Comment sécuriser votre serveur Linux
La sécurité des serveurs décrit les logiciels, les outils et les processus utilisés pour protéger le serveur d’une entreprise contre les accès non autorisés et autres cybermenaces. Il s’agit d’une exigence clé pour la plupart des administrateurs système et des équipes de cybersécurité.
La sécurité Linux est considérée comme bonne, sur la base de la solide structure d’autorisations par défaut du système d’exploitation. Cependant, vous devez toujours adopter les meilleures pratiques pour que vos serveurs fonctionnent en toute sécurité et efficacement.
Que votre serveur Linux exécute Ubuntu, Debian ou une autre distribution, suivez ces étapes pour renforcer la configuration par défaut de votre serveur Linux.
1. Installez uniquement les packages requis
Vous ne devez installer que les packages dont votre entreprise a besoin pour exécuter afin de protéger la fonctionnalité de votre serveur.
Les distributions de serveur Linux sont livrées avec une variété de packages courants déjà installés, tels que adduser et base-passwd. Lors de l’installation, les utilisateurs peuvent choisir d’installer des packages supplémentaires, notamment un serveur Open SSH, un serveur DNS et un serveur d’impression.
Vous pouvez également ajouter d’autres packages via le système de gestion des packages par défaut. Les packages peuvent être extraits de référentiels officiels ou en ajoutant des PPA (archives de packages personnels), des référentiels créés par les utilisateurs de Linux, pour accéder à une plus large sélection de programmes.
Cependant, plus vous installez de packages, en particulier à partir de référentiels tiers, plus vous pourriez introduire de vulnérabilités dans le système. Gardez les packages installés à un minimum raisonnable et éliminez périodiquement ce qui n’est pas nécessaire.
2. Désactivez la connexion root
Les distributions Linux incluent un superutilisateur appelé « root » qui contient des autorisations administratives élevées. Garder la connexion root activée peut présenter un risque de sécurité et diminuer la sécurité des ressources cloud des petites entreprises hébergées sur le serveur, car les pirates peuvent exploiter ces informations d’identification pour accéder au serveur. Pour renforcer la sécurité de votre serveur, vous devez désactiver ce login.
Le processus de désactivation du compte root varie en fonction de la distribution de Linux que vous utilisez – vous devez d’abord créer un nouveau compte d’utilisateur et attribuer des autorisations élevées (sudo), de sorte que vous aurez toujours un moyen d’installer des packages et d’effectuer d’autres actions d’administration sur le serveur. Alternativement, vous pouvez attribuer ces autorisations à un utilisateur existant afin d’assurer une connexion sécurisée au serveur.
3. Configurer 2FA
L’authentification à deux facteurs (2FA) améliore considérablement la sécurité de l’accès des utilisateurs en exigeant un mot de passe et un deuxième jeton avant que les utilisateurs puissent se connecter au serveur.
Pour configurer 2FA sur un serveur Debian et des distributions dérivées de Debian, vous devez installer le paquet libpam-google-authenticator. Le package peut afficher un code QR ou produire un jeton secret qui peut être ajouté à un dispositif d’authentification logiciel, tel que Google Authenticator ou Authy.
2FA peut être utilisé conjointement avec SSH (Secure Shell) pour appliquer l’exigence d’un deuxième identifiant lors de la connexion au serveur. SSH est un protocole qui crée une connexion textuelle cryptée à un serveur distant. Ensemble, ces éléments rendent le serveur plus résistant à la force brute, aux tentatives de connexion non autorisées et peuvent améliorer la sécurité du cloud pour les petites entreprises.
4. Appliquez une bonne hygiène des mots de passe
Une bonne hygiène des mots de passe n’est pas seulement pertinente pour les utilisateurs qui se connectent à leurs ordinateurs personnels ou à leurs applications SaaS. Pour les serveurs, les administrateurs doivent également s’assurer que les utilisateurs utilisent des mots de passe suffisamment rigoureux. Cette pratique les rend beaucoup plus résistants aux attaques.
Appliquer une force cryptographique minimale
Les mots de passe utilisés par votre personnel doivent être au-dessus d’une certaine force cryptographique, par exemple, au moins 12 caractères, avec un mélange aléatoire de lettres, de chiffres et de symboles. Pour appliquer cela dans votre entreprise, envisagez de mettre en place un outil de gestion des mots de passe qui peut valider le niveau de sécurité d’un mot de passe ou en générer un d’une complexité suffisante.
Appliquer la rotation régulière des mots de passe
Assurez-vous que votre personnel met régulièrement à jour tous ses mots de passe pour les applications et les connexions, en particulier ceux avec un accès au serveur administratif.
La plupart des distributions Linux contiennent, par défaut, un utilitaire permettant de modifier les informations d’expiration et de vieillissement du mot de passe. Ce programme peut obliger l’utilisateur à réinitialiser son mot de passe à intervalles réguliers.
Les administrateurs peuvent forcer les utilisateurs à changer leur mot de passe après un certain nombre de jours, par exemple, en utilisant l’opérateur -W :
Change -W 10 daniel
Exécutée à partir d’autorisations élevées, cette commande obligera l’utilisateur « daniel » à changer son mot de passe après 10 jours.
5. Logiciel antivirus côté serveur
Alors que les ordinateurs Linux sont considérés comme relativement résistants aux virus, logiciels malveillants et autres formes de cyberattaques, tous les terminaux Linux, y compris les ordinateurs de bureau, doivent exécuter une protection antivirus. Les produits antivirus amélioreront les capacités défensives de tout serveur qu’il exécute.
L’antivirus pour serveur Linux de nouvelle génération d’Avast Business prend en charge le matériel 32 bits et 64 bits et propose une analyse à la demande lancée via une CLI.
6. Mettre à jour régulièrement ou automatiquement
Vous ne devez pas détenir d’anciens packages non corrigés, car ils introduisent des vulnérabilités critiques dans le système qui pourraient être exploitées par des cybercriminels. Pour éviter ce problème, assurez-vous que votre serveur, ou pool de serveurs, est mis à jour régulièrement.
De nombreuses distributions Linux, notamment Ubuntu, sont également mises à jour dans un cycle de distribution continu avec des versions à long terme (LTS) et à court terme. Vos équipes de sécurité doivent déterminer dès le départ si elles souhaitent exécuter des logiciels de pointe ou stables sur leurs machines, et configurer les politiques de mise à jour appropriées.
De plus, de nombreuses distributions Linux contiennent des outils pour appliquer des mises à jour automatisées. Le paquet de mises à jour sans surveillance disponible pour Debian, par exemple, interrogera les mises à jour à un intervalle fixe et les appliquera automatiquement en arrière-plan.
7. Activez un pare-feu
Chaque serveur Linux doit exécuter un pare-feu comme première ligne de défense contre les demandes de connexion non autorisées ou malveillantes. UFW (pare-feu simple) est un pare-feu Linux de base commun. Vous devez inspecter la politique de pare-feu pour vous assurer qu’elle est adaptée à l’environnement d’exploitation de votre entreprise.
De nos jours, les attaques par déni de service distribué (DDoS) représentent également une menace pour certains opérateurs. Les serveurs Linux accessibles sur Internet peuvent être placés derrière un service proxy pour inspecter et nettoyer le trafic entrant, offrant une protection DDoS.
8. Sauvegardez votre serveur
Il y a toujours des choses qui peuvent mal tourner en ce qui concerne les systèmes informatiques, et les packages peuvent créer des problèmes de dépendance et d’autres problèmes. Il est donc essentiel que vous conserviez la possibilité d’annuler les modifications apportées à votre serveur.
Une approche de sauvegarde robuste doit impliquer la création de deux copies, dont une hors site, pour chaque périphérique protégé. Des outils de restauration système plus simples sont disponibles pour les serveurs Linux qui peuvent aider à automatiser ce processus et permettre une reprise après sinistre (DR) plus rapide.
9. Gardez la sécurité à l’esprit
Linux peut être le meilleur serveur pour votre entreprise, car les distributions ont généralement une posture de sécurité automatiquement configurée. Cependant, pour augmenter considérablement vos défenses et minimiser les risques d’accès d’utilisateurs malveillants, vous devez renforcer votre serveur Linux en appliquant de bonnes pratiques. L’utilisation d’un outil antivirus côté serveur, tel qu’Avast Business Antivirus for Linux, doit toujours faire partie d’une politique de sécurité multicouche.
Leave a Reply