La cybercriminalité est l’une des plus grandes menaces pour les entreprises et les particuliers du monde entier. Un incident de quelques secondes peut avoir un impact très néfaste. Nous devons tous lutter contre ces menaces.
De l’utilisation des applications à l’apprentissage et à la mise en oeuvre des meilleures pratiques, chacune de nos actions peut contribuer à réduire nos risques. En comprenant les risques auxquels nous sommes exposés et comment s’en prémunir, nous contribuons à faire d’internet un endroit plus sûr.
C’est pourquoi dans cet article, je vous propose quelques bonnes pratique afin de sécuriser votre serveur.
Sans plus attendre, voici les 6 commandements (10…6 c’est presque pareil non ? 😜)
Mettre à jour ton système tu devras
Les développeurs des distributions effectuent de nombreuses mises à jour des paquets, très souvent pour des raisons de sécurité. Le maintien à jour de votre distribution est donc un point capital pour sécuriser votre VPS.
Pour cela vous pouvez faire la commande suivante :
apt update && apt upgrade -yAfin de réaliser les mises à jour automatiquement il est possible de mettre en place une tâche planifiée à l’aide de cron :
crontab -e
0 3 * * 0 apt update && apt upgrade -yDans cet exemple les mises à jour seront effectuées tous les dimanches à trois heures du matin.
Le port d’écoute du service SSH tu changeras
Il est défini sur le port 22 par défaut. Par conséquent, les tentatives de piratage de serveurs par des robots cibleront ce port. La modification de ce paramètre à l’aide d’un autre port est une mesure simple pour renforcer la protection de votre serveur contre les attaques automatisées.
Voici la commande pour modifier le fichier de configuration du service :
vim /etc/ssh/sshd_config
# Changer la ligne Port 22 en Port 2222 pas exemple
# Redemarrer le service ssh
/etc/init.d/ssh restartLa commande pour la connection au VPS sera désormais :
ssh username@IP -p 2222Le mot de passe root tu changeras
Cette étape concerne essentiellement les personnes ayant louer un serveur dédié ou un VPS chez un hébergeur.
Pour changer ce dernier voici la commande à effectuer :
passwd rootUn utilisateur avec des droits restreint tu créeras
En général, les tâches qui ne nécessitent pas de privilèges root doivent être effectuées via un utilisateur standard, cela offre un niveau de sécurité supérieur en cas de compromission d’un utilisateur.
Voici la commande pour la création de ce dernier :
adduser usernamePlusieurs informations vous seront demandées.
Lorsque vous allez taper votre mot de passe si celui ne s’affiche pas, pas de panique c’est pour des raisons de sécurité. 😜
Pour effectuer des tâches nécessitant plus de droits il faudra alors passer root avec la commande ci-dessous :
su -Puis entrer le mot de passe root.
La connection SSH avec l’utilisateur root tu désactiveras
Cette étape est très importante. Comme je l’ai expliqué plus haut dans l’article, le service SSH est un des vecteurs d’attaques les plus répandu. Alors laisser la possibilité à un attaquant se connecté d’emblée avec les droit super utilisateur n’est pas du tout recommander. Pour pallier à cela il faut éditer le fichier de configuration ssh et refuser la connexion ssh en tant que root en changeant la directive suivante :
vim /etc/ssh/sshd_config
# Changer la ligne PermitRootLogin yes à PermitRootLogin noPuis un redémarrage du service ssh devra être effectué :
/etc/init.d/ssh restartMettre en place des règles de sécurité tu devras
Cela consiste à mettre en place des règles réseau via Iptables par exemple. Ce je recommande également l’outil fail2ban qui va empêcher les attaques de type brute force. Pour se prémunir des Scans de port PortSentry sera votre meilleur ami. 😜
Il est possible d’automatiser cette étape. J’ai réalisé un role ansible permettant d’automatiser l’installation et la configuration les règles firewall, fail2ban et portsentry.
Au préalable, sur votre machine (pas le VPS) il vous faudra installer ansible et git puis cloner le role ansible.
git clone https://gitlab.com/Gribhb/ansible-security-serv.git && cd /ansible-security-servIl est tout à fait possible de faire cette étape manuellement (mais bon… pour moi la question elle est vite répondue…)
Conclusion
Ces quelques règles vous permettrons de vous prémunir de la plupart des attaques. Cependant la sécurité informatique est un travail de tous les jours. Tous les jours de nouvelles vulnérabilités sont découvertes et exploitées. C’est pourquoi il faut constamment resté informer, tenir vos applications et serveur à jour et appliquer les patchs de sécurité. 😉
En espérant que cet article vous aura été utile. Si vous avez des remarques ou des questions n’hésitez pas à me contacter. (Promis je me mord pas!!)
Comments are closed.