La s\u00e9curit\u00e9 des serveurs d\u00e9crit les logiciels, les outils et les processus utilis\u00e9s pour prot\u00e9ger le serveur d’une entreprise contre les acc\u00e8s non autoris\u00e9s et autres cybermenaces. Il s’agit d’une exigence cl\u00e9 pour la plupart des administrateurs syst\u00e8me et des \u00e9quipes de cybers\u00e9curit\u00e9.<\/p>\n\n\n\n
La s\u00e9curit\u00e9 Linux est consid\u00e9r\u00e9e comme bonne, sur la base de la solide structure d’autorisations par d\u00e9faut du syst\u00e8me d’exploitation. Cependant, vous devez toujours adopter les meilleures pratiques pour que vos serveurs fonctionnent en toute s\u00e9curit\u00e9 et efficacement.<\/p>\n\n\n\n
Que votre serveur Linux ex\u00e9cute Ubuntu, Debian ou une autre distribution, suivez ces \u00e9tapes pour renforcer la configuration par d\u00e9faut de votre serveur Linux.<\/p>\n\n\n\n
1. Installez uniquement les packages requis<\/strong> Les distributions de serveur Linux sont livr\u00e9es avec une vari\u00e9t\u00e9 de packages courants d\u00e9j\u00e0 install\u00e9s, tels que adduser et base-passwd. Lors de l’installation, les utilisateurs peuvent choisir d’installer des packages suppl\u00e9mentaires, notamment un serveur Open SSH, un serveur DNS et un serveur d’impression.<\/p>\n\n\n\n Vous pouvez \u00e9galement ajouter d’autres packages via le syst\u00e8me de gestion des packages par d\u00e9faut. Les packages peuvent \u00eatre extraits de r\u00e9f\u00e9rentiels officiels ou en ajoutant des PPA (archives de packages personnels), des r\u00e9f\u00e9rentiels cr\u00e9\u00e9s par les utilisateurs de Linux, pour acc\u00e9der \u00e0 une plus large s\u00e9lection de programmes.<\/p>\n\n\n\n Cependant, plus vous installez de packages, en particulier \u00e0 partir de r\u00e9f\u00e9rentiels tiers, plus vous pourriez introduire de vuln\u00e9rabilit\u00e9s dans le syst\u00e8me. Gardez les packages install\u00e9s \u00e0 un minimum raisonnable et \u00e9liminez p\u00e9riodiquement ce qui n’est pas n\u00e9cessaire.<\/p>\n\n\n\n 2. D\u00e9sactivez la connexion root<\/strong> Le processus de d\u00e9sactivation du compte root varie en fonction de la distribution de Linux que vous utilisez – vous devez d’abord cr\u00e9er un nouveau compte d’utilisateur et attribuer des autorisations \u00e9lev\u00e9es (sudo), de sorte que vous aurez toujours un moyen d’installer des packages et d’effectuer d’autres actions d’administration sur le serveur. Alternativement, vous pouvez attribuer ces autorisations \u00e0 un utilisateur existant afin d’assurer une connexion s\u00e9curis\u00e9e au serveur.<\/p>\n\n\n\n 3. Configurer 2FA<\/strong> Pour configurer 2FA sur un serveur Debian et des distributions d\u00e9riv\u00e9es de Debian, vous devez installer le paquet libpam-google-authenticator. Le package peut afficher un code QR ou produire un jeton secret qui peut \u00eatre ajout\u00e9 \u00e0 un dispositif d’authentification logiciel, tel que Google Authenticator ou Authy.<\/p>\n\n\n\n 2FA peut \u00eatre utilis\u00e9 conjointement avec SSH (Secure Shell) pour appliquer l’exigence d’un deuxi\u00e8me identifiant lors de la connexion au serveur. SSH est un protocole qui cr\u00e9e une connexion textuelle crypt\u00e9e \u00e0 un serveur distant. Ensemble, ces \u00e9l\u00e9ments rendent le serveur plus r\u00e9sistant \u00e0 la force brute, aux tentatives de connexion non autoris\u00e9es et peuvent am\u00e9liorer la s\u00e9curit\u00e9 du cloud pour les petites entreprises.<\/p>\n\n\n\n 4. Appliquez une bonne hygi\u00e8ne des mots de passe<\/strong> Appliquer une force cryptographique minimale<\/em><\/strong> Appliquer la rotation r\u00e9guli\u00e8re des mots de passe<\/em><\/strong> 5. Logiciel antivirus c\u00f4t\u00e9 serveur<\/strong> 6. Mettre \u00e0 jour r\u00e9guli\u00e8rement ou automatiquement<\/strong> De nombreuses distributions Linux, notamment Ubuntu, sont \u00e9galement mises \u00e0 jour dans un cycle de distribution continu avec des versions \u00e0 long terme (LTS) et \u00e0 court terme. Vos \u00e9quipes de s\u00e9curit\u00e9 doivent d\u00e9terminer d\u00e8s le d\u00e9part si elles souhaitent ex\u00e9cuter des logiciels de pointe ou stables sur leurs machines, et configurer les politiques de mise \u00e0 jour appropri\u00e9es.<\/p>\n\n\n\n De plus, de nombreuses distributions Linux contiennent des outils pour appliquer des mises \u00e0 jour automatis\u00e9es. Le paquet de mises \u00e0 jour sans surveillance disponible pour Debian, par exemple, interrogera les mises \u00e0 jour \u00e0 un intervalle fixe et les appliquera automatiquement en arri\u00e8re-plan.<\/p>\n\n\n\n 7. Activez un pare-feu<\/strong> De nos jours, les attaques par d\u00e9ni de service distribu\u00e9 (DDoS) repr\u00e9sentent \u00e9galement une menace pour certains op\u00e9rateurs. Les serveurs Linux accessibles sur Internet peuvent \u00eatre plac\u00e9s derri\u00e8re un service proxy pour inspecter et nettoyer le trafic entrant, offrant une protection DDoS.<\/p>\n\n\n\n 8. Sauvegardez votre serveur<\/strong> Une approche de sauvegarde robuste doit impliquer la cr\u00e9ation de deux copies, dont une hors site, pour chaque p\u00e9riph\u00e9rique prot\u00e9g\u00e9. Des outils de restauration syst\u00e8me plus simples sont disponibles pour les serveurs Linux qui peuvent aider \u00e0 automatiser ce processus et permettre une reprise apr\u00e8s sinistre (DR) plus rapide.<\/p>\n\n\n\n 9. Gardez la s\u00e9curit\u00e9 \u00e0 l’esprit<\/strong>
Vous ne devez installer que les packages dont votre entreprise a besoin pour ex\u00e9cuter afin de prot\u00e9ger la fonctionnalit\u00e9 de votre serveur.<\/p>\n\n\n\n
Les distributions Linux incluent un superutilisateur appel\u00e9 \u00ab\u00a0root\u00a0\u00bb qui contient des autorisations administratives \u00e9lev\u00e9es. Garder la connexion root activ\u00e9e peut pr\u00e9senter un risque de s\u00e9curit\u00e9 et diminuer la s\u00e9curit\u00e9 des ressources cloud des petites entreprises h\u00e9berg\u00e9es sur le serveur, car les pirates peuvent exploiter ces informations d’identification pour acc\u00e9der au serveur. Pour renforcer la s\u00e9curit\u00e9 de votre serveur, vous devez d\u00e9sactiver ce login.<\/p>\n\n\n\n
L’authentification \u00e0 deux facteurs (2FA) am\u00e9liore consid\u00e9rablement la s\u00e9curit\u00e9 de l’acc\u00e8s des utilisateurs en exigeant un mot de passe et un deuxi\u00e8me jeton avant que les utilisateurs puissent se connecter au serveur.<\/p>\n\n\n\n
Une bonne hygi\u00e8ne des mots de passe n’est pas seulement pertinente pour les utilisateurs qui se connectent \u00e0 leurs ordinateurs personnels ou \u00e0 leurs applications SaaS. Pour les serveurs, les administrateurs doivent \u00e9galement s’assurer que les utilisateurs utilisent des mots de passe suffisamment rigoureux. Cette pratique les rend beaucoup plus r\u00e9sistants aux attaques.<\/p>\n\n\n\n
Les mots de passe utilis\u00e9s par votre personnel doivent \u00eatre au-dessus d’une certaine force cryptographique, par exemple, au moins 12 caract\u00e8res, avec un m\u00e9lange al\u00e9atoire de lettres, de chiffres et de symboles. Pour appliquer cela dans votre entreprise, envisagez de mettre en place un outil de gestion des mots de passe qui peut valider le niveau de s\u00e9curit\u00e9 d’un mot de passe ou en g\u00e9n\u00e9rer un d’une complexit\u00e9 suffisante.<\/p>\n\n\n\n
Assurez-vous que votre personnel met r\u00e9guli\u00e8rement \u00e0 jour tous ses mots de passe pour les applications et les connexions, en particulier ceux avec un acc\u00e8s au serveur administratif.
La plupart des distributions Linux contiennent, par d\u00e9faut, un utilitaire permettant de modifier les informations d’expiration et de vieillissement du mot de passe. Ce programme peut obliger l’utilisateur \u00e0 r\u00e9initialiser son mot de passe \u00e0 intervalles r\u00e9guliers.
Les administrateurs peuvent forcer les utilisateurs \u00e0 changer leur mot de passe apr\u00e8s un certain nombre de jours, par exemple, en utilisant l’op\u00e9rateur -W :
Change -W 10 daniel<\/em>
Ex\u00e9cut\u00e9e \u00e0 partir d’autorisations \u00e9lev\u00e9es, cette commande obligera l’utilisateur \u00ab daniel \u00bb \u00e0 changer son mot de passe apr\u00e8s 10 jours.<\/p>\n\n\n\n
Alors que les ordinateurs Linux sont consid\u00e9r\u00e9s comme relativement r\u00e9sistants aux virus, logiciels malveillants et autres formes de cyberattaques, tous les terminaux Linux, y compris les ordinateurs de bureau, doivent ex\u00e9cuter une protection antivirus. Les produits antivirus am\u00e9lioreront les capacit\u00e9s d\u00e9fensives de tout serveur qu’il ex\u00e9cute.
L’antivirus pour serveur Linux de nouvelle g\u00e9n\u00e9ration d’Avast Business<\/a> prend en charge le mat\u00e9riel 32 bits et 64 bits et propose une analyse \u00e0 la demande lanc\u00e9e via une CLI.<\/p>\n\n\n\n
Vous ne devez pas d\u00e9tenir d’anciens packages non corrig\u00e9s, car ils introduisent des vuln\u00e9rabilit\u00e9s critiques dans le syst\u00e8me qui pourraient \u00eatre exploit\u00e9es par des cybercriminels. Pour \u00e9viter ce probl\u00e8me, assurez-vous que votre serveur, ou pool de serveurs, est mis \u00e0 jour r\u00e9guli\u00e8rement.<\/p>\n\n\n\n
Chaque serveur Linux doit ex\u00e9cuter un pare-feu comme premi\u00e8re ligne de d\u00e9fense contre les demandes de connexion non autoris\u00e9es ou malveillantes. UFW (pare-feu simple) est un pare-feu Linux de base commun. Vous devez inspecter la politique de pare-feu pour vous assurer qu’elle est adapt\u00e9e \u00e0 l’environnement d’exploitation de votre entreprise.<\/p>\n\n\n\n
Il y a toujours des choses qui peuvent mal tourner en ce qui concerne les syst\u00e8mes informatiques, et les packages peuvent cr\u00e9er des probl\u00e8mes de d\u00e9pendance et d’autres probl\u00e8mes. Il est donc essentiel que vous conserviez la possibilit\u00e9 d’annuler les modifications apport\u00e9es \u00e0 votre serveur.<\/p>\n\n\n\n
Linux peut \u00eatre le meilleur serveur pour votre entreprise, car les distributions ont g\u00e9n\u00e9ralement une posture de s\u00e9curit\u00e9 automatiquement configur\u00e9e. Cependant, pour augmenter consid\u00e9rablement vos d\u00e9fenses et minimiser les risques d’acc\u00e8s d’utilisateurs malveillants, vous devez renforcer votre serveur Linux en appliquant de bonnes pratiques. L’utilisation d’un outil antivirus c\u00f4t\u00e9 serveur, tel qu’Avast Business Antivirus for Linux<\/a>, doit toujours faire partie d’une politique de s\u00e9curit\u00e9 multicouche.<\/p>\n\n\n\n