Comment sécuriser un serveur? [fermé]

22

En ce qui concerne Ubuntu 10.04, édition serveur, quels outils / pratiques recommanderiez-vous pour sécuriser le serveur?

    
posée Grant Palin 04.08.2010 - 23:08
la source

7 réponses

25

C'est un peu non spécifique, mais en général, vous devrez

  • Exécutez un pare-feu tel que iptables ou ufw pour gérer la connexion aux ports ouverts.

  • Installez uniquement le logiciel dont vous avez besoin.

  • N'exécutez que des services essentiels à l'exécution du serveur.

  • Gardez ce logiciel à jour avec tous les correctifs de sécurité.

  • Configurez les nouveaux utilisateurs avec le moins de privilèges dont ils ont besoin pour accomplir leurs tâches.

  • Exécutez denyhosts ou fail2ban pour rechercher les attaques par force brute.

  • Exécutez logwatch pour vous envoyer des anomalies dans les fichiers journaux.

  • Consultez souvent vos journaux pour toute activité suspecte.

  • Utilisez toujours sudo et utilisez des mots de passe forts.

  • Désactiver les chiffrements faibles et moyens dans SSL pour apache, exim, proftpd, dovecot, etc.

  • Définissez les services pour qu’ils écoutent uniquement localhost (le cas échéant).

  • Exécutez chkrootkit tous les jours.

  • Exécutez clamscan aussi souvent que nécessaire pour rechercher les virus Windows (le cas échéant).

  • Soyez vigilant, connaissez votre serveur, sachez ce qu'il doit faire et ce qu'il ne devrait pas faire.

Vous ne ferez que sécuriser les choses en vérifiant et en sécurisant en permanence. Si vous ne savez pas ce que fait quelque chose ou comment ou pourquoi, ou si quelque chose semble suspect, demandez simplement conseil aux autres.

    
réponse donnée Richard Holloway 05.08.2010 - 00:34
la source
9

Une réponse géniale de Richard Holloway. Si vous cherchez un guide spécifique étape par étape, consultez le guide en deux parties de la bibliothèque Slicehost.

  1. lien
  2. lien

Je l'utilise presque partout quand je dois configurer une instance d'Ubuntu Server. Je suis sûr que vous l'aimeriez.

La bibliothèque Linode à l'adresse lien est une autre excellente source.

Examinez les articles aux deux endroits. Des tonnes d’informations y sont disponibles et vous aurez suffisamment de connaissances pour gérer votre serveur.

PS: En aucun cas, une bibliothèque ne peut remplacer l’intuition, la connaissance et les capacités de prise de décision d’un administrateur système.

    
réponse donnée Mir Nazim 05.08.2010 - 08:20
la source
2

Quelque chose que je ne vois pas mentionné est "use 64bit". Cela vous garantit, entre autres, des protections de mémoire NX.

    
réponse donnée Kees Cook 21.09.2010 - 20:35
la source
1

Trois choses que j'ai tendance à recommander sont:

  • Montez toutes les zones accessibles en écriture (/ tmp, / var / tmp) en tant que "noexec": Ceci pour la plupart est sûr sans quirks, sauf (au moment de l'écriture), sauf si vous choisissez de mettre à niveau votre système. Voir le bogue n ° 572723 sur Launchpad pour plus de détails.

  • N'installez aucun compilateur ou assembleur sauf si cela est absolument nécessaire: Je pense que cela s'explique.

  • Commencez avec AppArmor: AppArmor peut être considéré comme une alternative à SELinux, et est une excellente fonctionnalité d’Ubuntu pour exécuter des applications en sandbox afin de s’assurer qu’elles n’ont pas plus d’accès que ce dont elles ont besoin. Je vous recommande de consulter le guide sur les forums si cela vous intéresse. lien

réponse donnée ibuclaw 05.08.2010 - 00:49
la source
1
  • Installez et configurez iptables avec un jeu de règles approprié pour votre environnement. Filtrage du trafic entrant et sortant.
  • psad pour détecter et alerter les analyses de ports sur votre système.
  • Utilisez fail2ban pour empêcher les tentatives de connexion par force brute contre SSH.
  • Interdire l’accès à distance en utilisant le compte root, cela signifie entre autres que si un attaquant tente de forcer l’accès brutal à votre serveur, il devra mettre en forme le nom d’utilisateur et le mot de passe.
  • Utilisez des mots de passe forts pour tous les comptes d'utilisateur.
  • Limiter l'accès SSH à certaines adresses IP uniquement si possible.
  • Utilisez Tripwire d'un autre système de détection d'intrusion basé sur Host.
  • Surveillez le serveur avec un programme de surveillance réseau tel que nagios.
réponse donnée Mark Davidson 05.08.2010 - 10:13
la source
0

Si j'étais vous, je regarderais dans iptables (pare-feu Linux standard) et verrais quels services sont en cours d'exécution. Fondamentalement, vous ne voulez exécuter que les services dont vous avez besoin, c’est-à-dire ne pas exécuter un serveur Web lorsque vous souhaitez simplement configurer un serveur de messagerie, et ne disposer que des ports dont vous avez réellement besoin. Tout le reste devrait être verrouillé!

Guide des iptables: lien

J'espère que ça aide!

p.s Si vous avez besoin d’aide supplémentaire, montez sur irc et cliquez sur le canal # ubuntu-server sur freenode

    
réponse donnée 05.08.2010 - 00:30
la source
0

Pour les pare-feu, vous pouvez consulter @ Firestarter ou ufw avec gufw .

    
réponse donnée ssanj 05.08.2010 - 00:38
la source

Lire d'autres questions sur les étiquettes