Rendre un serveur Ubuntu sécurisé. Quelques étapes à considérer

Rendre un serveur sécurisé
J'ai récemment décidé qu'il était temps de rassembler tous mes projets nécessitant un hébergement Web sur un seul serveur. Un serveur qui cela me permettrait d'avoir un niveau de contrôle que les plans d'hébergement normaux n'ont pas.

Bien sûr que cela signifie C'est moi qui dois m'occuper des choses qui relevaient auparavant de la responsabilité de mon fournisseur. Par exemple, la sécurité et les mises à jour.

Rendre un serveur Ubuntu sécurisé. Configurer le pare-feu

Un pare-feu ou pare-feu est un outil logiciel qui surveille le trafic réseau en faisant attention aux paquets de données essayant d'entrer ou de sortir. Il le fait en appliquant des règles de sécurité préétablies et détermine celles qui peuvent le faire.

En pratique, il s'agit d'une sorte de garde-frontière entre le serveur et Internet et veille à empêcher l'entrée de personnes non autorisées ou de logiciels malveillants.

Dans les serveurs privés virtuels (selon le fournisseur), nous aurons deux options; un pare-feu externe dont les règles sont gérées depuis le panneau de contrôle ou un pare-feu interne. Les connaisseurs recommandent chaque fois que possible de travailler avec l'étranger.

Ubuntu utilise un programme appelé Uncomplicated Firewall comme pare-feu interne par défaut. Nous pouvons voir si cela fonctionne avec la commande
sudo ufw status

S'il n'est pas installé, nous pouvons le faire avec la commande:
sudo apt install ufw

Vous pouvez démarrer le pare-feu avec cette instruction:

sudo ufw enable

Automatiser les mises à jour

Activation de LivePatch

LivePatch est un service de Canonical, la société qui développe Ubuntu et est exclusif à cette distribution. Je vous rappelle que pour ces articles nous nous basons sur un serveur privé virtuel exécutant la version serveur d'Ubuntu 20.04.

Le grand avantage de LivePatch est que permet l'application de correctifs de sécurité sur le noyau Linux sans avoir à redémarrer le serveur. Soyons clairs. LivePatch applique des correctifs au noyau actuel. Si vous mettez à niveau vers un nouveau noyau, vous devrez redémarrer.

Le service est disponible gratuitement pour les versions de support étendu d'Ubuntu.

Pour l'activer, vous aurez besoin d'un jeton à quoi pouvez-vous aller cette page. Assurez-vous que l'option utilisateur Ubuntu est sélectionnée (sauf si vous souhaitez payer pour le support commercial) et cliquez sur Obtenez votre jeton LivePatch.

L'écran suivant vous demande si vous avez un compte Ubuntu One, si ce n'est pas le cas, il vous donne la possibilité d'en créer un.

Lorsque vous vous connectez, il vous montre le jeton de votre compte et vous indique les commandes que vous devez saisir. Les commandes sont:

sudo apt install snapd

sudo snap install canonical-livepatch
sudo canonical-livepatch enable tu_token

Veuillez noter que le token ne peut être utilisé gratuitement que sur trois machines.

Utilisez cette instruction pour vérifier l'état de l'outil:

sudo canonical-livepatch status

Pour forcer la recherche de nouvelles mises à jour, tapez:
sudo canonical-livepatch refresh

Rendre un serveur sécurisé avec des mises à jour automatiques sans surveillance

Quand j'ai commencé à créer des sites Web, J'utilisais un gestionnaire de contenu open source qui commençait tout juste à se développer, et un fournisseur d'hébergement que j'ai appris plus tard était un aventurier.. Un jour où j'avais mal dormi, j'ai fait ce que je ne fais jamais. Dormir la sieste. Au cours de ces deux heures, quelqu'un a profité d'une vulnérabilité dans le projet, de mon manque d'expérience et du manque de sérieux de l'hébergeur envers moi.Insertion d'une fausse page sur mon site pour voler des données aux clients de Bank Of America. Je vous assure que la BOA ne prend pas très bien de telles choses.

La morale de cela est que Soit vous avez quelqu'un toute la journée pour surveiller le serveur, les avis de problèmes de sécurité et la disponibilité de nouvelles versions des applications, soit vous cherchez un moyen d'automatiser le problème.

Heureusement, les développeurs Ubuntu ont inclus un correctif

Les étapes pour le configurer sont les suivantes.

Nous nous assurons que le système est à jour avec:

sudo apt update

sudo apt upgrade
Nous installons les programmes nécessaires
sudo apt install unattended-upgrades apt-listchanges bsd-mailx

Dans la fenêtre qui s'ouvre, sélectionnez Aucune configuration

Nous lançons l'application avec

sudo dpkg-reconfigure -plow unattended-upgrades
Dans la fenêtre qui s'ouvre, cliquez pour accepter les mises à jour automatiques.

Maintenant, nous devons configurer certaines choses.

Il écrit:
sudo nano /etc/apt/apt.conf.d/50unattended-upgrades

Appuyer sur CTRL + W recherche cette ligne Mise à niveau sans assistance :: Mail
Et complétez avec votre adresse e-mail.

Alors cherchez cette ligne Mise à niveau sans assistance :: Redémarrage automatique
Et vérifiez que c'est vrai. Cela permet au système de redémarrer automatiquement si nécessaire.

Appuyez sur CTRL + X et acceptez d'enregistrer les modifications.

Maintenant écris:
sudo nano /etc/apt/listchanges.conf
Avec CTRL + W, recherchez eadresse mail et répétez l'adresse que vous avez mise avant.
Enregistrez avec CTRL + X et acceptez que je le fasse avec les modifications.

Testez la configuration avec
sudo unattended-upgrades --dry-run


Le contenu de l'article adhère à nos principes de éthique éditoriale. Pour signaler une erreur, cliquez sur c'est par ici !.

Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.