Comment sécuriser votre serveur Linux

Avast Business Team 13 avr. 2021

Apprenez à sécuriser votre serveur Linux et à protéger vos données contre les pirates informatiques.

La sécurité des serveurs décrit les logiciels, outils et processus utilisés pour protéger le serveur d'une entreprise contre les accès non autorisés et autres cybermenaces. Il s'agit d'une exigence clé pour la plupart des administrateurs système et des équipes de cybersécurité.

La sécurité de Linux est considérée comme bonne, grâce à la solide structure de permissions par défaut du système d'exploitation. Vous devez néanmoins adopter les meilleures pratiques pour que vos serveurs fonctionnent de manière sûre et efficace.

Que votre serveur Linux fonctionne sous Ubuntu, Debian ou une autre distribution, suivez ces étapes pour renforcer la configuration par défaut de votre serveur Linux.


1. N'installez que les paquets nécessaires

Vous ne devez installer que les paquets dont votre entreprise a besoin pour protéger la fonctionnalité de votre serveur.

Les distributions de serveurs Linux sont fournies avec une variété de paquets courants déjà installés, tels que adduser et base-passwd. Pendant l'installation, les utilisateurs peuvent choisir d'installer des paquets supplémentaires, notamment un serveur Open SSH, un serveur DNS, une pile LAMP et un serveur d'impression.

Vous pouvez également ajouter d'autres paquets via le système de gestion des paquets par défaut. Les paquets peuvent être tirés des dépôts officiels ou en ajoutant des PPA (Personal Package Archives), des dépôts créés par les utilisateurs de Linux, pour avoir accès à une plus grande sélection de programmes.

Toutefois, plus vous installez de paquets, notamment à partir de dépôts tiers, plus vous risquez d'introduire des vulnérabilités dans le système. Maintenez les paquets installés à un minimum raisonnable et éliminez périodiquement ce qui n'est pas nécessaire.


2. Désactivez le login root

Les distributions Linux comprennent un superutilisateur appelé « root » qui dispose de droits d'administration élevés. Le maintien de la connexion root peut présenter un risque pour la sécurité et diminuer la sécurité des ressources cloud des petites entreprises hébergées sur le serveur, car les pirates peuvent exploiter cet identifiant pour accéder au serveur. Pour renforcer la sécurité de votre serveur, vous devez désactiver cette connexion.

Le processus de désactivation du compte racine varie en fonction de la distribution de Linux que vous utilisez. Vous devez d'abord créer un nouveau compte utilisateur et lui attribuer des droits élevés (sudo), afin de pouvoir installer des paquets et effectuer d'autres actions d'administration sur le serveur. Vous pouvez également attribuer ces autorisations à un utilisateur existant afin d'assurer une connexion sécurisée au serveur.


3. Configurez une MFA

L'authentification à deux facteurs (MFA) améliore considérablement la sécurité de l'accès des utilisateurs en exigeant un mot de passe et un second jeton avant que les utilisateurs puissent se connecter au serveur.

Pour configurer MFA sur un serveur Debian et les distributions dérivées de Debian, vous devez installer le paquet libpam-google-authenticator. Ce paquet peut afficher un code QR ou produire un jeton secret qui peut être ajouté à un dispositif d'authentification logiciel, tel que Google Authenticator ou Authy.

Le système MFA peut être utilisé en conjonction avec le protocole SSH (Secure Shell) pour imposer l'utilisation d'un deuxième justificatif d'identité lors de la connexion au serveur. SSH est un protocole qui crée une connexion cryptée, en mode texte, à un serveur distant. Ensemble, ces éléments rendent le serveur plus résistant aux tentatives de connexion non autorisées par force brute et peuvent améliorer la sécurité du cloud pour les petites entreprises.


4. Gérez les mots de passe

Une bonne hygiène des mots de passe ne concerne pas seulement les utilisateurs qui se connectent à leurs ordinateurs personnels ou aux applications SaaS. Pour les serveurs, les administrateurs doivent également s'assurer que les utilisateurs utilisent des mots de passe suffisamment rigoureux. Cette pratique les rend beaucoup plus résistants aux attaques.

Imposer une force cryptographique minimale
Les mots de passe utilisés par votre personnel doivent être supérieurs à une certaine force cryptographique, par exemple, au moins 12 caractères, avec un mélange aléatoire de lettres, de chiffres et de symboles. Pour faire respecter cette règle dans toute votre entreprise, envisagez de mettre en place un outil de gestion des mots de passe capable de valider le niveau de sécurité d'un mot de passe ou d'en générer un suffisamment complexe.

Assurer une rotation régulière des mots de passe
Assurez-vous que votre personnel met régulièrement à jour tous ses mots de passe pour les applications et les connexions, en particulier ceux qui ont un accès administratif au serveur.

La plupart des distributions Linux contiennent, par défaut, un utilitaire permettant de modifier les informations relatives à l'expiration et au vieillissement des mots de passe. Ce programme peut obliger l'utilisateur à réinitialiser son mot de passe à un intervalle régulier. Chage est l'un de ces CLI (interface de ligne de commande).

Les administrateurs peuvent forcer les utilisateurs à changer leur mot de passe après un certain nombre de jours, par exemple, en utilisant l'opérateur -W :

Chage -W 10 daniel

Exécutée avec des droits élevés, cette commande obligera l'utilisateur « daniel » à changer son mot de passe au bout de 10 jours. Les changements forcés de mot de passe peuvent également être imposés en tant que bains ou lors d'événements de connexion.


5. Logiciel antivirus côté serveur

Bien que les ordinateurs Linux soient considérés comme relativement résistants aux virus, aux logiciels malveillants et à d'autres formes de cyberattaques, tous les terminaux Linux, y compris les ordinateurs de bureau, devraient être protégés par un antivirus. Les produits antivirus renforceront les capacités défensives de tout serveur qu'il exécute.

L'antivirus pour serveur Linux nouvelle génération d'Avast Business prend en charge les matériels 32 et 64 bits et propose une analyse à la demande lancée via une CLI.


6. Mettez à jour régulièrement ou automatiquement

Vous ne devez pas conserver d'anciens paquets non corrigés, car ils introduisent dans le système des vulnérabilités critiques qui pourraient être exploitées par des cybercriminels. Pour éviter ce problème, assurez-vous que votre serveur, ou votre pool de serveurs, est mis à jour régulièrement.

De nombreuses distributions Linux, notamment Ubuntu, sont également mises à jour dans le cadre d'un cycle de distribution continu avec des versions à long terme (LTS) et à court terme. Vos équipes de sécurité doivent déterminer dès le départ si elles souhaitent exécuter des logiciels de pointe ou stables sur leurs machines, et configurer les politiques de mise à jour appropriées.

En outre, de nombreuses distributions Linux contiennent des outils permettant d'appliquer des mises à jour automatiques. Le paquet unattended-upgrades disponible pour Debian, par exemple, recherche les mises à jour à un intervalle fixe et les applique automatiquement en arrière-plan.


7. Activez un pare-feu

Chaque serveur Linux devrait être équipé d'un pare-feu comme première ligne de défense contre les demandes de connexion non autorisées ou malveillantes. UFW (uncomplicated firewall) est un pare-feu Linux de base courant. Vous devez inspecter la politique de pare-feu pour vous assurer qu'elle est adaptée à l'environnement d'exploitation de votre entreprise.

De nos jours, les attaques par déni de service distribué (DDoS) représentent également une menace pour certains opérateurs. Les serveurs Linux tournés vers l'Internet peuvent être placés derrière un service proxy pour inspecter et épurer le trafic entrant, offrant ainsi une protection contre les DDoS. En outre, il existe des scripts open source qui peuvent être installés directement sur le serveur.


8. Sauvegardez votre serveur

Il y a toujours des choses qui peuvent mal tourner lorsqu'il s'agit de systèmes informatiques, et les paquets peuvent créer des problèmes de dépendance et d'autres problèmes. Il est donc vital que vous conserviez la possibilité de revenir en arrière dans les modifications apportées à votre serveur.

Une approche de sauvegarde solide devrait impliquer la création de deux copies, dont une hors site, pour chaque dispositif primaire protégé. Des outils de retour en arrière plus simples sont disponibles pour les serveurs Linux. Ils permettent d'automatiser ce processus et d'accélérer la reprise après sinistre (DR).


Gardez la sécurité à l'esprit

Linux peut être le meilleur serveur pour votre petite entreprise ou votre entreprise, car les distributions ont généralement une posture de sécurité décente configurée automatiquement. Cependant, pour augmenter considérablement vos défenses et minimiser les chances d'accès des utilisateurs malveillants, vous devez renforcer votre serveur Linux en appliquant les conseils des meilleures pratiques.

L'utilisation d'un outil antivirus côté serveur, tel qu'Avast Business Linux Antivirus, doit toujours faire partie d'une politique de sécurité à plusieurs niveaux. Explorez notre solution antivirus Linux dès aujourd'hui.


NOUS AVONS BESOIN DE VOUS : aidez-nous à combattre les pirates informatiques en nous envoyant les e-mails et SMS frauduleux que vous recevez (transfert d'e-mails, liens suspicieux ou captures d'écran) à l'adresse signalement@avast.com

Avast est un leader mondial de la cybersécurité, protégeant des centaines de millions d'utilisateurs dans le monde. Protégez tous vos appareils avec notre antivirus gratuit primé. 

 

--> -->