6 étapes clés dans la mise en œuvre et la configuration du serveur

Inhoudsopgave

server racks

Avant de mettre votre nouveau serveur Linux en fonction, vous devez suivre 6 étapes clés pour vous assurer qu’il est configuré correctement et en toute sécurité. Les détails de ces étapes peuvent varier d’une distribution à l’autre, mais conceptuellement, ils s’appliquent à toutes les versions de Linux. En suivant ces étapes sur les nouveaux serveurs, vous pouvez vous assurer qu’ils ont au moins une protection fondamentale contre les attaques les plus courantes. Découvrez les étapes de la mise en œuvre et la configuration du serveur

1. Configuration utilisateur et configuration réseau pour Linux

La première chose que vous voudrez faire, si cela ne faisait pas partie de la configuration de votre système d’exploitation, est de changer le mot de passe root. Cela devrait être évident, mais peut être étonnamment ignoré lors d’une configuration habituelle de serveur. Le mot de passe doit comporter au moins 8 caractères, en utilisant une combinaison de lettres majuscules et minuscules, de chiffres et de symboles. Vous devez également configurer une stratégie de mot de passe qui spécifie les exigences de vieillissement, de verrouillage, d’historique et de complexité si vous envisagez d’utiliser des comptes locaux. Dans la plupart des cas, vous devez désactiver complètement l’utilisateur root et créer des comptes d’utilisateurs non privilégiés avec accès sudo pour ceux qui nécessitent des droits élevés.

L’une des configurations les plus élémentaires que vous devrez effectuer consiste à activer la connectivité réseau en attribuant au serveur une adresse IP et un nom d’hôte. Pour la plupart des serveurs, vous souhaiterez utiliser une adresse IP statique afin que les clients puissent toujours trouver la ressource à la même adresse. Si votre réseau utilise des VLAN, déterminez à quel point le segment du serveur est isolé et où il conviendrait le mieux. Si vous n’utilisez pas IPv6, désactivez-le. Définissez le nom d’hôte, le domaine et les informations du serveur DNS. Deux serveurs DNS ou plus doivent être utilisés pour la redondance et vous devez tester nslookup pour vous assurer que la résolution de noms fonctionne correctement.

2. Gestion des packages, mise à jour de l’installation et de la configuration

Vraisemblablement, vous configurez votre nouveau serveur dans un but spécifique, alors assurez-vous d’installer tous les packages dont vous pourriez avoir besoin s’ils ne font pas partie de la distribution que vous utilisez. De même, tous les packages étrangers installés sur votre système doivent être supprimés pour réduire l’empreinte du serveur. Tout cela doit être fait via la solution de gestion des packages de votre distribution, telle que yum ou apt pour une gestion plus facile sur la route. Une fois que vous avez installé les bons packages sur votre serveur, vous devez vous assurer que tout est mis à jour. Pas seulement les packages que vous avez installés, mais aussi le noyau et les packages par défaut. Sauf si vous avez besoin d’une version spécifique, vous devez toujours utiliser la dernière version de production pour sécuriser votre système. Habituellement, votre solution de gestion de packages fournira la dernière version prise en charge. Vous devriez également envisager de configurer des mises à jour automatiques dans l’outil de gestion des packages si cela fonctionne pour les services que vous hébergez sur ce serveur.

3. Configuration NTP pour Linux Server

Configurez votre serveur Linux pour synchroniser son heure avec les serveurs NTP. Il peut s’agir de serveurs NTP internes si votre environnement en dispose, ou de serveurs de temps externes disponibles pour tout le monde. L’important est d’empêcher la dérive de l’horloge, où l’horloge du serveur est décalée par rapport à l’heure réelle. Cela peut entraîner de nombreux problèmes, notamment des problèmes d’authentification où le décalage temporel entre le serveur et l’infrastructure d’authentification est mesuré avant d’accorder l’accès. Cela devrait être un simple ajustement, mais c’est un élément critique de l’infrastructure fiable.

4. Firewalls et iptables

Selon votre distribution, iptables peut déjà être complètement verrouillé et vous obliger à ouvrir ce dont vous avez besoin, mais quelle que soit la configuration par défaut, vous devriez toujours y jeter un œil et vous assurer qu’elle est configurée comme vous le souhaitez. N’oubliez pas de toujours utiliser le principe du moindre privilège et d’ouvrir uniquement les ports dont vous avez absolument besoin pour les services sur ce serveur. Si votre serveur se trouve derrière un firewall dédié, assurez-vous de tout refuser, sauf ce qui est nécessaire. En supposant que votre iptables / firewall EST restrictif par défaut, n’oubliez pas d’ouvrir ce dont vous avez besoin pour que votre serveur fasse son travail!

5. Sécurisation de la configuration SSH et Daemon

SSH est la principale méthode d’accès à distance pour les distributions Linux et doit donc être correctement sécurisée. Vous devez désactiver la capacité de root à SSH à distance, même si vous avez désactivé le compte, de sorte qu’au cas où root serait activé sur le serveur pour une raison quelconque, il ne serait toujours pas exploitable à distance. En option, vous pouvez modifier le port SSH par défaut pour le «masquer», mais honnêtement, une simple analyse révélera le nouveau port ouvert à quiconque souhaite le trouver. Enfin, vous pouvez désactiver complètement l’authentification par mot de passe et utiliser l’authentification basée sur un certificat pour réduire encore plus les chances d’exploitation SSH. Il est également important de définir les bonnes applications pour démarrer automatiquement au redémarrage. Assurez-vous de désactiver tous les daemons dont vous n’avez pas besoin. L’une des clés d’un serveur sécurisé est de réduire autant que possible l’empreinte active, de sorte que les seules surfaces disponibles pour l’attaque sont celles requises par une ou plusieurs applications. Une fois cela fait, les services restants devraient être renforcés autant que possible pour assurer la résilience.

6. SELinux, durcissement et journalisation supplémentaires

Si vous avez déjà utilisé une distribution Red Hat, vous connaissez peut-être SELinux, l’outil de renforcement du noyau qui protège le système contre diverses opérations. SELinux est excellent pour protéger contre l’utilisation non autorisée et l’accès aux ressources système. Il est également excellent pour casser des applications, alors assurez-vous de tester votre configuration avec SELinux activé et utilisez les journaux pour vous assurer que rien de légitime n’est bloqué. Au-delà de cela, vous devez rechercher le renforcement des applications comme MySQL ou Apache, car chacune aura une suite de meilleures pratiques à suivre. Enfin, vous devez vous assurer que le niveau de journalisation dont vous avez besoin est activé et que vous disposez de ressources suffisantes pour cela. Vous finirez par dépanner ce serveur, alors faites-vous plaisir et créez la structure de journalisation dont vous aurez besoin pour résoudre rapidement les problèmes. La plupart des logiciels ont une journalisation configurable, mais vous aurez besoin d’essais et d’erreurs pour trouver le bon équilibre entre pas assez d’informations et trop d’informations. Il existe une multitude d’outils de journalisation tiers qui peuvent vous aider dans tout, de l’agrégation à la visualisation, mais chaque environnement doit d’abord être pris en compte pour ses besoins. Ensuite, vous pouvez trouver les outils qui vous aideront à les remplir.

Configuration du serveur Linux et comment ITAF peut-il vous aider?

Chacune de ces étapes peut prendre un certain temps à mettre en œuvre, surtout si vous effectuez cette opération pour la première fois. Mais en établissant une routine de configuration et d’infrastructure de serveur initiale, vous pouvez vous assurer que les nouvelles machines de votre environnement seront résistantes. Pour toute question relative à la configuration de votre communication de serveur à serveur, contactez-nous et nous serons heureux de vous aider.

Deel dit bericht

Partager sur facebook
Partager sur linkedin
Partager sur twitter
Partager sur email
Ongelezen inhoud
Je hebt nog meer interessante onderwerpen om te ontdekken 90%
Meer uit deze categorie

Rester informé

Abonnez-vous à notre newsletter