serveurs:installation:points-securite

Points à vérifier concernant la sécurité des instances

  • Suivre les recommandation suivantes :
  • S'abonner au flux RSS des annonces de sécurité Debian : https://www.debian.org/security/dsa
  • N'installer pas plus de paquets/logiciels que nécessaire.
  • Mettre à jour régulièrement les paquets manuellement : apt update ; apt upgrade
    • Ou mieux, automatiser la mise à jour des paquets via unattended-upgrades et recevoir les changements via apt-listchanges. Tester : unattended-upgrades --dry-run --verbose
  • Utiliser des mots de passe forts pour les utilisateurs systèmes et des différents logiciels : 16 caractères comprenant lettres, chiffres et caractères spéciaux.
  • Utiliser un gestionnaire de mots de passe (tel que KeePassX) pour stocker tous les différents mots de passes créés.
  • Changer la valeur par défaut du port SSH qui doit avoir une valeur différente de 22 dans /etc/ssh/sshd_config
  • Désactiver la connexion SSH pour les utilisateurs root : PermitRootLogin doit être commenté dans /etc/ssh/sshd_config
  • Notifier l'administrateur système (adminsys@<domaine-sinp>) par email à chaque connexion SSH sur chaque instance.
  • Limiter l'utilisation des installateurs et compilateurs à l'utilisateur root.
  • Installer Fail2ban pour surveiller les accès réseau grâce aux logs des serveurs et bannir les IP correspondantes aux erreurs d'authentification répétées.
  • Installer Rootkit-Hunter pour détecter les éventuelles installations présentes et futures de rootkits.
  • Désactiver les ports inutilisés avec l'installation du parefeu Nftables et de sa surcouche de gestion Firewalld.
  • Réaliser manuellement un snapshot de chaque instance via l'interface OVH une fois l'installation réalisée et à chaque modification importante du système
  • Mettre en place une sauvegarde automatique des instances via l'interface OVH
  • Réaliser manuellement un snapshot du volume BlockStorage via l'interface OVH une fois l'intégration des données réalisées et à chaque nouvelle intégration
  • Mettre en place une sauvegarde automatique des volumes BlockStorage via l'interface OVH → ne semble pas possible via l'interface au 2021-03-22.
  • Mettre en place un dump automatique des bases de données (Postgresql, MariaDB) avec export externalisé
  • Mettre en place une sauvegarde automatique des principaux dossiers systèmes (/etc, /home, …) avec export externalisé
  • serveurs/installation/points-securite.txt
  • Dernière modification : 2023/05/24 10:18
  • de jpmilcent