Quelles sont les bonnes pratiques pour sécuriser mon serveur Linux exécuté sur Lightsail ?

Date de la dernière mise à jour : 28/10/2021

Je suis administrateur système pour les instances Amazon Lightsail exécutant Linux. Quelles sont les bonnes pratiques de sécurité des serveurs que je peux utiliser pour protéger mes données ?

Résolution

Voici les bonnes pratiques de base en matière de sécurité des serveurs Linux. Bien que ces considérations soient importantes pour la sécurité des serveurs Linux, sachez que cette liste n'est pas exhaustive. De nombreux paramètres complexes doivent être configurés et traités par votre équipe d'administrateurs système locaux en fonction de vos besoins spécifiques et de votre cas d'utilisation.

  • Chiffrez les communications de données vers et depuis votre serveur Linux.
    Utilisez SCP, SSH, rsync ou SFTP pour les transferts de fichiers. Évitez d'utiliser des services tels que FTP, Telnet, etc., car ils ne sont pas sécurisés. Pour maintenir une connexion sécurisée (HTTPS), installez et configurez un certificat SSL sur votre serveur.
  • Minimisez les logiciels pour réduire les vulnérabilités dans Linux et effectuez régulièrement des audits de sécurité.
    N'installez pas de logiciels inutiles afin d'éviter d'introduire des vulnérabilités provenant de logiciels ou de packages. Si possible, identifiez et supprimez tous les paquets indésirables.
  • Maintenez le noyau Linux et les logiciels à jour.
    L'application de correctifs de sécurité est un élément important de la maintenance de votre serveur Linux. Linux fournit tous les outils nécessaires pour maintenir votre système à jour. Linux permet également des mises à niveau faciles entre les versions. Vérifiez et appliquez toutes les mises à jour de sécurité dès que possible et assurez-vous d'effectuer la mise à jour vers la dernière version du noyau disponible. Utilisez les gestionnaires de paquets respectifs en fonction de vos distributions Linux, tels que yum, apt-get ou dpkg, pour appliquer toutes les mises à jour de sécurité.
  • Utilisez les extensions de sécurité Linux.
    Linux est doté de diverses fonctions de sécurité que vous pouvez utiliser pour vous protéger contre les programmes mal configurés ou compromis. Si possible, utilisez SELinux et d'autres extensions de sécurité Linux pour appliquer des limitations sur le réseau et d'autres programmes. Par exemple, SELinux fournit différentes politiques de sécurité pour le noyau Linux.
  • Désactivez la connexion racine.
    Il est recommandé de ne pas se connecter en tant qu'utilisateur racine. Vous devez utiliser sudo pour exécuter les commandes au niveau racine si nécessaire. Sudo améliore considérablement la sécurité du système sans partager les informations d'identification avec d'autres utilisateurs et administrateurs.
  • Recherchez les ports réseau d'écoute à l'aide de SS ou de netstat et fermez ou limitez tous les autres ports.
    Il est important de faire attention aux ports qui écoutent sur les interfaces réseau du système. Cela peut se faire via ss ou netstat. Tous les ports ouverts peuvent être la preuve d'une intrusion.
  • Configurez le pare-feu Lightsail et les pare-feu au niveau du système d'exploitation sur les serveurs Linux afin de renforcer la sécurité.
    Utilisez le pare-feu Lightsail pour filtrer le trafic et n'autoriser que le trafic nécessaire vers votre serveur. Le pare-feu au niveau du système d'exploitation est un programme d'application de l'espace utilisateur qui vous permet de configurer les pare-feu fournis par le noyau Linux. Vous pouvez utiliser iptables, ufw, firewalld, etc., en fonction de votre distribution Linux.
  • Utilisez auditd pour la comptabilité du système.
    Linux fournit un auditd pour l'audit du système. Auditd écrit les enregistrements d'audit sur le disque. Il surveille également diverses activités du système, telles que les connexions système, les authentifications, les modifications de comptes et les refus SELinux. Ces enregistrements aident les administrateurs à identifier les activités malveillantes ou les accès non autorisés.
  • Installez un système de détection des intrusions (IDS).
    Utilisez fail2ban ou denyhost en tant qu'IDS. Fail2ban et denyhost analysent les fichiers journaux à la recherche d'un trop grand nombre de tentatives de connexion infructueuses et bloquent toute adresse IP qui montre des signes d'activité malveillante.
  • Créez régulièrement des sauvegardes.
    Pour plus d'informations, consultez Instantanés dans Amazon Lightsail.
  • Évitez de fournir aux utilisateurs, groupes et autres entités des autorisations de lecture, d'écriture et d'exécution (777) pour les fichiers et répertoires.
    Vous pouvez utiliser chmod pour restreindre l'accès aux fichiers et aux répertoires, tels que le répertoire racine web, la racine du document, et plus encore. Modifiez les autorisations pour fournir l'accès aux utilisateurs autorisés uniquement.