6 façons de renforcer la sécurité de votre poste de travail Linux

Présentation

Comme je l'ai déjà dit, la sécurité, c'est comme conduire sur l'autoroute : quiconque conduit plus lentement que vous est un idiot, et quiconque conduit plus vite que vous est un fou. Les lignes directrices présentées dans cet article ne constituent qu’un ensemble de règles de base en matière de sécurité. Elles ne sont pas exhaustives et ne remplacent pas l’expérience, la prudence et le bon sens. Vous devez ajuster légèrement ces suggestions pour les adapter au contexte de votre organisation.

Pour chaque administrateur système, voici quelques étapes nécessaires à suivre :

• 1. Désactivez toujours les modules Firewire et Thunderbolt.
• 2. Vérifiez le pare-feu pour vous assurer que tous les ports entrants ont été filtrés.
• 3. Assurez-vous que l'e-mail racine est transféré au compte que vous avez vérifié.
• 4. Configurez un calendrier de mise à jour automatique du système d'exploitation ou mettez à jour le contenu du rappel.

De plus, vous devriez également considérer certaines de ces meilleures mesures à prendre pour renforcer davantage votre système :

• 1. Vérifiez que le service sshd est désactivé par défaut.
• 2. Configurez l'économiseur d'écran pour qu'il se verrouille automatiquement après une période d'inactivité.
• 3. Installez LogWatch.
• 4. Installez et utilisez rkhunter
• 5. Installer un système de détection d'intrusion

1. Liste noire des modules pertinents

Pour mettre sur liste noire les modules Firewire et Thunderbolt, ajoutez les lignes suivantes au fichier dans /etc/modprobe.d/blacklist-dma.conf :

blacklist firewire-core
blacklist thunderbolt

Une fois le système redémarré, les modules ci-dessus seront sur liste noire. Même si vous ne disposez pas de ces ports, cela ne présente aucun mal.

2. e-mail racine

Par défaut, les e-mails root sont entièrement conservés sur le système et ne sont souvent jamais lus. Assurez-vous de configurer /etc/aliases pour transférer les e-mails root vers la boîte aux lettres que vous lisez réellement, sinon vous risquez de manquer des notifications et des rapports système importants :

# Person who should get root’s mail
root:           [email protected]

Après avoir modifié ceci, exécutez newaliases et testez-le pour vous assurer que l'e-mail est réellement envoyé, car certains fournisseurs de messagerie rejetteront les e-mails provenant de domaines qui n'existent pas ou ne sont pas routables. Si tel est le cas, vous devrez ajuster votre configuration de transfert de courrier jusqu'à ce que cela fonctionne réellement.

3. Pare-feu, sshd et démon d'écoute

Les paramètres de pare-feu par défaut dépendront de votre distribution, mais beaucoup autorisent les ports sshd entrants. À moins que vous n'ayez une raison bonne et valable d'autoriser le SSH entrant, celui-ci doit être filtré et le démon sshd désactivé.

systemctl disable sshd.service
systemctl stop sshd.service

Vous pouvez toujours l'activer temporairement si vous avez besoin de l'utiliser.

De manière générale, votre système ne doit pas avoir de ports d'écoute autres que la réponse aux pings. Cela vous aidera à vous protéger contre les vulnérabilités Zero Day au niveau du réseau.

4. Mises à jour ou notifications automatiques

Il est recommandé d'activer les mises à jour automatiques, sauf si vous avez une très bonne raison de ne pas le faire, par exemple craindre que les mises à jour automatiques rendent votre système inutilisable (cela s'est déjà produit, cette inquiétude n'est donc pas sans fondement). À tout le moins, vous devez activer la notification automatique des mises à jour disponibles. La plupart des distributions disposent déjà de ce service qui s'exécute automatiquement pour vous, vous n'aurez donc probablement rien à faire. Consultez la documentation de votre distribution pour en savoir plus.

5. Afficher le journal

Vous devez garder un œil attentif sur toutes les activités qui se produisent sur votre système. Pour cette raison, logwatch doit être installé et configuré pour envoyer des rapports d'activité nocturnes indiquant toutes les activités se produisant sur le système. Cela ne protégera pas contre les attaquants dédiés, mais c'est un bon filet de sécurité qui doit être déployé.

Veuillez noter : de nombreuses distributions systemd n'installent plus automatiquement le serveur syslog requis par logwatch (cela est dû au fait que systemd s'appuie sur sa propre journalisation), vous devez donc installer et activer rsyslog et vous assurer que /var/log n'est pas vide avant logwatch a une quelconque utilité.

6. rkhunter et IDS

À moins que vous ne compreniez réellement comment cela fonctionne et que vous ayez pris les mesures nécessaires pour le configurer correctement (comme placer la base de données sur un support externe, exécuter des vérifications à partir d'un environnement fiable, n'oubliez pas de mettre à jour la base de données de hachage après avoir effectué des mises à jour du système et des modifications de configuration, etc. etc.), sinon il n'est pas très utile d'installer rkhunter et un système de détection d'intrusion (IDS) comme aide ou tripwire. Si vous n'êtes pas disposé à suivre ces étapes et à ajuster la façon dont vous effectuez les tâches sur votre poste de travail, ces outils ne feront que causer des problèmes sans réel avantage en matière de sécurité.

Nous vous recommandons d'installer rkhunter et de l'exécuter la nuit. Il est assez facile à apprendre et à utiliser ; même s'il ne détecte pas les attaquants intelligents, il peut vous aider à repérer vos propres erreurs.

Titre original : 9 façons de renforcer votre station de travail Linux après l'installation de Distro, auteur : Konstantin Ryabitsev

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!