Durcissement de serveur Linux

De Wiki info-lab.fr
Aller à : Navigation, rechercher

Un serveur offrant un ou des services, il est par définition visible et accessible et doit donc être sécurisé, quelque soit le système d'exploitation qui l'anime et l'environnement de sécurité qui l'entoure.
Voici quelques conseils simples pour durcir un serveur Gnu/Linux.

Durcissement de la machine physique

Toute personne ayant un accès physique direct peut compromettre la sécurité d'un serveur. Pour empêcher ou ralentir cet accès potentiel voici ce qui peut être réalisé :

  • Protéger le SETUP du BIOS par un mot de passe.
  • Ne pas permettre de démarrage autre (réseau, USB, CD-Rom...) que l'unité disque principale.
  • N'installer qu'un seul système d'exploitation, pas de multi-boot sur un serveur.
  • Protéger l'accès au chargeur de démarrage par un mot de passe : Grub et LILO offrent cette possibilité.

Durcissement du système d'exploitation

  • Plusieurs partitions : /, /home, /var, /usr de manière à éviter de saturer la partition système (/) avec des fichiers des utilisateurs (/home) ou des journaux systèmes (/var/log)
  • Ce partitionnement permet d'affecter des droits différents en fonction du rôle de cette partition. Exemple /home = nosuid, nodev ; /var = nosuid, nodev, noexec.
  • Supprimer les paquetages non nécessaires et ne pas en installer sans raison.
  • Purger les pilotes de périphériques non nécessaires par re compilation du noyau (en effet qui a besoin d'un pilote de contrôleur BlueTooth sur un serveur de datacenter ?)
  • Ne pas autoriser le chargement de modules dynamiques.
  • Effectuer des mises à jour régulièrement.
  • Limiter la durée de vie des mots de passe (/etc/passwd)
  • Durcir les règles de mot de passe (/etc/pam.d/login) : { retry=3, difok=5, minlen=16, dcredit=3, ucredit=3, lcredit=3, ocredit=3}

Protection de l'accès réseau

  • Protéger les interfaces du serveur au moyen de Netfilter
  • Pas d'accès SSh pour l'utilisateur root.
  • Installer et paramétrer fail2ban pour se protéger des dénis de service simples ou éviter les tentatives de connexion pour obtenir un accès distant par recherche exhaustive.
Outils personnels
Espaces de noms

Variantes
Actions
Navigation
Outils