[Ubuntu-QC] Guide pour sécuriser une serveur Ubuntu 10.04 LTS

Mathieu Trudel-Lapierre mathieu.tl at gmail.com
Mer 23 Juin 20:22:23 BST 2010


On mer, 2010-06-23 at 12:52 -0400, Etienne Savard wrote:
> Bonjour,
> 
> Je voudrais monter un serveur pour mon employeur pour lui démontrer
> qu'il est possible de sécuriser une installation d'Ubuntu 10.04
> serveur.
> 
> Ce que j'aimerai : 
> 
>      1. Encrypter l'information sur les disques durs (code source,
>         documentation, wiki, etc.) pour s'assurer que celle-ci n'est
>         pas accessible en cas de vol. 

LVM/LUKS ou ecryptfs? Les deux ont différentes raisons d'être plus ou
moins utile... LVM/LUKS requiet l'entrée d'un mot de passe au démarrage,
alors que ecryptfs chiffre un répertoire d'usagé et doit être ouvert
avant l'utilisation...

Dans la majorité des cas d'entreprises "normales", l'encryption du
disque n'est pas si nécessaire. Vaut mieux, à mon avis, investir dans un
centre de données bien équipé et bien sécurisé.

>      1. Backup automatique (et encrypter) sur le "cloud" (soit sur
>         Amazon S3 ou ailleurs) pour ne pas tout perdre en cas de
>         catastrophe (incendie, inondation, etc.) 
>      2. Tout ce qui peut éviter que le serveur soit facilement
>         "hackable" (présentement, le LAN est derrière un firewall
>         (router) mais j'aimerai pouvoir y accéder par SSH de
>         l'extérieur) 

Backup sur le cloud? À mon avis il serait plus simple de faire des
sauvegardes sur cassettes, puis les envoyer à un fournisseur de
solutions de sécurité de documents; comme DocuDépot, à Verdun.

Pour ce qui est de la sécurisation:

- Utiliser bastille: https://help.ubuntu.com/community/BastilleLinux
- Générer des règles nécessaires pour iptables et apparmor.
- etc.

Pour SSH, tu peux monter un serveur de VPN pour n'avoir qu'un accès à
ouvrir pour le VPN afin d'avoir accès à tout le réseau, ou alors ouvrir
chacune des machines avec une IP publique sur le net (moins recommandé),
ou alors n'en ouvrir qu'une et utiliser SSH avec un ProxyCommand... Il y
a plusieurs moyens peu coûteux et simples à implémenter.

> Si il y avait un guide ou bien une genre de "checklist" des opérations
> à faire pour bien sécuriser un serveur Ubuntu, j'apprécierai beaucoup.

C'est pas spécifique à Ubuntu, mais la NSA ont un bon guide de
sécurisation Linux, écrit pour RedHat EL 5:

http://www.nsa.gov/ia/guidance/security_configuration_guides/operating_systems.shtml#linux2

L'information y est évidemment tout à fait réutilisable.

Aussi, il existe différents guides plus ou moins complets sur le net:
http://www.securenetwork.it/ricerca/whitepaper/download/Debian-Ubuntu_hardening_guide.pdf

Le lien proposé par Fabian est un excellent point de départ.

Un détail par contre: il faut se rappeler que la sécurité est un
procédé... Il est important de réviser les options utilisées, de faire
des mises à jour fréquentes et de rester à l'affût des changements dans
le domaine. Pour cela, tu peux t'inscrire aux annonces de sécurité pour
Ubuntu:
https://lists.ubuntu.com/mailman/listinfo/ubuntu-security-announce

Ou alors suivre les listes de diffusion de Secunia, SecurityFocus, ISC
SANS, etc.

-- 
Mathieu Trudel-Lapierre <mathieu.tl at gmail.com>
Freenode: cyphermox, Jabber: mathieu.tl at gmail.com
4096R/EE018C93 1967 8F7D 03A1 8F38 732E  FF82 C126 33E1 EE01 8C93

-------------- section suivante --------------
Une pièce jointe non texte a été nettoyée...
Nom: non disponible
Type: application/pgp-signature
Taille: 836 octets
Desc: This is a digitally signed message part
Url: https://lists.ubuntu.com/archives/ubuntu-quebec/attachments/20100623/33f090fd/attachment.pgp 


Plus d'informations sur la liste de diffusion Ubuntu-quebec