Sécuriser un système informatique est une tâche rigoureuse, d’autant plus quand ledit système est connecté au réseau Internet. En effet, le réseau mondial grouille de pirates qui nuisent au bon fonctionnement de vos systèmes. Voici comme limiter les possibilités.
Par défaut et conventionnellement, le Secure Shell ou SSH écoute sur le port 22. Mais cette convention facilite la tâche des pirates. Ainsi, ils testent tout de suite ce port s’ils veulent accéder au serveur. C’est pourquoi il faut créer une feinte : dépalcer le port d’écoute sur un autre. Au moins, les bruteforces automatiques ne peuvent rien faire.
Pendant que vous administrez votre serveur, des millions de pirates tentent de soutirer des données sensibles comme votre mot de passe, par exemple. Ainsi, il est conseillé d’opter exclusivement le TLS (Transport Layer Security) pour l’administration. Avec des données chiffrées, impossible à cracker.
Le réseau local peut également s’avérer dangeureux. Sélectionnez les réseaux auxquels vous faites confiance pour administrer vos serveurs. Evitez les WiFi gratuits, cybercafés, ...
Les logiciels malveillants comme les virus et les trojans peuvent transmettre vos informations de connexion aux pirates. Ces derniers les utiliseront ensuite pour accéder à votre serveur aussi facilement.
Il est nécessaire de maintenir tous les logiciels du serveur à jour pour éviter les failles de sécurités déjà identifiées, particulièrement, le noyau Linux. L'article suivant vous détaille Pourquoi mettre à jour votre linux d'urgence ?
Vos propres applications et programmes sur vos serveurs doivent être maintenus et régulièrement mis à jour. Ces derniers peuvent être également à l’origine de failles de sécurité.
Il existe quelques paramètres PHP qui peuvent menacer la sécurité de votre serveur :
allow_url_fopen qui permet de traiter tous les URLs comme des fichiers. Il peut donc être un moyen pour un pirate d’injecter quelque chose dans vos serveurs. Désactivez-le, surtout si vous êtes encore sur l’ancienne version de PHP 4.
allow_url_include qui permet d’inclure des URLs dans votre code PHP et d’exécuter les scripts PHP par-dessus. Il est vivement conseillé de le désactiver.
register_globals : une source potentielle d’injection SQL ou à l’exécution d’un code arbitraire.
Ce pare-feu logiciel permet d’analyser les requêtes HTTP entrantes et d'identifier les exploits connus. Il est donc conseillé de l’installer et de le configurer proprement.
Vous avez peut-être suivi un tutoriel pour installer votre serveur web. Seulement, vous n’utilisez pas, par exemple, les services MTA (Mail Transfer Agent) ou autrement dit vous n’envoyez pas des emails via votre serveur web. Alors, il est plus prudent de désactiver voire de désinstaller les logiciels responsables.
Ces deux outils protègent vos serveurs des bruteforces et des rootkits, les deux pratiques préférées des hackers.
Si vous avez suivi le tutoriel Transformer un VPS en serveur d'hébergement mutualisé, vous pouvez sauter quelques unes de ces règles qui ont déjà été intégrées dans le tutoriel lui-même.