Depuis sa sortie au début des années 90, Linux a remporté l'admiration de la communauté technologique grace à sa stabilité, sa polyvalence, sa personnalisation et sa grande communauté de développeurs open source qui travaillent 24h / 24 pour fournir des corrections de bogues et des améliorations au système d'exploitation. Dans l'ensemble, Linux est le système d'exploitation de choix pour le cloud public, les serveurs et les superordinateurs, et près de 75% des serveurs de production orientés Internet fonctionnent sur Linux.

En plus d'alimenter Internet, Linux a trouvé son chemin vers le monde numérique et n'a pas diminué depuis lors. Il alimente une vaste gamme de gadgets intelligents, y compris les smartphones Android, les tablettes, les montres intelligentes, les écrans intelligents et bien d'autres.

Linux est-il sécurisé?

Linux est réputé pour sa sécurité de haut niveau et c'est l'une des raisons pour lesquelles il fait un choix préféré dans les environnements d'entreprise. Mais voici un fait, aucun système d'exploitation n'est sécurisé à 100%. De nombreux utilisateurs croient que Linux est un système d'exploitation infaillible, qui est une fausse hypothèse. En fait, tout système d'exploitation avec une connexion Internet est sensible aux violations potentielles et aux attaques de logiciels malveillants.

Au cours de ses premières années, Linux avait une démographie bien plus petite centrée sur la technologie et le risque de souffrir d'attaques de logiciels malveillants était éloigné. De nos jours, Linux alimente une énorme partie d'Internet, ce qui a propulsé la croissance du paysage des menaces. La menace des attaques de logiciels malveillants est plus réelle que jamais.

Un exemple parfait d'une attaque de logiciels malveillants sur les systèmes Linux est le ransomware Erebus , un logiciel malveillant qui a atteint des fichiers qui a affecté près de 153 serveurs Linux de Nayana, une société d'hébergement Web sud-coréenne.

Pour cette raison, il est prudent de durcir davantage le système d'exploitation pour lui offrir la sécurité très désirée pour protéger vos données.

Conseils de durcissement du serveur Linux

La sécurisation de votre serveur Linux n'est pas aussi compliquée que vous pourriez le penser. Nous avons compilé une liste des meilleures politiques de sécurité que vous devez mettre en ?uvre pour fortifier la sécurité de votre système et maintenir l'intégrité des données.

1. Mettre à jour régulièrement les packages logiciels

Dans les étapes initiales de la violation d'Equifax, les pirates ont exploité une vulnérabilité largement connue - Apache Struts - sur le portail Web de la plainte client d'Equifax.

Apache Struts est un cadre open source pour créer des applications Web Java modernes et élégantes développées par la Fondation Apache. La fondation a publié un correctif pour corriger la vulnérabilité le 7 mars 2017 et a publié une déclaration à cet effet.

Equifax a été informé de la vulnérabilité et a conseillé de corriger leur application, mais malheureusement, la vulnérabilité est restée non corrigée jusqu'en juillet de la même année, à quel point il était trop tard. Les attaquants ont pu accéder au réseau de l'entreprise et exfiltrer des millions d'enregistrements clients confidentiels à partir des bases de données. Au moment où Equifax a eu vent de ce qui se passait, deux mois s'étaient déjà écoulés.

Alors, que pouvons-nous en apprendre?

Les utilisateurs ou pirates malveillants sonderont toujours votre serveur pour d'éventuelles vulnérabilités logicielles qu'ils peuvent ensuite exploiter pour violer votre système. Pour être s?r, mettez toujours à jour votre logiciel vers ses versions actuelles pour appliquer des correctifs à toutes les vulnérabilités existantes.

Si vous exécutez des systèmes basés sur Ubuntu ou Debian, la première étape consiste généralement à mettre à jour vos listes de packages ou vos référentiels comme indiqué.

 $ sudo apt mise à jour

Pour vérifier tous les packages avec les mises à jour disponibles, exécutez la commande:

 $ sudo apt List - Opgradable

La mise à niveau de vos applications logicielles vers leurs versions actuelles comme indiqué:

 $ sudo apt mise à niveau

Vous pouvez concaténer ces deux dans une commande comme indiqué.

 $ sudo apt Update && sudo apt upgrade

Pour RHEL & CENTOS, améliorez vos applications en exécutant la commande:

 $ sudo dnf mise à jour (Centos 8 / Rhel 8)
$ sudo yum Update (versions antérieures de Rhel & Centos)

Une autre option viable consiste à activer les mises à jour de sécurité automatiques pour Ubuntu et à configurer également les mises à jour automatiques pour CentOS / RHEL.

2. Supprimer les services / protocoles de communication hérités

Malgré son soutien à une myriade de protocoles distants, les services hérités tels que Rlogin, Telnet, TFTP et FTP peuvent poser d'énormes problèmes de sécurité pour votre système. Ce sont des protocoles anciens, obsolètes et non sécurisés où les données sont envoyées en texte brut. Si ceux-ci existent, envisagez de les retirer comme indiqué.

Pour les systèmes basés sur Ubuntu / Debian, exécutez:

 $ sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server

Pour les systèmes basés sur RHEL / CENTOS , exécutez:

 $ sudo yum Erase Xinetd tftp-server telnet-server rsh-server ypserv

3. Fermer les ports inutilisés sur le pare-feu

Une fois que vous avez supprimé tous les services non sécurisés, il est important de scanner votre serveur pour les ports ouverts et de fermer tous les ports inutilisés qui peuvent potentiellement être utilisés un point d'entrée par les pirates.

Supposons que vous souhaitiez bloquer le port 7070 sur le pare-feu UFW. La commande pour cela sera:

 $ sudo ufw nier 7070 / tcp

Recharger ensuite le pare-feu pour que les changements prennent effet.

 $ sudo ufw rechargement

Pour Firewalld, exécutez la commande:

 $ sudo Firewall-CMD --Remove-Port = 7070 / TCP - Permanent

Et n'oubliez pas de recharger le pare-feu.

 $ sudo Firewall-CMD - Reload

Puis recouvrez les règles du pare-feu comme indiqué:

 $ sudo Firewall-Cmd --list-all

4. Protocole SSH sécurisé

Le protocole SSH est un protocole distant qui vous permet de vous connecter en toute sécurité aux appareils d'un réseau. Bien qu'il soit considéré comme sécurisé, les paramètres par défaut ne sont pas suffisants et certains ajustements supplémentaires sont nécessaires pour dissuader davantage les utilisateurs malveillants de violer votre système.

Nous avons un guide complet sur la fa?on de durcir le protocole SSH. Voici les principaux points forts.

• Configurez la connexion SSH sans mot de passe et activez l'authentification des clés privées / publiques.
• Désactivez la connexion à la racine distante SSH.
• Désactivez les connexions SSH des utilisateurs avec des mots de passe vides.
• Désactivez complètement l'authentification du mot de passe et respectez l'authentification SSH Private / Public Key.
• Limitez l'accès à des utilisateurs SSH spécifiques.
• Configurez une limite pour les tentatives de mot de passe.

5. Installer et activer Fail2ban

Fail2ban est un système de prévention des intrusions open source qui protége votre serveur à partir des attaques BruteForce. Il protège votre système Linux en interdisant les IP qui indiquent une activité malveillante telle que trop de tentatives de connexion. Hors de la bo?te, il est expédié avec des filtres pour des services populaires tels que Apache Webserver, VSFTPD et SSH.

Nous avons un guide sur la fa?on de configurer Fail2Ban pour fortifier davantage le protocole SSH.

6. Appliquer la force du mot de passe à l'aide du module PAM

La réutilisation de mots de passe ou l'utilisation de mots de passe faibles et simples sape considérablement la sécurité de votre système. Vous appliquez une stratégie de mot de passe, utilisez le PAM_CRACKLIB pour définir ou configurer les exigences de force du mot de passe.

à l'aide du module PAM, vous pouvez définir la force du mot de passe en modifiant le fichier /etc/pam.d/system-uth . Par exemple, vous pouvez définir la complexité des mots de passe et empêcher la réutilisation des mots de passe.

7. Installez un certificat SSL / TLS

Si vous exécutez un site Web, assurez-vous toujours de sécuriser votre domaine à l'aide d'un certificat SSL / TLS pour crypter les données échangées entre le navigateur des utilisateurs et le serveur Web.

8. Désactiver les protocoles de chiffrement faibles et les clés de chiffrement

Une fois que vous avez crypté votre site, envisagez également de désactiver les protocoles de chiffrement faibles. Au moment de la rédaction de ce guide, le dernier protocole est TLS 1.3 , qui est le protocole le plus courant et le plus utilisé. Des versions antérieures telles que TLS 1.0, TLS 1.2 et SSLV1 à SSLV3 ont été associées à des vulnérabilités connues.

[Vous pourriez également aimer: comment activer TLS 1.3 dans Apache et Nginx]

Emballage

C'était un résumé de certaines des étapes que vous pouvez prendre pour assurer la sécurité des données et la confidentialité de votre système Linux.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!