En ce qui concerne Ubuntu 10.04, édition du serveur, quels outils/pratiques recommanderiez-vous pour sécuriser le serveur?
Ceci est un peu non spécifique, mais en général, vous devrez
Exécutez un pare-feu tel que iptables ou fw pour gérer la connexion aux ports ouverts.
Installez uniquement le logiciel dont vous avez besoin.
N'exécutez que les services essentiels au fonctionnement du serveur.
Gardez ce logiciel à jour avec tous les correctifs de sécurité.
Configurez de nouveaux utilisateurs avec le moins de privilèges dont ils ont besoin pour exécuter leurs tâches.
Exécutez denyhosts ou fail2ban pour vérifier les attaques par force brute.
Exécutez logwatch pour vous envoyer un courriel d’anomalie dans les fichiers journaux.
Vérifiez vos journaux souvent pour des activités suspectes.
Utilisez Sudo toujours et utilisez des mots de passe forts.
Désactiver les chiffrements faibles et moyens en SSL pour Apache, Exim, Proftpd, pigeonnier, etc.
Définissez les services pour n'écouter que localhost (le cas échéant).
Exécuter chkrootkit quotidiennement.
Exécutez clamscan aussi souvent que nécessaire pour rechercher les virus Windows (le cas échéant).
Soyez vigilant, connaissez votre serveur, sachez ce qu'il devrait faire et ce qu'il ne devrait pas faire.
Vous ne gardez les choses en sécurité qu'en vérifiant et en sécurisant constamment. Si vous ne savez pas ce que fait quelque chose, comment ou pourquoi, ou si quelque chose semble suspect, demandez simplement conseil aux autres.
Réponse géniale de Richard Holloway. Si vous recherchez un guide spécifique étape par étape, consultez le guide en 2 parties de la bibliothèque Slicehost.
Je l'utilise presque partout lorsque je dois installer une instance de serveur Ubuntu. Je suis sûr que tu aimerais ça.
Une autre excellente source est la bibliothèque Linode à l’adresse http://library.linode.com/
Consultez les articles aux deux endroits. De nombreuses informations y sont disponibles et vous disposerez de suffisamment de connaissances pour gérer parfaitement votre serveur.
PS: En aucun cas, une bibliothèque ne peut se substituer aux capacités d’intuition, de perspicacité et de prise de décision d’un administrateur système formidable.
Quelque chose que je ne vois pas mentionné est "utiliser 64 bits". Cela garantit, entre autres, la protection de la mémoire NX.
Trois choses que j'ai tendance à recommander sont:
Montez toutes les zones accessibles en écriture (/ tmp,/var/tmp) en tant que 'noexec': ceci est en grande partie sécurisé sans bizarreries, sauf (au moment de l'écriture), sauf si vous choisissez de mettre à niveau votre système. Voir le bogue n ° 572723 sur le tableau de bord pour plus de détails.
N'installez aucun compilateur ou assembleur à moins que cela ne soit absolument nécessaire: je pense que cela va de soi.
Premiers pas avec AppArmor: AppArmor peut être considéré comme une alternative à SELinux. Il s'agit d'une fonctionnalité intéressante d'Ubuntu pour les applications en cours d'exécution en mode bac à sable, afin de garantir qu'elles n'ont pas plus d'accès que ce dont elles ont besoin. Je vous recommande de consulter le guide sur les forums si vous êtes intéressé. http://ubuntuforums.org/showthread.php?t=1008906
Pour les pare-feu, vous pouvez jeter un oeil @ Firestarter ou fw avec gufw .