Protégez votre serveur domestique des attaques externes.

Aujourd'hui, je vais vous donner quelques astuces pour avoir un serveur domestique plus sécurisé (ou un peu plus grand). Mais avant qu'ils ne me déchirent vivant.

RIEN N'EST TOTALEMENT SÛR

Avec cette réserve bien définie, je continue.

Je vais passer par parties et je ne vais pas expliquer chaque processus très soigneusement. Je vais seulement le mentionner et clarifier une ou une autre petite chose, afin qu'ils puissent aller sur Google avec une idée plus claire de ce qu'ils recherchent.

Avant et pendant l'installation

• Il est fortement recommandé que le serveur soit installé le plus "minimal" possible. De cette façon, nous empêchons l'exécution de services dont nous ne savons même pas qu'ils sont là ou à quoi ils servent. Cela garantit que toute l'installation s'exécute par vous-même.
• Il est recommandé de ne pas utiliser le serveur comme poste de travail quotidien. (Avec lequel vous lisez cet article. Par exemple)
• J'espère que le serveur n'a pas d'environnement graphique

Partitionnement.

• Il est recommandé que les dossiers utilisés par l'utilisateur tels que "/ home /" "/ tmp /" "/ var / tmp /" "/ opt /" soient affectés à une partition différente de celle du système.
• Les dossiers critiques tels que "/ var / log" (où tous les journaux système sont stockés) sont placés sur une partition différente.
• Maintenant, selon le type de serveur, s'il s'agit par exemple d'un serveur de messagerie. Le tapis "/var/mail et / ou /var/spool/mail»Devrait être une partition séparée.

Le mot de passe.

Ce n'est un secret pour personne que le mot de passe des utilisateurs du système et / ou des autres types de services qui les utilisent, doit être sécurisé.

Les recommandations sont:

• Cela ne contient pas: Votre nom, le nom de votre animal de compagnie, le nom de vos proches, des dates spéciales, des lieux, etc. En conclusion. Le mot de passe ne doit avoir aucun élément lié à vous, ni à tout ce qui vous entoure ou à votre vie quotidienne, ni ne doit avoir quoi que ce soit lié au compte lui-même.  exemple: twitter # 123.
• Le mot de passe doit également respecter des paramètres tels que: Combiner les majuscules, les minuscules, les chiffres et les caractères spéciaux.  exemple: DiAFsd · 354 $ ″

Après l'installation du système

• C'est quelque chose de personnel. Mais j'aime supprimer l'utilisateur ROOT et attribuer tous les privilèges à un autre utilisateur, donc j'évite les attaques contre cet utilisateur. Être très commun.

• Il est très pratique de s'abonner à une liste de diffusion où les bogues de sécurité de la distribution que vous utilisez sont annoncés. En plus des blogs, bugzilla ou autres instances qui peuvent vous avertir d'éventuels bugs.
• Comme toujours, une mise à jour constante du système ainsi que de ses composants est recommandée.
• Certaines personnes recommandent également de sécuriser Grub ou LILO et notre BIOS avec un mot de passe.
• Il existe des outils comme "chage" qui permettent aux utilisateurs d'être forcés de changer leur mot de passe à chaque fois X, en plus du temps minimum qu'ils doivent attendre pour le faire et d'autres options.

Il existe de nombreuses façons de sécuriser notre PC. Tout ce qui précède était avant l'installation d'un service. Et mentionnez simplement quelques points.

Il existe des manuels assez complets qui valent la peine d'être lus. pour en savoir plus sur cette immense mer de possibilités. Au fil du temps, vous apprendrez l'une ou l'autre petite chose. Et vous vous rendrez compte qu'il manque toujours .. Toujours ...

Maintenant assurons-nous un peu plus PRESTATIONS DE SERVICE. Ma première recommandation est toujours: «NE LAISSEZ PAS LES CONFIGURATIONS PAR DÉFAUT». Allez toujours dans le fichier de configuration du service, lisez un peu ce que fait chaque paramètre et ne le laissez pas tel qu'il est installé. Cela pose toujours des problèmes.

Maintenant bien:

SSH (/ etc / ssh / sshd_config)

En SSH, nous pouvons faire beaucoup de choses pour qu'il ne soit pas si facile de violer.

Par exemple:

-Ne pas autoriser la connexion ROOT (si vous ne l'avez pas modifiée):

"PermitRootLogin no"

-Ne laissez pas les mots de passe être vides.

"PermitEmptyPasswords no"

-Changez le port où il écoute.

"Port 666oListenAddress 192.168.0.1:666"

-Autoriser uniquement certains utilisateurs.

"AllowUsers alex ref me@somewhere"   Le moi @ quelque part est de forcer cet utilisateur à toujours se connecter à partir de la même adresse IP.

-Autoriser des groupes spécifiques.

"AllowGroups wheel admin"

Conseils.

• Il est assez sûr et presque obligatoire de mettre en cage les utilisateurs ssh via chroot.
• Vous pouvez également désactiver le transfert de fichiers.
• Limitez le nombre de tentatives de connexion infructueuses.

Des outils presque indispensables.

Fail2ban : Cet outil qui est en repos, nous permet de limiter le nombre d'accès à de nombreux types de services "ftp, ssh, apache ... etc", en bannissant les ip qui dépassent la limite des tentatives.

Durcisseurs: Ce sont des outils qui nous permettent de "durcir" ou plutôt d'armer notre installation avec des Firewalls et / ou d'autres instances. Entre eux "Harden et Bastille Linux«

Détecteurs d'intrusion: Il existe de nombreux outils NIDS, HIDS et autres qui nous permettent de nous prévenir et de nous protéger des attaques, via des journaux et des alertes. Parmi de nombreux autres outils. Ça existe "OSSEC«

Pour finir. Ce n'était pas un manuel de sécurité, mais plutôt une série d'éléments à prendre en compte pour avoir un serveur assez sécurisé.

Comme conseil personnel. Lisez beaucoup sur la façon d'afficher et d'analyser les LOGS, et devenons des nerds Iptables. De plus, plus le logiciel est installé sur le serveur, plus il devient vulnérable, par exemple un CMS doit être bien géré, en le mettant à jour et en regardant très bien le type de plugins que nous ajoutons.

Plus tard, je veux envoyer un message sur la façon de garantir quelque chose de spécifique. Là si je peux donner plus de détails et faire la pratique.