10mn de lecture
Les serveurs dédiés gérés par LWS font l’objet d’une vérification de sécurité rigoureuse avant et pendant le déploiement pour donner aux clients le meilleur. Il existe une multitude de façon de sécuriser votre serveur. Effectuez ces quelques étapes ci-dessous afin de sécuriser votre serveur dédié.
1. Changez le port d’écoute SSH (Secure Shell) sur le serveur vers un port différent de 22. En effet, Cela empêche les attaques automatisées par force brute afin de deviner les noms d’utilisateur et les mots de passe d’un serveur.
2. Utilisez uniquement des interfaces protégées TLS (Transport Layer Security) pour l’administration du serveur. TLS crypte le trafic entre votre serveur et votre ordinateur. En effet, Cela empêche les pirates de capturer des informations de connexion afin de pouvoir exécuter une attaque. Les serveurs cPanel, WHM, Webmail, SMTP et IMAP / POP3 offrent tous un accès protégé par TLS, mais il ne peut pas être utilisé par défaut.
3. Utilisez uniquement des réseaux et des ordinateurs fiables pour administrer votre serveur.
4. Assurez-vous que tous les systèmes utilisés pour administrer le serveur sont exempts de logiciels malveillants. En effet, les logiciels malveillants donnent aux attaquants des informations d’accès aux interfaces d’administrations.
5. Toujours garder un œil sur les derniers correctifs et les versions de tous les scripts utilisés. Par conséquent, soyez attentifs aux mises à jour sur les scripts développés par vos soins.
Et maintenant, concernant l’audit de sécurité que vous pouvez être amené à faire sur vos serveurs gérés par LWS.
Sécurisez votre serveur dédié
Point 1 : Vérifiez la version du noyau. Le noyau Linux est le programme système de base de tous les serveurs. La version du noyau est toujours vérifier afin de s’assurer qu’il n’y ait pas de vulnérabilité exploitable. Si des vulnérabilités sont découvertes, le noyau sera mis à jour sur votre serveur dédié.
Point 2 : Vérifiez les paramètres PHP. Il existe plusieurs paramètres PHP que nous conseillons de désactiver sur les serveurs qui n’en ont pas besoin :
“Allow_url_fopen” : ce paramètre permet à PHP de traiter tous les URL comme s’il s’agissait d’un fichier. En effet, cela pose un problème au niveau de la sécurité de certaines applications PHP. La plupart des applications n’ont pas besoin de “allow_url_fopen”. Il est de ce fait, recommandé que cela soit désactivé, surtout si vous utilisez le serveur PHP4.
“Allow_url_include” : presque aucune application PHP ne nécessite “allow_url_include”. Par conséquent, il est recommandé que “allow_url_include” soit toujours désactivé.
“Register_globals” : ce paramètre permet de définir des variables PHP globales au moment de l’exécution d’un URL. Le fait de l’activer pourrait permettre aux attaquants de modifier des variables PHP arbitraires. En effet, cela peut conduire à des injections SQL, à l’exécution de code arbitraire et à d’autres exploits sur des applications PHP vulnérables. Par conséquent, la recommandation normale est que “register_globals” soit désactivé.
En plus de ces trois paramètres PHP, il est recommandé également que d’autres fonctions PHP soient désactivées. Ce faisant, l’efficacité des shells PHP et d’autres logiciels malveillants basés sur PHP sera réduite. La liste des fonctions généralement recommandée est la suivante:
Dl, exec, shell_exec, système, passthru, popen, pclose, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, leak, apache_child_terminate, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid
3 : Vérifiez les règles Apache Mod_Security. Apache mod_security est un pare-feu logiciel qui analyse les requêtes HTTP entrantes pour les exploits connus.
4 : Vérifiez la configuration CSF / LFD. CSF / LFD est une suite de pare-feu logiciel qui prend en charge la détection et la prévention automatiques de brute force, le suivi des processus, la protection contre les inondations SYN et une large gamme d’autres fonctionnalités de sécurité automatisées.
5 : Vérifiez les binaires du système. Vérifiez les versions du paquet binaire, telles que BIND, apache et udev, afin de s’assurer que tout est à jour et n’est pas vulnérable à des exploits connus.
6 : Options de montage de la partition de configuration.
7 : Désactiver les services généralement inutiles. En effet, les services qui ne sont généralement pas utilisés doivent être désactivé afin d’assurer la sécurité du serveur.
8 : Déployez les configurations initiales axées sur la sécurité. LWS déploie des configurations initiales axées sur la sécurité pour MySQL, Exim, Cpanel, FTP, SSH, PHP.
9 : Installer RKHunter. RKhunter est un programme conçu pour analyser votre serveur pour les rootkits connus et les binaires système détectés
10 : installez BusyBox.
