Quelques petites astuces mises en places pour limiter les risques...
Mise à jour du système
Rechercher chaque nuit les mise à jour du système et en informer l'administrateur par mail.
Dans cette config : télécharge les mises à jour mais ne les applique pas automatiquement.
apt-get install cron-apt nano /etc/cron-apt/config
Y adapter :
APTCOMMAND=/usr/bin/apt-get MAILTO="root"
Sécurisation d'apache
Rendre apache pas trop bavard sur son identité... Peut limiter quelques attaques basiques sur des failles connues dans les versions.
nano /etc/apache2/conf-enabled/security.conf
Y adapter :
ServerTokens Prod ServerSignature Off TraceEnable On
service apache2 restart
Module de sécurité pour Apache
Il existe un module de sécurité supplémentaire à ajouter à apache pour créer un premier filtre d'actions indésirables.
apt-get install libapach2-modsecurity cd /etc/modsecurity/ cp modsecurity.conf-recommended modsecurity.conf service apache2 restart
Installation de Fail2ban
Doc à venir...ou pas !
Surveiller les fichiers de log avec logcheck
Recevoir chaque heure les lignes de fichiers de log anormales.
apt-get install logcheck cd /etc/logcheck nano logcheck.conf
Y adapter:
SENDMAILTO="mail"
Vous pouvez ajouter d'autres journaux à analser dans logcheck.logfiles
Scanner le serveur à la recherche de rootkit
Lancer un détecteur de rootkits et recevoir les résultats par mail.
J'ai décidé de le lancer chaque semaine... si plussouvent, le mail n'est plus vérifié !
apt-get install chkrootkit crontab -e
Y adapter :
0 3 * * 0 (chkrootkit 2>&1 | mail -s "Résultats chkrootkit" webmaster@domain.com)
Précision importante : sous Ubuntu serveur 14.04, il y a un faux positif dans : Searching for Suckit rootkit... Warning: /sbin/init INFECTED
