Quelques conseils généraux pour sécuriser votre serveur VPS

Objectif

Lorsque vous commandez votre VPS, vous pouvez choisir une distribution ou un système d’exploitation à pré-installer. Le serveur est donc prêt à être utilisé après la livraison. Il vous incombe toutefois, en tant qu’administrateur, de mettre en oeuvre des mesures qui garantissent la sécurité et la stabilité de votre système.

Ce guide vous propose quelques conseils généraux pour sécuriser votre serveur.

Mettre à jour le système

Les développeurs des distributions effectuent de nombreuses mises à jour des paquets, très souvent pour des raisons de sécurité. Le maintien à jour de votre distribution est donc un point capital pour sécuriser votre VPS.

Cette mise à jour passera par deux étapes.

• La mise à jour de la liste des paquets :

apt-get update

• La mise à jour des paquets eux-mêmes :

apt-get upgrade

Cette opération est à effectuer régulièrement afin de conserver un système à jour.

Modifier le port d’écoute par défaut du service SSH

L’une des premières actions à effectuer sur votre serveur est de configurer le service SSH en changeant le port d’écoute. Il est défini sur le port 22 par défaut. Par conséquent, les tentatives de piratage de serveurs par des robots cibleront ce port. La modification de ce paramètre à l’aide d’un autre port est une mesure simple pour renforcer la protection de votre serveur contre les attaques automatisées.

Voici la commande pour modifier le fichier de configuration du service :

nano /etc/ssh/sshd_config

Vous devez ensuite trouver les lignes suivantes:

# What ports, IPs and protocols we listen for
Port 22

Remplacez le numéro 22 par le numéro de port de votre choix. N’entrez pas de numéro de port déjà utilisé sur votre système. Pour des raisons de sécurité, utilisez un nombre compris entre 49152 et 65535.
Enregistrez et quittez le fichier de configuration.

Redémarrez le service:

systemctl restart sshd

Cela devrait suffire pour appliquer les modifications. Vous pouvez également redémarrer le VPS (~$ reboot).

N’oubliez pas que vous devez indiquer le nouveau port chaque fois que vous demandez une connexion SSH à votre serveur, par exemple:

username@IPv4_of_your_VPS -p NewPortNumber

Modification du mot de passe associé à l’utilisateur “root”

Il est fortement recommandé de modifier le mot de passe de l’utilisateur root de façon à ne pas le laisser à la valeur par défaut sur un nouveau système.

Création d’un utilisateur avec des droits restreints

En général, les tâches qui ne nécessitent pas de privilèges root doivent être effectuées via un utilisateur standard. Vous pouvez créer un utilisateur à l’aide de la commande suivante:

adduser NomUtilisateurPersonnalisé

Remplissez ensuite les informations demandées par le système (mot de passe, nom, etc.).

Le nouvel utilisateur sera autorisé à se connecter via SSH. Lors de la connexion, utilisez les informations d’identification spécifiées.

Une fois connecté à votre système avec ces informations d’identification, si vous souhaitez effectuer des opérations nécessitant des droits administrateur, tapez la commande suivante :

su root

Entrez le mot de passe lorsque vous y êtes invité et la connexion active sera basculée vers l’utilisateur root.

Désactivation de l’accès au serveur via l’utilisateur root

L’utilisateur root est créé par défaut sur les systèmes GNU/Linux. L’accès root signifie avoir le plus d’autorisations sur un système d’exploitation. Il n’est pas recommandé et même dangereux de laisser votre VPS accessible uniquement par le biais de l’accès root, car ce compte peut effectuer des opérations irréversiblement dommageables.

Nous vous recommandons de désactiver l’accès direct à l’utilisateur root via le protocole SSH. N’oubliez pas de créer un autre utilisateur avant de suivre les étapes ci-dessous.

Vous devez modifier le fichier de configuration SSH de la même manière que décrit ci-dessus :

nano /etc/ssh/sshd_config

Localisez la section suivante:

# Authentication: 
LoginGraceTime 120
PermitRootLogin yes 
StrictModes yes

Remplacez yes par no sur la ligne PermitRootLogin.

Pour que cette modification soit prise en compte, vous devez redémarrer le service SSH:

systemctl restart sshd

Par la suite, les connexions à votre serveur via l’utilisateur root (ssh root@IPv4_of_your_VPS) seront rejetées.

Installation de Fail2ban

Fail2ban est un framework de prévention contre les intrusions dont le but est de bloquer les adresses IP inconnues qui tentent de pénétrer dans votre système. Ce logiciel est recommandé, même essentiel, pour se prémunir contre toute attaque brutale contre vos services.

Pour installer le package logiciel, utilisez la commande suivante :

apt-get install fail2ban

Une fois le paquet installé, il faut modifier le fichier de configuration de ce dernier pour l’adapter à votre usage. Avant toute modification, il est recommandé d’effectuer une sauvegarde du fichier de configuration en tapant la commande suivante :

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.backup

Apportez ensuite vos modifications sur le fichier :

nano /etc/fail2ban/jail.conf

Une fois ces modifications terminées, redémarrez le service à l’aide de la commande suivante :

/etc/init.d/fail2ban restart

Pour toute demande complémentaire concernant Fail2Ban, n’hésitez pas à consulter la documentation officielle de cet outil en cliquant sur ce lien.

Configuration du pare-feu interne (iptables)

Les distributions Linux et UNIX sont fournies avec un service de pare-feu nommé iptables. Par défaut, ce service ne possède aucune règle active. Vous pouvez le constater en tapant la commande suivante :

iptables -L

Nous vous recommandons alors de créer des règles sur ce pare-feu et de les ajuster à votre utilisation. Pour plus d’informations sur les diverses manipulations possibles, consultez la documentation officielle de la distribution utilisée.

(No Ratings Yet)

Loading...