Depuis sa sortie au début des années 90, Linux a gagné l’admiration de la communauté technologique grâce à sa stabilité, sa polyvalence, sa personnalisation et une grande communauté de développeurs open-source qui travaillent 24 heures sur 24 pour fournir des corrections de bogues et des améliorations au système opérateur. Dans l’ensemble, Linux est le système d’exploitation de choix pour le cloud public, les serveurs et les supercalculateurs, et près de 75% des serveurs de production connectés à Internet fonctionnent sous Linux.

En plus d’alimenter Internet, Linux a trouvé son chemin dans le monde numérique et n’a pas diminué depuis. Il alimente une vaste gamme de gadgets intelligents, notamment des smartphones Android, des tablettes, des montres intelligentes, des écrans intelligents et bien d’autres.

Table des matières hide
1 Linux est-il sécurisé?
2 Conseils de renforcement des serveurs Linux
2.1 1. Mettez régulièrement à jour les progiciels
2.2 2. Supprimez les services / protocoles de communication hérités
2.3 3. Fermez les ports inutilisés sur le pare-feu
2.4 4. Protocole SSH sécurisé
2.5 5. Installez et activez Fail2ban
2.6 6. Appliquer la force du mot de passe à l’aide du module PAM
2.7 7. Installez un certificat SSL / TLS
2.8 8. Désactivez les protocoles de chiffrement faibles et les clés de chiffrement
2.8.1 Emballer
3 Si vous appréciez ce que nous faisons ici sur TecMint, vous devriez considérer:

Linux est-il sécurisé?

Linux est réputé pour sa sécurité de haut niveau et c’est l’une des raisons pour lesquelles il constitue un choix favori dans les environnements d’entreprise. Mais voici un fait, aucun système d’exploitation n’est sécurisé à 100%. De nombreux utilisateurs pensent que Linux est un système d’exploitation infaillible, ce qui est une fausse hypothèse. En fait, tout système d’exploitation avec une connexion Internet est susceptible de failles potentielles et d’attaques de logiciels malveillants.

Au cours de ses premières années, Linux avait une démographie centrée sur la technologie beaucoup plus petite et le risque de souffrir d’attaques de logiciels malveillants était faible. De nos jours, Linux alimente une grande partie d’Internet, ce qui a propulsé la croissance du paysage des menaces. La menace d’attaques de logiciels malveillants est plus réelle que jamais.

Un exemple parfait d’attaque de malware sur les systèmes Linux est le Rançongiciel Erebus, un logiciel malveillant de cryptage de fichiers qui a affecté près de 153 serveurs Linux de NAYANA, une société d’hébergement Web sud-coréenne.

Publicité

Pour cette raison, il est prudent de renforcer davantage le système d’exploitation pour lui donner la sécurité tant souhaitée pour protéger vos données.

Conseils de renforcement des serveurs Linux

Sécuriser votre serveur Linux n’est pas aussi compliqué que vous pourriez le penser. Nous avons compilé une liste des meilleures politiques de sécurité que vous devez mettre en œuvre pour renforcer la sécurité de votre système et maintenir l’intégrité des données.

1. Mettez régulièrement à jour les progiciels

Dans les premières étapes de la Violation d’Equifax, les pirates ont exploité une vulnérabilité largement connue – Apache Struts – sur le portail Web des plaintes des clients d’Equifax.

Apache Struts est un framework open-source pour créer des applications Web Java modernes et élégantes développées par la Fondation Apache. La Fondation a publié un correctif pour corriger la vulnérabilité le 7 mars 2017 et a publié une déclaration à cet effet.

Equifax a été informé de la vulnérabilité et conseillé de patcher son application, mais malheureusement, la vulnérabilité est restée non corrigée jusqu’en juillet de la même année, date à laquelle il était trop tard. Les attaquants ont pu accéder au réseau de l’entreprise et exfiltrer des millions d’enregistrements clients confidentiels à partir des bases de données. Au moment où Equifax a eu vent de ce qui se passait, deux mois s’étaient déjà écoulés.

Alors, que pouvons-nous en apprendre?

Les utilisateurs malveillants ou les pirates sonderont toujours votre serveur pour d’éventuelles vulnérabilités logicielles qu’ils peuvent ensuite exploiter pour violer votre système. Pour être prudent, mettez toujours à jour votre logiciel avec ses versions actuelles pour appliquer des correctifs à toutes les vulnérabilités existantes.

Si vous courez Ubuntu ou alors Systèmes basés sur Debian, la première étape consiste généralement à mettre à jour vos listes de packages ou référentiels comme indiqué.

$ sudo apt update

Pour rechercher tous les packages avec les mises à jour disponibles, exécutez la commande:

$ sudo apt list --upgradable

Mettez à niveau vos applications logicielles vers leurs versions actuelles, comme indiqué:

$ sudo apt upgrade

Vous pouvez concaténer ces deux en une seule commande, comme indiqué.

$ sudo apt update && sudo apt upgrade

Pour RHEL & CentOS mettez à niveau vos applications en exécutant la commande:

$ sudo dnf update ( CentOS 8 / RHEL 8 )
$ sudo yum update ( Earlier versions of RHEL & CentOS )

Une autre option viable consiste à activer les mises à jour de sécurité automatiques pour Ubuntu et aussi configurer les mises à jour automatiques pour CentOS / RHEL.

2. Supprimez les services / protocoles de communication hérités

Malgré sa prise en charge d’une myriade de protocoles distants, les services hérités tels que rlogin, telnet, TFTP et FTP peuvent poser d’énormes problèmes de sécurité pour votre système. Ce sont des protocoles anciens, obsolètes et non sécurisés dans lesquels les données sont envoyées en texte brut. Si ceux-ci existent, envisagez de les supprimer comme indiqué.

Pour les systèmes basés sur Ubuntu / Debian, exécutez:

$ sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server

Pour RHEL / CentOS-systèmes, exécutez:

$ sudo yum erase xinetd tftp-server telnet-server rsh-server ypserv

3. Fermez les ports inutilisés sur le pare-feu

Une fois que vous avez supprimé tous les services non sécurisés, il est important de scannez votre serveur pour les ports ouverts et fermez tous les ports inutilisés qui peuvent potentiellement être utilisés comme point d’entrée par des pirates.

Supposons que vous souhaitiez bloquer le port 7070 sur le Pare-feu UFW. La commande pour cela sera:

$ sudo ufw deny 7070/tcp

Rechargez ensuite le pare-feu pour que les modifications prennent effet.

$ sudo ufw reload

Pour Pare-feu, exécutez la commande:

$ sudo firewall-cmd --remove-port=7070/tcp  --permanent

Et n’oubliez pas de recharger le pare-feu.

$ sudo firewall-cmd --reload

Ensuite, vérifiez les règles de pare-feu comme indiqué:

$ sudo firewall-cmd --list-all

4. Protocole SSH sécurisé

Le protocole SSH est un protocole distant qui vous permet de vous connecter en toute sécurité aux appareils sur un réseau. Bien que cela soit considéré comme sécurisé, les paramètres par défaut ne sont pas suffisants et quelques ajustements supplémentaires sont nécessaires pour dissuader davantage les utilisateurs malveillants de violer votre système.

Nous avons un guide complet sur comment renforcer le protocole SSH. Voici les principaux points forts.

  • Configurez la connexion SSH sans mot de passe et activez l’authentification par clé privée / publique.
  • Désactivez la connexion racine distante SSH.
  • Désactivez les connexions SSH des utilisateurs avec des mots de passe vides.
  • Désactivez complètement l’authentification par mot de passe et respectez l’authentification par clé privée / publique SSH.
  • Limitez l’accès à des utilisateurs SSH spécifiques.
  • Configurez une limite pour les tentatives de mot de passe.

5. Installez et activez Fail2ban

Fail2ban est un système de prévention des intrusions open source qui protège votre serveur contre les attaques par force brute. Il protège votre système Linux en interdisant les adresses IP qui indiquent une activité malveillante telle que trop de tentatives de connexion. Prêt à l’emploi, il est livré avec des filtres pour les services populaires tels que le serveur Web Apache, vsftpd et SSH.

Nous avons un guide sur la façon de configurer Fail2ban pour renforcer davantage le SSH protocole.

6. Appliquer la force du mot de passe à l’aide du module PAM

La réutilisation de mots de passe ou l’utilisation de mots de passe faibles et simples compromet considérablement la sécurité de votre système. Vous appliquez une politique de mot de passe, utilisez pam_cracklib pour définir ou configurer les exigences de force de mot de passe.

En utilisant le Module PAM, vous pouvez définir la force du mot de passe en modifiant le /etc/pam.d/system-auth déposer. Par exemple, vous pouvez définir la complexité des mots de passe et empêcher la réutilisation des mots de passe.

7. Installez un certificat SSL / TLS

Si vous exploitez un site Web, assurez-vous toujours de sécuriser votre domaine à l’aide d’un Certificat SSL / TLS pour crypter les données échangées entre le navigateur des utilisateurs et le serveur Web.

8. Désactivez les protocoles de chiffrement faibles et les clés de chiffrement

Une fois que vous avez chiffré votre site, envisagez également de désactiver les protocoles de chiffrement faibles. Au moment de la rédaction de ce guide, le dernier protocole est TLS 1.3, qui est le protocole le plus courant et le plus utilisé. Les versions antérieures telles que TLS 1.0, TLS 1.2 et SSLv1 à SSLv3 ont été associées à des vulnérabilités connues.

[ You might also like: How to Enable TLS 1.3 in Apache and Nginx ]

Emballer

C’était un résumé de certaines des mesures que vous pouvez prendre pour assurer la sécurité des données et la confidentialité de votre système Linux.

Si vous appréciez ce que nous faisons ici sur TecMint, vous devriez considérer:

TecMint est le site communautaire à la croissance la plus rapide et le plus fiable pour tout type d’articles, de guides et de livres Linux sur le Web. Des millions de personnes visitent TecMint! pour rechercher ou parcourir les milliers d’articles publiés disponibles GRATUITEMENT à tous.

Si vous aimez ce que vous lisez, pensez à nous acheter un café (ou 2) en guise de remerciement.

Soutenez-Nous

Nous sommes reconnaissants pour votre soutien sans fin.

.

Rate this post
Publicité
Article précédentGoogle pousse soudainement une fonctionnalité Pixel peu connue et c’est merveilleux
Article suivantMarché du sirolimus: l’augmentation de l’incidence des maladies cibles entraînera une croissance sur le marché mondial
Avatar De Violette Laurent
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici