Les bonnes pratiques (Best pratices)
Afin de s'assurer que le système d'exploitation Linux fonctionne bien et qu'il soit à l'abri des attaques informatiques, il est important de mettre en application certaines bonnes pratiques. Voici une liste des bonnes pratiques :
1 - GRUB
Le gestionaire de démarrage GRUB offre la possibilité de démarrer un système d'exploitation mais il offre également la possibilité de démarrer un Linux non encrypté sans mot de passe «root» ! Pour cette raison, vous devriez vous assurez de mettre un mot de passe dans le logiciel GRUB afin qu'il ne soit pas possible de contourné les sécurités de Linux.
2 - Garder le système à jour
Il faudrait toujours garder le système d'exploitation à jour avec les dernières versions des correctifs (patch), des correctifs de sécurité (security fixes) et du noyau (kernel fixes) si possible. L'application de correctifs de sécurité est une partie importante de la maintenance d'un système d'exploitation Linux et fournit tous les outils nécessaires pour maintenir votre système à jour. On devrait donc exécuter régulièrement soit de façon automatisé ou manuellement les commandes suivantes :
yum updates yum check-update |
3 - Conserver le dossier /boot en lecture seulement
Le noyau de Linux (Kernel) et ses fichiers associés se trouvent dans le répertoire /boot étant par défaut en accessible en lecture et en écriture. Le passage en lecture seulement réduit le risque de modification non autorisée de fichiers de démarrage critiques. Par exemple, on peut modifier le fichier «/etc/fstab» comme ceci :
vi /etc/fstab |
et ajouter la ligne suivante en bas du fichier (où ro=readonly, soit un lecture seulement) :
LABEL=/boot /boot ext2 defaults,ro 1 2 |
Ensuite, on l'enregistre, puis on redémarre le serveur. Attention ! Il faudra modifier ce dossier à nouveau pour qu'il supporte à nouveau la lecture et l'écriture lorsqu'il faudra mettre à niveau le système d'exploitation.
4 - Limiter SSH
Le SSH est souvent une porte ouvert permettant d'entrée sur un système d'exploitation à l'insu de l'utilisateur. Pour éviter les risques, il faudra par exemple, changer le port SSH par défaut et remplacer le port 22 par 2222 par exemple. De plus, il faudrait parfois interdire l'utilisation d'un compte «root» pour se connecter à distance, et l'autoriser uniquement lorsqu'un utilisateur est déjà connecté et qu'il veut utiliser le compte «root». Il faudrait le protéger contre les attaques potentiels avec des utilitaires comme Fail2ban ou iptables par exemple. En résumé, le SSH n'est pas très sécurité contrairement à la signification de son nom.
5 - /var/log sur une partition différentes
Vous ne devriez jamais monter le dossier «/var/log/» sur la même partition que le dossier racine (/). Lorsque vous montez le journal de bord sur la même partition que la racine du système d'exploitation et que les journals de bord consomme tous l'espace disque, le système d'exploitation se retrouve parallélisé. Vous ne pourrez même plus vous connecter en ssh comprend ce qui se passe ! Pour cette raison, on s'efforce de ne pas mettre les fichiers de «/var/logs» dans la même partition que «/», et s'est particulièrement vrai sur un serveur Linux.
6 - Vérifier les comptes avec mots de passe vide
Vous devez vous assurer que tous les comptes ont des mots de passe forts et que personne ne dispose d'un accès non-autorisé. Les comptes avec un mot de passe vide sont des risques de sécurité et peuvent être facilement piratés.
7 - Utilisez des services de fichiers sécurisés
Vous devriez évitez autant que possible l'utilisation de services FTP, Telnet et Rlogin/Rsh et les remplacer par des services de transfert de fichiers comme scp, sftp,... Enfin, si vous n'avez pas de ses services non sécurisé, vous devriez carrément les supprimer de vos système d'exploitation Linux à l'aide de la commande suivante :
yum erase xinetd ypserv tftp-server telnet-server rsh-server |