Le durcissement est le processus de réduction des vulnérabilités et de sécurisation d’un système contre d’éventuels points d’attaque. La réduction des vulnérabilités comprend la suppression des services, noms d’utilisateur et connexions inutiles et la désactivation des ports inutiles. Dans cet article, nous allons vous montrer comment vous pouvez renforcer un serveur Ubuntu.
Contenu
Exigences
Serveur Ubuntu 14.04 LTS avec Open SSH installé.
Pour commencer : mettre à jour le système
Maintenir le système à jour est nécessaire après l’installation de tout système d’exploitation. Cela réduira les vulnérabilités connues présentes dans votre système.
Pour Ubuntu 14.04, exécutez ce qui suit :
Activer les mises à jour de sécurité automatiques
L’activation des mises à jour automatiques peut être très importante pour sécuriser votre serveur. Pour installer les « mises à niveau sans surveillance », exécutez
Pour l’activer, exécutez la commande suivante :
Cela créera le fichier « /etc/apt/apt.conf.d/20auto-upgrades » illustré ci-dessous.
Créer un « utilisateur fantôme » avec les pouvoirs sudo
L’utilisation d’un « utilisateur fantôme » au lieu du compte root est nécessaire pour des raisons de sécurité. Vous pouvez créer un utilisateur qui ne sera pas facile à deviner pour les autres utilisateurs. Dans ce tutoriel, nous utiliserons « maketech111 » comme nom d’utilisateur.
Pour créer un utilisateur, exécutez la commande suivante :
Pour donner à l’utilisateur l’accès sudo, exécutez la commande suivante :
Pour définir un mot de passe, exécutez la commande suivante :
Noter: assurez-vous que votre mot de passe comporte au moins huit caractères et qu’il contient une combinaison complexe de chiffres, de lettres et de signes de ponctuation.
Pour supprimer l’invite de mot de passe pour sudo, modifiez le fichier sudoers.
Ajoutez/modifiez comme décrit ci-dessous.
Enregistrez le fichier et quittez.
Désactiver le compte root
La désactivation du compte root est nécessaire pour des raisons de sécurité.
Pour désactiver le compte root, utilisez la commande suivante :
Si vous devez réactiver le compte, exécutez la commande suivante :
Ajouter une partition SWAP
Certains serveurs Ubuntu ne sont pas configurés avec SWAP. SWAP est utilisé lorsque la quantité de mémoire physique totale (RAM) est pleine.
Pour vérifier l’espace SWAP, exécutez la commande suivante :
S’il n’y a pas de fichier SWAP, vous devriez obtenir la sortie suivante.
Pour créer le fichier SWAP de 4 Go, vous devrez utiliser la commande « dd ».
Pour configurer le fichier SWAP, exécutez la commande suivante :
Pour activer le fichier d’échange, exécutez
Cela affichera comme suit :
Pour l’activer définitivement, éditez le fichier « /etc/fstab ».
Ajoutez la ligne suivante :
Améliorer les performances SWAP
Définissez une valeur d’échange appropriée pour améliorer les performances globales du système.
Vous pouvez le faire avec la commande suivante :
Redémarrez le système pour vérifier si SWAP est activé correctement.
Désactiver IPv6
Il est recommandé de désactiver IPv6 car cela entraîne des problèmes de lenteur de la connexion Internet.
Pour désactiver IPv6, éditez le fichier « /etc/sysctl.conf ».
Modifiez comme décrit ci-dessous :
Pour recharger la configuration, exécutez
Désactiver IRQBALANCE
IRQBALANCE est utilisé pour répartir les interruptions matérielles sur plusieurs CPU afin d’augmenter les performances du système. Il est recommandé de désactiver IRQBALANCE pour éviter les interruptions matérielles dans vos threads.
Pour désactiver IRQBALANCE, modifiez « /etc/default/irqbalance »
et changez la valeur ENABLED à 0 :
Correction d’un bug de heartbleed OpenSSL
Le Heartbleed est une vulnérabilité sérieuse dans OpenSSL. Il permet à un utilisateur distant de divulguer la mémoire en morceaux jusqu’à 64 000. Les pirates peuvent ensuite récupérer les clés privées pour déchiffrer toutes les données telles que le nom d’utilisateur et les mots de passe de l’utilisateur.
Le bug heartbleed a été trouvé dans OpenSSL 1.0.1 et est présent dans les versions suivantes :
Pour vérifier la version d’OpenSSL sur votre système, exécutez les commandes suivantes :
Cela produira quelque chose comme ce qui suit :
Si la date est antérieure à « Mon Apr 7 20:33:29 UTC 2014 » et que la version est « 1.0.1 », alors votre système est vulnérable au bogue Heartbleed.
Pour corriger ce bogue, mettez à jour OpenSSL vers la dernière version et exécutez
Vérifiez maintenant la version et exécutez
Cela produira quelque chose comme ce qui suit :
Sécurisez la console, la mémoire partagée, /tmp et /var/tmp
Sécuriser la console
Par défaut, de nombreux terminaux sont activés dans votre système. Vous ne pouvez autoriser qu’un seul terminal et désactiver les autres terminaux.
Pour autoriser uniquement « tty1 » et désactiver les autres terminaux, modifiez le fichier « /etc/securetty ».
Ajoutez/Modifiez les lignes suivantes :
Pour sécuriser le fichier « /etc/securetty », modifiez l’autorisation du fichier et exécutez les commandes suivantes :
Mémoire partagée sécurisée
Tout utilisateur peut utiliser la mémoire partagée pour attaquer un service en cours d’exécution, comme Apache ou httpd. Par défaut, la mémoire partagée est montée en lecture/écriture avec l’autorisation d’exécution.
Pour le rendre plus sécurisé, éditez le fichier « /etc/fstab ».
Ajoutez la ligne suivante :
Pour effectuer les modifications sans redémarrer, vous pouvez exécuter
/tmp et /var/tmp sécurisés
Les répertoires temporaires tels que /tmp, /var/tmp et /dev/shm ouvrent la porte aux attaquants pour fournir de l’espace pour exécuter des scripts et des exécutables malveillants.
Dossier /tmp sécurisé
Créez un fichier de système de fichiers de 1 Go pour la partition /tmp.
Créez une sauvegarde du dossier /tmp actuel :
Montez la nouvelle partition /tmp et définissez les bonnes autorisations.
Copiez les données du dossier de sauvegarde et supprimez le dossier de sauvegarde.
Définissez le /tmp dans le fbtab.
Ajoutez la ligne suivante :
Testez votre entrée fstab.
/var/tmp sécurisé :
Certains logiciels utilisent ce dossier comme dossier temporaire, nous devons donc également sécuriser celui-ci.
Pour sécuriser /var/tmp, créez un lien symbolique qui fait que /var/tmp pointe vers /tmp.
Définir des limites de sécurité et désactiver les services indésirables
Définir des limites de sécurité
Pour protéger votre système des attaques à la bombe à fourche, vous devez définir une limite de processus pour vos utilisateurs.
Pour le configurer, éditez le fichier « /etc/security/limits.conf »,
et éditez la ligne suivante :
Cela empêchera les utilisateurs d’un groupe spécifique d’avoir un maximum de vingt processus et maximisera le nombre de processus à cent pour user1.
Désactiver les services inutiles
De nombreux services dans Ubuntu prennent de la mémoire et de l’espace disque que vous pourriez avoir besoin d’utiliser. La désactivation ou la suppression de services inutiles peut améliorer les performances globales du système.
Pour connaître les services en cours d’exécution, exécutez la commande suivante :
Vous pouvez le désactiver en exécutant cette commande.
Correction de la vulnérabilité Shellshock Bash :
La vulnérabilité Shellshock permet aux pirates d’attribuer des variables d’environnement Bash et d’obtenir un accès non autorisé au système. Cette vulnérabilité est très facile à exploiter.
Pour vérifier la vulnérabilité du système, exécutez la commande suivante :
Si vous voyez la sortie ci-dessous, cela signifie que votre système est vulnérable.
Pour corriger cette vulnérabilité, exécutez la commande suivante :
Si vous exécutez à nouveau la commande, vous verrez :
Conclusion:
Ici, nous avons expliqué les choses de base que vous pouvez faire pour durcir Ubuntu. Vous devriez maintenant avoir une compréhension suffisante des pratiques de sécurité de base que vous pouvez implémenter sur votre serveur Ubuntu. J’espère que ce post vous sera utile.
Référence: Guide de durcissement Ubuntu
Cet article est-il utile ? Oui Non