16 octobre 2021

Sécuriser un serveur Linux

Comment sécuriser un serveur en 5 étapes plutôt simples mais qui empêcheront les attaques les plus courantes.
N’oubliez pas que les sauvegardes seront votre seul rempart en cas d’attaque. Rien ne vous protège à 100%

ETAPE 1 – Mises à jours automatiques

MAJ Manuelle :

apt update
apt dist-upgrade

MAJ Automatique :

apt install unattended-upgrades
dpkg-reconfigure --priority=low unattended-upgrades

ETAPE 2 – Créer un compte utilisateur limité


Créé un utilisateur :

adduser {username}

L’ajouter au groupe sudo :

usermod -aG sudo {username}

ETAPE 3 – Ne plus utiliser de mot de passe pour accéder au serveur


Créer un répertoire pour stocker la clé publique sur le serveur

mkdir ~/.ssh && chmod 700 ~/.ssh

Créer la paire de clé sur son PC

ssh-keygen -b 4096

Transférer la clé publique sur le serveur Linux

Windows (Powershell)

scp $env:USERPROFILE/.ssh/id_rsa.pub {username}@{server ip}:~/.ssh/authorized_keys

MAC

scp ~/.ssh/id_rsa.pub {username}@{server ip}:~/.ssh/authorized_keys

LINUX

ssh-copy-id {username}@{server ip}

ETAPE 4 – Désactiver le login via SSH


Editer le fichier de config SSH

sudo nano /etc/ssh/sshd_config

  • Port XXX
  • AddressFamily inet
  • PermitRootLogin no
  • PasswordAuthentication no

sudo systemctl restart sshd

ETAPE 5 – ACTIVER LE FIREWALL

Voir les ports ouverts

sudo ss -tupln


Installer UFW

apt install ufw

Voir le statut UFW

sudo ufw status

Autoriser un port sur le firewall

sudo ufw allow {port number}

Activer le Firewall

sudo ufw enable

Recharger le Firewall

sudo ufw reload

Rejeter les requetes ping

Editer le fichier de config UFW

sudo nano /etc/ufw/before.rules

Ajouter cette ligne :

-A ufw-before-input -p icmp --icmp-type echo-request -j DROP

ETAPE 6 – Redémarrer le serveur pour activer complètement le firewall

sudo reboot

%d blogueurs aiment cette page :