Savez-vous vraiment ce qui se passe sur votre serveur? Les audits de sécurité sont critiques au bon fonctionnement de votre serveur et aideront à déceler ou à prévenir les problèmes potentiels. En cherchant un peu sur le web, vous trouverez sûrement des listes exhaustives de points à vérifier mais en voici tout de même quelques-uns:

1. Désactiver les comptes d’utilisateurs qui ne sont pas nécessaires

En examinant le fichier /etc/passwd, tentez d’identifier les comptes d’utilisateurs (incluant les comptes du système) qui ne sont pas nécessaires au fonctionnement de votre serveur ou qui correspondent à des comptes qui devraient être inactifs. Assurez-vous qu’aucun compte d’utilisateur autre que « root » porte le UID « 0″, ce qui pourrait indiquer une brèche de sécurité.

2. Services associés à des ports inhabituels

Exécutez la commande suivante pour voir la liste des ports réseaux actifs sur votre serveur:

netstat -plan

Jetez un coup d’oeil à la colonne « PID/Program » afin de repérer tout processus qui pourrait sembler louche. Assurez-vous de désactiver tous services douteux ou non nécessaire. Vous trouverez d’ailleurs le PID de chaque processus à l’aide de la commande netstat.

3. Qui se connecte à votre serveur

Il peut s’avérer difficile de surveiller les connexions à votre serveur si vous avez beaucoup d’utilisateurs. Toutefois si peu d’utilisateurs sont autorisés à se connecter par SSH, vérifiez le journal d’historique du service SSH afin de voir qui s’y connecte. Notez les accès fructueux non-autorisés, les comptes d’utilisateurs ayant plusieurs échecs d’authentification ou les utilisateurs se connectant depuis plusieurs adresses IP différentes. Les fichiers de journalisation se trouvent habituellement dans /var/log/messages et /var/log/secure.

4. Fichiers louches à l’intérieur de répertoires ouverts en écriture

Les répertoires /tmp et /dev/shm sont des endroits fréquemment utilisés pour y déposer des outils de hacking compte tenu que tous les utilisateurs du système peuvent y enregistrer des fichiers. Vérifiez ces répertoires pour vous assurer qu’ils ne contiennent pas de scripts ou de fichiers binaires (spécialement ceux qui sont exécutables) et supprimez ces derniers au besoin.

5. Qui exécute des commandes sudo

S’il y a des utilisateurs en mesure d’utiliser les privilèges d’administrateur à l’aide de sudo, vérifiez le fichier de journalisation /var/log/secure pour vous assurez qu’ils n’abusent pas de leurs droits.