Maison >Tutoriel système >Linux >6 façons de renforcer la sécurité de votre poste de travail Linux
Présentation | Comme je l'ai déjà dit, la sécurité, c'est comme conduire sur l'autoroute : quiconque conduit plus lentement que vous est un idiot, et quiconque conduit plus vite que vous est un fou. Les lignes directrices présentées dans cet article ne constituent qu’un ensemble de règles de base en matière de sécurité. Elles ne sont pas exhaustives et ne remplacent pas l’expérience, la prudence et le bon sens. Vous devez ajuster légèrement ces suggestions pour les adapter au contexte de votre organisation. |
Pour chaque administrateur système, voici quelques étapes nécessaires à suivre :
De plus, vous devriez également considérer certaines de ces meilleures mesures à prendre pour renforcer davantage votre système :
1. Liste noire des modules pertinents
Pour mettre sur liste noire les modules Firewire et Thunderbolt, ajoutez les lignes suivantes au fichier dans /etc/modprobe.d/blacklist-dma.conf :
blacklist firewire-core blacklist thunderbolt
Une fois le système redémarré, les modules ci-dessus seront sur liste noire. Même si vous ne disposez pas de ces ports, cela ne présente aucun mal.
2. e-mail racinePar défaut, les e-mails root sont entièrement conservés sur le système et ne sont souvent jamais lus. Assurez-vous de configurer /etc/aliases pour transférer les e-mails root vers la boîte aux lettres que vous lisez réellement, sinon vous risquez de manquer des notifications et des rapports système importants :
# Person who should get root’s mail root: [email protected]
Après avoir modifié ceci, exécutez newaliases et testez-le pour vous assurer que l'e-mail est réellement envoyé, car certains fournisseurs de messagerie rejetteront les e-mails provenant de domaines qui n'existent pas ou ne sont pas routables. Si tel est le cas, vous devrez ajuster votre configuration de transfert de courrier jusqu'à ce que cela fonctionne réellement.
3. Pare-feu, sshd et démon d'écouteLes paramètres de pare-feu par défaut dépendront de votre distribution, mais beaucoup autorisent les ports sshd entrants. À moins que vous n'ayez une raison bonne et valable d'autoriser le SSH entrant, celui-ci doit être filtré et le démon sshd désactivé.
systemctl disable sshd.service systemctl stop sshd.service
Vous pouvez toujours l'activer temporairement si vous avez besoin de l'utiliser.
De manière générale, votre système ne doit pas avoir de ports d'écoute autres que la réponse aux pings. Cela vous aidera à vous protéger contre les vulnérabilités Zero Day au niveau du réseau.
4. Mises à jour ou notifications automatiquesIl est recommandé d'activer les mises à jour automatiques, sauf si vous avez une très bonne raison de ne pas le faire, par exemple craindre que les mises à jour automatiques rendent votre système inutilisable (cela s'est déjà produit, cette inquiétude n'est donc pas sans fondement). À tout le moins, vous devez activer la notification automatique des mises à jour disponibles. La plupart des distributions disposent déjà de ce service qui s'exécute automatiquement pour vous, vous n'aurez donc probablement rien à faire. Consultez la documentation de votre distribution pour en savoir plus.
5. Afficher le journalVous devez garder un œil attentif sur toutes les activités qui se produisent sur votre système. Pour cette raison, logwatch doit être installé et configuré pour envoyer des rapports d'activité nocturnes indiquant toutes les activités se produisant sur le système. Cela ne protégera pas contre les attaquants dédiés, mais c'est un bon filet de sécurité qui doit être déployé.
Veuillez noter : de nombreuses distributions systemd n'installent plus automatiquement le serveur syslog requis par logwatch (cela est dû au fait que systemd s'appuie sur sa propre journalisation), vous devez donc installer et activer rsyslog et vous assurer que /var/log n'est pas vide avant logwatch a une quelconque utilité.
6. rkhunter et IDSÀ moins que vous ne compreniez réellement comment cela fonctionne et que vous ayez pris les mesures nécessaires pour le configurer correctement (comme placer la base de données sur un support externe, exécuter des vérifications à partir d'un environnement fiable, n'oubliez pas de mettre à jour la base de données de hachage après avoir effectué des mises à jour du système et des modifications de configuration, etc. etc.), sinon il n'est pas très utile d'installer rkhunter et un système de détection d'intrusion (IDS) comme aide ou tripwire. Si vous n'êtes pas disposé à suivre ces étapes et à ajuster la façon dont vous effectuez les tâches sur votre poste de travail, ces outils ne feront que causer des problèmes sans réel avantage en matière de sécurité.
Nous vous recommandons d'installer rkhunter et de l'exécuter la nuit. Il est assez facile à apprendre et à utiliser ; même s'il ne détecte pas les attaquants intelligents, il peut vous aider à repérer vos propres erreurs.
Titre original : 9 façons de renforcer votre station de travail Linux après l'installation de Distro, auteur : Konstantin Ryabitsev
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!