{"id":298040,"date":"2024-07-10T23:20:03","date_gmt":"2024-07-10T23:20:03","guid":{"rendered":"https:\/\/www.ninjaone.com\/?p=298040"},"modified":"2025-05-07T14:54:26","modified_gmt":"2025-05-07T14:54:26","slug":"etapes-cles-pour-securiser-un-serveur-linux","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/fr\/blog\/etapes-cles-pour-securiser-un-serveur-linux\/","title":{"rendered":"\u00c9tapes cl\u00e9s pour s\u00e9curiser un serveur Linux"},"content":{"rendered":"

Le durcissement d’un serveur Linux consiste \u00e0 renforcer et \u00e0 s\u00e9curiser un serveur Linux afin de le prot\u00e9ger contre les vuln\u00e9rabilit\u00e9s et les menaces. M\u00eame si la s\u00e9curit\u00e9 totale est une course sans fin, cet article pr\u00e9sente quelques mesures fondamentales que vous pouvez prendre pour assurer la s\u00e9curit\u00e9 de vos serveurs.<\/span><\/p>\n

Aucun risque de s\u00e9curit\u00e9 n’est trop petit pour \u00eatre pris en compte<\/h2>\n

Malheureusement, m\u00eame les plus petites vuln\u00e9rabilit\u00e9s peuvent se transformer en graves menaces pour la s\u00e9curit\u00e9. Il est important de se rappeler que tout code ex\u00e9cut\u00e9 sur votre syst\u00e8me peut potentiellement contenir des failles permettant \u00e0 des intrus d’acc\u00e9der \u00e0 un shell de commande ou \u00e0 des utilisateurs l\u00e9gitimes d’\u00e9lever leur acc\u00e8s pour avoir des droits de superutilisateur. Quel que soit le niveau de risque, il est toujours pr\u00e9f\u00e9rable de traiter les petits risques de s\u00e9curit\u00e9 avant qu’ils ne se transforment en menaces de cybers\u00e9curit\u00e9 majeures, en suivant un processus de durcissement de serveur<\/a>. Gr\u00e2ce au durcissement des serveurs Linux, les \u00e9quipes informatiques peuvent renforcer leurs d\u00e9fenses avant que des probl\u00e8mes ne surviennent, ce qui permet d’\u00e9viter des incidents majeurs.\u00a0<\/span><\/p>\n

G\u00e9rez, mettez \u00e0 jour et soutenez les points d’extr\u00e9mit\u00e9 Linux \u00e0 grande \u00e9chelle.<\/p>\n

D\u00e9couvrez le RMM Linux de NinjaOne.<\/a><\/span><\/p>\n<\/div>\n

Mises \u00e0 jour du syst\u00e8me et correctifs de s\u00e9curit\u00e9<\/h2>\n

La mise \u00e0 jour r\u00e9guli\u00e8re de votre serveur Linux est essentielle au maintien de sa s\u00e9curit\u00e9 et de son int\u00e9grit\u00e9, d’autant plus que <\/span>57% des compromissions externes proviennent de syst\u00e8mes qui ne sont pas \u00e0 jour<\/span><\/a>. Les logiciels et les syst\u00e8mes d’exploitation sont constamment am\u00e9lior\u00e9s et perfectionn\u00e9s pour rem\u00e9dier aux vuln\u00e9rabilit\u00e9s et aux points faibles. En appliquant rapidement les mises \u00e0 jour, vous vous assurez que les failles de s\u00e9curit\u00e9 connues sont \u00e9limin\u00e9es, ce qui r\u00e9duit les cybermenaces. De plus, les mises \u00e0 jour comprennent souvent des corrections de bugs et des am\u00e9liorations des performances, ce qui permet d’obtenir un environnement de serveur plus stable et plus efficace. Le fait de ne pas proc\u00e9der \u00e0 des mises \u00e0 jour r\u00e9guli\u00e8res peut exposer le syst\u00e8me \u00e0 des attaques et compromettre son int\u00e9grit\u00e9.<\/span><\/p>\n

Utiliser des logiciels obsol\u00e8tes et avoir des vuln\u00e9rabilit\u00e9s non corrig\u00e9es pr\u00e9sente des risques importants pour vos serveurs Linux. Les cybercriminels ciblent activement les vuln\u00e9rabilit\u00e9s connues pour obtenir un acc\u00e8s non autoris\u00e9, compromettre des donn\u00e9es ou perturber des services. Lorsque des vuln\u00e9rabilit\u00e9s sont divulgu\u00e9es publiquement, des personnes malveillantes peuvent les exploiter pour compromettre des syst\u00e8mes qui n’ont pas re\u00e7u de mises \u00e0 jour. Retarder les mises \u00e0 jour augmente les possibilit\u00e9s pour les attaquants d’exploiter les faiblesses des d\u00e9fenses de vos serveurs, c’est pourquoi la mise \u00e0 jour r\u00e9guli\u00e8re une mesure de d\u00e9fense essentielle.<\/span><\/p>\n

Choisir les bonnes strat\u00e9gies de gestion des correctifs et les <\/span>bonnes pratiques pour la gestion des correctifs de votre serveur<\/span><\/a> est crucial pour maintenir la s\u00e9curit\u00e9 d’un serveur Linux. Les distributions Linux actuelles destin\u00e9es aux entreprises disposent g\u00e9n\u00e9ralement toutes d’un service de gestion automatis\u00e9e des correctifs, qu’il s’agisse d’un service d’abonnement payant ou d’efforts de la part de la communaut\u00e9. Les services payants ne se contentent souvent pas de patcher les fichiers de votre syst\u00e8me pour en assurer la s\u00e9curit\u00e9; certains de ces services incluent \u00e9galement une solution pour patcher en direct votre noyau (kernel) en cours d’ex\u00e9cution, ce qui permet \u00e0 vos syst\u00e8mes en cours d’ex\u00e9cution de rester patch\u00e9s avant m\u00eame que vous n’ayez besoin de les red\u00e9marrer.\u00a0<\/span><\/p>\n

Introduction aux gestionnaires de paquets<\/h3>\n

Les gestionnaires de paquets diff\u00e8rent d’une distribution \u00e0 l’autre, mais tendent \u00e0 utiliser deux formats de paquets principaux : DEB et RPM. DEB est utilis\u00e9 sur les syst\u00e8mes bas\u00e9s sur Debian et est g\u00e9r\u00e9 par <\/span>apt<\/b>; RPM signifie Redhat Package Manager et est g\u00e9r\u00e9 par <\/span>dnf<\/b> ou <\/span>yum<\/b> pour les syst\u00e8mes bas\u00e9s sur Red Hat\/Enterprise Linux<\/a> ou par <\/span>zypper<\/b> pour SUSE. Tous les gestionnaires de paquets facilitent l’installation, la mise \u00e0 jour et la suppression des paquets logiciel, en plus de r\u00e9soudre les d\u00e9pendances. Utilisez les gestionnaires de paquets pour g\u00e9rer efficacement les logiciels et optimiser le processus de mise \u00e0 jour. Tous les principaux gestionnaires de paquets sont \u00e9galement pris en charge par des d\u00e9p\u00f4ts \u00e0 distance, ce qui vous permet de centraliser le contr\u00f4le des mises \u00e0 jour et des d\u00e9ploiements de logiciels.<\/span><\/p>\n

Configuration des mises \u00e0 jour automatiques pour les correctifs de s\u00e9curit\u00e9 critiques<\/h3>\n

Configurer votre serveur Linux pour qu’il installe automatiquement les correctifs de s\u00e9curit\u00e9 critiques garantit que les mises \u00e0 jour prioritaires sont appliqu\u00e9es rapidement sans intervention manuelle, ce qui minimise la fen\u00eatre de vuln\u00e9rabilit\u00e9 et r\u00e9duit la charge de travail des administrateurs. Les distributions d’entreprise permettent g\u00e9n\u00e9ralement de configurer cette fonction lors de l’installation. Voir les <\/span>paquets de configuration<\/span><\/a> ci-dessous, si vous souhaitez mettre cela en place sur votre syst\u00e8me existant :<\/span><\/p>\n

Ubuntu : <\/span>sudo apt install unattended-upgrades<\/b><\/p>\n

Red Hat\/CentOS : <\/span>sudo yum install dnf-automatic<\/b><\/p>\n

SUSE : <\/span>sudo zypper install yast2-online-update-configuration<\/b> ->\u00a0 ouvrez YaST, s\u00e9lectionnez Software -> Online Update Configuration, puis configurez-le selon vos pr\u00e9f\u00e9rences.<\/span><\/p>\n

Il convient toutefois d’\u00eatre prudent lors de l’activation des mises \u00e0 jour automatiques, qui peuvent avoir un impact sur la stabilit\u00e9 du syst\u00e8me ou n\u00e9cessiter des tests de compatibilit\u00e9. Les tests sont particuli\u00e8rement importants lors de l’utilisation d’outils d’administration de masse \u00e0 distance tels qu’ansible ou puppet pour effectuer des mises \u00e0 jour de serveurs dans un environnement informatique h\u00e9t\u00e9rog\u00e8ne.<\/span><\/p>\n

Configuration de l’\u00e9l\u00e9vation sudo et de l’acc\u00e8s au shell<\/h2>\n

Il est essentiel de configurer correctement les comptes d’utilisateurs et les autorisations pour disposer d’un syst\u00e8me s\u00e9curis\u00e9 qui permette l’acc\u00e8s \u00e0 tous les utilisateurs. Les permissions qui n’ont pas \u00e9t\u00e9 configur\u00e9es correctement peuvent cr\u00e9er des probl\u00e8mes, il est donc pr\u00e9f\u00e9rable de s’assurer qu’elles sont configur\u00e9es correctement d\u00e8s le d\u00e9part.<\/span><\/p>\n

L’utilisation de la commande <\/span>sudo<\/b> \u00e0 son plein potentiel avec la bonne configuration <\/span>\/etc\/sudoers<\/b>, vous permet de limiter et d’autoriser les droits d’acc\u00e8s \u00e0 la racine sans mot de passe pour chaque application. Utilisez toujours la commande <\/span>visudo<\/b> pour modifier <\/span>\/etc\/sudoers<\/b> afin de maintenir les autorisations correctes sur ce fichier critique<\/span>:<\/p>\n

sudo visudo<\/span><\/p>\n

Effectuez des modifications similaires \u00e0 celles-ci, en rempla\u00e7ant \u00ab\u00a0ninja\u00a0\u00bb par votre nom d’utilisateur et en adaptant la liste des commandes autoris\u00e9es, s\u00e9par\u00e9es par des virgules, \u00e0 votre cas d’utilisation :<\/span><\/p>\n

someuser ALL=(ALL:ALL) ALL<\/pre>\n
en<\/span><\/p>\n
someuser ALL = NOPASSWD : \/bin\/systemctl restart nginx, \/bin\/kill, \/usr\/sbin\/reboot<\/pre>\n
Ensuite, enregistrez et quittez. Notez que sudo lit effectivement le fichier \/etc\/sudoers de bas en haut, donc si vos modifications ne semblent pas efficaces, essayez de d\u00e9placer la ligne que vous avez modifi\u00e9e vers le bas du fichier sudoers.<\/p>\n
A propos des shells (interpreteurs de commandes)<\/h3>\n
Vous pouvez d\u00e9finir l’interpr\u00e9teur de commandes par d\u00e9faut d’un utilisateur en ex\u00e9cutant la commande chsh en tant que super-utilisateur, ou en masse en modifiant le fichier \/etc\/passwd en tant qu’utilisateur root ou superuser (super-utilisateur). C’est utile et souhaitable dans certains cas, par exemple pour modifier l’interpr\u00e9teur de commandes (shell) par d\u00e9faut d’un compte FTP en \/sbin\/nologin; car un tel compte ne devrait jamais avoir besoin d’ex\u00e9cuter des commandes de terminal. Dans ce cas, la suppression de l’acc\u00e8s au shell r\u00e9duirait la surface d’attaque potentielle du syst\u00e8me.<\/p>\n
S\u00e9curiser l’acc\u00e8s SSH avec des cl\u00e9s et d\u00e9sactiver le login root<\/h2>\n
Secure Shell (SSH)<\/a> est un protocole r\u00e9seau<\/a> standard qui permet l’acc\u00e8s \u00e0 distance \u00e0 un syst\u00e8me au niveau de la ligne de commande. Il est donc essentiel de permettre l’acc\u00e8s SSH uniquement aux utilisateurs n\u00e9cessaires et de s’assurer que seuls les bons utilisateurs peuvent effectuer des op\u00e9rations en tant qu’utilisateur root ou superuser (super utilisateur).<\/span><\/p>\n
Bonnes pratiques pour s\u00e9curiser l’acc\u00e8s SSH aux serveurs Linux<\/h3>\n
Il est g\u00e9n\u00e9ralement conseill\u00e9 de d\u00e9sactiver compl\u00e8tement la connexion root via SSH et l’acc\u00e8s SSH par mot de passe. Bien que le texte du mot de passe dans l’authentification par mot de passe soit transmis de fa\u00e7on chiffr\u00e9e par les cl\u00e9s h\u00f4te SSH qui sont \u00e9chang\u00e9es lors de la poign\u00e9e de main client\/serveur SSH avant l’ouverture de session, le mot de passe est n\u00e9anmoins transmis sur plusieurs r\u00e9seaux d’une mani\u00e8re ou d’une autre. Il s’agit d’un autre aspect de la surface d’attaque : si les cl\u00e9s d’h\u00f4te de votre serveur SSH ont \u00e9t\u00e9 g\u00e9n\u00e9r\u00e9es \u00e0 l’aide d’un algorithme ancien\/non s\u00e9curis\u00e9, par exemple, il est possible d’espionner vos mots de passe.<\/span><\/p>\n
Les connexions par cl\u00e9 SSH<\/a> ne sont pas vuln\u00e9rables \u00e0 ce type d’attaque; vos cl\u00e9s publiques sont les seules parties qui sont transmises en \u00ab\u00a0texte clair\u00a0\u00bb, et elles ont \u00e9t\u00e9 con\u00e7ues pour \u00eatre distribu\u00e9es publiquement. Tout comme votre cl\u00e9 priv\u00e9e, la phrase secr\u00e8te (ou \u00ab\u00a0phrase de passe\u00a0\u00bb) que vous utilisez pour la d\u00e9verrouiller lors de la connexion \u00e0 la cl\u00e9 SSH n’est pas transmise sur le r\u00e9seau.<\/span><\/p>\n
Utiliser les cl\u00e9s SSH pour l’authentification<\/h4>\n
\u00c0 noter que les extraits de code ci-dessous sont annot\u00e9s par les commentaires de l’auteur, qui sont indiqu\u00e9s par \u00ab\u00a0##\u00a0\u00bb pour plus de visibilit\u00e9.<\/span><\/p>\n
    \n
  1. G\u00e9n\u00e9rez une cl\u00e9 SSH \u00e0 l’aide de la <\/span>commandessh-keygen<\/b>. Par d\u00e9faut, le format de cl\u00e9 de chiffrement RSA standard est utilis\u00e9, mais il est recommand\u00e9 d’utiliser le chiffrement \u00e0 courbe elliptique <\/span>ed25519<\/b>, plus rapide et plus s\u00fbre.<\/span>
    \n<\/span>
    \n<\/span><\/p>\n
    user@host:~> ssh-keygen -t ed25519 \u00a0 \r\nG\u00e9n\u00e9ration d'une paire de cl\u00e9s publiques\/priv\u00e9es ed25519. Saisissez le fichier dans lequel vous souhaitez enregistrer la cl\u00e9 (\/home\/user\/.ssh\/id_ed25519) : \r\nSaisissez la phrase secr\u00e8te d'authentification (laisser vide en cas d'absence de phrase secr\u00e8te) :\r\nSaisissez \u00e0 nouveau la m\u00eame phrase secr\u00e8te d'authentification :\r\nVotre identification a \u00e9t\u00e9 sauvegard\u00e9e dans \/home\/user\/.ssh\/id_ed25519\r\nVotre cl\u00e9 publique a \u00e9t\u00e9 enregistr\u00e9e dans \/home\/user\/.ssh\/id_ed25519.pub\r\nL'empreinte de la cl\u00e9 est : SHA256:NjPk3GbSIL6wdITiSrEQ3U9uXqqaYJdtS62cwCahKoM user@host\r\nL'image randomart de la cl\u00e9 est :\r\n+--[ED25519 256]--+\r\n|.. . |\r\n| .. ... |\r\n| ... .+o o | ..\r\n|..o. o+=.+ |..\r\n| +. ooooS = |\r\n|o.o.o++o B |\r\n|=o *.=.. |\r\n|E.+.* + |\r\n|o.o. = |\r\n+----[SHA256]-----+ \r\nuser@host:~><\/pre>\n<\/li>\n
  2. Copiez votre cl\u00e9 publique sur votre plateforme d’h\u00e9bergement en ligne. Si vous avez toujours un acc\u00e8s par mot de passe au serveur en question, vous pouvez utiliser la commande <\/span>ssh-copy-id<\/b> pour configurer automatiquement les fichiers de configuration SSH de votre compte avec votre cl\u00e9 SSH nouvellement g\u00e9n\u00e9r\u00e9e copi\u00e9e aux bons endroits<\/span>:
    \n<\/span>
    \n<\/span><\/p>\n
    ssh-copy-id -i ~\/.ssh\/id_ed25519.pub remoteuser@remotehost<\/pre>\n<\/li>\n
  3. Diff\u00e9rentes fa\u00e7ons d’utiliser les cl\u00e9s SSH pour se connecter :<\/span>A) Directement dans la ligne de commande :<\/span>
    \n<\/span><\/p>\n
    ssh -i ~\/.ssh\/id_ed25519 remoteuser@remotehost:port<\/pre>\n
    OU<\/strong> en utilisant le fichier <\/span>~\/.ssh\/config<\/b> :<\/span><\/li>\n
  4. Editez votre fichier <\/span>~\/.ssh\/config<\/b> avec n’importe quel \u00e9diteur de texte. Faites-le en tant que compte\/utilisateur qui utilisera la configuration SSH pour se connecter \u00e0 distance.<\/span><\/li>\n
  5. \u00a0Ajoutez des lignes avec le format suivant :<\/span>
    \n<\/span>
    \n<\/span><\/p>\n
    Host server1 \u00a0 ## Arbitrary label\/handle for easy usage\r\nHostname server1.example.com \u00a0 ## Real hostname\/IP\r\nUser remote_user_1\u00a0 ## Remote Linux username\r\nPort 12345\u00a0 ## Remote port, default 22\r\nIdentityFile ~\/.ssh\/id_ed25519\u00a0 ## NB! Private key file\r\nForwardX11 yes ## Optional, forwards remote GUI apps\r\n\r\nHost server2\u00a0 \r\nHostname server2.example.com\r\nUser remote_user_2\r\nPort 34567 \r\nIdentityFile ~\/.ssh\/id_ed25519<\/pre>\n

    \n<\/span>Les stanzas doivent \u00eatre s\u00e9par\u00e9s par des espaces verticaux.<\/span><\/li>\n
  6. Vous pouvez maintenant utiliser le SSH en tapant simplement :<\/span>
    \n<\/span>
    \n<\/span><\/p>\n
    ssh serveur1\r\n<\/pre>\n
    Puisque tout le reste est sp\u00e9cifi\u00e9 sous cette \u00e9tiquette de stanza dans votre fichier <\/span>.ssh\/config<\/b>. Astuce : si vous avez adopt\u00e9 la compl\u00e9tion tabulaire de Linux (alias la compl\u00e9tion bash), vous serez heureux d’apprendre que votre fichier de configuration SSH se branche automatiquement sur les syst\u00e8mes de <\/span>compl\u00e9tion bash<\/b> de la plupart des distros Linux modernes.<\/span><\/li>\n<\/ol>\n
    D\u00e9sactiver la connexion root SSH et l’authentification par mot de passe<\/h4>\n
      \n
    1. Assurez-vous IMPERATIVEMENT que vous pouvez vous connecter avec votre cl\u00e9 SSH. Vous pouvez potentiellement vous bloquer hors de votre syst\u00e8me si cela ne fonctionne pas correctement.<\/span><\/li>\n
    2. Utilisez votre \u00e9diteur favori en tant que root pour modifier les lignes suivantes dans\u00a0 <\/span>\/etc\/ssh\/sshd_config<\/b> avec les param\u00e8tres suivants<\/span>:<\/b>
      \n<\/span>
      \n<\/span><\/p>\n
      PermitRootLogin no\r\n\r\nChallengeResponseAuthentication no\r\n\r\nPasswordAuthentication no\r\n\r\nKbdInteractiveAuthentication no<\/pre>\n<\/li>\n
    3. Il est possible de faire fonctionner votre serveur SSH sur un port non standard :<\/span>
      \n<\/span>
      \n<\/span><\/p>\n
      Port 12345<\/pre>\n<\/li>\n
    4. Enregistrez ce fichier et relancez votre service SSH :<\/span>
      \n<\/span>
      \n<\/span><\/p>\n
      sudo systemctl restart sshd<\/pre>\n<\/li>\n
    5. Essayez maintenant de vous connecter via SSH sans la cl\u00e9 SSH :<\/span>
      \n<\/span>
      \n<\/span><\/p>\n
      ssh remote_user_1@server1 [-p port]\r\n<\/pre>\n
      Si vous ne pouvez pas vous connecter sans sp\u00e9cifier de cl\u00e9 SSH, vous avez effectu\u00e9 cette \u00e9tape correctement.<\/span><\/li>\n<\/ol>\n
      Impl\u00e9mentation d’un pare-feu sur les serveurs Linux<\/h3>\n
      Si vous exploitez un serveur Linux de production et que votre distribution est livr\u00e9e avec un pare-feu pr\u00e9configur\u00e9, vous avez pris un bon d\u00e9part. Lorsque les donn\u00e9es d’un serveur de production sont expos\u00e9es \u00e0 l’internet, il est pr\u00e9f\u00e9rable de les prot\u00e9ger avec un pare-feu. Les variantes Enterprise Linux\/Red Hat ont tendance \u00e0 \u00eatre livr\u00e9es avec firewalld, tandis que Debian\/Ubuntu sont livr\u00e9es avec ufw (\u00ab\u00a0Uncomplicated Firewall\u00a0\u00bb). Consultez la page de manuel de firewall-cmd ou la page de manuel de ufw pour plus de d\u00e9tails.<\/p>\n
      Configuration des r\u00e8gles et des politiques de pare-feu<\/h3>\n
      Une fois que l’on a d\u00e9pass\u00e9 les d\u00e9tails, les r\u00e8gles et politiques de pare-feu<\/span><\/a> devraient se r\u00e9sumer \u00e0 \u00ab\u00a0bloquer tout, sauf ce que j’autorise sp\u00e9cifiquement\u00a0\u00bb. Encore une fois, ces r\u00e8gles sont g\u00e9n\u00e9ralement pr\u00e9configur\u00e9es par d\u00e9faut sur les syst\u00e8mes Linux modernes, en particulier sur les variantes d’Enterprise Linux. Tout cas d’utilisation non couvert par ces valeurs par d\u00e9faut n’entre pas dans le champ d’application du pr\u00e9sent document.<\/span><\/p>\n
      Surveillance et gestion de pare-feu<\/h3>\n