En ce qui concerne Ubuntu 10.04, édition serveur, quels outils / pratiques recommanderiez-vous pour sécuriser le serveur?
En ce qui concerne Ubuntu 10.04, édition serveur, quels outils / pratiques recommanderiez-vous pour sécuriser le serveur?
C'est un peu non spécifique, mais en général, vous devrez
Exécutez un pare-feu tel que iptables ou ufw pour gérer la connexion aux ports ouverts.
Installez uniquement le logiciel dont vous avez besoin.
N'exécutez que des services essentiels à l'exécution du serveur.
Gardez ce logiciel à jour avec tous les correctifs de sécurité.
Configurez les nouveaux utilisateurs avec le moins de privilèges dont ils ont besoin pour accomplir leurs tâches.
Exécutez denyhosts ou fail2ban pour rechercher les attaques par force brute.
Exécutez logwatch pour vous envoyer des anomalies dans les fichiers journaux.
Consultez souvent vos journaux pour toute activité suspecte.
Utilisez toujours sudo et utilisez des mots de passe forts.
Désactiver les chiffrements faibles et moyens dans SSL pour apache, exim, proftpd, dovecot, etc.
Définissez les services pour qu’ils écoutent uniquement localhost (le cas échéant).
Exécutez chkrootkit tous les jours.
Exécutez clamscan aussi souvent que nécessaire pour rechercher les virus Windows (le cas échéant).
Soyez vigilant, connaissez votre serveur, sachez ce qu'il doit faire et ce qu'il ne devrait pas faire.
Vous ne ferez que sécuriser les choses en vérifiant et en sécurisant en permanence. Si vous ne savez pas ce que fait quelque chose ou comment ou pourquoi, ou si quelque chose semble suspect, demandez simplement conseil aux autres.
Une réponse géniale de Richard Holloway. Si vous cherchez un guide spécifique étape par étape, consultez le guide en deux parties de la bibliothèque Slicehost.
Je l'utilise presque partout quand je dois configurer une instance d'Ubuntu Server. Je suis sûr que vous l'aimeriez.
La bibliothèque Linode à l'adresse lien est une autre excellente source.
Examinez les articles aux deux endroits. Des tonnes d’informations y sont disponibles et vous aurez suffisamment de connaissances pour gérer votre serveur.
PS: En aucun cas, une bibliothèque ne peut remplacer l’intuition, la connaissance et les capacités de prise de décision d’un administrateur système.
Trois choses que j'ai tendance à recommander sont:
Montez toutes les zones accessibles en écriture (/ tmp, / var / tmp) en tant que "noexec": Ceci pour la plupart est sûr sans quirks, sauf (au moment de l'écriture), sauf si vous choisissez de mettre à niveau votre système. Voir le bogue n ° 572723 sur Launchpad pour plus de détails.
N'installez aucun compilateur ou assembleur sauf si cela est absolument nécessaire: Je pense que cela s'explique.
Commencez avec AppArmor: AppArmor peut être considéré comme une alternative à SELinux, et est une excellente fonctionnalité d’Ubuntu pour exécuter des applications en sandbox afin de s’assurer qu’elles n’ont pas plus d’accès que ce dont elles ont besoin. Je vous recommande de consulter le guide sur les forums si cela vous intéresse. lien
Si j'étais vous, je regarderais dans iptables (pare-feu Linux standard) et verrais quels services sont en cours d'exécution. Fondamentalement, vous ne voulez exécuter que les services dont vous avez besoin, c’est-à-dire ne pas exécuter un serveur Web lorsque vous souhaitez simplement configurer un serveur de messagerie, et ne disposer que des ports dont vous avez réellement besoin. Tout le reste devrait être verrouillé!
Guide des iptables: lien
J'espère que ça aide!
p.s Si vous avez besoin d’aide supplémentaire, montez sur irc et cliquez sur le canal # ubuntu-server sur freenode
Pour les pare-feu, vous pouvez consulter @ Firestarter ou ufw avec gufw .