Description
Service vous permettant de consolider les défenses d’un serveur tournant sous Debian/Ubuntu.
Liste non exhaustive des tâches effectuées :
Général
- Désactiver la connexion SSH/SFTP en tant que root
- Changer le port SSH
- Désactiver la connexion avec mot de passe et utiliser une clé SSH avec passphrase
- Configurer l’installation des màj de sécurité de manière automatique
- Installer Lynis, lancer un audit global et faire en sorte d’atteindre un score > 80
- Installer Fail2Ban et ajouter des configurations de jail pour les services complémentaires (apache2, nginx, éviter MySQL car peu pertinent)
- Optimiser les variables du Kernel (gain de performance/sécurité)
- Désactiver l’écoute sur les ports inutiles
- Blinder ses IPTables contre les attaques mal formées, effectuées par des bots, port scanning, SYN, DDoS etc.
- Configurer des snapshots/backups (script sh + crontab)
- Configurer un script de monitoring pour les services importants si le serveur fait tourner des sites (vérification de la présence d’erreurs dans les logs)
- Ne pas utiliser ISPConfig, Webmin et tout ces gestionnaires en ligne qui installent des dépendances et baissent les perfs
Serveur web
- Implémenter les headers de sécurité
- Optimiser sa configuration SSL (version TLS, cypher et tout le bordel)
- Configurer un anti-DDoS (mitigation du nombre de requêtes/user/s)
PHP
- Mettre la variable cgi.fix_pathinfo = 0 dans php.ini si utilisation de Nginx
- Si plusieurs sites tournent sur le même serveur, configurer plusieurs pool avec utilisateurs différents
MySQL
- Changer le port d’écoute
- Désactiver login avec utilisateur root
- Désactiver accès à distance
- Configurer un utilisateur par base de données avec un mdp d’au moins 16 caractères
- Si utilisation d’adminer/PHPMyAdmin, mettre un .htpasswd sur le serveur web pour restreindre l’accès
Il n'y a pas encore de critique.