Sécuriser son serveur dédié : quelques conseils

Assomption avant de commencer : Bien entendu, vous êtes à jour des derniers correctifs de sécurité de l’ensemble de vos services…

En lisant un article faisant référence à un serveur mal sécurisé ; j’ai été pris de quelques doutes : et si mon serveur dédié était lui aussi mal sécurisé ?
Étant développeur et adepte de l’auto hébergement (oui je ne suis pas un grand fan des services hébergés chez les géants du net avec leurs clauses de confidentialité obscures…) je fais évoluer mon serveur dédié (services qui tournent dessus) au rythme de mes besoins… ce qui fait que la sécurité passe souvent au second plan…
Et rien de tel que de jeter un coup d’œil à la sécurisation de ces services de temps en temps…

Audit rapide et efficace

On commence avec nmap, avec les options qui vont bien :

On peut alors commencer à l’analyse du résultat, et à remédier aux problèmes.

DNS et Bind

Dans le rapport obtenu par nmap, si vous voyez :

et ensuite la liste de vos sous domaines; méfiance, cela veut dire que quiconque peut lister vos sous domaines; pas forcément une bonne idée si certains d’entre eux sont là pour des tests ou pour des services non publics…

Les solutions

Ces informations sont issues d’un article de TechRepublic , et n’hésitez pas à vérifier votre configuration avec zonecheck

HTTP et Apache

Dans le rapport obtenu par nmap, si vous voyez :

Et bien cela signifie que votre serveur est très bavard…

La solution

Sur Ubuntu, dirigez vous vers /etc/apache2/conf.d/security et éditez :

Si vous utilisez PHP, faites aussi un tour du côté de  /etc/php5/apache2/php.ini

Encore une fois, l’offuscation n’est pas une méthode de sécurisation en soit, mais moins les potentiels attaquants en savent, mieux c’est…
Ces informations sont issues de DebianAdmin

SSH et OpenSSH

Pour l’instant je ne peux que conseiller de lire cet article : http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html

à suivre…

3 réflexions au sujet de « Sécuriser son serveur dédié : quelques conseils »

  1. Sécurisé son serveur dédié n’est pas simple.
    Il ne faut surtout pas négliger la sécurité !
    A l’heure d’aujourd’hui beaucoup de Web Agencies installent un bête Apache sur un serveur dédié et croient à tord avoir un hébergement dignes de ce nom.
    On ne s’improvise pas administrateur système d’un jour à l’autre.
    Je pense qu’il est bien mieux de faire infogérer son serveur dédié ou VPS par des professionnels.
    A terme cela vous rapportera plus de clients, un très bon retour sur investissement, la garantie d’avoir vos données sécurisés, un contact en cas de problème et surtout un serveur en bonne santé, à jours, optimisé, surveillé, sauvegardé etc.

    Pour compléter un peut votre article, pensez à désactiver IPv6 si vous ne l’utiliser pas…

  2. Il y a aussi un module tres pratique avec Apache : mod_evasive qui permet de limiter les requetes (Exemple : IP bloque X secondes si plus de X requetes en X secondes).

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.

Le temps imparti est dépassé. Merci de saisir de nouveau le CAPTCHA.