Nous avons pens\u00e9 qu’il serait utile de jeter un coup d’\u0153il \u00e0 certaines de ces mesures, que vous pouvez prendre pour assurer la s\u00e9curit\u00e9 de votre serveur.<\/p>\n
1. \u00c9tablir une politique de mots de passe<\/h2>\n
Vous devez d\u00e9finir une politique de mots de passe, qui doit \u00eatre scrupuleusement respect\u00e9e par tous les membres ayant acc\u00e8s \u00e0 votre serveur. Parmi les recommandations les plus courantes, vous pouvez retrouver celles-ci :<\/p>\n
- \n
- Activez l’authentification \u00e0 deux facteurs ;<\/li>\n
- N’utilisez pas de mots du dictionnaire ou d’informations personnelles dans les mots de passe ;<\/li>\n
- Utilisez des mots de passe complexes d\u2019au moins 10 caract\u00e8res, comprenant des chiffres, des symboles et des signes de ponctuation ;<\/li>\n
- Ne stockez pas les mots de passe sur les ordinateurs portables, les smartphones ou les tablettes (tout ce qui se vole ou se perd facilement) ;<\/li>\n
- Utilisez un g\u00e9n\u00e9rateur de mot de passe<\/a> s\u00e9curis\u00e9 pour g\u00e9n\u00e9rer le mot de passe ;<\/li>\n
- Fixer une date d’expiration pour un mot de passe ;<\/li>\n
- Ne pas utiliser le m\u00eame mot de passe pour plusieurs comptes.<\/li>\n<\/ul>\n
![\"\u00c9tablir](\"https:\/\/www.codeur.com\/blog\/wp-content\/uploads\/2021\/09\/Data_security_14-1024x455.jpg\")
<\/p>\n2. S\u00e9curiser votre site internet avec HTTPS<\/h2>\n
HTTPS<\/a> est la version s\u00e9curis\u00e9e de HTTP. Il sert de protocole de communication pour s\u00e9curiser la communication entre deux syst\u00e8mes ; par exemple, pour un navigateur et un serveur web.<\/p>\n
Toute information entrant et sortant de votre serveur est automatiquement crypt\u00e9e lorsque SSL est pr\u00e9sent sur le serveur web. Cela emp\u00eache notamment un hacker de mettre la main sur les informations sensibles de vos visiteurs.<\/p>\n
Le protocole HTTPS utilise le protocole SSL\/TLS pour le cryptage et l’authentification. Il crypte les requ\u00eates et les r\u00e9ponses HTTP, afin que les attaquants ne voient que des caract\u00e8res al\u00e9atoires au lieu des d\u00e9tails d\u2019une carte de cr\u00e9dit, par exemple.<\/p>\n
Vous pouvez faire en sorte que votre serveur utilise le protocole SSL pour son serveur web en achetant un certificat SSL premium (tel que Komodo) et en configurant votre serveur pour qu’il l’utilise, ou en utilisant Let’s Encrypt pour appliquer un certificat SSL gratuit. Leur outil de ligne de commande \u00ab Certbot \u00bb peut vous aider \u00e0 mettre en place le protocole SSL en quelques minutes. J\u2019ai \u00e9crit un article qui peut vous aider, si vous ne savez pas comment choisir votre certificat SSL.<\/p>\n
3. Mettre \u00e0 jour le serveur r\u00e9guli\u00e8rement<\/h2>\n
Il est toujours utile de mettre \u00e0 jour r\u00e9guli\u00e8rement votre serveur pour prot\u00e9ger votre syst\u00e8me d’exploitation contre les pirates. Malheureusement, ce n\u2019est pas suffisant : vous devez \u00e9galement vous assurer de mettre \u00e0 jour r\u00e9guli\u00e8rement votre syst\u00e8me de gestion de contenu, tel que WordPress ou Prestashop<\/a>, ainsi que leurs th\u00e8mes et extensions.<\/p>\n
Un logiciel ou plugin obsol\u00e8te peut contenir des failles de s\u00e9curit\u00e9<\/a> connues des utilisateurs malveillants. Souvent, la r\u00e9v\u00e9lation publique d\u2019une faille de s\u00e9curit\u00e9 pr\u00e9c\u00e8de une mise \u00e0 jour. Autrement dit, la faille est connue de tous, il ne reste plus qu\u2019\u00e0 l\u2019exploiter\u2026<\/p>\n
![\"Mettre](\"https:\/\/www.codeur.com\/blog\/wp-content\/uploads\/2021\/09\/4270178-1024x1024.jpg\")
<\/p>\n4. D\u00e9sactiver les services inutiles<\/h2>\n
Il est \u00e9galement recommand\u00e9 de d\u00e9sactiver et m\u00eame de supprimer tous les services inutiles qui ne sont pas essentiels \u00e0 la fonctionnalit\u00e9 de votre serveur.<\/p>\n
Par d\u00e9faut, la plupart des syst\u00e8mes d’exploitation (bas\u00e9s sur Linux) sont fournis avec un outil de gestion des services. Vous pouvez l’utiliser pour d\u00e9sactiver et supprimer les services concern\u00e9s.<\/p>\n
Autre exemple : si votre site web est propuls\u00e9 par WordPress, vous devez supprimer tous les plugins et th\u00e8mes inutilis\u00e9s pour le prot\u00e9ger des attaques\u00a0: moins vous fournirez d’informations sur votre site, plus la base sur laquelle un pirate pourrait lancer une attaque sera r\u00e9duite.<\/p>\n
5. D\u00e9sactiver des ports inutilis\u00e9s<\/h2>\n
Ce passage fait directement \u00e9cho au pr\u00e9c\u00e9dent\u00a0: conserver des ports ouverts ne pose pas de risque de s\u00e9curit\u00e9 particulier, et ils sont parfois n\u00e9cessaires pour la communication entre diff\u00e9rents services ou applications. Il est m\u00eame obligatoire que certains ports soient activ\u00e9s, comme les ports 80 et 443 pour les connexions HTTP ou HTTPS, ou encore le port SSH que vous avez s\u00e9lectionn\u00e9.<\/p>\n
Si vous avez r\u00e9alis\u00e9 une installation syst\u00e8me minimale ne comprenant qu\u2019un petit nombre d\u2019applications tierces, le nombre de ports suppl\u00e9mentaires requis est limit\u00e9. Ces ports ouverts ne deviennent un risque que lorsque le programme l\u2019utilisant comporte une faille de s\u00e9curit\u00e9, et qu\u2019un pirate en profite.<\/p>\n
Comme nous l’avons vu plus haut, plus le nombre d\u2019applications est \u00e9lev\u00e9, plus le danger potentiel augmente. Il est donc logique de prot\u00e9ger votre serveur contre de telles attaques, en bloquant tous les ports ouverts inutilement. Presque tous les syst\u00e8mes d\u2019exploitation ont d\u00e9j\u00e0 install\u00e9 par d\u00e9faut un outil permettant de cr\u00e9er des r\u00e8gles fixes pour r\u00e9guler le trafic, ou de d\u00e9finir les ports souhait\u00e9s et ind\u00e9sirables.<\/p>\n
6. Installer un logiciel d’analyse des logiciels malveillants<\/h2>\n
Il est \u00e9galement recommand\u00e9 d’analyser votre serveur r\u00e9guli\u00e8rement pour d\u00e9tecter tout logiciel malveillant et le supprimer avant qu’il ne porte atteinte \u00e0 la s\u00e9curit\u00e9 de votre serveur. Si les logiciels malveillants sont rares sur les distributions Linux, ils ne sont pas inexistants.<\/p>\n
ClamAV<\/a> est l’un des meilleurs outils de recherche de logiciels malveillants pour Linux. Il analyse votre serveur et supprime automatiquement les logiciels ou les fichiers malveillants. Il prend en charge plusieurs formats de fichiers, notamment les documents, les ex\u00e9cutables et les archives.<\/p>\n
![\"Installer](\"https:\/\/www.codeur.com\/blog\/wp-content\/uploads\/2021\/09\/20945203-1024x1024.jpg\")
<\/p>\n\u00c0 lire aussi :\u00a07 bonnes pratiques pour s\u00e9curiser vos donn\u00e9es et les usages de vos collaborateurs<\/a><\/p><\/blockquote>\n
7. Installer un pare-feu<\/h2>\n
Vous pouvez installer configurer un pare-feu pour emp\u00eacher toute connexion non autoris\u00e9e vers (ou depuis) votre serveur. Presque toutes les distributions Linux int\u00e8grent un logiciel de pare-feu ou peuvent facilement \u00eatre ajout\u00e9es.<\/p>\n
CSF, \u00e9galement connu sous le nom de ConfigServer Security & Firewall,<\/a> est un pare-feu gratuit qui peut \u00eatre utilis\u00e9 pour prot\u00e9ger votre serveur contre diff\u00e9rents types d’attaques. Il v\u00e9rifie les \u00e9checs d’authentification de connexion sur votre serveur SSH, votre serveur de messagerie, votre serveur FTP, cPanel, DirectAdmin et Webmin et peut les bloquer imm\u00e9diatement. CSF est \u00e9galement capable de d\u00e9tecter de nombreuses attaques, telles que le balayage de ports et les attaques par force brute pour de nombreux services.<\/p>\n
8. S\u00e9curiser le serveur contre les attaques par force brute<\/h2>\n
Un hacker qui veut acc\u00e9der \u00e0 votre serveur (ou aux applications qui sont ex\u00e9cut\u00e9es sur celui-ci) dispose de plusieurs recours pour le faire. L\u2019un des types d\u2019attaques les plus simples et les plus courantes est la m\u00e9thode dite par force brute. Dans ce cas, le pirate essaie d\u2019acc\u00e9der aux mots de passe \u00e0 l\u2019aide d\u2019un outil qui tente une option apr\u00e8s l\u2019autre.<\/p>\n
Plus vous serez pr\u00e9voyant et prudent dans votre politique de mots de passe, moins il aura de chances que cette m\u00e9thode soit efficace. Gardez \u00e0 l’esprit que si vous offrez un service avec une option de cr\u00e9ation de compte, tous les utilisateurs ne seront pas aussi consciencieux et prudents qu\u2019il le faudrait.<\/p>\n
Heureusement, aucun logiciel complexe et co\u00fbteux n\u2019est n\u00e9cessaire pour se prot\u00e9ger contre de telles attaques : comme chaque tentative de connexion est enregistr\u00e9e, trait\u00e9e puis enregistr\u00e9e dans des fichiers logs de votre serveur, des outils d\u2019analyse simples peuvent vous aider.<\/p>\n
Fail2ban<\/a> (Linux-\/POSIX-Systeme) ou RdpGuard<\/a> (Windows) v\u00e9rifient les fichiers logs, d\u00e9tectent les comportements inhabituels et bloquent l\u2019adresse IP des utilisateurs suspects. Vous pouvez r\u00e9gler vous-m\u00eame le nombre de tentatives infructueuses n\u00e9cessaires avant le blocage de l\u2019IP, ainsi que la dur\u00e9e effective du blocage.<\/p>\n
9. Changer le port SSH<\/h2>\n
SSH<\/a> est le protocole le plus utilis\u00e9 pour se connecter \u00e0 un serveur distant. La plupart des gens utilisent SSH pour se connecter et g\u00e9rer leurs serveurs distants, \u00e0 l’aide d’un mot de passe.<\/p>\n
Pour acc\u00e9der \u00e0 un serveur via SSH, le port 22 est d\u00e9di\u00e9\u00a0: il est automatiquement configur\u00e9 lorsque vous avez install\u00e9 votre syst\u00e8me. Un hacker qui recherche un syst\u00e8me perm\u00e9able fera donc principalement ses tentatives d\u2019attaque via ce port.<\/p>\n
Toutefois, en d\u00e9finissant un port diff\u00e9rent pour ces connexions, vous minimisez consid\u00e9rablement le risque d\u2018acc\u00e8s non d\u00e9sir\u00e9. Il suffit pour cela simplement d\u2019ouvrir le fichier de configuration SSH avec l\u2019\u00e9diteur de texte de votre choix, puis de rechercher la ligne appropri\u00e9e et de remplacer le port 22 par un num\u00e9ro de votre choix.<\/p>\n
Attention : N’oubliez pas qu\u2019il existe plusieurs autres ports \u00ab standards \u00bb utiles pour d\u2019autres services (comme le port 80 pour HTTP), et que vous ne devriez pas les utiliser. Jetez d\u2019abord un coup d\u2019\u0153il \u00e0 la liste des ports logiciels (RCP et UDP), maintenue par l\u2019IANA<\/a> (Internet Assigned Numbers Authority).<\/p><\/blockquote>\n
10. Utiliser l’authentification par cl\u00e9 publique pour SSH<\/h2>\n
Pour finir avec SSH, vous pouvez, au lieu d’utiliser un mot de passe, utiliser l’authentification par cl\u00e9 pour vous connecter \u00e0 votre serveur distant : chaque utilisateur poss\u00e8de alors une cl\u00e9 publique et une cl\u00e9 priv\u00e9e. La cl\u00e9 priv\u00e9e est conserv\u00e9e par l’utilisateur, et la cl\u00e9 publique est plac\u00e9e sur le serveur.<\/p>\n
Une cl\u00e9 SSH comporte plus de bits qu’un mot de passe, et n’est pas facilement \u00ab craquable \u00bb. Vous devez garder votre cl\u00e9 priv\u00e9e en s\u00e9curit\u00e9 – ne la partagez avec personne !<\/p>\n