Skip to content

Sécurisation

Jump to bottom
RaphaelMarto edited this page Jun 7, 2022 · 7 revisions

Analyse de sécurité

Danger

  • Connexion par force brute ou mots de passe dérober.

  • DDOS c'est-à-dire faire planter le serveur.

  • Installation de Virus, Malware, etc.

  • Vole d'information ou ransomware.

  • Attaque physique.

  • Le facteur humain.

Contre-mesures

  • Tout d'abord s'assurer que vos utilisateurs et votre serveur ont des mots de passe forts.
  • Mettre en place une connexion SSH et modifier le port d'écoute par défaut de SSH.
  • Changer absolument le mot de passe par défaut des utilisateurs déjà présents.
  • Désactiver la connexion avec le root login.
  • Crée un utilisateur avec des permissions restreintes.
  • Mettre en place fail2ban.
  • Mettre en place un firewall tels que iptable et Netfilter.
  • Garder votre serveur à jour pour avoir les derniers mise à jour de sécurité.
  • Encrypté vos transferts de données avec GnuPG.
  • Désactiver les ports inutiles.
  • Installer un anti-virus.
  • Mettre les permissions read-only sur le dossier /boot.
  • Utiliser TCPWrapper pour contrer le spoofing.
  • Utiliser Plesk pour désactiver les transferts FTP anonymes.

Choix des contre-mesures et justification.

  • Nous avons mis en place une connexion SSH ainsi que changer le port par défaut (port 22) car comme nous avons pu le voir avec l'attaque de nos serveurs il faut absolument sécuriser sa connexion au serveur.
  • Mise en place de fail2ban pour éviter les attaques par brute force vu que fail2ban va les bannir pour une certaine période de temps après trop de tentative.
  • Désactiver la connexion avec le root ainsi que par mots de passe comme cela nous évitons tout risques que le mot de passe soit craqué ainsi que le fait que si les hackers veulent se connecter ils n'aient pas de nom d'utilisateur (car root est un nom d'utilisateur même si c'est un super utilisateur)
  • Mettre en place un firewall tel que Netfilter/iptables ils sont tous les deux intégré à Linux de base.
  • Désactiver les ports inutiles pour éviter tout faille de sécurité éventuel sur un port inutile.
  • Garder le serveur à jour, tout simplement car c'est très simple et que beaucoup de patchs de sécurité sont disponibles à chaque mise à jour.
  • Mettre le /boot en read only pour éviter que n'importe qui aille modifier des fichiers du kernel qu'il n'est pas censé atteindre.

Identification des risques résiduels (non-couverts par des contre-mesures)

  • Virus, malware et autre
  • Spoofing
  • transfert ftp anonyme
  • risque humain ( il faudrait sensibiliser les utilisateurs )

Mise en place des contre-mesures

fail2ban

fail2ban est une application qui va regarder les logs de plusieurs services et si il repère plusieurs tentatives de connexion qui ont échoué d'affiler
alors il va sanctionner en bannissant temporairement l'auteur de la tentative de connexion. Les sanctions en question sont définies dans le jail.local.

  • Installation de fail2ban
    sudo apt install fail2ban
  • Faire une backup du fichier de base
    sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
  • Puis modifier le fichier
    sudo nano /etc/fail2ban/jail.local
  • Entrée la configuration suivante : 
[sshd]
enabled = true
maxretry = 10
findtime = 120
bantime = 1200

[sshd-ddos]
enabled = true

[recidive]
enabled = true

[apache]
enabled = true

SSH

  • Mettre en place la clé ssh tout d'abord générer les clés
    ssh-keygen
  • Récupérer id_rsa.pub et mettez le dans le dossier ssh de votre vps
  • L'autre clé ssh il faut la mettre le dossier ssh de votre machine
  • Pour vous connecter en ssh
    ssh -i ssh/clé <user>@<ip> -p lePort
  • Modifier les paramètres de connexion ssh
    sudo nano /etc/ssh/sshd_config
  • Insérer les paramètre suivant : 
Port 1025
PermitRootLogin no
  • Redémarrer le service
    service ssh restart

UFW

UFW pour Uncomplicated firewall est donc un firewall intégrer a Ubuntu de base et qui va permettre de géré les ports de notre vps

  • Activer le ufw
    sudo ufw enable
  • UFW règle de base
    Par défaut connexion entrante refuser
    sudo ufw default deny incoming

    Par défaut connexion sortante accepter
    sudo ufw default allow outgoing
  • Ouvrir les ports désirés 
sudo ufw allow 1025  // le port 1025 ouvert (car notre ssh)
sudo ufw allow 80 // pour l'http
sudo ufw allow 443 // pour l'https
sudo ufw allow 53 // pour notre dns

// sur vps avec le voip
sudo ufw allow 5060 // pour voip
// sur vps avec le mail
sudo ufw allow 25 // pour le mail
// sur le vps avec la bdd uniquement
sudo ufw deny 3306 // refus de la connexion a la db

Boot

  • Mettre le dossier /boot en read-only
    chmod -R /boot

Source

https://docs.ovh.com/fr/vps/conseils-securisation-vps/ , Consulter le 15-05-22
https://www.eurovps.com/blog/20-ways-to-secure-linux-vps/ , Consulter le 15-05-22
https://aisn.net/10-dangerous-risks-to-your-server-security/ , Consulter le 15-05-22

Service DNS

Service Web

Services internes

Service Mail

Service VoIP

Prototype

Clone this wiki locally