Pendant longtemps, Linux a eu une réputation de sécurité à travers l’obscurité. Les utilisateurs avaient l’avantage de ne pas être la cible principale des pirates et n’avaient pas à s’inquiéter. Ce fait n’est plus valide et, en 2017 et 2018, nous avons vu de larges pans de pirates exploitant les bogues et les problèmes Linux, trouvant des moyens délicats d’installer des logiciels malveillants, des virus, des rootkits et plus encore.
En raison du récent flot d’exploits, de logiciels malveillants et d’autres mauvaises choses qui nuisent aux utilisateurs de Linux, la communauté open source a réagi en renforçant les fonctionnalités de sécurité. Pourtant, cela ne suffit pas, et si vous utilisez Linux sur un serveur, c’est une bonne idée de consulter notre liste et d’apprendre comment vous pouvez améliorer la sécurité d’un serveur Linux.
Table des matières
1. Utilisez SELinux
SELinux, AKA Security-Enhanced Linux est un outil de sécurité intégré au noyau Linux. Une fois activé, il peut facilement appliquer une politique de sécurité de votre choix, ce qui est indispensable pour un serveur Linux à toute épreuve.
De nombreux systèmes d’exploitation serveur basés sur RedHat sont livrés avec SELinux activé et configuré avec de très bons paramètres par défaut. Cela dit, tous les systèmes d’exploitation ne prennent pas en charge SELinux par défaut, nous vous montrerons donc comment l’activer.
Remarque: les packages Snap nécessitent AppArmor, une alternative à SELinux. Si vous choisissez d’utiliser SELinux, sur certains systèmes d’exploitation Linux, vous ne pourrez peut-être pas utiliser Snaps.
CentOS / Rhel
CentOS et RedHat Enterprise Linux sont tous deux fournis avec le système de sécurité SELinux. Il est préconfiguré pour une bonne sécurité, donc aucune autre instruction n’est nécessaire.
Serveur Ubuntu
Depuis Karmic Koala, Ubuntu a rendu très facile l’activation de l’outil de sécurité SELinux. Pour le configurer, entrez les commandes suivantes.
sudo apt install selinux
Debian
Tout comme sur Ubuntu, Debian facilite la configuration de SELinux. Pour ce faire, entrez les commandes suivantes.
sudo apt-get install selinux-basics selinux-policy-default auditd
Après avoir installé SELinux sur Debian, consultez l’entrée Wiki sur le logiciel. Il couvre de nombreuses informations nécessaires pour l’utiliser sur le système d’exploitation.
Manuel SELinux
Une fois que vous avez fait fonctionner SELinux, rendez-vous service et lisez le manuel SELinux. Apprenez comment cela fonctionne. Votre serveur vous remerciera!
Pour accéder au manuel SELinux, entrez la commande suivante dans une session de terminal.
man selinux
2. Désactivez le compte racine
L’une des choses les plus intelligentes que vous puissiez faire pour sécuriser votre serveur Linux est de fermer le compte racine et d’utiliser uniquement les privilèges Sudoer pour accomplir des tâches système. En fermant l’accès à ce compte, vous serez en mesure de vous assurer que les mauvais acteurs ne peuvent pas obtenir un accès complet aux fichiers système, installer des logiciels problématiques (comme des logiciels malveillants), etc.
Le verrouillage du compte racine sous Linux est facile et, en fait, sur de nombreux systèmes d’exploitation de serveurs Linux (comme Ubuntu), il est déjà désactivé par précaution. Pour plus d’informations sur la désactivation de l’accès root, consultez ce guide. Dans ce document, nous parlons de la façon de verrouiller le compte racine.
3. Sécurisez votre serveur SSH
SSH est souvent un sérieux point faible sur de nombreux serveurs Linux, car de nombreux administrateurs Linux préfèrent utiliser les paramètres SSH par défaut, car ils sont plus faciles à activer, plutôt que de prendre le temps de tout verrouiller.
Prendre de petites mesures pour sécuriser le serveur SSH sur votre système Linux peut atténuer un bon nombre d’utilisateurs non autorisés, les attaques de logiciels malveillants, le vol de données et bien plus encore.
Dans le passé sur toptips.fr, j’ai écrit un article détaillé sur la façon de sécuriser un serveur Linux SSH. Pour plus d’informations sur la façon de verrouiller votre serveur SSH, consultez l’article ici.
4. Toujours installer les mises à jour
Cela semble être un point évident, mais vous seriez surpris d’apprendre combien d’opérateurs de serveurs Linux renoncent aux mises à jour sur leur système. Le choix est compréhensible, car chaque mise à jour a le potentiel de bousiller les applications en cours d’exécution, mais en choisissant d’éviter les mises à jour du système, vous passez à côté de correctifs de sécurité qui corrigent les exploits et les bogues que les pirates utilisent pour briser les systèmes Linux.
Il est vrai que la mise à jour sur un serveur Linux de production est beaucoup plus ennuyeuse qu’elle ne le sera jamais sur le bureau. Le fait est que vous ne pouvez pas tout arrêter pour installer des correctifs. Pour contourner ce problème, envisagez de configurer un calendrier de mise à jour planifié.
Pour être clair, il n’y a pas de science définie sur les calendriers de mise à jour. Ils peuvent varier en fonction de votre cas d’utilisation, mais il est préférable d’installer des correctifs une fois par semaine ou toutes les deux semaines pour une sécurité maximale.
6. Aucun référentiel de logiciels tiers
L’avantage d’utiliser Linux est que si vous avez besoin d’un programme, tant que vous utilisez la bonne distribution, il existe un référentiel de logiciels tiers disponible. Le problème est que beaucoup de ces dépôts de logiciels ont le potentiel de perturber votre système et que des logiciels malveillants y apparaissent régulièrement. Le fait est que si vous exécutez une installation Linux dépendante de logiciels provenant de sources tierces non vérifiées, des problèmes vont survenir.
Si vous devez avoir accès à des logiciels que votre système d’exploitation Linux ne distribue pas par défaut, ignorez les référentiels de logiciels tiers pour les packages Snap. Il existe des dizaines d’applications de niveau serveur dans le magasin. Mieux encore, chacune des applications du magasin Snap reçoit régulièrement des audits de sécurité.
Vous voulez en savoir plus sur Snap? Consultez notre article sur le sujet pour savoir comment vous pouvez le faire fonctionner sur votre serveur Linux!
7. Utilisez un pare-feu
Sur un serveur, avoir un système de pare-feu efficace est tout. Si vous en avez une, vous éviterez de nombreux intrus embêtants avec lesquels vous seriez autrement en contact. D’un autre côté, si vous ne parvenez pas à configurer un système de pare-feu efficace, votre serveur Linux en souffrira gravement.
Il existe de nombreuses solutions de pare-feu différentes sous Linux. Dans cet esprit, certains sont plus faciles à comprendre que d’autres. De loin, l’un des pare-feu les plus simples (et les plus efficaces) sur Linux est FirewallD
Remarque: pour utiliser FirewallD, vous devez utiliser un système d’exploitation serveur doté du système d’initialisation SystemD.
Pour activer FirewallD, vous devez d’abord l’installer. Lancez une fenêtre de terminal et entrez les commandes qui correspondent à votre système d’exploitation Linux.
Serveur Ubuntu
sudo systemctl disable ufw sudo systemctl stop ufw sudo apt install firewalld
Debian
sudo apt-get install firewalld
CentOS / Rhel
sudo yum install firewalld
Une fois le logiciel installé sur le système, activez-le avec Systemd.
sudo systemctl enable firewalld sudo systemctl start firewalld
Conclusion
Les problèmes de sécurité sont de plus en plus courants sur les serveurs Linux. Malheureusement, alors que Linux continue de devenir de plus en plus populaire dans l’espace des entreprises, ces problèmes ne feront que devenir de plus en plus répandus. Si vous suivez les conseils de sécurité de cette liste, vous pourrez empêcher la majorité de ces attaques.