Sécurité Linux : Guide Complet pour Protéger Votre Système

La sécurité est un aspect fondamental de l’administration des systèmes Linux. Que vous gériez un serveur en production ou un ordinateur personnel, protéger votre système contre les menaces est essentiel. Ce guide vous présente les meilleures pratiques et techniques pour sécuriser efficacement votre environnement Linux.

Principes fondamentaux de sécurité

Mise à jour régulière du système

La première ligne de défense est de maintenir votre système à jour :

# Pour Debian/Ubuntu
sudo apt update
sudo apt upgrade

# Pour Fedora/RHEL
sudo dnf upgrade

# Pour Arch Linux
sudo pacman -Syu

Configurez les mises à jour automatiques pour les correctifs de sécurité :

# Sur Debian/Ubuntu
sudo apt install unattended-upgrades
sudo dpkg-reconfigure unattended-upgrades

Gestion des utilisateurs et des permissions

Principe du moindre privilège

# Créer un utilisateur standard (non root)
sudo adduser nouvel_utilisateur

# Ajouter aux sudoers (pour les tâches administratives)
sudo usermod -aG sudo nouvel_utilisateur

# Vérifier les groupes d'un utilisateur
groups utilisateur

Renforcement des mots de passe

# Configurer une politique de mots de passe forts
sudo apt install libpam-pwquality
sudo nano /etc/security/pwquality.conf

# Paramètres recommandés
# minlen = 12
# minclass = 3
# enforce_for_root

Sécurisation du réseau

Configuration du pare-feu

UFW (Uncomplicated Firewall) simplifie la gestion du pare-feu :

# Installation
sudo apt install ufw

# Configuration de base
sudo ufw default deny incoming
sudo ufw default allow outgoing

# Autoriser SSH
sudo ufw allow ssh

# Autoriser d'autres services si nécessaire
sudo ufw allow 80/tcp  # HTTP
sudo ufw allow 443/tcp  # HTTPS

# Activer le pare-feu
sudo ufw enable

# Vérifier le statut
sudo ufw status verbose

Sécurisation SSH

SSH est souvent la principale cible des attaques :

# Éditer la configuration SSH
sudo nano /etc/ssh/sshd_config

Modifications recommandées :

# Désactiver la connexion root
PermitRootLogin no

# Utiliser uniquement le protocole SSH v2
Protocol 2

# Désactiver l'authentification par mot de passe
PasswordAuthentication no

# Limiter les utilisateurs autorisés
AllowUsers utilisateur1 utilisateur2

# Changer le port par défaut (optionnel mais efficace)
Port 2222

# Limiter les tentatives d'authentification
MaxAuthTries 3

Redémarrer le service SSH :

sudo systemctl restart sshd

Authentification par clé SSH

# Sur votre machine locale, générer une paire de clés
ssh-keygen -t ed25519 -C "votre_email@exemple.com"

# Copier la clé publique sur le serveur
ssh-copy-id -i ~/.ssh/id_ed25519.pub utilisateur@serveur

# Ou manuellement
cat ~/.ssh/id_ed25519.pub | ssh utilisateur@serveur "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys"

Protection contre les intrusions

Fail2ban - Protection contre les attaques par force brute

# Installation
sudo apt install fail2ban

# Configuration
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local

Configuration recommandée :

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 3600

Démarrer et activer le service :

sudo systemctl enable fail2ban
sudo systemctl start fail2ban

Détection d’intrusion avec AIDE

AIDE (Advanced Intrusion Detection Environment) surveille les modifications de fichiers :

# Installation
sudo apt install aide

# Initialiser la base de données
sudo aideinit

# Vérifier les modifications
sudo aide --check

Durcissement du système

Désactivation des services inutiles

# Lister les services actifs
systemctl list-units --type=service --state=active

# Désactiver un service
sudo systemctl disable service_inutile
sudo systemctl stop service_inutile

Sécurisation du chargeur de démarrage

# Définir un mot de passe GRUB
sudo grub-mkpasswd-pbkdf2
sudo nano /etc/grub.d/40_custom

# Ajouter les lignes suivantes
# set superusers="admin"
# password_pbkdf2 admin <mot_de_passe_généré>

# Mettre à jour GRUB
sudo update-grub

Chiffrement des données

# Chiffrer le répertoire personnel
sudo apt install ecryptfs-utils
sudo ecryptfs-migrate-home -u utilisateur

# Chiffrer une partition complète (lors de l'installation)
# Utiliser LUKS via l'installateur de votre distribution

Surveillance et journalisation

Configuration de la journalisation

# Vérifier les journaux système
sudo journalctl -xe

# Surveiller les tentatives de connexion
sudo tail -f /var/log/auth.log

# Configurer la rotation des journaux
sudo nano /etc/logrotate.conf

Outils de surveillance

# Installer des outils de surveillance
sudo apt install logwatch
sudo apt install auditd

# Configurer des rapports quotidiens
sudo nano /etc/cron.daily/00logwatch

Audits de sécurité

Lynis - Outil d’audit de sécurité

# Installation
sudo apt install lynis

# Exécuter un audit complet
sudo lynis audit system

# Générer un rapport
sudo lynis audit system --report-file /tmp/lynis-report.dat

OpenVAS - Scanner de vulnérabilités

# Installation (peut varier selon la distribution)
sudo apt install openvas

# Configuration initiale
sudo openvas-setup

# Accéder à l'interface web
# https://localhost:9392

Bonnes pratiques supplémentaires

Sauvegarde sécurisée

# Utiliser rsync avec SSH
rsync -avz -e ssh /chemin/source utilisateur@serveur:/chemin/destination

# Automatiser avec cron
# 0 2 * * * rsync -avz -e ssh /chemin/source utilisateur@serveur:/chemin/destination

Isolation avec AppArmor ou SELinux

# AppArmor (Ubuntu/Debian)
sudo apt install apparmor apparmor-utils
sudo aa-enforce /etc/apparmor.d/*

# SELinux (Fedora/RHEL)
sudo dnf install selinux-policy-targeted
sudo setenforce 1

Conclusion

La sécurité Linux est un processus continu qui nécessite vigilance et mises à jour régulières. En appliquant les mesures décrites dans ce guide, vous établirez une base solide pour protéger votre système contre la plupart des menaces courantes.

N’oubliez pas que la sécurité parfaite n’existe pas, mais une approche en profondeur avec plusieurs couches de protection réduit considérablement les risques. Restez informé des dernières vulnérabilités et adaptez votre stratégie de sécurité en conséquence.