« LINUX:Contrer les attaques » : différence entre les versions
Aucun résumé des modifications |
Aucun résumé des modifications |
||
(2 versions intermédiaires par le même utilisateur non affichées) | |||
Ligne 3 : | Ligne 3 : | ||
---- | ---- | ||
=But= | =But= | ||
Vous avez rendu accessible votre serveur à partir d'Internet. Maintenant il faut de mettre des bâtons dans les roues de ceux qui veulent attaquer votre serveur. | Vous avez rendu accessible votre serveur à partir d'Internet. Maintenant il faut de mettre des bâtons dans les roues de ceux qui veulent attaquer votre serveur. Ceci passe également par la sécurisation du matériel périphérique (PC, routers, switch, Wifi, téléphones, prises,...) | ||
Je renouvelle les conseils de base: | Je renouvelle les conseils de base: | ||
* Faire des sauvegardes sur un autre média (autre ordinateur, disque dur externe,...) | * Faire des sauvegardes sur un autre média (autre ordinateur, disque dur externe, autre site,...) | ||
* Mettre à jour votre OS et vos applications | * Mettre à jour rapidement votre OS et vos applications de façon centralisée centralisée et automatisée | ||
* Avoir une surface d'attaque mise au minimum; seules les applications serveurs strictement nécessaires sont activées et qui peut y accéder | * Avoir une surface d'attaque mise au minimum; seules les applications serveurs strictement nécessaires sont activées et qui peut y accéder | ||
* Cloisonnement: Ne donner accès aux clients et employés qu'à ce qui leur est strictement nécessaire; ceci peut s'étendre à certaines zones géographiques | |||
* Séparer strictement ce qui est accessible à partir d'Internet de ce qui est utilisable localement | |||
* Sécuriser et restreindre l'accès direct au matériel (salle serveurs fermée à clé ou ne pas permettre l'utilisation de clé USB ou de lecteur CD/DVD ou accès aux prises réseau par exemple) | |||
* Sécuriser les accès (mots de passe, certificats,...) | * Sécuriser les accès (mots de passe, certificats,...) | ||
* FireWall ou mur de feu | * Restreindre strictement l'accès à la gestion d'administration informatique avec en contrepartie une automatisation centralisée des installation des applications nécessaires en fonction des utilisateurs. | ||
* FireWall ou mur de feu | |||
* Anti-virus, anti-spam,... | |||
Ligne 17 : | Ligne 23 : | ||
=[[LINUX:Fail2Ban|Fail2Ban]]= | |||
=Fail2Ban= | "fail2ban" est un logiciel qui se charge d'analyser les logs de divers services installés sur la machine, pour bannir automatiquement un hôte via le firewall "iptables" pour une durée déterminée, après un certain nombre de tentatives tentatives infructueuses. Il s'intéresse spécialement aux authentifications. | ||
C'est un élément essentiel pour sécuriser son système, et éviter des intrusions via brute-force. | |||
=[[LINUX:Rkhunter|Rkhunter]]= | =[[LINUX:Rkhunter|Rkhunter]]= | ||
"rkhunter" (pour Rootkit Hunter) est un programme Unix qui permet de détecter les rootkits, portes dérobées et exploits. | "rkhunter" (pour Rootkit Hunter) est un programme Unix qui permet de détecter les rootkits, portes dérobées et exploits. | ||
=[[LINUX: Chkrootkit|Chkrootkit]]= | |||
"chkrootkit" est un autre programme Unix qui permet de détecter les rootkits. | |||
=[[LINUX:Wazuh: HIDS|Wazuh: HIDS]]= | =[[LINUX:Wazuh: HIDS|Wazuh: HIDS]]= | ||
Wazuh est un HIDS. Un HIDS (Host Intrusion Detection Systems) est une application qui analyse ce qui se passe sur une machine et sur ses interfaces réseaux. Quand elle repère une activité anormale, elle active une action. Autrement dit elle tache de repérer ceux qui effectuent une activité malveillante à son encontre. | Wazuh est un HIDS. Un HIDS (Host Intrusion Detection Systems) est une application qui analyse ce qui se passe sur une machine et sur ses interfaces réseaux. Quand elle repère une activité anormale, elle active une action. Autrement dit elle tache de repérer ceux qui effectuent une activité malveillante à son encontre. | ||
=[[LINUX:DDOS|DDOS]]= | |||
Les attaques DOS et DDOS sont de plus en plus fréquentes. On ne peut pas nécessairement s'en prémunir complètement mais on peut en atténuer les effets. | |||
Dernière version du 12 novembre 2024 à 18:49
But
Vous avez rendu accessible votre serveur à partir d'Internet. Maintenant il faut de mettre des bâtons dans les roues de ceux qui veulent attaquer votre serveur. Ceci passe également par la sécurisation du matériel périphérique (PC, routers, switch, Wifi, téléphones, prises,...)
Je renouvelle les conseils de base:
- Faire des sauvegardes sur un autre média (autre ordinateur, disque dur externe, autre site,...)
- Mettre à jour rapidement votre OS et vos applications de façon centralisée centralisée et automatisée
- Avoir une surface d'attaque mise au minimum; seules les applications serveurs strictement nécessaires sont activées et qui peut y accéder
- Cloisonnement: Ne donner accès aux clients et employés qu'à ce qui leur est strictement nécessaire; ceci peut s'étendre à certaines zones géographiques
- Séparer strictement ce qui est accessible à partir d'Internet de ce qui est utilisable localement
- Sécuriser et restreindre l'accès direct au matériel (salle serveurs fermée à clé ou ne pas permettre l'utilisation de clé USB ou de lecteur CD/DVD ou accès aux prises réseau par exemple)
- Sécuriser les accès (mots de passe, certificats,...)
- Restreindre strictement l'accès à la gestion d'administration informatique avec en contrepartie une automatisation centralisée des installation des applications nécessaires en fonction des utilisateurs.
- FireWall ou mur de feu
- Anti-virus, anti-spam,...
Iptables: FireWall
Sous Linux, le mur de feu ou FireWall le plus connu est l'interface iptables.
Fail2Ban
"fail2ban" est un logiciel qui se charge d'analyser les logs de divers services installés sur la machine, pour bannir automatiquement un hôte via le firewall "iptables" pour une durée déterminée, après un certain nombre de tentatives tentatives infructueuses. Il s'intéresse spécialement aux authentifications. C'est un élément essentiel pour sécuriser son système, et éviter des intrusions via brute-force.
Rkhunter
"rkhunter" (pour Rootkit Hunter) est un programme Unix qui permet de détecter les rootkits, portes dérobées et exploits.
Chkrootkit
"chkrootkit" est un autre programme Unix qui permet de détecter les rootkits.
Wazuh: HIDS
Wazuh est un HIDS. Un HIDS (Host Intrusion Detection Systems) est une application qui analyse ce qui se passe sur une machine et sur ses interfaces réseaux. Quand elle repère une activité anormale, elle active une action. Autrement dit elle tache de repérer ceux qui effectuent une activité malveillante à son encontre.
DDOS
Les attaques DOS et DDOS sont de plus en plus fréquentes. On ne peut pas nécessairement s'en prémunir complètement mais on peut en atténuer les effets.