Quelles sont les bonnes pratiques pour sécuriser mon serveur Linux exécuté sur Lightsail ?

Lecture de 5 minute(s)
0

Je suis administrateur système, responsable des instances Amazon Lightsail exécutées sur Linux. Je souhaite connaître les bonnes pratiques en matière de sécurité des serveurs que je peux utiliser pour protéger mes données.

Résolution

Voici les bonnes pratiques de base en matière de sécurité des serveurs Linux. Cette liste n’est pas exhaustive. En tant qu’administrateur système local, vous devez configurer de nombreux paramètres complexes en fonction de vos besoins et de votre cas d’utilisation.

Chiffrez les communications de données vers votre serveur Linux et à partir de celui-ci

Utilisez SCP, SSH, rsync ou SFTP pour les transferts de fichiers. N’utilisez pas FTP et Telnet, car ils ne sont pas sécurisés. Pour maintenir une connexion sécurisée (HTTPS), installez et configurez un certificat SSL/TLS sur votre serveur.

Réduire le nombre de logiciels pour minimaliser les vulnérabilités sous Linux et effectuer régulièrement des audits de sécurité

Pour corriger les vulnérabilités provenant de logiciels ou de packages, n’installez pas de logiciels inutiles. Si possible, identifiez et supprimez tous les packages indésirables.

Maintenir à jour le noyau et les logiciels Linux

Les correctifs de sécurité constituent une partie importante de la maintenance des serveurs Linux. Linux fournit tous les outils nécessaires pour maintenir votre système à jour. Vous pouvez facilement changer de version. Vérifiez et appliquez toutes les mises à jour de sécurité dès leur publication, et assurez-vous d’installer la dernière version du noyau disponible. Pour appliquer toutes les mises à jour de sécurité, utilisez les gestionnaires de packages disponibles sur votre distribution Linux, tels que yum, apt-get, ou dpkg.

Utiliser les extensions de sécurité Linux

Linux est fourni avec des fonctionnalités de sécurité que vous pouvez utiliser pour vous prémunir contre les programmes mal configurés ou compromis. Si possible, utilisez SELinux et d’autres extensions de sécurité Linux pour imposer des limites au réseau et à d’autres programmes.

Désactiver la connexion en tant qu’utilisateur racine

Ne vous connectez pas en tant qu’utilisateur racine. Si nécessaire, il est préférable d’utiliser sudo pour exécuter des commandes de niveau racine. Sudo renforce la sécurité du système et ne partage pas les informations d’identification avec d’autres utilisateurs et administrateurs. Pour plus d’informations, consultez Disallowing root access sur le site Web de Red Hat.

Utilisez SS ou netstat pour trouver les ports d’écoute sur le réseau et fermez ou limitez tous les autres ports

Utilisez ss ou netstat pour trouver les ports qui écoutent sur les interfaces réseau du système. Tout port ouvert peut être la preuve d’une intrusion. Pour plus d’informations, consultez Linux networking: socket stats via ss et Linux networking: 13 uses for netstat sur le site Web de Red Hat.

Configurer le pare-feu Lightsail et les pare-feux du système d’exploitation sur les serveurs Linux pour une sécurité accrue

Utilisez le pare-feu Lightsail pour filtrer le trafic. N’autorisez que le trafic nécessaire à votre serveur. Le pare-feu du système d’exploitation est un programme d’application réservé à l’utilisateur qui vous permet de configurer les pare-feu fournis par le noyau Linux. Selon votre distribution Linux, vous pouvez utiliser iptables, ufw, firewalld, etc. Pour plus d’informations sur **iptables ** et firewalld, consultez Setting and Controlling IP sets using iptables et Using firewalls sur le site Web de Red Hat. Pour plus d’informations sur ufw, consultez Security - Firewall sur le site Web d’Ubuntu.

Utiliser auditd pour auditer votre système

Utilisez auditd pour auditer votre système. Auditd permet d’écrire les enregistrements d’audit sur le disque. Il permet également de surveiller les activités du système comme les connexions au système, les authentifications, les modifications de compte et les refus SELinux. Ces enregistrements vous aident à identifier les activités malveillantes ou les accès non autorisés. Pour plus d’informations, consultez Configure Linux system auditing with auditd sur le site Web de Red Hat. 

Installation d’un IDS

Utilisez **fail2ban ** ou denyhost comme système de détection des intrusions (IDS). Fail2ban et denyhost analysent les fichiers journaux pour détecter un nombre excessif de tentatives de connexion infructueuses. Ensuite, ils bloquent l’adresse IP qui présente des signes d’activité malveillante.

Créer régulièrement des sauvegardes

Pour plus d’informations, consultez Instantanés dans Amazon Lightsail.

Éviter d’accorder des autorisations de lecture, d’écriture et d’exécution (777) de fichiers et de répertoires à des utilisateurs, des groupes et d’autres personnes

Vous pouvez utiliser chmod pour restreindre l’accès aux fichiers et aux répertoires comme le répertoire racine du site Web ou la racine du document. Pour plus d’informations, consultez Linux permissions: An introduction to chmod sur le site Web de Red Hat. Pour accorder l’accès uniquement aux utilisateurs autorisés, modifiez les autorisations. Pour plus d’informations, consultez How to manage Linux permissions for users, groups, and others sur le site Web de Red Hat. 

Informations connexes

Sécurité dans Amazon Lightsail

Validation de conformité pour Amazon Lightsail

Sécurité de l’infrastructure dans Lightsail

Bonnes pratiques pour sécuriser les instances Lightsail exécutées sur Windows Server

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an