openSUSE Leap 15.5 est une distribution Linux stable et de niveau entreprise, reconnue pour sa gestion robuste des paquets et son excellent support logiciel. Elle est particulièrement adaptée au développement, à une utilisation sur serveur et dans des environnements professionnels.
Caractéristiques principales :
- Système de base : Basé sur les sources de SUSE Linux Enterprise (SLE).
- Modèle de mise à jour : Mises à jour stables, axées sur la sécurité et la fiabilité.
- Centre de contrôle YaST : Un outil convivial pour gérer les paramètres du système.
- Gestionnaire de paquets Zypper : Performant pour gérer les logiciels et les dépôts.
- Compatibilité matérielle : Support excellent pour les matériels modernes et anciens.
- Communauté : Soutien solide de la communauté open source.
Mettre à jour le système
zypper up -y
-Utiliser des mots de passe suffisamment complexes.
-On désactive/supprime les comptes utilisateurs inactifs.
(avec yast)
-On ne donne aux utilisateurs que les permissions minimales nécessaire aux opérations, pas plus.
-Mettre en place des restrictions de paramètres des services (ex : cadence d’envoi de mail pour lutter contre les envois de spam, ou une taille maximale de fichiers pour un serveur FTP, le nombre de connexions maximum par seconde pour une IP sur un serveur web etc…)
# Un firewall
En entrée, mais aussi en sortie.
On interdit tout puis on autorise au cas par cas.
Plus laborieux à maintenir mais plus robuste.
Restriction par ip aux services d’administration
Bannir une IP (fail2ban)
Bloquer une IP avec firewalld :
firewall-cmd –add-rich-rule= »rule family=’ipv4′ source address=’192.168.10.10′ reject »
# Durcissement du service SSH
-Générer des clefs SSH pour se connecter à un serveur distant
-Désactiver l’accès au compte root (déjà le cas par défaut)
—nano /etc/ssh/sshd_config
-Interdire l’accès par mot de passe : que par clé
— nano /etc/ssh/sshd_config
# Chercher la ligne »
#PasswordAuthentication yes ,
décommenter et modifier comme ci-dessous :
PasswordAuthentification no
-Envoyer un mail à chaque connexion réussie.
-Autoriser l’authentification par clé privée
—nano /etc/ssh/sshd_config
# Chercher la ligne « #PubkeyAuthentication#, décommenter et modifier comme ci-dessous :
PubkeyAuthentication yes
-Protection d’un site web. Configuration Apache
Restrtiction d’acccès par ip : Allow ip
- # Protection contre les attaques brute force
Définition de brute force
Pourquoi : soulage le serveur
Une solution classique : fail2ban
Principe de fonctionnement de fail2ban
Expérimentation fail2ban : ssh plus un autre service
# Superviser et alerter
Mettre en place d’outil de supervision
# Protection contre les backdoors
Définition de backdoor
rkhunter
Principe de fonctionnement de rkhunter
nano /etc/default/rkhunter
CRON_DAILY_RUN= »yes »
REPORT_EMAIL= »moi@votremondomaine.fr »
Mettre à jour les empreintes md5
rkhunter –propupd
# Surveiller les logs avec logwatch
- # Sécuriser Apache
Masquer les signatures serveur
nosnif
mod_evasive
mod_security