GUIDE

Sécurité sur Linux : Bonnes Pratiques

Guide complet pour sécuriser votre système Linux et protéger vos données

Points Essentiels

  • Mettez régulièrement à jour votre système
  • Utilisez des mots de passe forts et uniques
  • Activez le pare-feu
  • Chiffrez vos données sensibles
  • Faites des sauvegardes régulières

Gestion des Mots de Passe

Création d'un Mot de Passe Fort

  • Minimum 12 caractères
  • Mélange de lettres, chiffres et caractères spéciaux
  • Éviter les informations personnelles

Pour modifier votre mot de passe utilisateur :

passwd

Mises à Jour de Sécurité

Les mises à jour régulières sont cruciales pour la sécurité de votre système.

Commandes Essentielles

1. Mettre à jour la liste des paquets disponibles :

sudo apt update

2. Installer les mises à jour de sécurité :

sudo apt upgrade

Sécurité SSH

Configuration Sécurisée du Serveur SSH

1. Ouvrir le fichier de configuration SSH :

sudo nano /etc/ssh/sshd_config

2. Ajouter ou modifier les lignes suivantes :

# Désactiver l'authentification par mot de passe PasswordAuthentication no # Utiliser uniquement SSH v2 Protocol 2 # Limiter les tentatives de connexion MaxAuthTries 3 # Désactiver la connexion root PermitRootLogin no # Port SSH personnalisé (optionnel, remplacer 22) Port 2222 # Limiter les utilisateurs autorisés AllowUsers votreUtilisateur

3. Redémarrer le service SSH pour appliquer les changements :

sudo systemctl restart sshd

Gestion des Clés SSH

1. Générer une nouvelle paire de clés :

ssh-keygen -t ed25519 -C "votre@email.com"

Utilisez Ed25519 pour une meilleure sécurité. Pour une compatibilité maximale, utilisez RSA avec 4096 bits :

ssh-keygen -t rsa -b 4096 -C "votre@email.com"

2. Copier la clé publique vers un serveur :

ssh-copy-id utilisateur@serveur

3. Vérifier la connexion SSH :

ssh utilisateur@serveur

Bonnes Pratiques

  • Utilisez des clés SSH plutôt que des mots de passe
  • Protégez vos clés privées avec une phrase de passe
  • Changez le port SSH par défaut (22) pour éviter les scans automatisés
  • Limitez l'accès SSH à des utilisateurs spécifiques
  • Surveillez régulièrement les tentatives de connexion dans les logs

Pare-feu (UFW)

UFW (Uncomplicated Firewall) est un pare-feu simple mais puissant pour Linux.

1. Installation du pare-feu :

sudo apt install ufw

2. Activation du pare-feu :

sudo ufw enable

3. Vérification de l'état du pare-feu :

sudo ufw status

Sauvegardes Sécurisées

Rsync avec Chiffrement

Pour effectuer une sauvegarde chiffrée vers un serveur distant :

rsync -avz --delete -e ssh /chemin/source utilisateur@serveur:/chemin/destination

Borg Backup

Solution de sauvegarde moderne avec déduplication et chiffrement.

1. Installation de Borg :

sudo apt install borgbackup

2. Création d'un nouveau dépôt chiffré :

borg init --encryption=repokey /chemin/vers/sauvegarde

Audit de Sécurité

Lynis

Outil d'audit de sécurité automatisé qui analyse votre système.

1. Installation de Lynis :

sudo apt install lynis

2. Lancement d'un audit complet :

sudo lynis audit system

Rkhunter

Outil de détection des rootkits et malwares.

1. Installation de Rkhunter :

sudo apt install rkhunter

2. Analyse du système :

sudo rkhunter --check

Gestion des Permissions

Commandes de Base

# Afficher les permissions
ls -l fichier# Modifier les permissions
chmod 644 fichier

Bonnes pratiques :

  • Fichiers sensibles : 600 (lecture/écriture propriétaire uniquement)
  • Fichiers standards : 644 (lecture pour tous, écriture propriétaire)
  • Exécutables : 755 (exécution pour tous, modification propriétaire)

Antivirus et Malwares

ClamAV

Antivirus open source pour Linux

# Installation
sudo apt install clamav# Scan d'un répertoire
clamscan -r /chemin/vers/dossier

Chiffrement des Données

LUKS (Linux Unified Key Setup)

Pour le chiffrement des disques :

# Chiffrer un nouveau disque
sudo cryptsetup luksFormat /dev/sdX

VeraCrypt

Pour créer des conteneurs chiffrés :

# Installation
sudo apt install veracrypt

Surveillance du Système

Journaux Système

Pour consulter les journaux système en temps réel :

journalctl -xe

Pour voir l'historique des connexions :

last

Surveillance Réseau

Netstat

Pour afficher toutes les connexions réseau actives :

netstat -tuln

Fail2ban

Protection automatique contre les tentatives d'intrusion.

1. Installation de Fail2ban :

sudo apt install fail2ban

2. Vérification du statut :

sudo fail2ban-client status

Attention

La sécurité est un processus continu. Restez informé des dernières vulnérabilités et mettez régulièrement à jour vos pratiques de sécurité.

  • Surveillez régulièrement les journaux système
  • Testez vos sauvegardes périodiquement
  • Maintenez une liste des logiciels installés
  • Documentez vos configurations de sécurité

Ressources Additionnelles