Durcissement de base d'un serveur Linux
Les premières étapes pour rendre un serveur Linux raisonnablement sûr avant de le mettre en production.
Quand vous montez un nouveau serveur, il est livré bien trop ouvert. Voici les réglages minimaux que j'applique toujours avant de l'exposer.
1. Mettre à jour et réduire la surface d'attaque
apt update && apt full-upgrade -y
Désinstallez ce que vous n'utilisez pas et désactivez les services dont vous n'avez pas besoin. Chaque port ouvert est une porte.
2. SSH : la porte d'entrée
- Pas de root direct :
PermitRootLogin no. - Clé uniquement, pas de mot de passe :
PasswordAuthentication no. - Créez votre propre utilisateur avec
sudoet connectez-vous en tant que cet utilisateur.
3. Pare-feu par défaut : refuser
Avec ufw, refusez tout et n'ouvrez que ce qui est nécessaire :
ufw default deny incoming
ufw allow 22/tcp
ufw enable
4. Fail2ban
Il bloque automatiquement les adresses IP qui échouent plusieurs fois à la connexion. C'est l'une des choses les plus rentables que vous puissiez installer.
Cela ne vous rend pas invulnérable, mais cela vous débarrasse de 95 % du bruit automatisé d'Internet.
#linux#durcissement#ssh#sécurité