Accès aux consoles

Bonnes pratiques pour sécuriser l'accès à la console Linux

C05348A3-9AB8-42C9-A6E0-81DB3AC59FEB
           

Les serveurs Linux ont gagné en popularité en raison de la stabilité du système d'exploitation et parce qu'ils peuvent facilement être gérés à distance dans une configuration « sans tête ». L'accès SSH est toujours un moyen très populaire de gérer les serveurs Linux, mais dès que vous déployez un serveur de votre fournisseur de cloud préféré, une analyse de vos journaux système vous montrera à quelle vitesse et à quelle fréquence les pirates tenteront de se connecter en SSH dans votre boîte. . Les serveurs Linux faibles sont très prisés par les pirates pour les utiliser comme point de départ pour brouiller les pistes et pirater des cibles plus précieuses, pour les utiliser comme robots pour les attaques par déni de service distribué (DDOS) et même pour exploiter les crypto-monnaies.

Tous les fournisseurs de cloud précisent que grâce à leur modèle de responsabilité partagée, la sécurisation du système d'exploitation sur une machine virtuelle est votre responsabilité ! Si vous ne souhaitez pas apprendre à être un administrateur système modérément bon, trouvez une personne qualifiée pour vous aider.

Voici quelques conseils pour vous aider à protéger votre serveur :

  1. La première chose que vous devez faire lors du déploiement d'un serveur est de le patcher. Gardez votre serveur patché régulièrement et souvent, pas d'excuses !
  2. N'autorisez pas du tout les connexions SSH entrantes sur votre serveur, sauf si vous y êtes absolument obligé. De nombreux fournisseurs de cloud vous permettent d'obtenir un accès console à votre serveur via une console Web, telle que le gestionnaire de systèmes AWS. Oui, cela peut parfois être un peu maladroit, mais cela protégera votre système. Oui, cela signifie que vous ne pouvez pas utiliser SCP pour copier des fichiers sur votre système, mais si vous en avez besoin, vous vous trompez de toute façon !
  3. Si vous devez autoriser les connexions entrantes vers SSH, utilisez un groupe de sécurité (ou équivalent) et une règle de pare-feu pour limiter l'accès uniquement à partir de votre adresse IP ou de votre sous-réseau domestique ou professionnel. Ne le laissez pas ouvert sur le monde !
  4. Changer SSH pour qu'il s'exécute sur un port autre que 22 ne peut pas faire de mal, mais ne comptez pas sur cela pour protéger votre serveur, ils le trouveront et effectueront une analyse de port pour découvrir tous les ports ouverts.
  5. Ne conservez jamais un système avec un mot de passe par défaut pour toutes les applications ! Le Raspberry Pi par défaut est bien connu de tous et vous pouvez tout aussi bien annoncer que vous utilisez un serveur public. Évidemment, changez le mot de passe par défaut en une phrase secrète unique et sécurisée.
  6. Au lieu de mots de passe, utilisez des clés SSH chaque fois que possible pour éviter les attaques par force brute.
  7. En plus des clés SSH, utilisez une solution multi-facteurs (MFA), elles sont disponibles gratuitement auprès de Google, Duo et d'autres fournisseurs.
  8. N'autorisez jamais l'accès SSH au compte root. Configurez les comptes SSH pour exiger un mot de passe pour émettre des commandes sudo, s'ils accèdent à votre système, faites-les travailler pour cela !
  9. Exécutez toutes les applications sous un compte de service qui n'autorise pas l'accès SSH.
  10. Surveillez fréquemment les journaux de votre serveur et recherchez tout processus suspect ou signe d'activité inhabituelle. C'est votre responsabilité, et non celle du fournisseur de cloud, de le faire. Bien qu'ils puissent vous alerter d'une activité inhabituelle provenant de votre système, ils peuvent également vous bannir et fermer votre compte !
  11. Recherchez des options sans serveur, beaucoup de gens déploient un serveur Linux parce que c'est ce qu'ils connaissent le mieux, il pourrait très bien y avoir des solutions légèrement plus complexes qui n'impliquent pas l'exécution de vos propres serveurs, comme les fonctions Lambda et Google.

Je ne suis pas du tout affilié à eux, mais DigitalOcean fournit d'excellents guides sur la façon de configurer certaines de ces recommandations, telles que :

Restez en sécurité là-bas et Linux de manière responsable !

Commentaires publiés : 0

Tagged with:
Ssh