Par Anapivirtua, le 03/07/2009 à 19:46.
On continue dans la sécurité (voir ici, ici ou encore ici).
Parce qu’avoir des systèmes vulnérables pour un administrateur est un vrai sujet d’angoisse et de stress aujourd’hui résumons les 10 manières (ou presque) de sécuriser votre parc serveurs ou même votre serveur@home.
1. Utiliser les solutions externes existantes
Une des manières simples (ou pas.) pour sécuriser n’importe quel système Linux c’est d’utiliser des solutions dédiées.
Les plus connues et utilisées sont:
- SELinux pour créer des politiques de sécurité en particulier au niveau accès système, c’est un bon choix mais difficile à prendre en main, il n’en reste pas moins très puissant.
- GRSecurity qui est une suite de patchs à appliquer au kernel censés augmenter le niveau de sécurité de celui en creant de nouvelles contraintes et modifiants certains paramètres (OVH l’utilise massivement au passage).
- Bastille Linux qui est un script de renforcement orienté débutant, je ne le conseillerais pas sur un environnement de production mais plutôt sur du @home.
2. Se débarrasser de l’inutile
Les vulnérabilités viennent généralement des logiciels et services installés sur la machine, il est donc vital de ne garder que l’essentiel utile au bon fonctionnement du ou des services voulus.
Cette politique de nettoyage par le vide est en particulier utilisée pour une des distributions réputée sa sécurité j’ai nommé OpenBSD, le résultat est la: Deux failles découvertes dans l’installation par défaut (une sur OpenSSH l’autre sur le stack IPv6).
Il est donc essentiel de faire le ménage et maintenir une machine propre.
3. Crypter !
Ce troisième point dépendra beaucoup de ce que vous recherchez pour un système.
En effet crypter les données d’un système est complexe et nécessite un cout de performance non négligeable.
Malgré tout ce cout à tendance à se réduire avec la montée en puissance des processeurs ou encore à la démocratisation des puces dédiées au cryptage.
Dans tout les cas si les performances vous le permette et que vous souhaitez réellement protéger les données stockées… cryptez.
4. Surveillez vos machines
Ca peut paraitre logique dit comme ca mais il est vital de surveiller vos machines tant au niveau performances qu’au niveau utilisations.
Je ne peux que vous conseiller de consulter régulièrement vos logs systèmes, on y trouve des fois des choses très intéressantes, sisi !
5. Ouvrez vos services d’administration qu’au besoin
Une des solutions qui tend à devenir très utilisée est le Port Knocking.
Le principe est simple: On ouvre un port (et donc un accès à un service) uniquement après avoir reçu une suite de paquets « spéciaux» dans un ordre jugé valide sur un port spécifique préalablement défini, une fois le Knock effectué et s’il est valide le système pourra alors ouvrir un ou plusieurs ports.
Cette solution est très utile par exemple pour protéger l’accès à du SSH ou certains ports d’administration.
6. Utilisez un firewall
Même si le réseau vous hébergeant est sécurisé il n’est surement pas infaillible, c’est pourquoi il serait judicieux d’utiliser un firewall (au pif: iptables) et de créer des règles dédiées aux services hébergées.
Si vous êtes débutant je vous invite à utiliser des GUI types Firewall Builder.
7. Refusez tout !
Dans la lignée du firewall il est essentiel de refuser tout par défaut et de n’autoriser que ce qui est voulu puis de limiter.
Cette règle est ce qui ce fait de mieux d’un point de vu sécurité mais aussi celle qui est la plus difficile à maintenir et administrer.
L’autre solution (que je déconseille) étant d’ouvrir tout les ports, de se fier au réseau hébergeant et de filtrer uniquement les services utilisés.
8. Mais détectons, détectons…
Si vous avez une machine qui est abonnée au farniente à longueur de journées je ne peux que vous conseiller de le transformer en IDS (Snort est un des plus connus et performant).
Il y a deux écoles concernant l’utilisation d’un IDS:
- La première ne fait que log les attaques et est la pour couvrir vos arrières en vous donnant du recul, vous permettant ainsi de mieux voir ce qui s’est passé et donc de combler les failles de votre politique de sécurité.
- La seconde est pro-active, on se fit aux signatures de votre IDS pour bloquer les attaques, malheureusement on se retrouve des fois avec des faux positifs et on ne peut pas contrer les nouveaux types d’attaques puisqu’il faut attendre la mise à jour des signatures (ou en créer) pour les identifier.
A vous de faire votre choix.
9. Veillez jour et nuit !
Comme vos logiciels il est vital que vous soyez à jour, n’hésitez pas à vous abonner à des mailing list dédiées à la sécurité (celle de votre OS, du kernel, de vos produits, etc…) mais aussi aux bulletins de sécurité fournis par divers sites sur la toile (milw0rm, …).
10. Et vous, vous faites quoi ?
N’ayant pas la science infuse et n’ayant pas prétention de tout savoir, je me demande ce que vous faites de votre coté pour protéger au mieux vos machines, les commentaires sont à vous !