English English French French Spanish Spanish German German
Geekflare est soutenu par notre public. Nous pouvons gagner des commissions d'affiliation en achetant des liens sur ce site.
Partager sur:

Comment sécuriser et renforcer Cloud VM (Ubuntu et CentOS)?

sécurité cloud vm 1
Scanner de sécurité des applications Web Invicti – la seule solution qui offre une vérification automatique des vulnérabilités avec Proof-Based Scanning™.

La sécurisation du système d'exploitation est aussi importante que votre site Web, vos applications Web, vos activités en ligne.

Vous dépensez peut-être sur le plugin de sécurité, WAF, la sécurité basée sur le cloud pour protéger votre site (couche 7), mais en laissant le système d'exploitation sans charge peut être dangereux.

La tendance est en changeant.

statistiques d'hébergement

Le Web passe au Cloud de l'hébergement mutualisé pour de multiples avantages.

  • Temps de réponse plus rapide car les ressources ne sont partagées par aucun autre utilisateur
  • Contrôle total sur une pile technologique
  • Contrôle total du système d'exploitation
  • À bas prix

"Un grand pouvoir implique de grandes responsabilités"

Vous obtenez contrôle supérieur en hébergeant votre site Web sur une VM cloud, mais cela nécessite un peu de compétences d'administrateur système pour gérer votre VM.

Etes-vous solutions pour ça?

Remarque : si vous n'êtes pas disposé à y investir votre temps, vous pouvez choisir Cloudways qui gèrent AWS, Google Cloud, Digital Ocean, Linode, Vultr & Kyup VM.

Entrons dans un guide pratique pour sécuriser Ubuntu et CentOS VM.

Changing SSH Default Port

Par défaut, le démon SSH écoute numéro de port 22. Cela signifie que si quelqu'un trouve votre adresse IP peut tenter de se connecter à votre serveur.

Ils ne pourront peut-être pas accéder au serveur si vous les avez sécurisés avec un mot de passe complexe. Cependant, ils peuvent lancer des attaques par force brute pour perturber le fonctionnement du serveur.

La meilleure chose à faire est de changer le port SSH en autre chose, même si quelqu'un connaît l'adresse IP, il impossible d'essayer de se connecter en utilisant le port SSH par défaut.

Changer le port SSH dans Ubuntu / CentOS est très simple.

  • Connectez-vous à votre VM avec le privilège root
  • Faites une sauvegarde de sshd_config (/ etc / ssh / sshd_config)
  • Ouvrez le fichier à l'aide de l'éditeur de VI
vi /etc/ssh/sshd_config

Recherchez la ligne qui a Port 22 (généralement au début du fichier)

# What ports, IPs and protocols we listen for 
Port 22
  • Remplacez 22 par un autre numéro (assurez-vous rappeler car vous en aurez besoin pour vous connecter). Disons 5000
Port 5000
  • Enregistrez le fichier et redémarrez le démon SSH
service sshd restart

Désormais, vous ou personne ne pourrez plus vous connecter à votre serveur en utilisant le port SSH par défaut. Au lieu de cela, vous pouvez utiliser le nouveau port pour vous connecter.

Si vous utilisez un client SSH ou un terminal sur MAC, vous pouvez utiliser -p pour définir le port personnalisé.

ssh -p 5000 username@128.199.100.xxx

Facilen'est-ce pas?

Protecting from Brute Force Attacks

L'un des mécanismes couramment utilisés par un pirate prendre le contrôle de votre activité en ligne consiste à lancer des attaques par force brute contre le serveur et la plate-forme Web comme WordPress, Joomla, etc.

Cela peut être dangereux sinon pris au sérieux. Il y a deux programmes populaires que vous pouvez utiliser pour protéger Linux de la force brute.

Garde SSH

SSHGuardName surveille les services en cours d'exécution à partir des fichiers journaux système et bloque les mauvaises tentatives de connexion répétées.

Initialement, il était destiné à Protection de connexion SSH, mais maintenant il prend en charge de nombreux autres.

  • FTP pur, FTP PRO, VS FTP, FTP FreeBSD
  • Exim
  • Sendmail
  • Pigeonnier
  • Cucipop
  • UWimap

Vous pouvez installer SSHGuard avec les commandes suivantes.

Ubuntu:

apt-get install SSHGuard

CentOS:

wget ftp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/hornos:/centos/CentOS_CentOS-6/x86_64/sshguard-1.5-7.1.x86_64.rpm 
rpm -ivh sshguard-1.5-7.1.x86_64.rpm

Fail2Ban

Fail2Ban est un autre programme populaire pour protéger SSH. Fail2Ban met automatiquement à jour la règle iptables si une tentative de connexion échouée atteint le seuil défini.

Pour installer Fail2Ban dans Ubuntu:

apt-get install fail2ban

et pour installer dans CentOS:

yum install epel-release 
yum install fail2ban

SSH Guard et Fail2Ban devraient être suffisants pour protéger la connexion SSH. Cependant, si vous avez besoin d'explorer davantage, vous pouvez vous référer à ce qui suit.

Disable Password-based Authentication

Si vous vous connectez à votre serveur depuis un ou deux ordinateurs, vous pouvez utiliser Clé SSH authentification basée.

Cependant, si vous avez plusieurs utilisateurs et que vous vous connectez souvent à partir de plusieurs ordinateurs publics, il peut être difficile d'échanger la clé à chaque fois.

Donc, en fonction de la situation, si vous choisissez de désactiver l'authentification par mot de passe, vous pouvez le faire comme suit.

Remarque : cela suppose que vous avez déjà configuré l'échange de clés SSH.

  • modifier /etc/ssh/sshd_config en utilisant vi éditeur
  • Ajoutez la ligne suivante ou décommentez-la si elle existe
Mot de passeAuthentification non
  • Recharger le démon SSH

Protecting from DDoS Attacks

DDoS (Déni de service distribué) peut se produire à n'importe quelle couche, et c'est la dernière chose que vous voulez en tant que propriétaire d'entreprise.

Il est possible de trouver l'adresse IP d'origine et, comme meilleure pratique, vous ne devriez pas exposer l'adresse IP de votre serveur à l'Internet public. Il existe plusieurs façons de masquer le "IP d'origine”Pour éviter les attaques DDoS sur votre serveur cloud / VPS.

Utiliser un équilibreur de charge (LB) - implémentez un équilibreur de charge connecté à Internet, de sorte que l'adresse IP du serveur ne soit pas exposée à Internet. Vous pouvez choisir parmi de nombreux équilibreurs de charge: Google Cloud LB, AWS ELB, Linode Nodebalancer, DO LB, etc.

Load-Balancer-Scenario

Utiliser un CDN (Content Delivery Network) - CAN est l'un des meilleurs moyens d'améliorer les performances et la sécurité du site Web.

Lorsque vous implémentez CDN, vous configurez l'enregistrement DNS A avec l'adresse IP anycast fournie par le fournisseur CDN. En faisant cela, vous faites la publicité de l'adresse IP du fournisseur CDN pour votre domaine et l'origine n'est pas exposée.

Il existe de nombreux fournisseurs de CDN pour accélérer les performances du site Web, la protection DDoS, le WAF et de nombreuses autres fonctionnalités.

Alors, choisissez le fournisseur CDN qui fournit à la fois les performances et la sécurité.

Ajustez les paramètres du noyau et les iptables - vous pouvez utiliser iptables pour bloquer les requêtes suspectes, non-SYN, faux drapeau TCP, sous-réseau privé et plus encore.

Avec iptables, vous pouvez également configurer les paramètres du noyau. JavapipeName l'a bien expliqué avec les instructions afin que je ne le reproduise pas ici.

Utilisez un pare-feu - Si vous vous offrez un pare-feu matériel, alors excellent sinon vous voudrez peut-être utiliser un pare-feu logiciel qui exploite iptables pour protéger la connexion réseau entrante à la machine virtuelle.

Il y en a beaucoup, mais l'un des plus populaires est UFW (Pare-feu simple) pour Ubuntu et Pare-feu marquage CentOS.

Regular Backup

La sauvegarde est votre ami! Lorsque rien ne fonctionne, la sauvegarde sauver vous.

Les choses peuvent aller mal, mais que faire si vous ne disposez pas de la sauvegarde nécessaire pour restaurer? La plupart des fournisseurs de cloud ou de VPS proposent une sauvegarde moyennant un petit supplément et il faut toujours en tenir compte.

Vérifiez auprès de votre fournisseur VPS comment activer le service de sauvegarde. je sais Linode et FAITES facturer 20 % du prix des gouttelettes pour la sauvegarde.

Si vous utilisez Google Compute Engine ou AWS, planifiez un instantané quotidien.

Avoir une sauvegarde vous permettra rapidement de restaurer l'intégralité de la VM, vous êtes donc de retour dans les affaires. Ou à l'aide d'un instantané, vous pouvez cloner la VM.

Regular Update

La mise à jour de votre VM OS est l'une des tâches essentielles pour vous assurer que votre serveur n'est pas exposé à dernières vulnérabilités de sécurité.

In Ubuntu, Vous pouvez utiliser apt-get update pour vous assurer que les derniers packages sont installés.

Dans CentOS, vous pouvez utiliser yum update

Don’t leave opened ports

En un autre mot, n'autorisez que les ports nécessaires.

Garder les ports ouverts indésirables comme un inviter un attaquant pour profiter. Si vous hébergez simplement votre site Web sur votre machine virtuelle, vous avez probablement besoin du port 80 (HTTP) ou 443 (HTTPS).

Si vous êtes sur AWS, vous pouvez ensuite créer le groupe de sécurité pour autoriser uniquement les ports requis et les associer à la machine virtuelle.

Si vous utilisez Google Cloud, autorisez les ports nécessaires en utilisant "règles de pare-feu. »

règles-de-pare-feu-google-cloud

Et si vous utilisez VPS, appliquez le jeu de règles iptables de base comme expliqué dans Guide Linode.

Ce qui précède devrait vous aider à renforcer et sécuriser votre serveur pour meilleure protection contre les menaces en ligne.

Sinon, si vous n'êtes pas prêt à gérer votre VM, vous préférerez peut-être Cloudways qui gèrent plusieurs plates-formes cloud. Et si vous recherchez spécifiquement un hébergement WordPress premium, alors ici.

Merci à nos commanditaires
Plus de bonnes lectures sur la sécurité
Alimentez votre entreprise
Certains des outils et services pour aider votre entreprise à se développer.
  • Invicti utilise Proof-Based Scanning™ pour vérifier automatiquement les vulnérabilités identifiées et générer des résultats exploitables en quelques heures seulement.
    Essayez Invicti
  • Web scraping, proxy résidentiel, proxy manager, web unlocker, moteur de recherche et tout ce dont vous avez besoin pour collecter des données Web.
    Essayez Brightdata
  • Semrush est une solution de marketing numérique tout-en-un avec plus de 50 outils de référencement, de médias sociaux et de marketing de contenu.
    Essayez Semrush
  • Intruder est un scanner de vulnérabilités en ligne qui détecte les failles de cybersécurité de votre infrastructure, afin d'éviter des violations de données coûteuses.
    Essayez Intruder