10. Protection physique
Avant de faire quoi que ce soit , il est indispensable pour
l’administrateur de désactiver les périphériques de données
externes.
Protéger Centos
11. Supprimer les programmes inutiles
Afficher la liste des programmes installé :
Pour désinstaller :
Protéger Centos
Yum list installed
Yum remove packageName
12. Pare-Feu
Le pare-feu va filtrer tout le trafic en n’autorisant que les
échanges permis par l’administrateur.
Pour l’installer sous CentOS , il suffit d’utiliser la commande
YUM :
Protéger Centos
SUDO YUM INSTALL IPTABLES
13. Pare-Feu
Pour consulter les règles courantes il faut taper la commande
suivante :
Protéger Centos
iptables -L -v
14. Pare-Feu
Pour ajouter des règles il faut taper les lignes suivantes dans le
fichier situé dans /etc/init.d/firewall :
Pour le port 80 par exemple :
Pour Loop back :
Protéger Centos
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
15. PORTSENTRY
Cet utilitaire permet de bloquer en temps réel la plupart
des scans de port connus :
Protéger Centos
YUM INSTALL PORTSENTRY
16. FAIL2BAN
Fail2ban est un utilitaire qui se base sur les logs de la machine
pour chercher des actions suspectes répétées (par exemple, des
erreurs de mots de passe) dans un laps de temps donné. S’il en
trouve, il bannira l’IP de l’attaquant via iptables.
Protéger Centos
YUM INSTALL FAIL2BAN
17. RKHUNTER
Rkhunter est un utilitaire qui est chargé de détecter
d’éventuels rootkits sur votre serveur. Il est relativement léger
(s’exécute une fois par jour par défaut).
Il est possible de spécifier un émail pour recevoir des alertes de
RKHUNTER.
Protéger Centos
YUM INSTALL RKHUNTER
18. Les fichiers LOG
◉/var/log/auth.log qui contient toutes les tentatives d’accès au
serveur.
◉/var/log/message et /var/log/syslog contient les erreurs, bugs,
informations, etc;
◉/var/log/fail2ban est le log d’alerte de fail2ban.
/var/log/rkhunter pour voir les rapports quotidien de Rkhunter.
Protéger Centos
19. Les fichiers LOG
◉Pour ce simplifier la tâche , il est possible d’utiliser le
programme logwatch qui permet de résumer plusieurs logs afin
de ne vous retourner que des anomalies si possible. Cela évite un
long et fastidieux travail de recherche.
Protéger Centos
YUM INSTALL LOGWATCH
20. Quelques conseils :
◉ Interdire les utilisateurs sans mot de passe.
◉ Toujours choisir de bons mots de passe.
◉ Maintenir son système à jour (yum update).
Protéger Centos
24. Cacher la signature serveur :
Prise en compte de la nouvelle configuration :
Protéger Apache
ServerSignature Off
ServerTokens Prod
Service httpd restart
26. Désactiver l’affichage des répertoires
Prise en compte de la nouvelle configuration :
Protéger Apache
<Directory /var/www/html>
Options -Indexes
</Directory>
Service httpd restart
27. Protection contre les attaques de type DDoS :
Protéger Apache
Limiter la taille de la requête HTTP :
<Directory "/var/www/myweb1/user_uploads">
LimitRequestBody 512000
</Directory>
28. Protection contre les attaques de type DDoS :
Protéger Apache
Autres paramètres disponibles dans le fichier de configuration Apache pour se protéger
contre ce type d’attaque :
• TimeOut : Le temps maximum pour qu’un script s’éxecute.
• MaxClients : Nombre de session maximum avec le serveur.
• KeepAliveTimeout : Le temps pour que le serveur ferme la connection.
• LimitRequestFields : Le nombre maximum de requetes HTTP reçus du client.
30. Quelques conseils :
◉ Il faut mettre à jour régulièrement Apache.
◉ Il faut utiliser ses propres pages d’erreurs personnalisés.
◉ Effacer les logs chaque fin de mois grâce à CRON.
◉ Désactiver les modules inutiles pour avoir plus de contrôle.
Protéger Apache
En tant que future ingénieur et informaticiens plusieurs d’entres vous seront mis dans
une situation ou vous seriez amener à acheter des serveurs pour y deployer vos app web
Il est import de securiser le server pour eviter toutes attaques.
Centos est une disturb linux destine au serveurs
20% des serveurs web dans le mondes utilisent centOS.
Community
Yum est un gestioner de paquets
Par défaut , le systeme est embarqué avec plusieurs programme inutile pour le serveur web
Ne font que ralentir le système
Les fichiers log reflètent la vie du serveurs c’est la seul meilleurs pour comprendre d’où vien un problème ou une attaque.
90 % des problèmes informatiques relèvent de l’utilisateur.
C’est pourquoi, avant même de penser à sécuriser sa machine, il faut garder en mémoire les conseils suivants
:Toujours choisir un bon mdp : : 8 caractères minimum, pas un mot qui se trouve dans le dictionnaire, si possible des chiffres, des majuscules, des symboles
Il est possible d’ouvrire le fichier avec gedit equivalent de notepad sur Centos
Deux parameter situer dans httpd.config (fichier de configuration apache)
User_uploads dossier ou l’utilisateur va mettre les donnée , pour proteger contre l’upload infini ..