Comment sécuriser un serveur en 5 étapes plutôt simples mais qui empêcheront les attaques les plus courantes.
N’oubliez pas que les sauvegardes seront votre seul rempart en cas d’attaque. Rien ne vous protège à 100%
ETAPE 1 – Mises à jours automatiques
MAJ Manuelle :
apt update
apt dist-upgrade
MAJ Automatique :
apt install unattended-upgrades
dpkg-reconfigure --priority=low unattended-upgrades
ETAPE 2 – Créer un compte utilisateur limité
Créé un utilisateur :
adduser {username}
L’ajouter au groupe sudo :
usermod -aG sudo {username}
ETAPE 3 – Ne plus utiliser de mot de passe pour accéder au serveur
Créer un répertoire pour stocker la clé publique sur le serveur
mkdir ~/.ssh && chmod 700 ~/.ssh
Créer la paire de clé sur son PC
ssh-keygen -b 4096
Transférer la clé publique sur le serveur Linux
Windows (Powershell)
scp $env:USERPROFILE/.ssh/id_rsa.pub {username}@{server ip}:~/.ssh/authorized_keys
MAC
scp ~/.ssh/id_rsa.pub {username}@{server ip}:~/.ssh/authorized_keys
LINUX
ssh-copy-id {username}@{server ip}
ETAPE 4 – Désactiver le login via SSH
Editer le fichier de config SSH
sudo nano /etc/ssh/sshd_config
- Port XXX
- AddressFamily inet
- PermitRootLogin no
- PasswordAuthentication no
sudo systemctl restart sshd
ETAPE 5 – ACTIVER LE FIREWALL
Voir les ports ouverts
sudo ss -tupln
Installer UFW
apt install ufw
Voir le statut UFW
sudo ufw status
Autoriser un port sur le firewall
sudo ufw allow {port number}
Activer le Firewall
sudo ufw enable
Recharger le Firewall
sudo ufw reload
Rejeter les requetes ping
Editer le fichier de config UFW
sudo nano /etc/ufw/before.rules
Ajouter cette ligne :
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP
ETAPE 6 – Redémarrer le serveur pour activer complètement le firewall
sudo reboot