Sécuriser votre (vos) serveur (s) Linux est une tâche difficile et fastidieuse pour les administrateurs système, mais il est nécessaire de durcir la sécurité du serveur pour le protéger des attaquants et des pirates informatiques. Vous pouvez sécuriser votre serveur en configurant correctement le système et en installant le minimum de logiciels possible. Il existe quelques conseils qui peuvent vous aider à sécuriser votre serveur contre les attaques d’escalade de réseau et de privilèges.
- Mettez à niveau votre noyau
- Désactivation des tâches Cron Root
- Règles de pare-feu strictes
- Désactivez les services inutiles
- Rechercher les Backdoors et les Rootkits
- Vérifiez les ports d’écoute
- Utilisez un IDS (système de test d’intrusion)
- Désactiver la journalisation en tant que Root
- Supprimer aucun fichier propriétaire
- Utilisez SSH et sFTP
- Surveillez les journaux
- Désinstallez les logiciels inutilisés
- Conlusion
Mettez à niveau votre noyau
Le noyau obsolète est toujours sujet à plusieurs attaques d’escalade de réseau et de privilèges. Vous pouvez donc mettre à jour votre noyau en utilisant apt dans Debian ou yum dans Fedora.
$ sudo apt-get update
su sudo apt-get dist-upgrade
su sudo apt-get dist-upgrade
Désactivation des tâches Cron Root
Les tâches Cron exécutées par un compte root ou un compte à privilèges élevés peuvent être utilisées comme moyen d’obtenir des privilèges élevés par les attaquants. Vous pouvez voir les travaux cron en cours d’exécution par
$ ls / etc / cron*
Règles de pare-feu strictes
Vous devez bloquer toute connexion entrante ou sortante inutile sur des ports inhabituels. Vous pouvez mettre à jour vos règles de pare-feu en utilisant iptables. Iptables est un utilitaire très flexible et facile à utiliser utilisé pour bloquer ou autoriser le trafic entrant ou sortant. Pour installer, écrivez
$ sudo apt-get install iptables
Voici un exemple pour bloquer les entrées sur un port FTP à l’aide d’iptables
$ iptables-A INPUT-p tcp –dport ftp-j DROP
Désactivez les services inutiles
Arrêtez tous les services et démons indésirables s’exécutant sur votre système. Vous pouvez lister les services en cours d’exécution à l’aide des commandes suivantes.
:~ serviceservicestatusstatus-all
acpid
alsa-utils
anacron
apache-htcacheclean
apache2
apparmor
apport
avahi-daemon
binfmt-support
bluetooth
cgroupfs-mount
~ snip…
acpid
alsa-utils
anacron
apache-htcacheclean
apache2
apparmor
apport
avahi-daemon
binfmt-support
bluetooth
cgroupfs-mount
~ snip…
OU en utilisant la commande suivante
$ chkconfiglistliste / grep’3:sur’
Pour arrêter un service, tapez
$ arrêt de service sudo
OU
$ sudo systemctl stop
Rechercher les Backdoors et les Rootkits
Des utilitaires tels que rkhunter et chkrootkit peuvent être utilisés pour détecter les backdoors et les rootkits connus et inconnus. Ils vérifient les packages et les configurations installés pour vérifier la sécurité du système. Pour installer write,
:~$ sudo apt-get install rkhunter-y
Pour analyser votre système, tapez
:~$ sudo rkhuntercheckvérifie
Vérifie les commandes système…
Vérification de la commande ‘strings’
Vérification de la commande ‘strings’
Vérification des ‘shared libraries’
Vérification des variables de préchargement
Vérification des bibliothèques préchargées
Vérification de la variable LD_LIBRARY_PATH
Vérification des propriétés du fichier
Vérification des prérequis
/usr/sbin/adduser
/ usr/sbin/chroot
…snip…
Vérifiez les ports d’écoute
Vous devez vérifier les ports d’écoute qui ne sont pas utilisés et les désactiver. Pour vérifier les ports ouverts, écrivez.
:~ susudo netstat-ulpnt
Connexions Internet actives (serveurs uniquement)
Proto Recv-Q Send-Q Adresse locale Adresse étrangère État PID/ Nom du programme
tcp 0 0 127.0.0.1:6379 0.0.0.0: * LISTEN 2136/redis-server 1
tcp 0 0 0.0.0.0: 111 0.0.0.0: * LISTEN 1273/ redis-server 1
rpcbind
tcp 0 0 127.0.0.1:5939 0.0.0.0: * ÉCOUTEZ 2989/teamviewerd
tcp 0 0 127.0.0.53:53 0.0.0.0: * ÉCOUTEZ 1287/systemd-resolv
tcp 0 0 0.0.0.0:22 0.0.0.0: * ÉCOUTEZ 1939/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0: * ÉCOUTEZ 20042/cupsd
tcp 0 0 127.0.0.1:5432 0.0.0.0: * ÉCOUTEZ 1887/postgres
tcp 0 0 0.0.0.0:25 0.0.0.0:* ÉCOUTEZ 31259/master
…snip…
Connexions Internet actives (serveurs uniquement)
Proto Recv-Q Send-Q Adresse locale Adresse étrangère État PID/ Nom du programme
tcp 0 0 127.0.0.1:6379 0.0.0.0: * LISTEN 2136/redis-server 1
tcp 0 0 0.0.0.0: 111 0.0.0.0: * LISTEN 1273/ redis-server 1
rpcbind
tcp 0 0 127.0.0.1:5939 0.0.0.0: * ÉCOUTEZ 2989/teamviewerd
tcp 0 0 127.0.0.53:53 0.0.0.0: * ÉCOUTEZ 1287/systemd-resolv
tcp 0 0 0.0.0.0:22 0.0.0.0: * ÉCOUTEZ 1939/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0: * ÉCOUTEZ 20042/cupsd
tcp 0 0 127.0.0.1:5432 0.0.0.0: * ÉCOUTEZ 1887/postgres
tcp 0 0 0.0.0.0:25 0.0.0.0:* ÉCOUTEZ 31259/master
…snip…
Utilisez un IDS (système de test d’intrusion)
Utilisez un IDS pour vérifier les journaux réseau et empêcher toute activité malveillante. Il existe un snort IDS open source disponible pour Linux. Vous pouvez l’installer par,
$ wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz
$wget https://www.snort.org/downloads/snort/snort-2.9.12.tar.gz
tartar xvzf daq-2.0.6.tar.gz
cd cd daq-2.0.6
$./configure & & make & & sudo make install
tartar xvzf snort-2.9.12.tar.gz
sn cd snort-2.9.12
$./configure –enable-sourcefire & & make & & sudo make install
$wget https://www.snort.org/downloads/snort/snort-2.9.12.tar.gz
tartar xvzf daq-2.0.6.tar.gz
cd cd daq-2.0.6
$./configure & & make & & sudo make install
tartar xvzf snort-2.9.12.tar.gz
sn cd snort-2.9.12
$./configure –enable-sourcefire & & make & & sudo make install
Pour surveiller le trafic réseau, tapez
:~$ sudo snort
S’exécute en mode de vidage de paquets
Initi== Initialisation de Snort== Initialisation des plugins de sortie!
pcap DAQ configuré pour passif.
Acquisition du trafic réseau à partir de « tun0 ».
Décodage De l’IP4 brute
–== Initialisation terminée ==–
…snip…
S’exécute en mode de vidage de paquets
Initi== Initialisation de Snort== Initialisation des plugins de sortie!
pcap DAQ configuré pour passif.
Acquisition du trafic réseau à partir de « tun0 ».
Décodage De l’IP4 brute
–== Initialisation terminée ==–
…snip…
Désactiver la journalisation en tant que Root
Root agit en tant qu’utilisateur avec tous les privilèges, il a le pouvoir de faire n’importe quoi avec le système. Au lieu de cela, vous devez appliquer l’utilisation de sudo pour exécuter des commandes administratives.
Supprimer aucun fichier propriétaire
Les fichiers appartenant à aucun utilisateur ou groupe peuvent constituer une menace pour la sécurité. Vous devez rechercher ces fichiers et les supprimer ou leur attribuer un groupe d’utilisateurs approprié. Pour rechercher ces fichiers, tapez
$ find/dir-xdev\(-nouser-o-nogroup\) – print
Utilisez SSH et sFTP
Pour le transfert de fichiers et l’administration à distance, utilisez SSH et sFTP au lieu de telnet et d’autres protocoles non sécurisés, ouverts et non chiffrés. Pour installer, tapez
$ sudo apt-get install vsftpd-y
su sudo apt-get install openssh-server-y
su sudo apt-get install openssh-server-y
Surveillez les journaux
Installez et configurez un utilitaire d’analyse de journaux pour vérifier régulièrement les journaux système et les données d’événements afin d’éviter toute activité suspecte. Type
$ sudo apt-get install-y loganalyzer
Désinstallez les logiciels inutilisés
Installez les logiciels le moins possible pour maintenir une petite surface d’attaque. Plus vous avez de logiciels, plus vous avez de chances d’attaques. Supprimez donc tout logiciel inutile de votre système. Pour voir les paquets installés, écrivez
$ dpkglistlist
dpdpkginfoinfo
aptapt- get list
dpdpkginfoinfo
aptapt- get list
Pour supprimer un paquet
$ sudo apt-get remove-y
$ sudo apt-get clean
$ sudo apt-get clean
Conlusion
Le renforcement de la sécurité des serveurs Linux est très important pour les entreprises et les entreprises. C’est une tâche difficile et fastidieuse pour les administrateurs système. Certains processus peuvent être automatisés par des utilitaires automatisés tels que SELinux et d’autres logiciels similaires. En outre, la conservation des logiciels minimus et la désactivation des services et ports inutilisés réduisent la surface d’attaque.
