Conseils de sécurité de base LFCA pour protéger le système Linux - Partie 17

Plus que jamais, nous vivons dans un monde où les organisations sont constamment bombardées par des infractions de sécurité motivées par l'acquisition de données très sensibles et confidentielles qui sont très précieuses et constituent une énorme récompense financière.

Il est assez surprenant que, malgré un risque élevé de souffrir d'une cyberattaque potentiellement dévastatrice, la plupart des entreprises ne sont pas bien préparées ou ne négligent simplement pas les drapeaux rouges, souvent avec des conséquences dévastatrices.

En 2016, Equifax a subi une violation de données catastrophique où des millions de dossiers clients hautement confidentiels ont été volés à la suite d'une série de touches de sécurité. Un rapport détaillé a indiqué que la violation était évitable si les bonnes mesures de sécurité avaient été mises en œuvre par l'équipe de sécurité à Equifax.

En fait, des mois avant la violation, Equifax a été averti d'une vulnérabilité potentielle dans leur portail Web qui compromettrait leur sécurité, mais malheureusement, l'avertissement est resté ignoré avec de graves conséquences. De nombreuses autres grandes entreprises ont été victimes d'attaques, qui continuent de croître en complexité à chaque moment qui passe.

Nous ne pouvons pas souligner suffisamment à quel point la sécurité de votre système Linux est cruciale. Vous n'êtes peut-être pas une institution financière de grande envergure qui est une cible potentielle pour les violations, mais cela ne signifie pas que vous devez baisser la garde.

La sécurité doit être en haut de votre esprit lors de la configuration de votre serveur Linux, surtout s'il sera connecté à Internet et accédé à distance. Avoir des compétences de sécurité de base est essentiel pour sauvegarder votre serveur Linux.

Dans ce guide, nous nous concentrons sur certaines des mesures de sécurité de base que vous pouvez prendre pour protéger votre système des intrus.

Cyber ​​Attack Vectors

Les intrus exploiteront une variété de techniques d'attaque pour accéder à votre serveur Linux. Avant de plonger dans certaines des mesures que vous pouvez prendre pour protéger votre système, exploitons certains des vecteurs d'attaque courants qu'un pirate peut utiliser pour infiltrer les systèmes.

1. Attaques de force brute

UN Force brute L'attaque est une attaque où le pirate utilise des essais et des erreurs pour deviner les informations d'identification de connexion de l'utilisateur. Habituellement, l'intrus utilisera des scripts automatisés pour gagner en continu jusqu'à ce que la bonne combinaison du nom d'utilisateur et du mot de passe soit obtenu. Ce type d'attaque est le plus efficace où des mots de passe faibles et facilement supposables sont utilisés.

2. Références faibles

Comme mentionné précédemment, références faibles comme des mots de passe courts et facilement devignables tels que Mot de passe1234 poser un risque potentiel pour votre système. Plus un mot de passe est plus court et moins complexe, plus les chances que votre système soit compromise.

3. Hameçonnage

Hameçonnage est une technique d'ingénierie sociale où l'attaquant envoie à la victime un e-mail qui semble provenir d'une institution légitime ou d'une personne que vous connaissez ou faites affaire avec.

Habituellement, l'e-mail contient des instructions qui incitent la victime à divulguer des informations sensibles ou peut contenir un lien qui les dirige vers un faux site qui se fait passer pour le site de l'entreprise. Une fois que la victime a tenté de se connecter, leurs informations d'identification sont capturées par l'attaquant.

4. Malware

Malware est abrégé pour les logiciels malveillants. Il englobe un large éventail d'applications néfastes telles que les virus, les chevaux de Troie, les vers et les ransomwares conçus pour se propager rapidement et maintenir l'otage du système de la victime en échange d'une rançon.

De telles attaques peuvent être débilitantes et peuvent paralyser les activités d'une organisation. Certains logiciels malveillants peuvent être injectés dans des documents tels que des images, des vidéos, des documents Word ou PowerPoint et emballés dans un e-mail de phishing.

5. Attaques de déni de service (DOS)

UN Dos L'attaque est une attaque qui limite ou affecte la disponibilité d'un serveur ou d'un système informatique. Le pirate inonde le serveur de trafic ou de paquets de ping qui rendent le serveur inaccessible aux utilisateurs pour des durées prolongées.

UN DDOS (Déni de service distribué) L'attaque est une sorte de DOS qui utilise plusieurs systèmes qui inondent une cible de trafic rendu non disponible.

6. Attaque d'injection SQL

Un acronyme pour Langage de requêtes structurées, SQL est une langue utilisée pour communiquer avec les bases de données. Il permet aux utilisateurs de créer, supprimer et mettre à jour des enregistrements dans la base de données. De nombreux serveurs stockent des données dans des bases de données relationnelles qui utilisent SQL pour interagir avec la base de données.

Une attaque d'injection SQL exploite une vulnérabilité SQL connue qui fait que le serveur divulgue les informations de base de données sensibles qu'elle n'aurait pas autrement en injectant le code SQL malveillant. Cela représente un risque énorme si la base de données stocke des informations personnellement identifiables telles que les numéros de carte de crédit, les numéros de sécurité sociale et les mots de passe.

7. Attaque d'homme au milieu

Généralement abrégé comme Mit, le Attaque de l'homme au milieu implique qu'un attaquant intercepte des informations entre deux points dans le but d'écouter ou de modifier le trafic entre les deux parties. L'objectif est d'espionner la victime, de corrompre les données ou de voler des informations sensibles.

Conseils de base pour sécuriser votre serveur Linux

Après avoir examiné les passerelles potentielles qu'un attaquant peut utiliser pour briser votre système, passons en revue certaines des mesures fondamentales que vous pouvez prendre pour protéger votre système.

1. Sécurité physique

On ne pense pas beaucoup à l'emplacement physique et à la sécurité de votre serveur, cependant, si vous voulez avoir votre serveur dans un environnement sur site, c'est généralement là que vous commencez.

Il est important de s'assurer que votre serveur est sécurisé en toute sécurité dans un centre de données avec une puissance de sauvegarde, une connectivité Internet redondante et un refroidissement suffisant. L'accès au centre de données doit être limité au personnel autorisé uniquement.

2. Mettez à jour vos référentiels et packages système

Une fois le serveur configuré, la première étape à franchir est de mettre à jour les référentiels et les packages de logiciels d'application comme suit. Mise à jour du package corrige toutes les lacunes qui pourraient se présenter dans les versions existantes des applications.

Pour Ubuntu / / Debian Distributions:

$ sudo apt Update -y $ sudo apt mise à niveau - 

Pour Rhel / / Centos Distributions:

$ sudo yum upgrade -y 

3. Activer un pare-feu

UN pare-feu est une demande qui filtre le trafic entrant et sortant. Vous devez installer un pare-feu robuste comme le pare-feu UFW et lui permettre d'autoriser uniquement les services requis et leurs ports correspondants.

Par exemple, vous pouvez l'installer sur Ubuntu Utilisation de la commande:

$ sudo apt install ufw 

Une fois installé, activez-le comme suit:

$ sudo ufw activer 

Pour permettre un service tel que Https, Exécutez la commande;

$ sudo ufw autoriser les https 

Alternativement, vous pouvez autoriser son port correspondant qui est 443.

$ sudo ufw autoriser 443 / TCP 

Puis recharger pour que les modifications prennent effet.

$ sudo ufw rechargement 

Pour vérifier l'état de votre pare-feu, y compris les services autorisés et les ports ouverts, exécutez

$ sudo ufw statut 

4. Éteignez tous les services / ports inutiles

De plus, envisagez d'éteindre les services et les ports inutilisés ou inutiles sur le pare-feu. Avoir plusieurs ports qui ne sont pas utilisés n'augmente que le paysage d'attaque.

5. Protocole SSH sécurisé

Les paramètres SSH par défaut ne sont pas sécurisés, et donc certains ajustements sont requis. Assurez-vous d'appliquer les paramètres suivants:

• Désactiver l'utilisateur racine à partir de la connexion à distance.
• Activer l'authentification SSH sans mot de passe à l'aide de clés publiques / privées SSH.

Pour le premier point, modifiez le / etc / ssh / sshd_config fichier et modifier les paramètres suivants pour apparaître comme indiqué.

Permutrootlogine no 

Une fois que vous avez désactivé l'utilisateur racine de la connexion à distance, créez un utilisateur régulier et attribuez des privilèges sudo. Par exemple.

$ Sudo AddUser Utilisateur $ sudo usermod -Ag Sudo Utilisateur 

Pour activer l'authentification sans mot de passe, rendez-vous d'abord vers un autre PC Linux - de préférence votre PC et générez une paire de clés SSH.

$ ssh-keygen 

Puis copiez la clé publique sur votre serveur

$ ssh-copy-id [e-mail protégé] 

Une fois connecté, assurez-vous de désactiver l'authentification du mot de passe en modifiant le / etc / ssh / sshd_config fichier et modification du paramètre affiché.

PasswordAuthentication Non 

Veillez à ne pas perdre votre clé privée SSH car c'est la seule avenue que vous pouvez utiliser pour vous connecter. Gardez-le en sécurité et de préférence le sauvegarder sur le nuage.

Enfin, redémarrez SSH pour effectuer les changements

$ sudo systemctl redémarrer sshd 

Résumé

Dans un monde avec des cyber-menaces en évolution, la sécurité devrait être une priorité élevée lorsque vous vous lancez dans la configuration de votre serveur Linux. Dans ce guide, nous avons mis en évidence certaines des mesures de sécurité de base que vous pouvez prendre pour fortifier votre serveur. Dans le sujet suivant, nous irons plus loin et examinerons les étapes supplémentaires que vous pouvez prendre pour durcir votre serveur.