Découvrez comment protéger votre serveur Linux

Quelle que soit la distribution Linux que vous utilisez, vous devez la protéger avec un pare-feu basé sur iptables.

Aha ! Vous avez configuré votre premier serveur Linux et êtes prêt à partir ! Vraiment ? Eh bien, attendez.

Par défaut, votre système Linux n'est pas suffisamment sécurisé contre les attaquants. Bien sûr, il est beaucoup plus sécurisé que Windows XP, mais cela ne veut pas dire grand-chose.

Pour sécuriser réellement votre système Linux, vous devez suivre le Guide de sécurité du serveur de Linode.

En général, vous devez d’abord désactiver les services dont vous n’avez pas besoin. Bien entendu, pour ce faire, vous devez d’abord savoir quels services réseau vous utilisez.

Vous pouvez utiliser la commande shell pour savoir quels services sont :

netstat -tulpn

netstat vous dira quels services sont en cours d'exécution et quels ports ces services utilisent. Si vous n'avez pas besoin d'un service ou d'un port, vous devez le désactiver. Par exemple, à moins que vous n'exploitiez un site Web, vous n'avez pas besoin d'un serveur Apache ou Nginx en cours d'exécution, ni d'avoir les ports 80 ou 8080 ouverts.

En bref, si vous n'êtes pas sûr, éteignez-le d'abord.

Sur un simple serveur Linux sans aucune modification supplémentaire, vous verrez SSH, RPC et NTPdate s'exécuter sur leurs ports publics. N'ajoutez pas un programme shell ancien et dangereux comme telnet, sinon l'ancien pilote chassera votre voiture de sport Linux sans que vous vous en rendiez compte. Peut-être avez-vous aimé Telnet comme connexion de secours à votre machine SunOS dans les années 1980, mais c'est révolu depuis longtemps.

Pour SSH, vous devez utiliser les clés RSA et Fail2Ban pour le renforcement. À moins que vous n'ayez besoin de RPC, désinstallez-le. Si vous ne savez pas que vous n'en avez pas besoin, vous n'en avez pas besoin.

Assez parlé du verrouillage ; parlons du verrouillage du trafic entrant à l’aide d’iptables.

Il n'y a pas de règles lorsque vous démarrez un serveur Linux. Cela signifie que tout trafic est autorisé. Bien sûr, c'est mauvais. Par conséquent, vous devez configurer votre pare-feu à temps.

Iptables est un outil shell utilisé pour définir les règles de politique réseau pour netfilter. Netfilter est le pare-feu par défaut sous les systèmes Linux. Il utilise un ensemble de règles pour autoriser ou interdire le trafic. Lorsque quelqu'un essaie de se connecter à votre système - et certaines personnes essaient cela tout le temps et ne se découragent jamais - iptables vérifie si ces requêtes correspondent à une liste de règles. Si aucune règle ne correspond, l'action par défaut est effectuée.

L'opération par défaut devrait être de « couper » la connexion, ce qui signifie interdire ces intrus intentionnels. Et cela ne leur permet pas de savoir ce qui se passe avec ces sondes réseau. (Vous pouvez également "Rejeter" le lien, mais cela leur permettra également de savoir que vous disposez d'un pare-feu Linux en cours d'exécution. Pour l'instant, moins les étrangers peuvent accéder à nos systèmes, mieux c'est. Du moins, je le pense)

Maintenant, vous pouvez utiliser iptables pour configurer votre pare-feu. Je l'ai déjà fait. Comme avant, j'ai fait du vélo pour me rendre au travail à six miles de là et c'était en montée des deux côtés. Et maintenant, j'y conduis.

C'est en fait une métaphore de mon utilisation de FirewallD dans les distributions Fedora et d'UFW (Uncomplicated Firewall) dans les distributions Debian. Ce sont des frontaux de shell faciles à utiliser pour iptables. Vous pouvez trouver une utilisation appropriée dans les guides Linode suivants : FirewallD et UFW.

Essentiellement, définir ces règles revient à placer un panneau « entrée interdite » sur votre serveur. Utilise le.

Mais ne vous enthousiasmez pas trop et fermez tous les liens. Par exemple :

sudo ufw default deny incoming

Ça semble être une bonne idée. N’oubliez pas, il interdit tous les liens, y compris le vôtre !

Super, c'est ce que ça fait. Cela signifie qu'il désactive également les connexions SSH. Cela signifie que vous ne pouvez plus vous connecter à votre nouveau serveur. Ouah!

Cependant, si vous faites une erreur, davantage de liens seront bannis par erreur. Vous voyez, le conducteur vétéran est également bloqué par vous.

Ou, pour être plus précis, il ne s’agit pas d’un phénomène isolé vécu par vous ou votre serveur. Bien sûr, vous n’êtes pas la Agence nationale de sécurité (NSA) qui fait l’objet de plus de 300 millions de tentatives d’attaque chaque jour. Mais le script d'attaque ne se soucie pas de qui vous êtes. Il vérifie simplement en permanence les serveurs présentant des vulnérabilités connues dans le réseau. Dans une journée normale, mon propre petit serveur serait touché par des centaines d'attaques.

Ça y est, qu'est-ce que tu attends ? Allez-y et renforcez vos services réseau. Installez FirewallD ou UFW pour renforcer votre serveur. Vous serez prêt à le faire.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!