Sécuriser son serveur dédié : quelques conseils

Assomption avant de commencer : Bien entendu, vous êtes à jour des derniers correctifs de sécurité de l’ensemble de vos services…

En lisant un article faisant référence à un serveur mal sécurisé ; j’ai été pris de quelques doutes : et si mon serveur dédié était lui aussi mal sécurisé ?
Étant développeur et adepte de l’auto hébergement (oui je ne suis pas un grand fan des services hébergés chez les géants du net avec leurs clauses de confidentialité obscures…) je fais évoluer mon serveur dédié (services qui tournent dessus) au rythme de mes besoins… ce qui fait que la sécurité passe souvent au second plan…
Et rien de tel que de jeter un coup d’œil à la sécurisation de ces services de temps en temps…

Audit rapide et efficace

On commence avec nmap, avec les options qui vont bien :

On peut alors commencer à l’analyse du résultat, et à remédier aux problèmes.

DNS et Bind

Dans le rapport obtenu par nmap, si vous voyez :

et ensuite la liste de vos sous domaines; méfiance, cela veut dire que quiconque peut lister vos sous domaines; pas forcément une bonne idée si certains d’entre eux sont là pour des tests ou pour des services non publics…

Les solutions

Ces informations sont issues d’un article de TechRepublic , et n’hésitez pas à vérifier votre configuration avec zonecheck

HTTP et Apache

Dans le rapport obtenu par nmap, si vous voyez :

Et bien cela signifie que votre serveur est très bavard…

La solution

Sur Ubuntu, dirigez vous vers /etc/apache2/conf.d/security et éditez :

Si vous utilisez PHP, faites aussi un tour du côté de  /etc/php5/apache2/php.ini

Encore une fois, l’offuscation n’est pas une méthode de sécurisation en soit, mais moins les potentiels attaquants en savent, mieux c’est…
Ces informations sont issues de DebianAdmin

SSH et OpenSSH

Pour l’instant je ne peux que conseiller de lire cet article : http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html

à suivre…