LFCA - Conseils utiles pour sécuriser les données et Linux - Partie 18

Depuis sa sortie au début des années 90, Linux a remporté l'admiration de la communauté technologique grâce à sa stabilité, sa polyvalence, sa personnalisation et sa grande communauté de développeurs open source qui travaillent 24h / 24 pour fournir des corrections de bogues et des améliorations à la système opérateur. Dans l'ensemble, Linux est le système d'exploitation de choix pour le cloud public, les serveurs et les superordinateurs, et près de 75% des serveurs de production orientés Internet fonctionnent sur Linux.

En plus d'alimenter Internet, Linux a trouvé son chemin vers le monde numérique et n'a pas diminué depuis lors. Il alimente une vaste gamme de gadgets intelligents, notamment des smartphones Android, des tablettes, des montres intelligentes, des écrans intelligents et tant d'autres.

Linux est-il sécurisé?

Linux est réputé pour sa sécurité de haut niveau et c'est l'une des raisons pour lesquelles il fait un choix préféré dans les environnements d'entreprise. Mais voici un fait, aucun système d'exploitation n'est sécurisé à 100%. De nombreux utilisateurs pensent que Linux est un système d'exploitation infaillible, qui est une fausse hypothèse. En fait, tout système d'exploitation avec une connexion Internet est susceptible de violations potentielles et d'attaques de logiciels malveillants.

Au cours de ses premières années, Linux avait une démographie bien plus petite centrée sur la technologie et le risque de souffrir d'attaques de logiciels malveillants était éloigné. De nos jours, Linux alimente une énorme partie d'Internet, ce qui a propulsé la croissance du paysage des menaces. La menace des attaques de logiciels malveillants est plus réelle que jamais.

Un exemple parfait d'une attaque de logiciels malveillants sur les systèmes Linux est le Ransomware Erebus, Un logiciel malveillant inscripteur de fichiers qui a affecté près de 153 serveurs Linux de Nayana, une société d'hébergement Web sud-coréenne.

Pour cette raison, il est prudent de durcir davantage le système d'exploitation pour lui offrir la sécurité très désirée pour protéger vos données.

Conseils de durcissement du serveur Linux

La sécurisation de votre serveur Linux n'est pas aussi compliquée que vous pourriez le penser. Nous avons compilé une liste des meilleures politiques de sécurité que vous devez mettre en œuvre pour fortifier la sécurité de votre système et maintenir l'intégrité des données.

1. Mettre à jour régulièrement les packages logiciels

Dans les étapes initiales de la violation d'Equifax, les pirates ont exploité une vulnérabilité largement connue - Apache Struts - sur le portail Web des plaintes du client d'Equifax.

Apache Struts est un cadre open source pour créer des applications Web Java modernes et élégantes développées par la Fondation Apache. La Fondation a publié un correctif pour corriger la vulnérabilité le 7 mars 2017 et a publié une déclaration à cet effet.

Equifax a été informé de la vulnérabilité et a conseillé de corriger leur demande, mais malheureusement, la vulnérabilité est restée non corrigée jusqu'en juillet de la même année, à quel point il était trop tard. Les attaquants ont pu accéder au réseau de l'entreprise et exfiltrer des millions d'enregistrements clients confidentiels des bases de données. Au moment où Equifax a eu vent de ce qui se passait, deux mois s'étaient déjà écoulés.

Alors, que pouvons-nous apprendre de ça?

Les utilisateurs ou pirates malveillants sonderont toujours votre serveur pour d'éventuelles vulnérabilités logicielles qu'ils peuvent ensuite exploiter pour briser votre système. Pour être sûr, mettez toujours à jour votre logiciel vers ses versions actuelles pour appliquer des correctifs à toutes les vulnérabilités existantes.

Si vous courez Ubuntu ou les systèmes basés à Debian, la première étape consiste généralement à mettre à jour vos listes de packages ou vos référentiels comme indiqué.

$ sudo apt mise à jour 

Pour vérifier tous les packages avec les mises à jour disponibles, exécutez la commande:

$ sudo apt List - Opgradable 

La mise à niveau de vos applications logicielles vers leurs versions actuelles comme indiqué:

$ sudo apt mise à niveau 

Vous pouvez concaténer ces deux dans une commande comme indiqué.

$ sudo apt Update && sudo apt upgrade 

Pour Rhel & Centos Améliorez vos applications en exécutant la commande:

$ sudo dnf mise à jour (Centos 8 / Rhel 8) $ sudo yum Update (versions antérieures de Rhel & Centos) 

Une autre option viable consiste à activer les mises à jour automatiques de sécurité pour Ubuntu et à configurer également des mises à jour automatiques pour CentOS / RHEL.

2. Supprimer les services / protocoles de communication hérités

Malgré son soutien à une myriade de protocoles distants, les services hérités tels que Rlogin, Telnet, TFTP et FTP peuvent poser d'énormes problèmes de sécurité pour votre système. Ce sont des protocoles anciens, dépassés et insécurisés où les données sont envoyées en texte brut. Si ceux-ci existent, envisagez de les retirer comme indiqué.

Pour les systèmes basés sur Ubuntu / Debian, exécutez:

$ sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server 

Pour Rhel / / Centos-systèmes basés, exécuter:

$ sudo yum Erase Xinetd tftp-server telnet-server rsh-server ypserv 

3. Fermer les ports inutilisés sur le pare-feu

Une fois que vous avez supprimé tous les services non sécurisés, il est important de scanner votre serveur pour les ports ouverts et de fermer tous les ports inutilisés qui peuvent potentiellement être utilisés un point d'entrée par les pirates.

Supposons que vous souhaitiez bloquer le port 7070 Sur le pare-feu UFW. La commande pour cela sera:

$ sudo ufw nier 7070 / tcp 

Puis recharger le pare-feu pour que les changements prennent effet.

$ sudo ufw rechargement 

Pour Firewalld, exécutez la commande:

$ sudo Firewall-CMD --Remove-Port = 7070 / TCP - Permanent 

Et n'oubliez pas de recharger le pare-feu.

$ sudo Firewall-CMD - Reload 

Puis recouvrez les règles du pare-feu comme indiqué:

$ sudo Firewall-Cmd --list-all 

4. Protocole SSH sécurisé

Le protocole SSH est un protocole distant qui vous permet de vous connecter en toute sécurité aux appareils d'un réseau. Bien qu'il soit considéré comme sécurisé, les paramètres par défaut ne sont pas suffisants et certains ajustements supplémentaires sont nécessaires pour dissuader encore les utilisateurs malveillants de violer votre système.

Nous avons un guide complet sur la façon de durcir le protocole SSH. Voici les principaux points forts.

• Configurer la connexion SSH sans mot de passe et activer l'authentification de la clé privée / publique.
• Désactiver la connexion à la racine distante SSH.
• Désactiver les connexions SSH des utilisateurs avec des mots de passe vides.
• Désactiver complètement l'authentification du mot de passe et respecter l'authentification des clés privées / publiques SSH.
• Limiter l'accès à des utilisateurs SSH spécifiques.
• Configurer une limite pour les tentatives de mot de passe.

5. Installer et activer Fail2ban

Fail2ban est un système de prévention des intrusions open source qui protége votre serveur à partir d'attaques Bruteforce. Il protège votre système Linux en interdisant les IP qui indiquent une activité malveillante, comme trop de tentatives de connexion. Hors de la boîte, il est expédié avec des filtres pour des services populaires tels que Apache Webserver, VSFTPD et SSH.

Nous avons un guide sur la façon de configurer Fail2Ban pour fortifier davantage le protocole SSH.

6. Appliquer la force du mot de passe à l'aide du module PAM

La réutilisation de mots de passe ou l'utilisation de mots de passe faibles et simples sape considérablement la sécurité de votre système. Vous appliquez une stratégie de mot de passe, utilisez le PAM_CRACKLIB pour définir ou configurer les exigences de force du mot de passe.

À l'aide du module PAM, vous pouvez définir la force du mot de passe en modifiant le / etc / pam.D / System-Auth déposer. Par exemple, vous pouvez définir la complexité des mots de passe et empêcher la réutilisation des mots de passe.

7. Installez un certificat SSL / TLS

Si vous exécutez un site Web, assurez-vous toujours de sécuriser votre domaine à l'aide d'un certificat SSL / TLS pour crypter les données échangées entre le navigateur des utilisateurs et le serveur Web.

8. Désactiver les protocoles de chiffrement faibles et les clés de chiffrement

Une fois que vous avez crypté votre site, envisagez également de désactiver les protocoles de chiffrement faibles. Au moment de la rédaction de ce guide, le dernier protocole est TLS 1.3, qui est le protocole le plus courant et le plus utilisé. Des versions antérieures telles que TLS 1.0, TLS 1.2, et SSLV1 à SSLV3 ont été associés à des vulnérabilités connues.

[Vous pourriez également aimer: comment activer TLS 1.3 dans Apache et Nginx]

Emballer

C'était un résumé de certaines des mesures que vous pouvez prendre pour assurer la sécurité des données et la confidentialité de votre système Linux.