Sécuriser un serveur linux

Sécuriser un serveur linux

SSH

SSH qui veut dire Secure Shell est un protocole conçus pour le client et le serveur communique ensemble de manière sécurisé. Le protocole utilise le cryptage pour réaliser cette opération. Avec SSH la connexion est donc cryptée et va créer un tunnel.

Moyen pour se connecter en ssh à son serveur :

Sous Windows l’utilitaire le plus connu pour établir une connexion ssh, avec son serveur est putty et il est gratuit. Avec putty, il vous suffit de renseigner l’adresse ip de votre serveur et de sélectionner connexion ssh. Ainsi votre serveur sera accessible.

Sous Linux il faut ouvrir un terminal et tapez la commande ssh adresse_ip_serveur –l dew

Modifier les mots de passe

Pour commencer si l’on veut sécuriser son serveur, il faut commencer par changer les mots de passe des sessions. La session root devra être la première dont le mot de passe doit être modifié. Ainsi la commande requise est : passwd root

Root

Les serveurs sont la cible récurrente d’attaque, la méthode la plus utilisé est celle de la force brute, elle consiste à effectuer un nombre important de test de connexion sur des noms d’utilisateurs, connus comme root et admin. C’est pour cela qu’il faut par précaution transférer les droits de ces utilisateurs sur un nouveau qui servira de session administrateur. Pour réaliser ceci il faut donc exécuter la commande :

adduser

Ce qui va créer un utilisateur au quel on va attribuer les droits root grâce à la commande :

usermod

Par la suite il faut modifier le fichier de configuration ssh, on le  trouve en tapant la commande nano /etc/ssh/sshd_config et ensuite il faut l’éditer en modifiant les valeurs (julien est le nouvel administrateur) :

sshd_config

Pour finir il faut bien évidement tester le fonctionnement des services aux quels on a apporté des modifications, pour cela on les redémarre :

service_ssh_restart

Installer un firewall

L’installation d’in firewall sur un serveur est recommandée, car il faut vérifier toutes les connexions possibles. Le plus connu est IPtables, pour le configurer il faut lui ajouter des scripts. Pour connaitre les règles déjà présentes  la commande est :

iptables_l_v

Pour installer notre script, on va créer son fichier grâce à la commande :

nano_firewall

Continue reading %s

DKIM

DKIM pour Domain Keys Identified Mail provenant du mariage des deux protocoles DomainKeys de Yahoo! et Identified Internet Mail de Cisco, permpet l’identification des mails. Il permet de vérifie si les mails ne sont pas des spams, permet de lutter contre le phishing et surtout de vérifier que le mail n’est pas été modifié entre l’envoie et la réception. Comme le protocole GPG, DKIM repose sur un système de clés privée/publique mais ici le cryptage des informations ce fait au niveau du serveur DNS.


L’installations


Chez les hébergeurs web l’activation de DKIM ce passe dans la zone DNS.
Il faut donc utiliser le lien ajouter une entrée de la zone DNS pour débuter l’opération.
Il vous faudra ensuite choisir l’option txt soit texte dans laquelle ils vous demanderont de remplir les champs, le nom de sous domaine qui devra contenir _domainkey et ensuite insérer les différentes informations sur les clés dans le champ valeurv= DKIM1, version de DKIM
k= algorythme utilisé pour l’encryption.
t=y indique le test mode et indique au destinataire d’ignorer votre signature.
t=s indique que la clé n’est pas valide pour les sous-domaine de votre domaine.
p= contenu de la clé publique sur une seule ligne. Une foi les modifications effectuées elles seront enregistrées sur le fichiers .txt généré lors de l’ajout de DKIM.


L’utilisation


Elle se fera de manière transparente lors de l’envois des mails depuis le serveur, les e-mail seront signés et une foi envoyé identifié a la réception pour authentifié la provenance et son authenticité.

Cryptage Mail (GPG)

Utilisation de la méthode GPG avec Thunderbird

Historique

Le projet est initié à la fin des années 1990 par Werner Koch dans le but de remplacer la suite PGP de logiciels cryptographiques (plus précisément, de cryptographie asymétrique) par une alternative en logiciel libre. Il a pour cela bénéficié d’un financement important de la part du ministère fédéral de l’Économie (Allemagne). La première version stable est réalisée le 7 septembre 1999. Le 19 décembre 2013 a été lancé la première campagne de financement participatif de valeur minimale de 21 655 € et de valeur optimale de 24 000 € sur le site goteo.org dans le but de créer un site web plus attractif, améliorer la documentation et sortir la version 2.1 de GnuPG. En 24 heures, 90% des objectifs ont été remplis.

Source: Wikipédia

Installation

L’installation est simple et prend peu de temps. Pour cela il suffit d’installer un plugin additionnel que l’on pourra trouver facilement dans la bibliothèque de modules complémentaires sous le nom de Enigmail par exemple (mais ce n’est pas  le seul).

Quelques informations concernant l’installation :

Lors de l’installation il vous sera proposé la création de paire de clés. Ces deux clés représentent l’ensemble des données nécessaire à chiffrer et déchiffrer. Elles sont composées de données identifiants l’émetteur du message chiffré. Les deux types de clés qui seront ainsi crées sont publique et la clef privée.

La clé privée doit rester personnel et confidentielle. Elle permet d’utiliser le profil créé sur différents appareils. Et de signer les messages que l’on souhaite authentifiés pour que le ou les destinataire(s) puissent vérifier l’authenticité de l’e-mail, que les identifiants contenus dans le certificat et la taille du message correspondent.

La clé publique est à transmettre au destinataire du message envoyé. Elle permet de d’authentifier et de certifier la provenance du message, elle permet à vos contacts de déchiffrer les messages que vous leurs envoyer. Ainsi il faudra  du même principe il vous faudra la  clé publique de vos contact pour déchiffrer leurs messages. La clé publique vous permettra de chiffrer en la récupérant un message spécifiquement destiné au contact au quel appartient la clé.

Un certificat de révocation sera créer par la suite, il servira à annuler la clé en cas de soucis et notifiera que la clé n’est plus utilisable. Un fichier avec l’extension .asc sera alors créer à l’aide du mot de passe de la clé, celui-ci devra être conservé avec précaution car c’est lui qui contiendra le certificat de révocation.

Thunderbird ici gère l’exportation des clés publiques avec une catégorie y étant consacré dans les paramètres. Il vous est permis de l’exporter par le biais d’un serveur de clés sur lequel tous vos contact pourront la récupérer et l’utilisé pour déchiffrer vos messages ou bien par un fichier encore une foi .asc, pour un maximum de sécurité il faudra éviter d’exporter la clé privée

Utilisation

Grace à thunderbird l’utilisation est rendu très simple, il suffit de créer un nouveau mail  et à l’envoi sera demandé le mot de passe crée lors de la conception de la paire de clés. Il pourra être constaté lors du chargement que le chiffrage du message est bien effectif.

Signer

Pour signer un message il suffit de rentrer le mot de passe défini au par avant une foi l’option activer dans les paramètres. Une foi cette action exécutée le message ne pourra être modifié sous peine de voir le certificat invalidé.

Lecture

Ainsi le message reçus, il pourra être déchiffré grâce à sa clé privée. Seulement, si le message a été  signé il devra se servir de votre clé publique pour certifié la provenance de l’e-mail.

Manuel de sécurité informatique

Introduction

L’informatique est une science compliqué, mais accessible à tous. Chacun à une utilisation de l’informatique différente des autres. Certains l’utilise de manière professionnel dans tout les secteurs et d’autres ont une utilisation privée qui diffère selon les gens. C’est parce que tout le monde n’utilise pas de la manière leurs terminaux qu’il est important d’être et de rester informé sur les dangers dont regorge internet. Pour cela il faudra s’en prémunir et définir des règles à appliquer en fonction de sa pratique de l’informatique qui permettront d’utiliser sa machine et de naviguer sur internet en tout sécurité.  Sur internet il existe de multiples menaces sous différentes formes et qui utilise différentes méthodes pour porter atteinte à votre intégrité et celle de votre machine. Elles sont nommées de différentes manières : spim, spyware, Rootkits, spam, bot, man in the midle, malware, les keyloggers.

Configuration minimale pour utiliser son terminal en sécurité

a) Les mots de passes:

Choisir un mot de passe un minimum efficace unique à chaque compte créer avec un minimum de 8 caractères, 1 majuscule et un chiffre. Il est conseillé d’utiliser un gestionnaire de mot passe pour être plus efficace dans la sécurité de ces comptes.

b) Anti-Virus:

Avoir un anti-virus gratuit ou payant, les performances sont quasis équivalentes entre les logiciels seul les options diffères. Un anti-virus dont les mises à jours sont régulière est importants car tous les jours de nouveaux virus sont crées, ces mises à jours permettront de télécharger les bases de données  contenant la liste de ces nouveaux virus. L’activation des mises à jour automatiques est donc essentielle.

(suite ici)