Introduction au renforcement de la sécurité des serveurs Linux

La sécurisation de vos serveurs Linux est une tâche difficile et longue pour les administrateurs système, mais il est nécessaire de renforcer la sécurité du serveur pour le protéger des attaquants et des pirates Black Hat. Vous pouvez sécuriser votre serveur en configurant correctement le système et en installant le moins de logiciels possible. Il existe quelques astuces qui peuvent vous aider à sécuriser votre serveur contre les attaques de réseau et d'escalade de privilèges.

Améliorez votre noyau

Le noyau obsolète est toujours sujet à plusieurs attaques de réseau et d'escalade de privilèges. Vous pouvez donc mettre à jour votre noyau en utilisant apte dans Debian ou Miam à Fedora.

$ sudo apt-get mise à jour
$ sudo apt-get dist-upgrade

Désactiver les tâches racine Cron

Les tâches cron exécutées par un compte root ou à privilèges élevés peuvent être utilisées comme moyen d'obtenir des privilèges élevés par des attaquants. Vous pouvez voir l'exécution des tâches cron en

$ ls /etc/cron*

Règles de pare-feu strictes

Vous devez bloquer toute connexion entrante ou sortante inutile sur des ports inhabituels. Vous pouvez mettre à jour vos règles de pare-feu en utilisant iptables. Iptables est un utilitaire très flexible et facile à utiliser utilisé pour bloquer ou autoriser le trafic entrant ou sortant. Pour installer, écrivez

$ sudo apt-get install iptables

Voici un exemple pour bloquer les entrées sur le port FTP en utilisant iptables

$ iptables -A INPUT -p tcp --dport ftp -j DROP

Désactiver les services inutiles

Arrêtez tous les services et démons indésirables en cours d'exécution sur votre système. Vous pouvez répertorier les services en cours d'exécution à l'aide des commandes suivantes.

[email protected]:~$ service --status-all
[ + ] acpid
[ - ]  alsa-utils
[ - ]  anacron
[ + ]  apache-htcacheclean
[ + ] apache2
[ + ]  apparence
[ + ] apport
[ + ]  avahi-daemon
[ + ]  binfmt-support
[ + ]  Bluetooth
[ - ]  cgroupfs-mount
 
… couper…

OU en utilisant la commande suivante

$ chkconfig --list | grep '3:on'

Pour arrêter un service, tapez

$ sudo service [SERVICE_NAME] arrêt

OU ALORS

$ sudo systemctl stop [SERVICE_NAME]

Rechercher les backdoors et les rootkits

Des utilitaires tels que rkhunter et chkrootkit peuvent être utilisés pour détecter les portes dérobées et les rootkits connus et inconnus. Ils vérifient les packages et les configurations installés pour vérifier la sécurité du système. Pour installer écrire,

[email protected]:~$ sudo apt-get install rkhunter -y

Pour analyser votre système, tapez

[email protected]:~$ sudo rkhunter --check
[ Chasseur de rootkits version 1.4.6 ]
 
Vérification des commandes système…
 
Exécution des contrôles de commande 'strings'
Vérification de la commande "chaînes"                          [ OK ]
 
Effectuer des vérifications des « bibliothèques partagées »
Vérification des variables de préchargement                    [ Aucun trouvé ]
Recherche de bibliothèques préchargées                     [ Aucun trouvé ]
Vérification de la variable LD_LIBRARY_PATH                    [ Non trouvé ]
 
Vérification des propriétés des fichiers
Vérification des prérequis                           [ OK ]
/usr/sbin/adduser                                   [ OK ]
/usr/sbin/chroot                                     [ OK ]
 
… couper…

Vérifier les ports d'écoute

Vous devriez vérifier les ports d'écoute qui ne sont pas utilisés et les désactiver. Pour vérifier les ports ouverts, écrivez.

[email protégé] :~$ sudo netstat -ulpnt
Connexions Internet actives (serveurs uniquement)
Proto Recv-Q Send-Q Adresse locale      Adresse étrangère   État      PID/Nom du programme
tcp        0    0 127.0.0.1:6379        0.0.0.0 :*        ÉCOUTER     2136/redis-server 1
tcp        0    0 0.0.0.0:111           0.0.0.0 :*        ÉCOUTER     1273/rpcbind
tcp        0    0 127.0.0.1:5939        0.0.0.0 :*        ÉCOUTER     2989/teamviewerd
tcp        0    0 127.0.0.53:53         0.0.0.0 :*        ÉCOUTER     1287/systemd-resolv
tcp        0    0 0.0.0.0:22            0.0.0.0 :*        ÉCOUTER     1939/sshd
tcp        0    0 127.0.0.1:631         0.0.0.0 :*        ÉCOUTER     20042/cupsd
tcp        0    0 127.0.0.1:5432        0.0.0.0 :*        ÉCOUTER     1887/postgres
tcp        0    0 0.0.0.0:25            0.0.0.0 :*        ÉCOUTER     31259/maître
… couper…

Utiliser un IDS (Intrusion Testing System)

Utilisez un IDS pour vérifier les journaux du réseau et empêcher toute activité malveillante. Il existe un IDS Snort open source disponible pour Linux. Vous pouvez l'installer en,

$ wget https://www.renifler.org/downloads/snort/daq-2.0.6.le goudron.gz
$ wget https://www.renifler.org/téléchargements/snort/snort-2.9.12.le goudron.gz
$ tar xvzf daq-2.0.6.le goudron.gz
$ cd daq-2.0.6
$ ./configure && make && sudo make install
$ tar xvzf snort-2.9.12.le goudron.gz
$ cd sniffer-2.9.12
$ ./configure --enable-sourcefire && make && sudo make install

Pour surveiller le trafic réseau, tapez

[email protégé] : ~$ sudo snort
Exécution en mode de vidage de paquets
--== Initialisation de Snort ==--
Initialisation des plugins de sortie!
pcap DAQ configuré en passif.
Acquisition de trafic réseau à partir de "tun0".
Décodage Raw IP4
 
--== Initialisation terminée ==--
 
… couper…

Désactiver la journalisation en tant que racine

Root agit comme un utilisateur avec tous les privilèges, il a le pouvoir de faire n'importe quoi avec le système. Au lieu de cela, vous devez appliquer l'utilisation de sudo pour exécuter des commandes administratives.

Supprimer les fichiers sans propriétaire

Les fichiers appartenant à aucun utilisateur ou groupe ne peuvent constituer une menace pour la sécurité. Vous devez rechercher ces fichiers et les supprimer ou leur attribuer un utilisateur approprié un groupe. Pour rechercher ces fichiers, tapez

$ find /dir -xdev \( -nouser -o -nogroup \) -print

Utiliser SSH et sFTP

Pour le transfert de fichiers et l'administration à distance, utilisez SSH et sFTP au lieu de telnet et d'autres protocoles non sécurisés, ouverts et non cryptés. Pour installer, tapez

$ sudo apt-get install vsftpd -y
$ sudo apt-get install openssh-server -y

Surveiller les journaux

Installez et configurez un utilitaire d'analyse de journaux pour vérifier régulièrement les journaux système et les données d'événements afin d'éviter toute activité suspecte. Taper

$ sudo apt-get install -y loganalyzer

Désinstaller les logiciels inutilisés

Installez le moins de logiciels possible pour maintenir une faible surface d'attaque. Plus vous avez de logiciels, plus vous avez de risques d'attaques. Supprimez donc tout logiciel inutile de votre système. Pour voir les packages installés, écrivez

$ dpkg --list
$ dpkg --info
$ apt-get liste [PACKAGE_NAME]

Pour supprimer un paquet

$ sudo apt-get remove [PACKAGE_NAME] -y
$ sudo apt-get clean

Conclusion

Le renforcement de la sécurité des serveurs Linux est très important pour les entreprises et les entreprises. C'est une tâche difficile et fastidieuse pour les administrateurs système. Certains processus peuvent être automatisés par certains utilitaires automatisés comme SELinux et d'autres logiciels similaires. De plus, le fait de conserver les logiciels minimus et de désactiver les services et les ports inutilisés réduit la surface d'attaque.