Depuis sa sortie au début des années 90, Linux a gagné l'admiration de la communauté technologique grâce à sa stabilité, sa polyvalence, personnalisation et une grande communauté de développeurs open source qui travaillent 24 heures sur 24 pour fournir des corrections de bogues et des améliorations au fonctionnement système. Dans l'ensemble, Linux est le système d'exploitation de choix pour le cloud public, les serveurs et les superordinateurs, et près de 75 % des serveurs de production connectés à Internet fonctionnent sous Linux.
En plus d'alimenter Internet, Linux a trouvé sa place dans le monde numérique et n'a pas faibli depuis lors. Il alimente une vaste gamme de gadgets intelligents, notamment des smartphones Android, des tablettes, des montres intelligentes, des écrans intelligents et bien d'autres.
Linux est réputé pour sa sécurité de haut niveau et c'est l'une des raisons pour lesquelles il constitue un choix de prédilection dans les environnements d'entreprise. Mais voici un fait, aucun système d'exploitation n'est sécurisé à 100 %. De nombreux utilisateurs pensent que Linux est un système d'exploitation infaillible, ce qui est une fausse hypothèse. En fait, tout système d'exploitation doté d'une connexion Internet est susceptible de subir des violations potentielles et des attaques de logiciels malveillants.
Au cours de ses premières années, Linux avait une population démographique beaucoup plus petite et centrée sur la technologie et le risque de souffrir d'attaques de logiciels malveillants était faible. De nos jours, Linux alimente une énorme partie d'Internet, ce qui a propulsé la croissance du paysage des menaces. La menace des attaques de logiciels malveillants est plus réelle que jamais.
Un exemple parfait d'attaque de malware sur les systèmes Linux est le Logiciel de rançon Erebus, un malware de cryptage de fichiers qui a affecté près de 153 serveurs Linux de NAYANA, une société d'hébergement Web sud-coréenne.
Pour cette raison, il est prudent de renforcer davantage le système d'exploitation pour lui donner la sécurité tant souhaitée pour protéger vos données.
Sécuriser votre serveur Linux n'est pas aussi compliqué qu'on pourrait le penser. Nous avons compilé une liste des meilleures politiques de sécurité que vous devez mettre en œuvre pour renforcer la sécurité de votre système et maintenir l'intégrité des données.
Dans les premières étapes de la Violation d'Equifax, les pirates ont exploité une vulnérabilité largement connue - Jambes de force Apache – sur le portail Web des plaintes des clients d'Equifax.
Jambes de force Apache est un framework open source pour la création d'applications Web Java modernes et élégantes développées par la Fondation Apache. La Fondation a publié un correctif pour corriger la vulnérabilité le 7 mars 2017 et a publié une déclaration à cet effet.
Equifax a été informé de la vulnérabilité et a conseillé de corriger son application, mais malheureusement, la vulnérabilité n'a pas été corrigée jusqu'en juillet de la même année, date à laquelle il était trop tard. Les attaquants ont pu accéder au réseau de l'entreprise et exfiltrer des millions de dossiers clients confidentiels des bases de données. Au moment où Equifax a eu vent de ce qui se passait, deux mois s'étaient déjà écoulés.
Alors, que pouvons-nous apprendre de cela?
Les utilisateurs malveillants ou les pirates sondent toujours votre serveur à la recherche d'éventuelles vulnérabilités logicielles qu'ils peuvent ensuite exploiter pour violer votre système. Par mesure de sécurité, mettez toujours à jour votre logiciel avec ses versions actuelles pour appliquer des correctifs à toutes les vulnérabilités existantes.
Si vous courez Ubuntu ou alors Systèmes basés sur Debian, la première étape consiste généralement à mettre à jour vos listes de packages ou référentiels comme indiqué.
$ sudo apt mise à jour.
Pour rechercher tous les packages avec des mises à jour disponibles, exécutez la commande :
$ sudo apt list --upgradable.
La mise à niveau de vos applications logicielles vers leurs versions actuelles, comme indiqué :
$ sudo apt mise à niveau.
Vous pouvez concaténer ces deux en une seule commande, comme indiqué.
$ sudo apt update && sudo apt upgrade.
Pour RHEL & CentOS mettez à niveau vos applications en exécutant la commande :
$ sudo dnf update ( CentOS 8 / RHEL 8 ) $ sudo yum update (versions antérieures de RHEL et CentOS)
Une autre option viable consiste à activer les mises à jour de sécurité automatiques pour Ubuntu et aussi configurer les mises à jour automatiques pour CentOS / RHEL.
Malgré sa prise en charge d'une myriade de protocoles distants, les services hérités tels que rlogin, telnet, TFTP et FTP peuvent poser d'énormes problèmes de sécurité pour votre système. Ce sont des protocoles anciens, obsolètes et non sécurisés où les données sont envoyées en texte brut. S'ils existent, envisagez de les supprimer comme indiqué.
Pour les systèmes basés sur Ubuntu/Debian, exécutez :
$ sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server.
Pour RHEL / CentOS-systèmes basés, exécutez :
$ sudo yum effacer xinetd tftp-server telnet-server rsh-server ypserv.
Une fois que vous avez supprimé tous les services non sécurisés, il est important de scannez votre serveur pour les ports ouverts et fermez tous les ports inutilisés qui peuvent potentiellement être utilisés comme point d'entrée par des pirates.
Supposons que vous vouliez bloquer le port 7070 sur le Pare-feu UFW. La commande pour cela sera :
$ sudo ufw refuser 7070/tcp.
Ensuite, rechargez le pare-feu pour que les modifications prennent effet.
$ sudo ufw recharger.
Pour Pare-feud, exécutez la commande :
$ sudo firewall-cmd --remove-port=7070/tcp --permanent.
Et n'oubliez pas de recharger le pare-feu.
$ sudo firewall-cmd --reload.
Ensuite, vérifiez les règles de pare-feu comme indiqué :
$ sudo firewall-cmd --list-all.
Le protocole SSH est un protocole distant qui vous permet de vous connecter en toute sécurité à des appareils sur un réseau. Bien qu'il soit considéré comme sécurisé, les paramètres par défaut ne suffisent pas et quelques ajustements supplémentaires sont nécessaires pour dissuader davantage les utilisateurs malveillants de violer votre système.
Nous avons un guide complet sur comment durcir le protocole SSH. Voici les principaux faits saillants.
Fail2ban est un système de prévention des intrusions open source qui protège votre serveur des attaques par force brute. Il protège votre système Linux en interdisant les adresses IP qui indiquent une activité malveillante telle que trop de tentatives de connexion. Prêt à l'emploi, il est livré avec des filtres pour les services populaires tels que le serveur Web Apache, vsftpd et SSH.
Nous avons un guide sur la façon de configurer Fail2ban pour renforcer davantage le SSH protocole.
La réutilisation de mots de passe ou l'utilisation de mots de passe faibles et simples sape considérablement la sécurité de votre système. Vous appliquez une politique de mot de passe, utilisez pam_cracklib pour définir ou configurer les exigences de force de mot de passe.
En utilisant le module PAM, vous pouvez définir la force du mot de passe en modifiant le /etc/pam.d/system-auth fichier. Par exemple, vous pouvez définir la complexité du mot de passe et empêcher la réutilisation des mots de passe.
Si vous exploitez un site Web, assurez-vous toujours de sécuriser votre domaine à l'aide d'un Certificat SSL/TLS pour crypter les données échangées entre le navigateur des utilisateurs et le serveur Web.
Une fois que vous avez crypté votre site, pensez également à désactiver les protocoles de cryptage faibles. Au moment de la rédaction de ce guide, le dernier protocole est TLS 1.3, qui est le protocole le plus courant et le plus utilisé. Les versions antérieures telles que TLS 1.0, TLS 1.2 et SSLv1 à SSLv3 ont été associées à des vulnérabilités connues.
[ Vous pourriez aussi aimer: Comment activer TLS 1.3 dans Apache et Nginx ]
C'était un résumé de certaines des mesures que vous pouvez prendre pour assurer la sécurité et la confidentialité des données de votre système Linux.