Aujourd’hui plus que jamais, nous vivons dans un monde où les organisations sont constamment bombardées par des failles de sécurité motivées par l’acquisition de données hautement sensibles et confidentielles qui sont très précieuses et représentent une énorme récompense financière.
Il est assez surprenant que, malgré le risque élevé de souffrir d’une cyberattaque potentiellement dévastatrice, la plupart des entreprises ne sont pas bien préparées ou ignorent simplement les signaux d’alarme, souvent avec des conséquences dévastatrices.
En 2016, Equifax a subi une violation de données catastrophique où des millions d’enregistrements clients hautement confidentiels ont été volés à la suite d’une série de défaillances de sécurité. Un rapport détaillé a indiqué que la violation aurait pu être évitée si les bonnes mesures de sécurité avaient été mises en œuvre par l’équipe de sécurité à Equifax.
En fait, des mois avant la violation, Equifax a été averti d’une vulnérabilité potentielle dans leur portail Web qui compromettrait leur sécurité, mais malheureusement, l’avertissement est resté lettre morte avec de graves conséquences. De nombreuses autres grandes entreprises ont été victimes d’attaques, dont la complexité ne cesse de croître à chaque instant.
Nous ne saurions trop insister sur l’importance de la sécurité de votre système Linux. Vous n’êtes peut-être pas une institution financière de premier plan qui est une cible potentielle de violations, mais cela ne signifie pas que vous devez baisser la garde.
La sécurité doit être au cœur de vos préoccupations lorsque configuration de votre serveur Linux surtout s’il sera connecté à Internet et accessible à distance. Avoir des compétences de base en sécurité est essentiel pour protéger votre serveur Linux.
Dans ce guide, nous nous concentrons sur certaines des mesures de sécurité de base que vous pouvez prendre pour protéger votre système contre les intrus.
Vecteurs de cyber-attaque
Les intrus exploiteront diverses techniques d’attaque pour accéder à votre serveur Linux. Avant de plonger dans certaines des mesures que vous pouvez prendre pour protéger votre système, exploitons certains des vecteurs d’attaque courants qu’un pirate informatique peut utiliser pour infiltrer les systèmes.
1. Attaques par force brute
UNE Force brute l’attaque est une attaque où le pirate utilise des essais et des erreurs pour deviner les informations de connexion de l’utilisateur. Habituellement, l’intrus utilisera des scripts automatisés pour accéder en permanence jusqu’à ce que la bonne combinaison du nom d’utilisateur et du mot de passe soit obtenue. Ce type d’attaque est plus efficace lorsque des mots de passe faibles et facilement devinables sont utilisés.
2. Faibles qualifications
Comme évoqué précédemment, informations d’identification faibles tels que des mots de passe courts et facilement devinables tels que mot de passe1234 présentent un risque potentiel pour votre système. Plus un mot de passe est court et moins complexe, plus il y a de chances que votre système soit compromis.
3. Phishing
Hameçonnage est une technique d’ingénierie sociale dans laquelle l’attaquant envoie à la victime un e-mail qui semble provenir d’une institution légitime ou d’une personne que vous connaissez ou avec laquelle vous faites affaire.
Habituellement, l’e-mail contient des instructions qui invitent la victime à divulguer des informations sensibles ou peut contenir un lien qui la dirige vers un faux site qui se présente comme le site de l’entreprise. Une fois que la victime tente de se connecter, ses informations d’identification sont capturées par l’attaquant.
4. Logiciel malveillant
Malware est l’abréviation de logiciel malveillant. Il englobe un large éventail d’applications néfastes telles que les virus, les chevaux de Troie, les vers et les ransomwares qui sont conçus pour se propager rapidement et retenir le système de la victime en otage en échange d’une rançon.
De telles attaques peuvent être débilitantes et peuvent paralyser les activités d’une organisation. Certains logiciels malveillants peuvent être injectés dans des documents tels que des images, des vidéos, des documents Word ou PowerPoint et emballés dans un e-mail de phishing.
5. Attaques par déni de service (DoS)
UNE DoS l’attaque est une attaque qui limite ou impacte la disponibilité d’un serveur ou d’un système informatique. Le pirate informatique inonde le serveur de paquets de trafic ou de ping qui rendent le serveur inaccessible aux utilisateurs pendant des durées prolongées.
UNE DDoS (Déni de service distribué) est une sorte de DoS qui emploie plusieurs systèmes qui inondent une cible de trafic qui la rend indisponible.
6. Attaque par injection SQL
Un acronyme pour Langage de requêtes structurées, SQL est un langage utilisé pour communiquer avec les bases de données. Il permet aux utilisateurs de créer, supprimer et mettre à jour des enregistrements dans la base de données. De nombreux serveurs stockent les données dans des bases de données relationnelles qui utilisent SQL pour interagir avec la base de données.
Une attaque par injection SQL exploite une vulnérabilité SQL connue qui oblige le serveur à divulguer des informations de base de données sensibles qu’il ne ferait pas autrement en injectant du code SQL malveillant. Cela pose un risque énorme si la base de données stocke des informations personnellement identifiables telles que les numéros de carte de crédit, les numéros de sécurité sociale et les mots de passe.
7. Attaque de l’homme au milieu
Communément abrégé en MITM, les attaque de l’homme du milieu implique qu’un attaquant intercepte des informations entre deux points dans le but d’écouter ou de modifier le trafic entre les deux parties. Le but est d’espionner la victime, de corrompre les données ou de voler des informations sensibles.
Conseils de base pour sécuriser votre serveur Linux
Après avoir examiné les passerelles potentielles qu’un attaquant peut utiliser pour violer votre système, passons en revue certaines des mesures fondamentales que vous pouvez prendre pour protéger votre système.
1. Sécurité physique
On ne pense pas beaucoup à l’emplacement physique et à la sécurité de votre serveur, cependant, si vous prévoyez d’installer votre serveur dans un environnement sur site, c’est généralement par là que vous commencez.
Il est important de vous assurer que votre serveur est sécurisé en toute sécurité dans un centre de données avec une alimentation de secours, une connectivité Internet redondante et un refroidissement suffisant. L’accès au centre de données doit être limité au personnel autorisé uniquement.
2. Mettez à jour vos référentiels et packages système
Une fois le serveur configuré, la première étape consiste à mettre à jour les référentiels et les progiciels d’application comme suit. La mise à jour du package corrige toutes les failles qui pourraient se présenter dans les versions existantes des applications.
Pour Ubuntu / Debian distributions:
$ sudo apt update -y $ sudo apt upgrade -y
Pour RHEL / CentOS distributions:
$ sudo yum upgrade -y
3. Activez un pare-feu
UNE pare-feu est une application qui filtre le trafic entrant et sortant. Vous devez installer un pare-feu robuste tel que le Pare-feu UFW et lui permettre d’autoriser uniquement les services requis et leurs ports correspondants.
Par exemple, vous pouvez l’installer sur Ubuntu en utilisant la commande:
$ sudo apt install ufw
Une fois installé, activez-le comme suit:
$ sudo ufw enable
Pour autoriser un service tel que HTTPS, exécutez la commande;
$ sudo ufw allow https
Alternativement, vous pouvez autoriser son port correspondant qui est 443.
$ sudo ufw allow 443/tcp
Puis rechargez pour que les modifications prennent effet.
$ sudo ufw reload
Pour vérifier l’état de votre pare-feu, y compris les services autorisés et les ports ouverts, exécutez
$ sudo ufw status
4. Désactivez tous les services / ports inutiles
En outre, pensez à désactiver tous les services et ports inutilisés ou inutiles sur le pare-feu. Le fait d’avoir plusieurs ports qui ne sont pas utilisés ne fait qu’augmenter le paysage d’attaque.
5. Protocole SSH sécurisé
Les paramètres SSH par défaut ne sont pas sécurisés et, par conséquent, certaines modifications sont nécessaires. Assurez-vous d’appliquer les paramètres suivants:
Pour le premier point, modifiez le / etc / ssh / sshd_config fichier et modifiez les paramètres suivants pour qu’ils apparaissent comme indiqué.
PermitRootLogin no
Une fois que vous avez désactivé l’utilisateur root de la connexion à distance, créez un utilisateur régulier et attribuez des privilèges sudo. Par example.
$ sudo adduser user $ sudo usermod -aG sudo user
Pour activer l’authentification sans mot de passe, dirigez-vous d’abord vers un autre PC Linux – de préférence votre PC et générez une paire de clés SSH.
$ ssh-keygen
Copiez ensuite la clé publique sur votre serveur
$ ssh-copy-id [email protected]
Une fois connecté, assurez-vous de désactiver l’authentification par mot de passe en modifiant le / etc / ssh / sshd_config fichier et en modifiant le paramètre affiché.
PasswordAuthentication no
Veillez à ne pas perdre votre clé privée ssh car c’est le seul moyen que vous pouvez utiliser pour vous connecter. Conservez-la en lieu sûr et de préférence sauvegardez-la sur le cloud.
Enfin, redémarrez SSH pour effectuer les modifications
$ sudo systemctl restart sshd
Résumé
Dans un monde où les cybermenaces évoluent, la sécurité doit être une priorité absolue lorsque vous vous lancez dans la configuration de votre serveur Linux. Dans ce guide, nous avons mis en évidence certaines des mesures de sécurité de base que vous pouvez prendre pour fortifier votre serveur. Dans la rubrique suivante, nous allons approfondir et examiner les étapes supplémentaires que vous pouvez suivre pour renforcer votre serveur.
.
