| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente |
| serveurs:installation:points-securite [2020/02/13 14:01] – jpmilcent | serveurs:installation:points-securite [2023/05/24 10:18] (Version actuelle) – jpmilcent |
|---|
| * https://docs.ovh.com/fr/vps/conseils-securisation-vps/ | * https://docs.ovh.com/fr/vps/conseils-securisation-vps/ |
| * [[https://www.ionos.fr/digitalguide/serveur/configuration/securiser-un-serveur-configurer-correctement-linux-etc/|La bonne configuration pour protéger un serveur]] | * [[https://www.ionos.fr/digitalguide/serveur/configuration/securiser-un-serveur-configurer-correctement-linux-etc/|La bonne configuration pour protéger un serveur]] |
| * S'abonner au flux RSS des annonces de sécurité Debian : https://www.debian.org/security/dsa | * S'abonner au flux //RSS// des annonces de sécurité //Debian// : https://www.debian.org/security/dsa |
| * N'installer pas plus de paquets/logiciels que nécessaire. | * N'installer pas plus de paquets/logiciels que nécessaire. |
| * Mettre à jour régulièrement les paquets manuellement : ''aptitude update ; aptitude upgrade'' | * Mettre à jour régulièrement les paquets manuellement : ''apt update ; apt upgrade'' |
| * Automatiser la mise à jour des paquets via //unattended-upgrades// et recevoir les changements via //apt-listchanges//. Tester : '' unattended-upgrades --dry-run --verbose '' | * Ou mieux, automatiser la mise à jour des paquets via //unattended-upgrades// et recevoir les changements via //apt-listchanges//. Tester : ''<nowiki> unattended-upgrades --dry-run --verbose </nowiki>'' |
| * Utiliser des mots de passe forts pour les utilisateurs systèmes et des différents logiciels : 16 caractères comprenant lettres, chiffres et caractères spéciaux. | * Utiliser des mots de passe forts pour les utilisateurs systèmes et des différents logiciels : 16 caractères comprenant lettres, chiffres et caractères spéciaux. |
| * Utiliser un gestionnaire de mots de passe (KeePassX) pour stocker tous les **différents** mots de passes créés. | * Utiliser un gestionnaire de mots de passe (tel que //KeePassX//) pour stocker tous les **différents** mots de passes créés. |
| * Changer la valeur par défaut du port SSH : le port SSH doit avoir valeur différente de ''22'' dans ''/etc/ssh/sshd_config'' | * **Changer la valeur par défaut du port //SSH//** qui doit avoir une valeur différente de ''22'' dans ''/etc/ssh/sshd_config'' |
| * Désactiver la connexion SSH pour les utilisateurs root : ''PermitRootLogin'' doit être commenté dans ''/etc/ssh/sshd_config'' | * Désactiver la connexion //SSH// pour les utilisateurs //root// : ''PermitRootLogin'' doit être commenté dans ''/etc/ssh/sshd_config'' |
| * Notifier l'administrateur système (//adminsys@silene.eu//) par email à chaque connexion SSH sur chaque instance. | * Notifier l'administrateur système (//adminsys@<domaine-sinp>//) par email à chaque connexion //SSH// sur chaque instance. |
| * Limiter l'utilisation des installateurs et compilateurs à l'utilisateur //root//. | * Limiter l'utilisation des installateurs et compilateurs à l'utilisateur //root//. |
| * Installer //Fail2ban// pour surveiller les accès réseau grâce aux logs des serveurs et banir les IP correspondantes aux erreurs d'authentification répétées. | * **Installer //Fail2ban//** pour surveiller les accès réseau grâce aux logs des serveurs et bannir les IP correspondantes aux erreurs d'authentification répétées. |
| * Installer //Rootkit-Hunter// pour détecter les éventuelles installations présentes et futures de rootkits. | * Installer //Rootkit-Hunter// pour détecter les éventuelles installations présentes et futures de //rootkits//. |
| * Désactiver les ports inutilisés avec l'installation du parefeu //Nftables// et de sa surcouche de gestion //Firewalld//. | * Désactiver les ports inutilisés avec l'installation du parefeu //Nftables// et de sa surcouche de gestion //Firewalld//. |
| * Réaliser manuellement un snapshot de chaque instance via l'interface OVH une fois l'installation réalisée et à chaque modification importante du système | * Réaliser manuellement un //snapshot// de chaque instance via l'interface //OVH// une fois l'installation réalisée et à chaque modification importante du système |
| * Mettre en place d'un backup automatique des instances via l'interface OVH | * Mettre en place une sauvegarde automatique des instances via l'interface //OVH// |
| * Réaliser manuellement un snapshot du volume BlockStorage via l'interface OVH une fois l'intégration des données réalisées et à chaque nouvelle intégration | * Réaliser manuellement un //snapshot// du volume //BlockStorage// via l'interface //OVH// une fois l'intégration des données réalisées et à chaque nouvelle intégration |
| * <del>Mettre en place d'un backup auto du volume BlockStorage via l'interface OVH</del> -> ne semble pas possible via l'interface => à vérifier. | * <del>Mettre en place une sauvegarde automatique des volumes //BlockStorage// via l'interface OVH</del> -> ne semble pas possible via l'interface au 2021-03-22. |
| * Mettre en place un dump automatique des bases de données (Postgresql, MariaDB) avec export externalisé | * Mettre en place un //dump// automatique des bases de données (//Postgresql//, //MariaDB//) avec export externalisé |
| * Mettre en place une sauvegarde automatique des principaux dossiers systèmes (''/etc'', ''/home'', ...) avec export externalisé | * Mettre en place une sauvegarde automatique des principaux dossiers systèmes (''/etc'', ''/home'', ...) avec export externalisé |
| |
jpmilcent