En parlant d'Ubuntu 10.04, édition serveur, quels outils / pratiques recommanderiez-vous pour sécuriser le serveur?
C'est un peu non spécifique, mais en général, vous devrez
Exécutez un pare-feu comme iptables ou ufw pour gérer la connexion aux ports ouverts.
Installez uniquement les logiciels dont vous avez besoin.
Exécutez uniquement les services essentiels au fonctionnement du serveur.
Gardez ce logiciel à jour avec tous les correctifs de sécurité.
Configurez de nouveaux utilisateurs avec le moins de privilèges dont ils ont besoin pour effectuer leurs tâches.
Exécutez denyhosts ou fail2ban pour vérifier les attaques par force brute.
Exécutez logwatch pour vous informer par e-mail de toute anomalie dans les fichiers journaux.
Vérifiez souvent dans vos journaux les activités suspectes.
Utilisez toujours sudo et utilisez des mots de passe forts.
Désactivez les chiffres faibles et moyens dans SSL pour apache, exim, proftpd, pigeonnier, etc.
Définissez les services pour écouter uniquement l'hôte local (le cas échéant).
Exécutez chkrootkit quotidiennement.
Exécutez clamscan aussi souvent que nécessaire pour rechercher les virus Windows (le cas échéant).
Soyez vigilant, connaissez votre serveur, sachez ce qu'il devrait faire et ce qu'il ne devrait pas faire.
Vous ne garderez les choses en sécurité qu'en vérifiant et en sécurisant constamment. Si vous ne savez pas ce que fait quelque chose, comment ou pourquoi, ou si quelque chose vous semble suspect, demandez simplement conseil aux autres.
Super réponse de Richard Holloway. Si vous recherchez un guide étape par étape spécifique, consultez le guide en 2 parties suivant de la bibliothèque Slicehost.
Je l'utilise presque partout lorsque je dois configurer une instance d'Ubuntu Server. Je suis sûr que vous l'aimeriez.
Une autre excellente source est la bibliothèque Linode à http://library.linode.com/
Consultez les articles aux deux endroits. Des tonnes d'informations y sont disponibles et vous serez armé de suffisamment de connaissances pour bien gérer votre serveur.
PS: En aucun cas, une bibliothèque ne peut se substituer aux capacités d'intuition, de perspicacité et de prise de décision d'un grand administrateur système.
Quelque chose que je ne vois pas mentionné est "utiliser 64 bits". Cela garantit que vous disposez, entre autres, des protections de mémoire NX.
la source
Trois choses que j'ai tendance à recommander sont:
Montez toutes les zones accessibles en écriture au niveau mondial (/ tmp, / var / tmp) en tant que `` noexec '': cela est en grande partie sans danger, sauf (au moment de l'écriture), sauf si vous choisissez de mettre à niveau votre système. Voir le bug # 572723 sur Launchpad pour plus de détails.
N'installez pas de compilateurs ou d'assembleurs à moins que cela ne soit absolument nécessaire: je pense que cela va de soi.
Commencez avec AppArmor: AppArmor peut être considéré comme une alternative à SELinux, et est une excellente fonctionnalité d'Ubuntu pour exécuter des applications sandbox pour garantir qu'elles n'ont pas plus d'accès que ce dont elles ont besoin. Je vous recommande de consulter le guide sur les forums si vous êtes intéressé. http://ubuntuforums.org/showthread.php?t=1008906
la source
la source
Si j'étais vous, j'examinerais iptables (pare-feu Linux standard) et verrais quels services sont en cours d'exécution. Fondamentalement, vous ne souhaitez exécuter que les services dont vous avez besoin, c'est-à-dire ne pas exécuter de serveur Web lorsque vous souhaitez simplement configurer un serveur de messagerie, et avoir uniquement les ports ouverts dont vous avez réellement besoin. Tout le reste devrait être verrouillé!
Guide d'iptables: https://help.ubuntu.com/community/IptablesHowTo
J'espère que cela t'aides!
ps Si vous avez besoin d'aide pour monter sur irc et frapper le canal # ubuntu-server sur freenode
la source
Pour les pare-feu, vous pouvez jeter un œil à Firestarter ou ufw avec gufw .
la source