Les pirates sont toujours à l’affût des vulnérabilités des serveurs. Il est de votre responsabilité de vous assurer que vos données sont sûres et sécurisées.
Minimisez les risques et assurez-vous que vos données sont en sécurité sur des serveurs sécurisés en mettant en œuvre nos conseils et nos meilleures pratiques en matière de sécurité des serveurs.
Connectivité Serveur Sécurisée
1. Établir Et Utiliser Une Connexion Sécurisée
Lors de la connexion à un serveur distant, il est essentiel d’établir un canal de communication sécurisé.
L’utilisation du protocole SSH (Secure Shell) est le meilleur moyen d’établir une connexion protégée. Contrairement au Telnet utilisé précédemment, l’accès SSH crypte toutes les données transmises dans l’échange.
Vous devez installer le démon SSH et disposer d’un client SSH avec lequel vous émettez des commandes et gérez des serveurs pour obtenir un accès à distance à l’aide du protocole SSH.
Remarque : Apprenez tout sur les différences entre Telnet et SSH et quand les utiliser.
2. Utiliser L’authentification Par Clés SSH
Au lieu d’un mot de passe, vous pouvez authentifier un serveur SSH à l’aide d’une paire de clés SSH, une meilleure alternative aux connexions traditionnelles. Les clés contiennent beaucoup plus de bits qu’un mot de passe et ne sont pas facilement déchiffrées par la plupart des ordinateurs modernes. Le cryptage populaire RSA 2048 bits équivaut à un mot de passe à 617 chiffres.
La paire de clés est constituée d’une clé publique et d’une clé privée.
La clé publique a plusieurs copies, dont une reste sur le serveur, tandis que d’autres sont partagées avec les utilisateurs. Toute personne disposant de la clé publique a le pouvoir de chiffrer les données, tandis que seul l’utilisateur disposant de la clé privée correspondante peut lire ces données. La clé privée n’est partagée avec personne et doit être conservée en toute sécurité. Lors de l’établissement d’une connexion, le serveur demande la preuve que l’utilisateur possède la clé privée, avant d’autoriser l’accès privilégié.
3. Protocole De Transfert De Fichiers Sécurisé
Pour transférer des fichiers vers et depuis un serveur sans risque que des pirates compromettent ou volent des données, il est essentiel d’utiliser le protocole de transfert de fichiers sécurisé (FTPS) . Il crypte les fichiers de données et vos informations d’authentification.
FTPS utilise à la fois un canal de commande et un canal de données, et l’utilisateur peut chiffrer les deux. Gardez à l’esprit qu’il ne protège les fichiers que pendant le transfert. Dès qu’elles arrivent sur le serveur, les données ne sont plus cryptées. Pour cette raison, chiffrer les fichiers avant de les envoyer ajoute une autre couche de sécurité.
4. Certificats Secure Sockets Layer
Sécurisez vos zones d’administration Web et vos formulaires avec Secure Socket Layer (SSL) qui protège les informations transmises entre deux systèmes via Internet. SSL peut être utilisé à la fois dans la communication serveur-client et dans la communication serveur-serveur.
Le programme brouille les données afin que les informations sensibles (telles que les noms, les identifiants, les numéros de carte de crédit et autres informations personnelles) ne soient pas volées en transit. Les sites Web qui ont le certificat SSL ont
Non seulement le certificat crypte les données, mais il est également utilisé pour l’authentification des utilisateurs. Par conséquent, en gérant les certificats pour vos serveurs, il aide à établir l’autorité des utilisateurs. Les administrateurs peuvent configurer les serveurs pour communiquer avec l’autorité centralisée et tout autre certificat signé par l’autorité.
5. Utilisez Des Réseaux Privés Et Des VPN
Une autre façon d’assurer une communication sécurisée consiste à utiliser des réseaux privés et virtuels (VPN) et des logiciels tels que OpenVPN (voir notre guide sur l’installation et la configuration d’OpenVPN sur CentOS). Contrairement aux réseaux ouverts qui sont accessibles au monde extérieur et donc sensibles aux attaques d’utilisateurs malveillants, les réseaux privés et virtuels restreignent l’accès à des utilisateurs sélectionnés.
Les réseaux privés utilisent une adresse IP privée pour établir des canaux de communication isolés entre les serveurs au sein de la même plage. Cela permet à plusieurs serveurs sous le même compte d’échanger des informations et des données sans s’exposer à un espace public.
Lorsque vous souhaitez vous connecter à un serveur distant comme si vous le faisiez localement via un réseau privé, utilisez un VPN. Il permet une connexion entièrement sécurisée et privée et peut englober plusieurs serveurs distants. Pour que les serveurs communiquent sous le même VPN, ils doivent partager des données de sécurité et de configuration.
Gestion Des Utilisateurs Du Serveur
6. Surveiller Les Tentatives De Connexion
L’utilisation d’un logiciel de prévention des intrusions pour surveiller les tentatives de connexion est un moyen de protéger votre serveur contre les attaques par force brute. Ces attaques automatisées utilisent une méthode d’essai et d’erreur, essayant toutes les combinaisons possibles de lettres et de chiffres pour accéder au système.
Le logiciel de prévention des intrusions surveille tous les fichiers journaux et détecte les tentatives de connexion suspectes. Si le nombre de tentatives dépasse la norme fixée, le logiciel de prévention d’intrusion bloque l’adresse IP pendant une certaine période, voire indéfiniment.
7. Gérer Les Utilisateurs
Chaque serveur a un utilisateur root qui peut exécuter n’importe quelle commande. En raison de sa puissance, la racine peut être très dangereuse pour votre serveur si elle tombe entre de mauvaises mains. Il est courant de désactiver complètement la connexion root dans SSH.
Étant donné que l’utilisateur root a le plus de pouvoir, les pirates concentrent leur attention sur la tentative de déchiffrer le mot de passe de cet utilisateur spécifique. Si vous décidez de désactiver complètement cet utilisateur, vous désavantagerez considérablement les attaquants et protégerez votre serveur des menaces potentielles.
Pour vous assurer que les tiers n’abusent pas des privilèges root, vous pouvez créer un compte d’utilisateur limité. Ce compte n’a pas la même autorité que la racine mais est toujours capable d’effectuer des tâches administratives à l’aide des commandes sudo.
Par conséquent, vous pouvez administrer la plupart des tâches en tant que compte d’utilisateur limité et utiliser le compte root uniquement lorsque cela est nécessaire.
Sécurité Du Mot De Passe Du Serveur
8. Établir Les Exigences De Mot De Passe
La première chose à faire est de définir les exigences et les règles de mot de passe qui doivent être suivies par tous les membres du serveur.
N’autorisez pas les mots de passe vides ou par défaut. Appliquez la longueur et la complexité minimales du mot de passe. Ayez une politique de verrouillage. Ne stockez pas les mots de passe à l’aide d’un cryptage réversible. Forcez l’expiration de la session en cas d’inactivité et activez l’authentification à deux facteurs.
9. Définir La Politique D’expiration Du Mot De Passe
La définition d’une date d’expiration pour un mot de passe est une autre pratique courante lors de l’établissement des exigences pour les utilisateurs. Selon le niveau de sécurité requis, un mot de passe peut durer quelques semaines ou quelques mois.
10. Utilisez Des Phrases Secrètes Pour Les Mots De Passe Du Serveur
Il existe plusieurs raisons pour lesquelles l’utilisation d’une phrase secrète plutôt qu’un mot de passe peut contribuer à améliorer la sécurité du serveur. La principale différence entre les deux est qu’une phrase secrète est plus longue et contient des espaces entre les mots. Par conséquent, il s’agit souvent d’une phrase, mais ce n’est pas obligatoire.
Par exemple, une phrase secrète de mot de passe peut être : Ilove!ToEatPizzaAt1676MainSt.
L’exemple donné est plus long qu’un mot de passe habituel et contient des lettres majuscules et minuscules, des chiffres et des caractères uniques.
De plus, il est beaucoup plus facile de mémoriser une phrase secrète qu’une chaîne de lettres aléatoires. Enfin, puisqu’il est composé de 49 caractères, il est plus difficile à craquer.
11. Mot De Passe à Ne Pas Faire
Si vous souhaitez maintenir un serveur sécurisé, vous devez éviter certaines choses en ce qui concerne les mots de passe. Tout d’abord, faites attention à l’endroit où vous stockez les mots de passe. Ne les écrivez pas sur des morceaux de papier et cachez-les dans le bureau.
Il est généralement conseillé de ne pas utiliser d’informations personnelles telles que votre date de naissance, votre ville natale, les noms de vos animaux de compagnie et d’autres éléments pouvant vous connecter, en tant qu’utilisateur, au mot de passe. Ceux-ci sont extrêmement faciles à deviner, en particulier par les personnes qui vous connaissent personnellement.
Les mots de passe qui ne contiennent que des mots simples du dictionnaire sont également faciles à déchiffrer, en particulier par des attaques par dictionnaire (force brute). Conscient du même risque, essayez d’éviter de répéter des séquences de caractères dans le même mot de passe.
Enfin, n’utilisez pas le même mot de passe pour plusieurs comptes .
Autres Bonnes Pratiques Pour Sécuriser Un Serveur
12. Mettre à Jour Et Mettre à Niveau Régulièrement Le Logiciel
La mise à jour régulière du logiciel sur un serveur est une étape cruciale pour le protéger des pirates. Les logiciels obsolètes ont déjà été explorés pour leurs points faibles, laissant la possibilité aux pirates d’en profiter et de nuire à votre système. Si vous gardez tout à jour, vous vous assurez qu’il est mis à jour pour se protéger en première ligne de défense.
Les mises à jour automatiques sont un moyen de garantir qu’aucune mise à jour n’est oubliée. Cependant, permettre au système d’effectuer de tels changements par lui-même peut être risqué. Avant de mettre à jour votre environnement de production, il est recommandé d’examiner les performances de la mise à jour dans un environnement de test.
Assurez-vous de mettre régulièrement à jour le panneau de configuration du serveur. Vous devez également mettre à jour régulièrement les systèmes de gestion de contenu, si vous en utilisez un, ainsi que les plugins qu’il peut avoir. Chaque nouvelle version inclut des correctifs de sécurité pour résoudre les problèmes de sécurité connus.
13. Supprimer Ou Désactiver Tous Les Services Inutiles
Augmentez la sécurité du serveur en réduisant le soi-disant vecteur d’attaque.
Ce terme de cybersécurité fait référence à l’installation et à la maintenance du strict minimum requis pour assurer le fonctionnement de vos services. Activez simplement les ports réseau utilisés par le système d’exploitation et les composants installés. Moins vous avez sur le système, mieux c’est.
Un serveur de système d’exploitation Windows ne doit disposer que des composants de système d’exploitation requis. Un serveur de système d’exploitation Linux doit avoir une installation minimale avec uniquement les packages vraiment nécessaires installés.
Étant donné que la plupart des distributions Linux écoutent les connexions entrantes sur Internet, vous souhaitez configurer un pare-feu pour n’autoriser que des ports spécifiques et refuser toutes les autres communications inutiles.
Vérifiez les dépendances avant d’installer le logiciel sur votre système pour vous assurer que vous n’ajoutez rien dont vous n’avez pas besoin. En outre, vérifiez quelles dépendances ont été démarrées automatiquement sur votre système et si vous les souhaitez.
14. Masquer Les Informations Du Serveur
Essayez de fournir le moins d’informations possible sur l’infrastructure sous-jacente. Moins on en sait sur le serveur, mieux c’est.
De plus, c’est une bonne idée de masquer les numéros de version de tout logiciel que vous avez installé sur le serveur. Souvent, ils révèlent, par défaut, la date de sortie exacte, ce qui peut aider les pirates lors de la recherche de faiblesses. Il est généralement simple de supprimer ces informations en les supprimant du
15. Utiliser Des Systèmes De Détection D’intrusion
Pour détecter toute activité non autorisée, utilisez un système de détection d’intrusion (IDS) , tel que Sophos, qui surveille les processus en cours d’exécution sur votre serveur. Vous pouvez le configurer pour vérifier les opérations quotidiennes, exécuter des analyses automatiques périodiques ou décider d’exécuter l’IDS manuellement.
16. Audit Des Fichiers
L’audit de fichiers est un autre bon moyen de découvrir les modifications indésirables sur votre système.
Il conserve un enregistrement de toutes les caractéristiques de votre système lorsqu’il est dans un bon état « sain », et le compare à l’état actuel.
17. Audit Des Services
L’audit de service explore les services en cours d’exécution sur le serveur, leurs protocoles et les ports via lesquels ils communiquent. La connaissance de ces spécificités aide à configurer les surfaces d’attaque dans le système.
18. Configurer Et Maintenir Un Pare-feu
Sécurisez votre serveur en contrôlant et en restreignant l’accès à votre système.
L’utilisation de CSF (ConfigServer et Firewall) est essentielle pour renforcer la sécurité de votre serveur. Il n’autorise que des connexions vitales spécifiques, verrouillant l’accès à d’autres services.
Configurez un pare-feu lors de la configuration initiale du serveur ou lorsque vous apportez des modifications aux services proposés par le serveur.
- Les services publics sont généralement gérés par des serveurs Web qui doivent autoriser l’accès à un site Web. Tout le monde peut accéder à ces services, souvent de manière anonyme, sur Internet.
- Les services privés sont utilisés lorsqu’il s’agit d’un panneau de contrôle de base de données, par exemple. Dans ce cas, plusieurs personnes sélectionnées doivent accéder au même point. Ils ont des comptes autorisés avec des privilèges spéciaux à l’intérieur du serveur.
- Les services internes sont ceux qui ne devraient jamais être exposés à Internet ou au monde extérieur. Ils ne sont accessibles que depuis le serveur et n’acceptent que les connexions locales.
Le rôle du pare-feu est d’autoriser, de restreindre et de filtrer l’accès en fonction du service auquel l’utilisateur est autorisé. Configurez le pare-feu pour restreindre tous les services sauf ceux obligatoires pour votre serveur.
19. Sauvegardez Votre Serveur
Bien que les étapes mentionnées précédemment soient conçues pour protéger les données de votre serveur, il est essentiel d’avoir une sauvegarde du système en cas de problème.
Stockez des sauvegardes chiffrées de vos données critiques hors site ou utilisez une solution cloud.
Que vous ayez des tâches de sauvegarde automatisées ou que vous les fassiez manuellement, assurez-vous de faire une routine de cette mesure de précaution. En outre, vous devez tester les sauvegardes en effectuant des tests de sauvegarde complets. Cela devrait inclure des «vérifications d’intégrité» dans lesquelles les administrateurs ou même les utilisateurs finaux vérifient que la récupération des données est cohérente.
20. Créer Des Environnements Multi-serveurs
L’isolation est l’un des meilleurs types de protection de serveur que vous puissiez avoir.
Une séparation complète nécessiterait des serveurs bare metal dédiés qui ne partagent aucun composant avec d’autres serveurs. Bien que ce soit le plus facile à gérer et le plus sûr, c’est aussi le plus cher.
Le fait d’avoir des environnements d’exécution isolés dans un centre de données permet ce que l’on appelle la séparation des tâches (SoD) et de définir la configuration du serveur en fonction des fonctions remplies par le serveur.
La séparation des serveurs de base de données et des serveurs d’applications Web est une pratique de sécurité standard. Les environnements d’exécution séparés sont particulièrement avantageux pour les grandes entreprises qui ne peuvent se permettre aucune faille de sécurité.
Des serveurs de base de données indépendants sécurisent les informations sensibles et les fichiers système contre les pirates qui parviennent à accéder aux comptes administratifs. De plus, l’isolation permet aux administrateurs système de configurer séparément la sécurité des applications Web et de minimiser la surface d’attaque en définissant des pare-feu d’applications Web.
21. Créer Des Environnements Isolés Virtuels
Si vous ne pouvez pas vous permettre ou n’avez pas besoin d’une isolation complète avec des composants de serveur dédiés, vous pouvez également choisir d’isoler les environnements d’exécution.
Cela vous aide à gérer les problèmes de sécurité qui peuvent survenir, en veillant à ce que les autres données ne soient pas compromises. Vous pouvez choisir entre des conteneurs ou la virtualisation de VM qui sont beaucoup plus faciles à mettre en place.
Une autre option pour les environnements virtualisés dans un système d’exploitation UNIX consiste à créer des prisons chroot. Chroot sépare un processus du répertoire racine du système d’exploitation central et lui permet d’accéder uniquement aux fichiers de son arborescence de répertoires. Cependant, ce n’est pas un isolement complet et ne doit être pratiqué qu’avec d’autres mesures de sécurité.
Conclusion : Sécuriser Votre Serveur
Après avoir lu cet article et suivi les recommandations de sécurité, vous devriez être plus confiant dans la sécurité de votre serveur.
La plupart des mesures de sécurité doivent être mises en œuvre lors de la configuration initiale du serveur, tandis que d’autres doivent faire partie de la maintenance continue ou périodique. Si la surveillance de votre serveur n’est pas automatisée, assurez-vous de concevoir et de suivre les contrôles de sécurité programmés.
Pour rester à jour avec les meilleures pratiques en matière de cybersécurité, nous vous recommandons d’envisager les certifications de cybersécurité et de suivre les leaders de l’industrie en matière de sécurité sur de nombreux podcasts disponibles.
Cet article a-t-il été utile?
Oui Non
