Alinea

Ceci est une ancienne révision du document !

Sécurité sur un serveur

Je ne vais pas être exhaustive, la sécurité dépendant des modèles de menace, de l'infrastructure, et n'étant jamais parfaite. Je passe rapidement la configuration de base (ne pas pouvoir se co en “root”, utiliser sudo, paramétrer SSH) : un bon système est une base.

Tout ce qui suit est pour Debian Stable.

Points de base

Checklist rapide. Configuration de :

  • Gestion des utilisatrices (groupes Sudoers). Pas de compte “root” facile d'accès.
  • SSH
  • Pare-feu (nftables)
  • Paramétrer l'envoi de mails depuis le serveur (msmtp ou autre)
  • Journalisation et audit
  • Fail2ban/Reaction
  • Backup
  • Monitoring et alertes

Désactiver ce qui ne sert pas

Moins de trucs installés = moins de surface d'attaque.

  • Désactiver les modules noyaux inutiles ? (les lister ?)
  • Désactiver les services inutiles
    • Lister : sudo systemctl list-unit-files –state=enabled
  • Supprimer les paquets inutiles, éviter d'installer les “suggérés” et questionner l

Journalisation et audit

À voir ?

  • L'outil “auditd” pour journaliser les accès à des ressources critiques ? (/etc/passwd, /etc/shadow, /etc/sudoers, commandes sudo…)
  • Paramétrer rsyslog (non je n'aime pas journald), logrotate
  • Envoyer les logs à un serveur central (TODO : voir quel logiciel j'utilise pour ça).

Surveillance des modifications : voir AIDE/Samhain/OSSEC/Autre ? Rkhunter est obsolète.

Alertes de sécurités :

Analyses

Alternative à Rkhunter ? Repérer les signatures de trucs foireux.

Logwatch

sudo apt install logwatch

Logwatch n'est pas un outil qui va agir, par contre il analyse les logs et en rends un rapport plus digeste. Si, vraiment plus digeste, ça permet de voir les bots.

C'est donc utile pour améliorer ses filtres. Une fois msmtp configuré (ou autre solution d'envoi de mail), créer le dossier pour Logwatch : 

sudo mkdir /var/cache/logwatch

Et le paramétrer 

sudo cp /usr/share/logwatch/default.conf/logwatch.conf /etc/logwatch/conf/
sudo nano /etc/logwatch/conf/logwatch.conf

Dans mon cas je permet surtout l'envoi du rapport par mail, mais à adapter si besoin (entre autre l'émetteur/Récepteur), et la quantité de détails (à adapter au fil des filtres…) :

/etc/logwatch/conf/logwatch.conf
Output = mail
Detail = 5

Pour MailTo on peut déclarer plusieurs adresses mails, séparées par un espace : 

MailTo = mail1@moi.net mail2@moi.net

Et un coup de cron journalier (sur root) : 

15 1 * * * /usr/sbin/logwatch >/dev/null 2>&1 #logwatch

Lynis

Lynis aide à auditer son système. Il ne fait rien seul, mais il aide à voir là où on est pas forcément top. Simplement sudo apt install lynis.

Pour voir la liste des options : 

sudo lynis

Pour un check du systeme, en root : 

lynis audit system

Des recommendations et conseils sont présents à la fin de l'analyse, suivant ce qui a été détecté. Moralité je vais pouvoir encore améliorer ma doc…

Debsecan

Debescan est un outil permettant de générer une liste des vulnérabilités affectant une installation de Debian particulière. Debescan fonctionne sur l'hôte devant être vérifié et télécharge les informations à propos de des vulnérabilités par Internet. Il peut envoyer des courriels aux intéressés lorsque de nouvelles vulnérabilités sont découvertes ou lorsqu'une mise à jour de sécurité devient disponible.

Source : https://packages.debian.org/fr/stable/debsecan

(Il y a une coquille entre le nom du logiciel sur Debian et sa description dans les paquets…)

Est-ce utile de l'avoir ? Il y a énormément de failles, beaucoup n'étant pas forcément

, ,

Ce texte est placé sous licence CC0

CC Attribution-Noncommercial-Share Alike 4.0 International Driven by DokuWiki 🏳️‍🌈 Symboles inclusifs et politiques
pratique/informatique/securite_serveur.1749210034.txt.gz · Dernière modification : 06/06/2025 13:40 de Zatalyz