Lorsque vous vous connectez à un serveur distant, il est essentiel d’établir un canal de communication sécurisé. L’utilisation du protocole SSH (Secure Shell) est le meilleur moyen d’établir une connexion protégée.
Connectivité sécurisée du serveur
Contrairement au protocole Telnet utilisé précédemment, l’accès SSH crypte toutes les données transmises lors de l’échange.
1. Établir et utiliser une connexion sécurisée
Pour obtenir un accès à distance à l’aide du protocole SSH, vous devez installer le démon SSH et disposer d’un client SSH avec lequel vous pouvez envoyer des commandes et gérer des serveurs. Par défaut, SSH utilise le port 22. Tout le monde, y compris les pirates, le sait. La plupart des gens ne configurent pas ce détail apparemment insignifiant. Pourtant, modifier le numéro de port est un moyen simple de réduire les risques d’attaque de votre serveur par des pirates. Par conséquent, la meilleure pratique pour SSH est d’utiliser des numéros de port compris entre 1024 et 32 767.
2. Utiliser l’authentification par clés SSH
Au lieu d’un mot de passe, vous pouvez authentifier un serveur SSH à l’aide d’une paire de clés SSH, une meilleure alternative aux identifiants traditionnels. Les clés comportent beaucoup plus de bits qu’un mot de passe et ne sont pas faciles à craquer par la plupart des ordinateurs modernes. Le célèbre cryptage RSA 2048 bits est équivalent à un mot de passe de 617 chiffres.
La paire de clés se compose d’une clé publique et d’une clé privée.
La clé publique a plusieurs copies, dont l’une reste sur le serveur, tandis que les autres sont partagées avec les utilisateurs. Toute personne possédant la clé publique a le pouvoir de chiffrer des données, tandis que seul l’utilisateur possédant la clé privée correspondante peut lire ces données. La clé privée n’est partagée avec personne et doit être gardée en sécurité. Lors de l’établissement d’une connexion, le serveur demande la preuve que l’utilisateur possède la clé privée, avant d’autoriser un accès privilégié.
3. Protocole de transfert de fichiers sécurisé
Pour transférer des fichiers vers et depuis un serveur sans risque que des pirates compromettent ou volent des données, il est essentiel d’utiliser le protocole de transfert de fichiers sécurisé (FTPS). Ce protocole crypte les fichiers de données et vos informations d’authentification. FTPS utilise à la fois un canal de commande et un canal de données, et l’utilisateur peut crypter les deux. Gardez à l’esprit qu’il ne protège les fichiers que pendant le transfert. Dès qu’ils atteignent le serveur, les données ne sont plus cryptées. Pour cette raison, le cryptage des fichiers avant leur envoi ajoute une couche supplémentaire de sécurité.
Certificats Secure Sockets Layer
Sécurisez vos zones d’administration Web et vos formulaires grâce au protocole SSL (Secure Socket Layer) qui protège les informations transmises entre deux systèmes via Internet. Le protocole SSL peut être utilisé aussi bien pour les communications serveur-client que pour les communications serveur-serveur. Le programme brouille les données afin que les informations sensibles (telles que les noms, les identifiants, les numéros de carte de crédit et autres informations personnelles) ne soient pas volées en transit. Les sites Web dotés d’un certificat SSL affichent HTTPS dans leur URL, ce qui indique qu’ils sont sécurisés.
Non seulement le certificat crypte les données, mais il est également utilisé pour l’authentification des utilisateurs. Par conséquent, en gérant les certificats pour vos serveurs, vous contribuez à établir l’autorité de l’utilisateur. Les administrateurs peuvent configurer les serveurs pour qu’ils communiquent avec l’autorité centralisée et tout autre certificat que l’autorité signe.
5. Utiliser des réseaux privés et des VPN
Une autre façon d’assurer une communication sécurisée est d’utiliser des réseaux privés et des réseaux privés virtuels (VPN), ainsi que des logiciels comme OpenVPN (voir un guide sur l’installation et la configuration d’OpenVPN sur CentOS). Contrairement aux réseaux ouverts qui sont accessibles au monde extérieur et donc susceptibles d’être attaqués par des utilisateurs malveillants, les réseaux privés et privés virtuels limitent l’accès à des utilisateurs sélectionnés. Les réseaux privés utilisent une IP privée pour établir des canaux de communication isolés entre les serveurs d’une même portée. Cela permet à plusieurs serveurs sous un même compte d’échanger des informations et des données sans être exposés à un espace public.
Lorsque vous souhaitez vous connecter à un serveur distant comme si vous le faisiez localement via un réseau privé, utilisez un VPN. Il permet une connexion entièrement sécurisée et privée et peut englober plusieurs serveurs distants. Pour que les serveurs puissent communiquer sous le même VPN, ils doivent partager les données de sécurité et de configuration.
6. Surveiller les tentatives de connexion
L’utilisation d’un logiciel de prévention des intrusions pour surveiller les tentatives de connexion est un moyen de protéger votre serveur contre les attaques par force brute. Ces attaques automatisées utilisent une méthode d’essai et d’erreur, en essayant toutes les combinaisons possibles de lettres et de chiffres pour accéder au système. La surveillance et la gestion des utilisateurs assurent une meilleure sécurité du serveur. Un logiciel de prévention des intrusions surveille tous les fichiers journaux et détecte les tentatives de connexion suspectes. Si le nombre de tentatives dépasse la norme fixée, le logiciel de prévention des intrusions bloque l’adresse IP pendant une certaine période ou même indéfiniment.
7. Gestion des utilisateurs
Chaque serveur possède un utilisateur racine qui peut exécuter n’importe quelle commande. En raison du pouvoir dont il dispose, le root peut être très dangereux pour votre serveur s’il tombe entre de mauvaises mains. Il est courant de désactiver complètement le login root dans SSH. Puisque l’utilisateur root a le plus de pouvoir, les hackers concentrent leur attention sur la tentative de craquer le mot de passe de cet utilisateur spécifique. Voir https://evok.com/fr/netpro-maintenance/ pour en savoir plus sur la maintenance et le dépannage des serveurs informatiques