Sécuriser votre (vos) serveur (s) Linux est une tâche difficile et fastidieuse pour les administrateurs système, mais il est nécessaire de durcir la sécurité du serveur pour le protéger des attaquants et des pirates informatiques. Vous pouvez sécuriser votre serveur en configurant correctement le système et en installant le minimum de logiciels possible. Il existe quelques conseils qui peuvent vous aider à sécuriser votre serveur contre les attaques d’escalade de réseau et de privilèges.
- Mettez à niveau votre noyau
- Désactivation des tâches Cron Root
- Règles de pare-feu strictes
- Désactivez les services inutiles
- Rechercher les Backdoors et les Rootkits
- Vérifiez les ports d’écoute
- Utilisez un IDS (système de test d’intrusion)
- Désactiver la journalisation en tant que Root
- Supprimer aucun fichier propriétaire
- Utilisez SSH et sFTP
- Surveillez les journaux
- Désinstallez les logiciels inutilisés
- Conlusion
Mettez à niveau votre noyau
Le noyau obsolète est toujours sujet à plusieurs attaques d’escalade de réseau et de privilèges. Vous pouvez donc mettre à jour votre noyau en utilisant apt dans Debian ou yum dans Fedora.
su sudo apt-get dist-upgrade
Désactivation des tâches Cron Root
Les tâches Cron exécutées par un compte root ou un compte à privilèges élevés peuvent être utilisées comme moyen d’obtenir des privilèges élevés par les attaquants. Vous pouvez voir les travaux cron en cours d’exécution par
Règles de pare-feu strictes
Vous devez bloquer toute connexion entrante ou sortante inutile sur des ports inhabituels. Vous pouvez mettre à jour vos règles de pare-feu en utilisant iptables. Iptables est un utilitaire très flexible et facile à utiliser utilisé pour bloquer ou autoriser le trafic entrant ou sortant. Pour installer, écrivez
Voici un exemple pour bloquer les entrées sur un port FTP à l’aide d’iptables
Désactivez les services inutiles
Arrêtez tous les services et démons indésirables s’exécutant sur votre système. Vous pouvez lister les services en cours d’exécution à l’aide des commandes suivantes.
acpid
alsa-utils
anacron
apache-htcacheclean
apache2
apparmor
apport
avahi-daemon
binfmt-support
bluetooth
cgroupfs-mount
~ snip…
OU en utilisant la commande suivante
Pour arrêter un service, tapez
OU
Rechercher les Backdoors et les Rootkits
Des utilitaires tels que rkhunter et chkrootkit peuvent être utilisés pour détecter les backdoors et les rootkits connus et inconnus. Ils vérifient les packages et les configurations installés pour vérifier la sécurité du système. Pour installer write,
Pour analyser votre système, tapez
Vérifie les commandes système…
Vérification de la commande ‘strings’
Vérification de la commande ‘strings’
Vérification des ‘shared libraries’
Vérification des variables de préchargement
Vérification des bibliothèques préchargées
Vérification de la variable LD_LIBRARY_PATH
Vérification des propriétés du fichier
Vérification des prérequis
/usr/sbin/adduser
/ usr/sbin/chroot
…snip…
Vérifiez les ports d’écoute
Vous devez vérifier les ports d’écoute qui ne sont pas utilisés et les désactiver. Pour vérifier les ports ouverts, écrivez.
Connexions Internet actives (serveurs uniquement)
Proto Recv-Q Send-Q Adresse locale Adresse étrangère État PID/ Nom du programme
tcp 0 0 127.0.0.1:6379 0.0.0.0: * LISTEN 2136/redis-server 1
tcp 0 0 0.0.0.0: 111 0.0.0.0: * LISTEN 1273/ redis-server 1
rpcbind
tcp 0 0 127.0.0.1:5939 0.0.0.0: * ÉCOUTEZ 2989/teamviewerd
tcp 0 0 127.0.0.53:53 0.0.0.0: * ÉCOUTEZ 1287/systemd-resolv
tcp 0 0 0.0.0.0:22 0.0.0.0: * ÉCOUTEZ 1939/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0: * ÉCOUTEZ 20042/cupsd
tcp 0 0 127.0.0.1:5432 0.0.0.0: * ÉCOUTEZ 1887/postgres
tcp 0 0 0.0.0.0:25 0.0.0.0:* ÉCOUTEZ 31259/master
…snip…
Utilisez un IDS (système de test d’intrusion)
Utilisez un IDS pour vérifier les journaux réseau et empêcher toute activité malveillante. Il existe un snort IDS open source disponible pour Linux. Vous pouvez l’installer par,
$wget https://www.snort.org/downloads/snort/snort-2.9.12.tar.gz
tartar xvzf daq-2.0.6.tar.gz
cd cd daq-2.0.6
$./configure & & make & & sudo make install
tartar xvzf snort-2.9.12.tar.gz
sn cd snort-2.9.12
$./configure –enable-sourcefire & & make & & sudo make install
Pour surveiller le trafic réseau, tapez
S’exécute en mode de vidage de paquets
Initi== Initialisation de Snort== Initialisation des plugins de sortie!
pcap DAQ configuré pour passif.
Acquisition du trafic réseau à partir de « tun0 ».
Décodage De l’IP4 brute
–== Initialisation terminée ==–
…snip…
Désactiver la journalisation en tant que Root
Root agit en tant qu’utilisateur avec tous les privilèges, il a le pouvoir de faire n’importe quoi avec le système. Au lieu de cela, vous devez appliquer l’utilisation de sudo pour exécuter des commandes administratives.
Supprimer aucun fichier propriétaire
Les fichiers appartenant à aucun utilisateur ou groupe peuvent constituer une menace pour la sécurité. Vous devez rechercher ces fichiers et les supprimer ou leur attribuer un groupe d’utilisateurs approprié. Pour rechercher ces fichiers, tapez
Utilisez SSH et sFTP
Pour le transfert de fichiers et l’administration à distance, utilisez SSH et sFTP au lieu de telnet et d’autres protocoles non sécurisés, ouverts et non chiffrés. Pour installer, tapez
su sudo apt-get install openssh-server-y
Surveillez les journaux
Installez et configurez un utilitaire d’analyse de journaux pour vérifier régulièrement les journaux système et les données d’événements afin d’éviter toute activité suspecte. Type
Désinstallez les logiciels inutilisés
Installez les logiciels le moins possible pour maintenir une petite surface d’attaque. Plus vous avez de logiciels, plus vous avez de chances d’attaques. Supprimez donc tout logiciel inutile de votre système. Pour voir les paquets installés, écrivez
dpdpkginfoinfo
aptapt- get list
Pour supprimer un paquet
$ sudo apt-get clean
Conlusion
Le renforcement de la sécurité des serveurs Linux est très important pour les entreprises et les entreprises. C’est une tâche difficile et fastidieuse pour les administrateurs système. Certains processus peuvent être automatisés par des utilitaires automatisés tels que SELinux et d’autres logiciels similaires. En outre, la conservation des logiciels minimus et la désactivation des services et ports inutilisés réduisent la surface d’attaque.