[Guide] Sécuriser un serveur dédié et se prémunir des attaques


Bonsoir tous le monde,

Suite à la récente conversation sur la sécurisation de système linux sur serveur dédié,
J’aimerais que l’on puisse partager ensemble nos solutions et nos expériences sur cette articles,
afin que chacun puisse sécuriser correctement son serveur contre des attaques ou améliorer ses performances.
A vrai dire je connais linux sur le bout des doigts ainsi que la sécurité informatique, mon domaine est aussi la programmation web. Donc voilà si vous avez des conseils, des logiciels, scripts, n’hésitez pas à partager, sa serait sympa de centraliser nos outils et expériences wink

Ce guide est susceptible d’évoluer grâce à vos contributions smile
Merci de donner votre avis ou de me rectifier.

Guide de sécurité:
Plusieurs points sont abordés

La sécurisation d’Apache ne suffit pas car il faut prendre en compte les multiples failles de sécurité du réseau et du serveur en lui même, ne serait-ce que sur les autre services que le protocole HTTP.
Par exemple le serveur de DNS « BIND » est réputé pour être une vraie passoire.
La simple suppression des « quotes » ne suffit pas non plus à éviter toute tentative d’attaque par injection SQL.

1 – Firewalls
Il faut donc utiliser plusieurs couches de sécurité et certains hébergeurs proposent ce service avec tous leurs serveurs dédiés. Cela consiste tout d’abord à utiliser un Firewall précis, moderne et fiable. Les Firewalls doivent être redondants et prévu pour une très large capacité pour éviter les déni de service. Ces modèles sont très chers mais la sécurité qu’ils apportent est sans commune mesure avec les Firewalls bricolés à partir d’un Linux utilisés par la plupart des hébergeurs.

Les Firwalls disponibles sous Linux: IpTables

Iptables est un logiciel libre de l’espace utilisateur Linux grâce auquel l’administrateur système peut configurer les chaînes et règles dans le pare-feu en espace noyau (et qui est composé par des modules Netfilter).
Tutoriels sur ce firwall: Documentation UbuntuWikipedialiste des commandes expliqués très complète en françaisExplications et Fonctionnement/Configuration

2 – IPS
L’arme la plus redoutable est sans doute l’IPS pour « Prévention d’Intrusions Système »
Ce système permet de bloquer automatiquement l’adresse IP d’un assaillant lorsqu’une signature d’attaque est reconnue sur le réseau. Ce type d’outil contient une base de données de l’intégralité des signatures d’attaques connues. Là encore les logiciels de la communauté libre comme le plus connu « SNORT » ne suffisent pas car ils écoutent sur un port réseau et ne bloquent l’assaillant qu’après la première attaque … quand le mal est fait !
Il faut donc que le système soit en amount et ce que propose CISCO avec un module IPS intégré au Firewall qui permet de bloquer l’adresse IP de l’assaillant avant que l’attaque parvienne au serveur.

3 – Dimensionnement des équipements
Il faut aussi que l’hébergeur ne soit pas radin dans le dimensionnement des équipements réseau.
Si l’équipement est juste une simple attaque par déni de service (beaucoup de petits paquets envoyés sur le réseau) aura rapidement raison du réseau et du Firewall.

4 – Surveillance pro-active
Certains outils tels que NAGIOS permettent aussi de surveiller toute activité anormale (augmentation subite de la bande passante, trop de sessions, trop de petits paquets réseau…). Ces outils doivent-être mis en œuvre avec des seuils d’alerte qui informent immédiatement les personnes compétente.

5 – Mise à jour du système
Il faut impérativement bien sur que le système utilisé soit toujours parfaitement à jour.
Pour Linux certaines distributions proposent cette option et pour Windows la seule solution qui fonctionne parfaitement est de relier le serveur à un serveur de mises à jour bien configuré qui ordonne un reboot immédiat à Windows après chaque mise à jour critique de sécurité necessistant un redémarrage.

Les différents outils de sécurisation de serveur:

Fail2ban : est un script surveillant les accès réseau grâce aux logs des serveurs. Lorsqu’il détecte des erreurs d’authentification répétées, il prend des contre-mesures en bannissant l’adresse IP grâce à iptables. Cela permet d’éviter nombre d’attaques bruteforce et/ou par dictionnaire.

Rkhunter : est un programme de détection de rootkits.

chkrootkit : est un logiciel libre sous licence GNU GPL permettant de détecter si un système UNIX n’a pas été compromis par un rootkit.

Tripwire : aide à assurer l’intégrité de répertoires et de systèmes de fichiers importants en identifiant tout changement apporté à ceux-ci.

Lynis : est un outil d’audit de sécurité système.

Snort : est un système de détection d’intrusion libre.

Nagios : est une application permettant la surveillance système et réseau.

Autres ressources:
Linux: Sécurisation du serveur (SSH, firewall iptables, fail2ban…)Sécuriser une connection SSH,Awstats sécuriséSécurisation de serveur dédié (Apache, PHP, SSH, …)Installation et configuration d’un firwall (Iptables, accès réseaux, bios,..)

Se prémunir des attaques:

mod_evasive : permet de détecter les floods et les tentatives de déni de service. Ce module renvoie des erreurs HTTP 403 lorsque le seuil de sollicitation du serveur Web par IP a été dépassé.

mod_security : aidera à stopper les injections de type SQL, le cross-site scripting et d’autres attaques web par l’intermédiaire de données corrompues.

N’hésitez pas à contribuer wink

Laissez un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *