Comment sécuriser un serveur? [fermé]

22

En parlant d'Ubuntu 10.04, édition serveur, quels outils / pratiques recommanderiez-vous pour sécuriser le serveur?

Grant Palin
la source

Réponses:

25

C'est un peu non spécifique, mais en général, vous devrez

  • Exécutez un pare-feu comme iptables ou ufw pour gérer la connexion aux ports ouverts.

  • Installez uniquement les logiciels dont vous avez besoin.

  • Exécutez uniquement les services essentiels au fonctionnement du serveur.

  • Gardez ce logiciel à jour avec tous les correctifs de sécurité.

  • Configurez de nouveaux utilisateurs avec le moins de privilèges dont ils ont besoin pour effectuer leurs tâches.

  • Exécutez denyhosts ou fail2ban pour vérifier les attaques par force brute.

  • Exécutez logwatch pour vous informer par e-mail de toute anomalie dans les fichiers journaux.

  • Vérifiez souvent dans vos journaux les activités suspectes.

  • Utilisez toujours sudo et utilisez des mots de passe forts.

  • Désactivez les chiffres faibles et moyens dans SSL pour apache, exim, proftpd, pigeonnier, etc.

  • Définissez les services pour écouter uniquement l'hôte local (le cas échéant).

  • Exécutez chkrootkit quotidiennement.

  • Exécutez clamscan aussi souvent que nécessaire pour rechercher les virus Windows (le cas échéant).

  • Soyez vigilant, connaissez votre serveur, sachez ce qu'il devrait faire et ce qu'il ne devrait pas faire.

Vous ne garderez les choses en sécurité qu'en vérifiant et en sécurisant constamment. Si vous ne savez pas ce que fait quelque chose, comment ou pourquoi, ou si quelque chose vous semble suspect, demandez simplement conseil aux autres.

Richard Holloway
la source
9

Super réponse de Richard Holloway. Si vous recherchez un guide étape par étape spécifique, consultez le guide en 2 parties suivant de la bibliothèque Slicehost.

  1. http://articles.slicehost.com/2010/4/30/ubuntu-lucid-setup-part-1
  2. http://articles.slicehost.com/2010/4/30/ubuntu-lucid-setup-part-2

Je l'utilise presque partout lorsque je dois configurer une instance d'Ubuntu Server. Je suis sûr que vous l'aimeriez.

Une autre excellente source est la bibliothèque Linode à http://library.linode.com/

Consultez les articles aux deux endroits. Des tonnes d'informations y sont disponibles et vous serez armé de suffisamment de connaissances pour bien gérer votre serveur.

PS: En aucun cas, une bibliothèque ne peut se substituer aux capacités d'intuition, de perspicacité et de prise de décision d'un grand administrateur système.

Mir Nazim
la source
Toujours heureux de vous aider
Mir Nazim
"Réponse impressionnante de Richard Holloway ..." - Merci mec. Je peux voir que nous deviendrons de grands amis.
Richard Holloway
2

Quelque chose que je ne vois pas mentionné est "utiliser 64 bits". Cela garantit que vous disposez, entre autres, des protections de mémoire NX.

Kees Cook
la source
Et vous obtenez également des exploits root locaux si vous utilisez le mode de compatibilité 32 bits.
vh1
Seulement si vous ne restez pas à jour sur les mises à jour de sécurité du noyau. :)
Kees Cook
1

Trois choses que j'ai tendance à recommander sont:

  • Montez toutes les zones accessibles en écriture au niveau mondial (/ tmp, / var / tmp) en tant que `` noexec '': cela est en grande partie sans danger, sauf (au moment de l'écriture), sauf si vous choisissez de mettre à niveau votre système. Voir le bug # 572723 sur Launchpad pour plus de détails.

  • N'installez pas de compilateurs ou d'assembleurs à moins que cela ne soit absolument nécessaire: je pense que cela va de soi.

  • Commencez avec AppArmor: AppArmor peut être considéré comme une alternative à SELinux, et est une excellente fonctionnalité d'Ubuntu pour exécuter des applications sandbox pour garantir qu'elles n'ont pas plus d'accès que ce dont elles ont besoin. Je vous recommande de consulter le guide sur les forums si vous êtes intéressé. http://ubuntuforums.org/showthread.php?t=1008906

ibuclaw
la source
1
  • Installez et configurez iptables avec un ensemble de règles approprié pour votre environnement. Filtrage du trafic entrant et sortant.
  • psad pour détecter et alerter sur les analyses de port sur votre système.
  • Utilisez fail2ban pour empêcher les tentatives de connexion par force brute contre SSH.
  • Interdisez l'accès à distance en utilisant le compte root, car cela signifie entre autres que si un attaquant tente de forcer l'accès brutal à votre serveur, il doit s'entraîner à la fois avec le nom d'utilisateur et le mot de passe.
  • Utilisez des mots de passe forts pour tous les comptes d'utilisateurs.
  • Limitez si possible l'accès SSH à certaines adresses IP uniquement.
  • Utilisez Tripwire d'un autre système de détection d'intrusion basé sur l'hôte.
  • Surveillez le serveur avec un programme de surveillance réseau comme nagios.
Mark Davidson
la source
0

Si j'étais vous, j'examinerais iptables (pare-feu Linux standard) et verrais quels services sont en cours d'exécution. Fondamentalement, vous ne souhaitez exécuter que les services dont vous avez besoin, c'est-à-dire ne pas exécuter de serveur Web lorsque vous souhaitez simplement configurer un serveur de messagerie, et avoir uniquement les ports ouverts dont vous avez réellement besoin. Tout le reste devrait être verrouillé!

Guide d'iptables: https://help.ubuntu.com/community/IptablesHowTo

J'espère que cela t'aides!

ps Si vous avez besoin d'aide pour monter sur irc et frapper le canal # ubuntu-server sur freenode


la source