Sécurisation de son VPS

La sécurisation de votre VPS (Virtual Private Server) Linux est une étape cruciale pour garantir la confidentialité, l'intégrité et la disponibilité de vos services. Un VPS mal sécurisé peut être une porte d'entrée pour les attaquants, leur permettant d'exécuter des attaques ou de voler des données sensibles.

Voici un guide complet pour sécuriser un VPS Linux :

1. Mettre à jour le système

  • Assurez-vous que votre système est à jour avec les derniers correctifs de sécurité. Les mises à jour régulières réduisent le risque d'exploitation de vulnérabilités.
  • Exécutez les commandes suivantes pour mettre à jour votre système :
    bash
    sudo apt update && sudo apt upgrade # Pour Debian/Ubuntu sudo yum update # Pour CentOS/RHEL
  • Configurez les mises à jour automatiques pour garantir que votre système reste à jour.

2. Configurer un pare-feu

  • Utilisez un pare-feu pour restreindre l'accès aux ports nécessaires uniquement.
  • UFW (Uncomplicated Firewall) : Si vous êtes sous Ubuntu/Debian, UFW est facile à configurer :
    bash
    sudo ufw allow ssh # Permet l'accès SSH sudo ufw allow http # Permet l'accès HTTP sudo ufw allow https # Permet l'accès HTTPS sudo ufw enable # Active le pare-feu sudo ufw status # Vérifie l'état du pare-feu
  • FirewallD pour CentOS/RHEL :
    bash
    sudo firewall-cmd --zone=public --add-service=ssh --permanent sudo firewall-cmd --zone=public --add-service=http --permanent sudo firewall-cmd --zone=public --add-service=https --permanent sudo firewall-cmd --reload

3. Configurer SSH de manière sécurisée

Le protocole SSH est souvent la cible d'attaques. Voici quelques bonnes pratiques pour sécuriser votre accès SSH :

  • Changer le port SSH par défaut (22) pour un autre port moins connu :
    bash
    sudo nano /etc/ssh/sshd_config # Modifier ou ajouter cette ligne : Port 2222 # Choisissez un port personnalisé sudo systemctl restart sshd
  • Désactiver l'accès root via SSH :
    bash
    sudo nano /etc/ssh/sshd_config # Modifier ou ajouter cette ligne : PermitRootLogin no sudo systemctl restart sshd
  • Utiliser l'authentification par clé SSH et désactiver l'authentification par mot de passe :
    • Générez une paire de clés SSH sur votre machine locale avec ssh-keygen.
    • Copiez la clé publique dans le fichier ~/.ssh/authorized_keys de votre VPS.
    • Désactivez l'authentification par mot de passe :
      bash
      sudo nano /etc/ssh/sshd_config PasswordAuthentication no sudo systemctl restart sshd
  • Limiter les tentatives de connexion SSH avec fail2ban :
    bash
    sudo apt install fail2ban # Sur Debian/Ubuntu sudo yum install fail2ban # Sur CentOS/RHEL sudo systemctl enable fail2ban sudo systemctl start fail2ban

4. Désactiver les services inutiles

Désactivez tous les services non nécessaires qui pourraient être une cible pour les attaquants :

  • Listez les services en cours d'exécution avec :
    bash
    sudo systemctl list-units --type=service
  • Désactivez les services non nécessaires avec :
    bash
    sudo systemctl stop <nom_du_service> sudo systemctl disable <nom_du_service>

5. Sécuriser les permissions des fichiers et des répertoires

  • Assurez-vous que les fichiers sensibles ont les bonnes permissions.
  • Utilisez la commande chmod pour définir des permissions restrictives :
    bash
    chmod 700 /home/utilisateur/.ssh # Restreindre l'accès au répertoire .ssh chmod 600 /home/utilisateur/.ssh/authorized_keys # Restreindre l'accès aux clés SSH
  • Ne donnez jamais de permissions de lecture/écriture sur des fichiers sensibles à des utilisateurs non autorisés.

6. Surveiller et gérer les logs

  • Surveillez les logs système pour détecter les activités suspectes. Les logs sont souvent une première ligne de défense contre les attaques.
  • Installez et configurez des outils comme Logwatch pour automatiser l'analyse des logs :
    bash
    sudo apt install logwatch # Sur Debian/Ubuntu sudo yum install logwatch # Sur CentOS/RHEL
  • Vérifiez les logs avec :
    bash
    sudo cat /var/log/auth.log # Vérifier les tentatives SSH sudo cat /var/log/syslog # Vérifier les erreurs systèmes

7. Activer SELinux (sur CentOS/RHEL) ou AppArmor (sur Ubuntu)

  • SELinux (Security-Enhanced Linux) fournit une politique de sécurité avancée qui peut aider à limiter les attaques.
    • Pour vérifier si SELinux est activé :
      bash
      sestatus
  • AppArmor pour les systèmes Ubuntu/Debian est une alternative similaire à SELinux.

8. Mettre en place des sauvegardes régulières

  • Effectuez des sauvegardes régulières de vos données critiques et de vos configurations. Utilisez des outils comme rsync ou des services de sauvegarde cloud.
  • Exemple de commande pour sauvegarder un répertoire :
    bash
    rsync -avz /chemin/vers/répertoire/ /chemin/vers/sauvegarde/

9. Utiliser un logiciel antivirus

Bien que les serveurs Linux soient moins vulnérables aux virus que les systèmes Windows, un antivirus peut aider à détecter des malwares et des rootkits. Vous pouvez utiliser des outils comme ClamAV :

bash
sudo apt install clamav # Sur Debian/Ubuntu sudo yum install clamav # Sur CentOS/RHEL

10. Auditer régulièrement la sécurité

  • Utilisez des outils comme Lynis pour effectuer des audits de sécurité automatisés sur votre VPS :
    bash
    sudo apt install lynis sudo lynis audit system
  • Effectuez des audits réguliers pour détecter toute nouvelle vulnérabilité.

11. Configurer une authentification à deux facteurs (2FA)

  • Configurez l'authentification à deux facteurs pour protéger l'accès SSH avec des outils comme Google Authenticator ou YubiKey.
  • Pour configurer 2FA avec pam_google_authenticator :
    bash
    sudo apt install libpam-google-authenticator google-authenticator
  • Suivez les instructions pour configurer l'authentification via une application mobile.

Conclusion

La sécurisation d'un VPS Linux est un processus continu. Vous devez régulièrement effectuer des mises à jour, surveiller les logs, auditer la sécurité, et appliquer des pratiques de sécurité de manière proactive. La mise en place d'un pare-feu, d'une gestion stricte des accès et de l'utilisation d'outils de sécurité comme fail2ban et ClamAV aidera à protéger votre VPS contre les attaques malveillantes.

  • 0 משתמשים שמצאו מאמר זה מועיל
?האם התשובה שקיבלתם הייתה מועילה