Plus que jamais, nous vivons dans un monde où les organisations sont constamment bombardées par des violations de sécurité motivées par l’acquisition de données hautement sensibles et confidentielles qui sont extrêmement précieuses et représentent une énorme récompense financière.
Il est plutôt surprenant que, malgré un risque élevé de subir une cyberattaque potentiellement dévastatrice, la plupart des entreprises ne soient pas bien préparées ou ignorent simplement les signaux d’alerte, souvent avec des conséquences dévastatrices.
En 2016, Equifax a subi une violation de données catastrophique où des millions de dossiers clients hautement confidentiels ont été volés suite à une série de failles de sécurité. Un rapport détaillé a indiqué que la violation aurait pu être évitée si les bonnes mesures de sécurité avaient été mises en place par l’équipe de sécurité d’Equifax.
En fait, des mois avant la violation, Equifax avait été averti d’une vulnérabilité potentielle dans leur portail web qui compromettrait leur sécurité, mais malheureusement, l’avertissement a été ignoré avec de graves conséquences. De nombreuses autres grandes entreprises ont été victimes d’attaques, qui continuent de se complexifier à chaque instant.
Nous ne saurions trop insister sur l’importance de la sécurité de votre système Linux. Vous n’êtes peut-être pas une institution financière de haut profil qui est une cible potentielle pour les violations de sécurité, mais cela ne signifie pas que vous devriez baisser votre garde.
La sécurité doit être au sommet de vos préoccupations lors de la configuration de votre serveur Linux en particulier si celui-ci sera connecté à Internet et accessible à distance. Posséder des compétences de base en matière de sécurité est essentiel pour protéger votre serveur Linux.
Dans ce guide, nous nous concentrons sur certaines des mesures de sécurité fondamentales que vous pouvez prendre pour protéger votre système contre les intrus.
Vecteurs d’attaque cryptographique
Les intrus exploiteront diverses techniques d’attaque pour accéder à votre serveur Linux. Avant de nous plonger dans certaines des mesures que vous pouvez prendre pour protéger votre système, découvrez certains des vecteurs d’attaque courants que peut utiliser un hacker pour infiltrer les systèmes.
1. Attaques par force brute
A brute-force attack is an attack where the hacker uses trial and error to guess the login credentials of the user. Usually, the intruder will use automated scripts to continuously gain entry until the right combination of the username and password is obtained. This kind of attack is most effective where weak & easily guessable passwords are used.
2. Identifiants faibles
Comme on l’a mentionné plus tôt, les identifiants faibles tels que des mots de passe courts et faciles à deviner, comme password1234, représentent un risque potentiel pour votre système. Plus court et moins complexe un mot de passe est, plus haute est la probabilité que votre système soit compromise.
3. Piégée
Piégée est une technique de manipulation sociale où l’attaquant envoie un courriel à la victime qui semble venir d’une institution légitime ou de quelqu’un que vous connaissez ou avec qui vous faites affaires.
Généralement, le courriel contient des instructions qui incitent la victime à divulguer des informations sensibles ou peut contenir un lien qui les dirige vers un site frauduleux qui se fait passer pour le site de l’entreprise. Une fois que la victime tente de se connecter, ses informations d’identification sont capturées par l’attaquant.
4. Logiciels malveillants
Malware est l’abréviation de logiciel malveillant. Il englobe un large éventail d’applications néfastes telles que les virus, les chevaux de Troie, les vers et le ransomware qui sont conçus pour se propager rapidement et prendre en otage le système de la victime en échange d’une rançon.
De telles attaques peuvent être paralysantes et peuvent paralyser les activités d’une organisation. Certains logiciels malveillants peuvent être injectés dans des documents tels que des images, des vidéos, des fichiers Word ou PowerPoint et emballés dans un courriel de phishing.
5. Attaques par déni de service (DoS)
A DoS attack is an attack that limits or impacts the availability of a server or computer system. The hacker floods the server with traffic or ping packets that render the server inaccessible to users for prolonged durations.
A DDoS (Distributed Denial of Service) attack is a kind of DoS that employs multiple systems that flood a target with traffic rendered it unavailable.
6. Attaque par injection SQL
Un acronyme pour Structured Query Language, SQL est un langage utilisé pour communiquer avec les bases de données. Il permet aux utilisateurs de créer, supprimer et mettre à jour des enregistrements dans la base de données. Un grand nombre de serveurs stockent des données dans des bases de données relationnelles qui utilisent SQL pour interagir avec la base de données.
Une attaque par injection SQL exploite une vulnérabilité SQL connue qui fait divulguer par le serveur des informations sensibles de la base de données qu’il ne le ferait pas autrement en injectant du code SQL malveillant. Cela représente un risque énorme si la base de données stocke des informations personnelles telles que les numéros de carte de crédit, les numéros de sécurité sociale et les mots de passe.
7. Attaque par homme du milieu
Communément abrégé en MITM, l’attaque homme-au-milieu implique un attaquant interceptant des informations entre deux points avec l’objectif d’épier ou de modifier le trafic entre les deux parties. L’objectif est de surveiller la victime, corrompre les données ou voler des informations sensibles.
Conseils de base pour sécuriser votre serveur Linux
Ayant examiné les portes d’entrée potentielles qu’un attaquant peut utiliser pour s’introduire dans votre système, passons en revue certaines des mesures fondamentales que vous pouvez prendre pour protéger votre système.
1. Sécurité physique
Peu de réflexion est accordée à l’emplacement physique et à la sécurité de votre serveur, cependant, si vous allez avoir votre serveur dans un environnement on-premise, c’est généralement là où vous commenceriez.
Il est important de s’assurer que votre serveur est sécurisé en toute sécurité dans un centre de données avec alimentation de secours, connectivité Internet redondante et refroidissement suffisant. L’accès au centre de données doit être limité aux seuls personnels autorisés.
2. Mettre à jour vos dépôts système et vos paquets
Une fois le serveur configuré, la première étape à prendre est de mettre à jour les dépôts et les paquets de logiciels applicatifs comme suit. La mise à jour des paquets comble les éventuelles failles qui pourraient exister dans les versions existantes des applications.
Pour les distributions Ubuntu / Debian:
$ sudo apt update -y $ sudo apt upgrade -y
Pour les distributions RHEL / CentOS:
$ sudo yum upgrade -y
3. Activer un pare-feu
A firewall is an application that filters incoming and outgoing traffic. You need to install a robust firewall such as the UFW firewall and enable it to only allow the required services and their corresponding ports.
Par exemple, vous pouvez l’installer sur Ubuntu en utilisant la commande :
$ sudo apt install ufw
Une fois installé, activez-le comme suit :
$ sudo ufw enable
Pour autoriser un service tel que HTTPS, exécutez la commande ;
$ sudo ufw allow https
Sinon, vous pouvez autoriser son port correspondant qui est 443.
$ sudo ufw allow 443/tcp
Puis rechargez pour que les changements prennent effet.
$ sudo ufw reload
Pour vérifier l’état de votre pare-feu, y compris les services autorisés et les ports ouverts, exécutez
$ sudo ufw status
4. Désactiver les Services/Ports Inutiles
De plus, envisagez de désactiver tous les services et ports inutiles ou non nécessaires sur le pare-feu. Avoir de nombreux ports qui ne sont pas utilisés ne fait qu’augmenter le paysage des attaques.
5. Sécuriser le Protocole SSH
Les paramètres SSH par défaut ne sont pas sécurisés, et donc certains ajustements sont requis. Assurez-vous d’appliquer les paramètres suivants :
- Désactiver l’utilisateur root pour la connexion à distance.
- Activer l’authentification SSH sans mot de passe à l’aide de clés publiques/privées SSH.
Pour le premier point, modifiez le fichier /etc/ssh/sshd_config et modifiez les paramètres suivants pour qu’ils apparaissent comme indiqué.
PermitRootLogin no
Une fois que vous avez désactivé l’utilisateur root pour la connexion à distance, créez un utilisateur régulier et attribuez-lui des privilèges sudo. Par exemple.
$ sudo adduser user $ sudo usermod -aG sudo user
Pour activer l’authentification sans mot de passe, commencez par vous rendre sur un autre ordinateur Linux – de préférence votre PC – et générez une paire de clés SSH.
$ ssh-keygen
Ensuite, copiez la clé publique sur votre serveur
$ ssh-copy-id user@server-IP
Une fois connecté, assurez-vous de désactiver l’authentification par mot de passe en modifiant le fichier /etc/ssh/sshd_config et en modifiant le paramètre indiqué.
PasswordAuthentication no
Veillez à ne pas perdre votre clé privée SSH car c’est la seule méthode que vous pouvez utiliser pour vous connecter. Gardez-la en sécurité et, de préférence, faites-en une sauvegarde dans le cloud.
Enfin, redémarrez SSH pour mettre en œuvre les modifications
$ sudo systemctl restart sshd
Résumé
Dans un monde aux menaces cybernétiques en évolution, la sécurité devrait être une priorité élevée lorsque vous démarrez la configuration de votre serveur Linux. Dans ce guide, nous avons souligné certaines des mesures de sécurité de base que vous pouvez prendre pour renforcer votre serveur. Dans le prochain sujet, nous allons aller plus loin et examiner des étapes supplémentaires que vous pouvez prendre pour durcir votre serveur.