ne sont là que quelques-unes des nombreuses mesures que vous pouvez prendre pour assurer la sécurité de votre serveur Linux. Bien sûr, la prévention n'est qu'une partie de la solution. Ces politiques doivent être associées à une surveillance rigoureuse des attaques par déni de service, à l'analyse du système avec Lynis et à la création de sauvegardes fréquentes.

Quels outils open source utilisez-vous pour assurer la sécurité de votre serveur ? Parlez-nous d'eux dans les commentaires.


Linux

  1. Outils et astuces open source pour améliorer les performances de votre PC Linux

  2. 12 livres de fiction pour les fans de Linux et open source

  3. Les meilleurs outils Linux pour les écrivains

  4. Convertisseurs vidéo open source pour Linux [GUI et CLI]

  5. Pitivi - Un éditeur vidéo gratuit et open source pour Linux

Raccourcis, astuces et astuces de productivité de l'éditeur Linux VI pour les débutants

Une liste ultime des meilleurs blogs Linux pour débutants et professionnels

Top 10 des meilleurs outils de reconnaissance vocale open source pour Linux

Les 10 outils de navigation de fichiers open source pour le système Linux

10 principaux outils de suivi des bogues et des problèmes open source pour Linux

10 éditeurs de sous-titres gratuits et open source pour Linux en 2022