Informations importantes sur la sécurité de votre serveur Linux (Partie 1/2)

Un serveur vous offre de nombreuses possibilités intéressantes. Cependant, lorsque vous achetez un serveur avec accès root, vous êtes également responsable de sa sécurité. Cette responsabilité inclut toutes les actions effectuées par votre serveur. C'est pourquoi il est très important de sécuriser votre serveur le plus tôt possible et d'augmenter le niveau de sécurité contre les cyberattaques afin de limiter le plus possibles les vulnérabilités face aux attaquants potentiels.

Cette série d'articles explique quelques recommandations et mesures de sécurité importantes qui peuvent aider à augmenter le niveau de sécurité de votre serveur Linux.

Cet article fournit des recommandations générales de sécurité et des conseils pour configurer et utiliser votre serveur Linux en toute sécurité. Celles-ci sont classées en fonction de leur importance.

Veuillez noter

Ces recommandations de sécurité ne s'appliquent qu'aux serveurs avec accès root.

Installer à temps et régulièrement des correctifs de sécurité et des mises à jour

Habituellement, les vulnérabilités connues sont contrecarrées à l'aide de mises à jour publiées dans un délai très court. Toutefois, cela n'est efficace que si vous vous informez régulièrement sur les correctifs de sécurité et les mises à jour du système d'exploitation et des programmes installés et si vous les installez rapidement. Assurez-vous également de mettre à jour tous les plug-ins supplémentaires que vous avez installés.

Presque tous les systèmes d'exploitation offrent la possibilité de télécharger et d'installer automatiquement des mises à jour de sécurité importantes en arrière-plan. Pour découvrir et télécharger de nouveaux progiciels disponibles quotidiennement, vous pouvez utiliser des scripts spécifiques tels que apt-listchanges ou apticron. Avec le paquet de mises à jour sans surveillance (Ubuntu) ou le programme Yum-cron (CentOS 7), vous pouvez installer automatiquement les correctifs pour votre système d'exploitation.

Si nécessaire, vous pouvez tester les correctifs de sécurité et les mises à jour de vos applications et plug-ins avant l'installation afin de vérifier les effets possibles sur votre environnement spécifique avant de les installer rapidement sur le serveur. Veuillez noter, cependant, que vous avez besoin d'un deuxième serveur pour un tel test.

Utiliser l'authentification par clé publique au lieu de l'authentification par mot de passe

Le protocole réseau SSH supporte différentes variantes pour la connexion du client au serveur. En plus de l'authentification classique bien connue avec nom d'utilisateur et mot de passe, vous pouvez également utiliser l'authentification par clé publique. L'authentification par clé publique utilise une clé privée et une clé publique pour l'authentification utilisateur. La clé publique peut également être protégée par un mot de passe.

La clé publique doit être stockée sur le serveur correspondant afin que l'authentification par clé publique puisse être configurée. La clé privée est stockée localement sur votre ordinateur.

Si vous utilisez l'authentification par clé publique, vous pouvez vous connecter au serveur en utilisant la clé publique sans mot de passe de connexion. Cela peut nécessiter la saisie du mot de passe pour protéger la clé publique.

Remarque

Lorsque vous créez un serveur cloud, vous pouvez stocker la clé publique dans le Cloud Panel et l'affecter au serveur en sélectionnant la configuration souhaitée. La clé publique est automatiquement entrée dans le fichier /root/.ssh/authorized_keys lors de la création du serveur.

Pour augmenter encore le niveau de sécurité, vous pouvez également désactiver l'authentification par mot de passe SSH. Dans ce cas, l'authentification par mot de passe n'est possible que si l'utilisateur se connecte au serveur à l'aide de la console KVM (Serveur Cloud et Serveur Virtuel) ou de la console VNC (Serveur Dédié).

Toujours utiliser des mots de passe forts

Des mots de passe faibles facilitent l'accès à votre serveur pour les attaquants potentiels. Si une telle attaque réussit, l'attaquant pourrait utiliser votre serveur pour des activités malveillantes, utiliser les ressources de votre serveur, ou éventuellement prendre le contrôle du serveur et vous bloquer.

Vous devez donc toujours utiliser des mots de passe sécurisés et complexes. Changez-les régulièrement. Veuillez noter les critères suivants pour créer un mot de passe fort et sécurisé :

  • Utilisez un mot de passe distinct pour chaque service et pour chaque base de données fonctionnant sur le serveur.

  • Utilisez un mot de passe qui ne figure pas dans les dictionnaires.

  • Utilisez toujours un mot de passe qui diffère considérablement des mots de passe précédents.

  • N'utilisez pas de données personnelles provenant de votre environnement personnel telles que les anniversaires, les noms, etc.

  • N'utilisez pas de mot de passe contenant le nom d'utilisateur ou le nom de l'entreprise.

  • Ne communiquez pas votre mot de passe à des tiers.

  • Combinez différents types de caractères, tels que des lettres, des chiffres et des caractères spéciaux.

  • Ne réutilisez pas les mots de passe pour différents services.


Un mot de passe sécurisé contient :

  • Au moins 8 caractères

  • Lettres majuscules et minuscules : a-z, A-Z

  • Chiffres : 0-9

  • Caractères spéciaux

Élaborer une stratégie de sauvegarde appropriée

La perte de données peut entraîner des dommages profonds et coûteux. Pour cette raison, vous devez développer une stratégie de sauvegarde appropriée le plus tôt possible. Le développement d'une stratégie de sauvegarde est une question techniquement très complexe, car de nombreux facteurs doivent être pris en compte. Certains facteurs importants sont par exemple :

  • Détermination de la situation de risque : La situation de risque dépend de l'objectif du serveur et de la dépendance par rapport à la base de données.

  • Classification des données : De quel type de données s'agit-il ? Les données pertinentes pour le système ou les données personnelles doivent-elles être sauvegardées ?

  • Disponibilité des données : Quelles applications dépendent des données et sous quelle forme ? Les applications fonctionnent-elles également sans les données pertinentes ?


De plus, vous devez tenir compte des questions suivantes et y répondre lors de l'élaboration de votre stratégie de sauvegarde :

  • Quelle perte de données est acceptable ?

  • Combien de temps faudrait-il pour restaurer les données ?

  • Quelle est l'importance du volume de données et comment la base de données va-t-elle évoluer ?

  • Comment les données doivent-elles être sauvegardées ?

  • Y a-t-il des périodes de suppression et de conservation ?

  • Les données sont-elles confidentielles ? Une protection d'accès spéciale est-elle nécessaire ? Existe-t-il des exigences légales ?

  • Quand la sauvegarde peut-elle être créée sans effets négatifs sur d'autres processus ?

  • Combien de temps faut-il pour conserver les sauvegardes ?


Un autre point important à considérer lors du développement de votre stratégie de sauvegarde est le type de sauvegarde. Une distinction fondamentale est faite entre les types de sauvegarde suivants :

Sauvegarde intégrale
Une sauvegarde complète est une sauvegarde qui contient toutes les données sélectionnées pour la sauvegarde.

Sauvegarde différentielle
Une sauvegarde différentielle sauvegarde tous les fichiers qui ont été modifiés ou ajoutés depuis la dernière sauvegarde complète. Les modifications sont toujours effectuées par rapport à la sauvegarde complète. Les sauvegardes différentielles augmentent de jour en jour jusqu'à ce que vous effectuiez à nouveau une sauvegarde complète. Cependant, elles nécessitent moins d'espace disque qu'une sauvegarde complète et peuvent être exécutées plus rapidement.

Pour restaurer des données à partir d'une sauvegarde différentielle, vous devez également avoir accès à la dernière sauvegarde complète. Les sauvegardes différentielles individuelles peuvent être gérées indépendamment les unes des autres.

Sauvegarde incrémentielle
Les sauvegardes incrémentielles sont très peu encombrantes et peuvent être effectuées rapidement.

Avec une sauvegarde incrémentielle, seules les données qui ont été créées ou modifiées depuis la dernière sauvegarde sont sauvegardées. Peu importe qu'il s'agisse d'une sauvegarde complète ou d'une sauvegarde incrémentielle.

Par conséquent, pour restaurer une sauvegarde incrémentielle, vous devez également avoir accès à d'autres sauvegardes dans la chaîne de sauvegardes, car les sauvegardes sont interdépendantes. Si vous supprimez une des sauvegardes incrémentielles précédentes ou une sauvegarde complète, vous ne pouvez pas restaurer le groupe entier.

En plus de développer la stratégie de sauvegarde appropriée et de créer régulièrement des sauvegardes, vous devez également vous assurer que la restauration des sauvegardes est testée régulièrement.

S'assurer que les services locaux ne prennent en compte que localhost

Tous les services ne doivent pas nécessairement être accessibles via le réseau ou Internet. Par conséquent, assurez-vous que les services locaux prennent en compte localhost. Par exemple, si vous exécutez une instance MySQL locale sur votre serveur Web, la base de données ne doit écouter que localhost. Il en va de même pour les programmes et applications que vous testez. Configurez ensuite votre application pour vous connecter via l'hôte local.

Utiliser VPN pour accéder à votre serveur

Si vous avez acheté un serveur cloud, vous pouvez utiliser VPN pour établir une connexion sécurisée entre votre PC local et votre serveur, cryptée avec SSL.

Remarque

Pour des raisons techniques, vous ne pouvez établir qu'une seule connexion à vos serveurs cloud via VPN. Si vous voulez établir plusieurs connexions VPN en même temps, vous devez configurer une connexion VPN pour chaque PC local.

Vous pouvez créer le VPN facilement et commodément dans votre Cloud Panel dans la section Réseau > VPN.

Pour utiliser le VPN, vous devez ensuite installer et configurer le logiciel OpenVPN sur le PC local.

De plus amples informations sur l'utilisation du VPN peuvent être trouvées ici :

Créer un VPN

Installer et configurer OpenVPN

Etablir une connexion sécurisée avec OpenVPN (Windows)

Restreindre l'accès au serveur

Pour augmenter la sécurité du serveur, vous devez autoriser l'accès au serveur uniquement aux utilisateurs qui ont besoin de travailler avec lui.

Installer uniquement les applications requises

N'installez que les applications dont vous avez vraiment besoin. Plus vous installez d'applications sur le serveur, plus le risque de vulnérabilités est grand.

Remarque

Si possible, n'installez des applications qu'à partir de sources officielles. Les applications provenant de sources non officielles peuvent contenir des logiciels malveillants et/ou des virus.

N'ouvrir que les ports dont vous avez vraiment besoin

Les ports ouverts ne posent généralement pas de risque particulier pour la sécurité, à moins que les applications qui répondent ne présentent des vulnérabilités que les attaquants exploitent. Avec un nombre croissant d'applications, ce danger potentiel augmente.

Surveiller votre serveur

La surveillance est un outil important pour accroître la sécurité des serveurs. Ce n'est qu'en surveillant le serveur que vous pouvez détecter à temps une panne de serveur ou la défaillance de composants ou d'applications individuels. Cela s'applique également à certains types de cyberattaques. Si votre serveur est attaqué, une réponse rapide est essentielle pour arrêter l'attaque et minimiser les dommages causés.

Vérifier régulièrement votre serveur pour détecter les logiciels malveillants et les virus

Bien que Linux soit généralement moins affecté par les logiciels malveillants et les virus que Windows, il n'est pas à l'abri des logiciels malveillants. Pour les systèmes Linux, il existe un certain nombre de logiciels pour les détecter, que vous pouvez utiliser pour vérifier régulièrement l'intégrité de vos serveurs.

Les programmes les plus connus pour cela sont Linux Malware Detect, Rootkit Hunter et ClamAV.

Remarque

Assurez-vous que les signatures antivirus et antimalware sont mises à jour régulièrement.

Plus d'articles

Le deuxième article de cette série se trouve ici :

Informations importantes sur la sécurité de votre serveur Linux (Partie 2/2)