GuideHebergementWeb.com

Vous savez déjà tous à quel point il est important d’utiliser des mots de passe sécuritaires. Dans certains cas, il est d’ailleurs préférable d’utiliser des mots de passe générés au hasard afin que ceux-ci diffèrent les uns des autres, protégeant ainsi les autres comptes contre les intrusions. Linux possède plusieurs utilitaires pour générer des chaînes de caractères pouvant être utilisés comme mot de passe.

Pour générer de courts mots de passe numériques, il est possible d’utiliser la variable d’environnement $RANDOM. Celle-ci génèrera toujours un nombre compris entre 0 et 32767. Toutefois cette option s’avère la moins sécure car les mots de passe numériques peuvent facilement être devinés:

root@server [~]# echo $RANDOM

19565

root@server [~]# echo $RANDOM

26848

Le fichier /dev/urandom est un outil spécial sur les serveurs Linux qui permet de générer facilement et rapidement des mots de passe, ce qui peut s’avérer pratique à l’intérieur de scripts de commandes. Il est possible de spécifier quels types de mots de passe vous souhaitez créer. Par exemple, pour créer un mot de passe numérique de 10 caractères:

root@server [~]# </dev/urandom tr -dc 0-9 | head -c 10

6689803601

Pour créer un mot de passe de 10 caractères, composé uniquement de lettre minuscules:

root@server [~]# </dev/urandom tr -dc a-z | head -c 10

pcwycmorhx

Et pour créer un mot de passe de 25 caractères, composé de caractères alphanumériques:

root@server [~]# </dev/urandom tr -dc A-Za-z0-9 | head -c25

pl3GElv2rh7haQ6U9EtTDMaFD

Voyons maintenant comment intégrer la commande /dev/urandom afin de générer un mot de passe au hasard et l’appliquer à un compte d’utilisateur en passant le résultat à la commande passwd:

PASS=$(</dev/urandom tr -dc A-Za-z0-9 | head -c25) ;
echo $PASS ; echo $PASS | passwd --stdin user1

Sur un serveur cPanel, il est possible de réinitialiser tous les mots de passe en utilisant un simple script de commandes en boucle. Créez un fichier nommé chpass.sh avec le contenu suivant:

#!/bin/bash

for user in $(ls /var/cpanel/users)

do

PASS=$(</dev/urandom tr -dc A-Za-z0-0 | head -c25)

/scripts/realchpass $user "$PASS"

echo $PASS

done

Savez-vous vraiment ce qui se passe sur votre serveur? Les audits de sécurité sont critiques au bon fonctionnement de votre serveur et aideront à déceler ou à prévenir les problèmes potentiels. En cherchant un peu sur le web, vous trouverez sûrement des listes exhaustives de points à vérifier mais en voici tout de même quelques-uns:

1. Désactiver les comptes d’utilisateurs qui ne sont pas nécessaires

En examinant le fichier /etc/passwd, tentez d’identifier les comptes d’utilisateurs (incluant les comptes du système) qui ne sont pas nécessaires au fonctionnement de votre serveur ou qui correspondent à des comptes qui devraient être inactifs. Assurez-vous qu’aucun compte d’utilisateur autre que « root » porte le UID « 0″, ce qui pourrait indiquer une brèche de sécurité.

2. Services associés à des ports inhabituels

Exécutez la commande suivante pour voir la liste des ports réseaux actifs sur votre serveur:

netstat -plan

Jetez un coup d’oeil à la colonne « PID/Program » afin de repérer tout processus qui pourrait sembler louche. Assurez-vous de désactiver tous services douteux ou non nécessaire. Vous trouverez d’ailleurs le PID de chaque processus à l’aide de la commande netstat.

3. Qui se connecte à votre serveur

Il peut s’avérer difficile de surveiller les connexions à votre serveur si vous avez beaucoup d’utilisateurs. Toutefois si peu d’utilisateurs sont autorisés à se connecter par SSH, vérifiez le journal d’historique du service SSH afin de voir qui s’y connecte. Notez les accès fructueux non-autorisés, les comptes d’utilisateurs ayant plusieurs échecs d’authentification ou les utilisateurs se connectant depuis plusieurs adresses IP différentes. Les fichiers de journalisation se trouvent habituellement dans /var/log/messages et /var/log/secure.

4. Fichiers louches à l’intérieur de répertoires ouverts en écriture

Les répertoires /tmp et /dev/shm sont des endroits fréquemment utilisés pour y déposer des outils de hacking compte tenu que tous les utilisateurs du système peuvent y enregistrer des fichiers. Vérifiez ces répertoires pour vous assurer qu’ils ne contiennent pas de scripts ou de fichiers binaires (spécialement ceux qui sont exécutables) et supprimez ces derniers au besoin.

5. Qui exécute des commandes sudo

S’il y a des utilisateurs en mesure d’utiliser les privilèges d’administrateur à l’aide de sudo, vérifiez le fichier de journalisation /var/log/secure pour vous assurez qu’ils n’abusent pas de leurs droits.

Autant puissiez-vous être préoccupés par la sécurité de vos serveurs web, vos utilisateurs le sont davantage par les mesures de sécurité que vous aurez mis en place pour protéger leur compte d’hébergement web.

Voici quelques trucs qui vous permettront d’accroître la sécurité de votre serveur cPanel.

1. Activer l’encryption SSL pour les connexions à cPanel, WHM et Webmail

Il est possible de faire en sorte que l’accès à cPanel, WHM et au Webmail soit encrypté par SSL. Cela aura pour effet de protéger les informations d’authentification utilisées pour accéder à ces interfaces.

Afin d’activer SSL pour cPanel, WHM et Webmail:

1. Accéder au panneau de contrôle WHM.
2. Cliquer sur « Tweak Settings » du menu principal.
3. Sélectionner la valeur « On » pour le paramètre « Always redirect to SSL ».
4. Sauvegarder la nouvelle configuration.

2. Activer la protection contre les attaques par force brute

On parle d’attaque par force brute (Brute Force Attack) lorsqu’une personne ou un système automatisé tentent d’accéder à un actif informationnel protégé en tentant de multiples combinaisons de noms d’utilisateur et de mots de passe.

Tous les serveurs cPanel ont outil nommé cpHulk qui permet de bloquer toutes tentatives d’intrusion par adresse IP. Afin d’activer cpHulk:

1. Accéder au panneau de contrôle WHM.
2. Cliquer sur « cpHulk Brute Force Protection » du menu principal.
3. Cliquer sur le bouton « Enable » pour activer cpHulk.

Assurez-vous toutefois d’ajouter votre adresse IP à la liste blanche afin de ne pas voir votre propre accès bloqué par mégarde.

3. Configurer les règles de sécurité

Les règles de sécurité (ou security policies) aident à protéger les comptes d’utilisateur and spécifiant le niveau de complexité des mots de passe ainsi que leur délai d’expiration. Cette fonctionnalité est disponible depuis la version 11.28 de cPanel.

Afin de configurer celles-ci:

1. Accéder au panneau de contrôle WHM.
2. Cliquer sur « Security Center » depuis le menu principal puis ensuite sur « Configure Security Policies ».
3. Définir les règles de sécurité telles que désiré:
   
4. Sauvegarder la nouvelle configuration.

Les tentatives d’intrusion par force brute (ou Brute Force Attacks) sont une des stratégies les plus utilisées par les attaquants n’ayant pas recours à des techniques d’exploitation des failles du système.

Les Brute Force Attacks consiste à tenter d’accéder à une ressource informationnelle en essayant autant de combinaisons de clés (nom d’utilisateur et mot de passe) que possible.

Ces attaques sont évidemment générées par des systèmes automatisés qui effectue des tentatives d’authentification aussi rapidement que possible.

Protéger votre serveur Linux avec APF et BFD

Il existe un utilitaire gratuit développé par R-FX Networks qui permet de bloquer par adresse IP toute source d’intrusion potentielle. En fait, il s’agit plutôt de deux utilitaires qui fonctionnent de concert: APF (Advanced Policy Firewall) et BFD (Brute Force Detection).

Le rôle de BFD est de vérifier le journal (log) d’authentification toutes les X minutes. S’il détecte de multiples tentatives d’intrustion infructueuse effectuées dans un cours laps de temps, BFD invoque alors APF qui se chargera d’ajouter une règle au firewall interne de votre serveur à l’aide de « iptables ».

Comment installer APF et BFD

Afin de procéder à l’installation de APF et BFD, vous devez disposer d’un accès SSH en tant que root. Voici comment procéder à l’installation et la configuration:

1. Télécharger les plus récentes versions de APF et BFD

wget http://www.rfxn.com/downloads/apf-current.tar.gz
wget http://www.rfxn.com/downloads/bfd-current.tar.gz

2. Décompresser le contenu des deux archives

tar xvzf apf-current.tar.gz
tar xvzf bfd-current.tar.gz

3. Lancer l’installation de APF (notez que la version de APF peut différer de celle mentionnée dans cet exemple)

cd apf-9.7-1
./install.sh

cd ../bfd-1.4
./install.sh

4. Par mesure de précaution, ajouter votre adresse IP à la « whitelist » de APF

apf -a 199.87.252.109

Au moment de l’installation, APF placera un script dans /etc/init.d/apf qui sera configuré pour être lancé au moment du démarrage du serveur. Quant à BFD, il sera automatiquement configuré pour être executé par le service CRON à toutes les trois (3) minutes.

Notez toutefois qu’il est possible de personnaliser pratiquement tous les paramètres de APF et BFD. Pour plus d’information, visitez http://www.rfxn.com

Par défaut, la majeure partie des serveurs Linux sont configurés de façon à permettre de s’authentifier en tant qu’utilisateur « root » par SSH. Cette brèche de sécurité pose un problème sérieux quant aux « attaques par force brute » car il permet à l’attaquant d’effectuer des tentatives d’intrusion en tant qu’administrateur du système.

Toutefois, il est possible de désactiver l’accès SSH en tant que « root ». Cela implique qu’il vous sera donc nécessaire de vous authentifier en tant qu’utilisateur régulier dans premier temps puis ensuite de devenir « root » en utilisant la commande « su » (pour Super User).

Étape 1: Ajouter les utilisateurs au groupe « Wheel »

Sur les serveurs cPanel, il existe un groupe d’utilisateur nommé « Wheel » (ou Wheel Group Users). Ce groupe contient la liste des utilisateurs qui ont le droit d’utiliser la commande « su ».

Voici comment ajouter des comptes d’utilisateurs au groupe « Wheel »:

1. Accéder à WHM (http://votreserveur.com:2086) puis cliquer sur Manage Wheel Group Users dans la section Security Center du menu principal.
2. Sélectionner les utilisateurs dans la liste du bas puis cliquer sur Add to Group.

Étape 2: Bloquer l’accès SSH en tant que « root »

Dans un second temps, il suffit de modifier la configuration du service SSH afin de ne plus permettre l’accès direct en tant que « root »:

1. Établir une connexion SSH à votre serveur à l’aide d’un compte d’utilisateur faisant partie du groupe « Wheel ».
2. Devenir root à l’aide de la commande su - root
3. Ouvrir le fichier /etc/ssh/sshd_config à l’aide d’un éditeur tel que « vi » ou « joe ».
4. Changer la valeur du paramètre PermitRootLogin pour no
5. Sauvegarder le fichier de configuration puis quitter l’éditeur.
6. Redémarrer le service SSH à l’aide de la commande service sshd restart

Assurez-vous maintenant qu’il n’est plus possible de se connecter à votre serveur par SSH en tant qu’utilisateur « root ».

Bien que protéger un serveur web peut s’avérer une tâche exhaustive, WHM (Web Host Manager) possède plusieurs options permettant d’accroître la sécurité de votre serveur cPanel.

Voici quelques paramètres qui peuvent être ajustés facilement:

1. Désactiver l’accès au compilateur

Plusieurs failles de sécurité récentes, spécialement sur les serveurs CentOS / RHEL, ont été exploitées par des fichiers exécutables compilés par des utilisateurs ayant peu de privilèges d’accès.

Pour désactiver le compilateur, il suffit d’accéder à WHM puis de cliquer sur Security Center => Compiler Access => Disable Compilers.

Notez qu’il est toutefois possible de donner accès au compilateur à certains utilisateurs seulement.

2. Activer la protection contre les « Shell Fork Bomb »

Une « fork bomb » est une sorte d’attaque où un processus du système se multiplie continuellement et rapidement en plusieurs « sous-instances » jusqu’à ce que toutes les ressources du serveurs soient épuisées.

Afin de prévenir ce type d’attaque, il suffit d’activer la protection contre les « fork bombs » en accédant à WHM puis en cliquant sur Security Center => Shell Fork Bomb Protection => Enable Protection.

3. Désactiver les accès SSH inutiles

Si vous opérez un serveur mutualisé, vous vous exposez à de très grands risques en donnant un accès SSH à vos clients. Il est donc primordial de considérer la possibilité de désactiver les accès SSH pour ceux qui n’en ont pas besoin.

Pour désactiver les accès SSH dans WHM, cliquez sur Account Functions => Manage Shell Access et sélectionnez « Disabled Shell » pour les utilisateurs désirés. Notez qu’il est possible de désactiver l’accès SSH au moment de la création d’un compte d’utilisateur en décochant l’option « Shell Access ».

Il existe plusieurs autres paramètres dans WHM qui permettent d’améliorer la sécurité de votre serveur. Alors que la sécurité devient un enjeu de plus en plus primordial dans l’administration de serveurs web, il est important d’examiner les paramètres et les options de configuration de la section « Security Center » dans WHM et d’appliquer les changements nécessaires à l’environnement de votre serveur ainsi qu’à vos préocuppations en matière de sécurité informationnelle.

Niveau: Débutant / Intermédiaire

WordPress étant la plateforme préférée de millions de blogueurs du Web, elle est aussi une cible de choix pour les pirates et les hackers.

Le code-source de WordPress étant disponible à tous (car WordPress est un logiciel Open Source) et ses thèmes et extensions pouvant être développés par n’importe qui, la sécurité de WordPress peut s’en voir compromise rapidement.

Les « Brute Force Attacks »

Une des techniques les plus couramment utilisées pour infiltrer un blog WordPress est le « Brute Force Attack » (ou Attaque par Force Brute). Cette technique consiste à essayer de s’authentifier comme administrateur d’un blog en testant une immense variété de combinaisons de noms d’utilisateur et de mots de passe.

Bien sûr, ces attaques sont générées par des scripts (ou des bots) qui sont en mesure de générer un grand nombre de noms d’utilisateur et de mots de passe en peu de temps.

Une des faiblesses de WordPress est l’utilisation d’un compte administrateur nommé « admin » par défaut au moment de l’installation. Et il y a peu de temps encore, WordPress ne permettait pas de spécifier un autre nom d’utilisateur que « admin » pour le compte d’administrateur. Hors, plusieurs blogues WordPress continue d’utiliser ce compte depuis ce temps. Par conséquent, lorsqu’une Brute Force Attacks survient, c’est le compte « admin » qui est éprouvé en premier.

Comment protéger WordPress contre les Brute Force Attacks

1. Changer le compte d’utilisateur « admin »

Dans un premier temps, si votre compte d’administrateur est « admin », il est fortement recommandé de modifier ce dernier. Il n’est toutefois pas possible de faire cela avec les fonctions de base de WordPress, il faut donc le faire manuellement (à l’aide de phpMyAdmin) ou bien en utilisant une extension développée à cet effet.

Pour la plupart des blogueurs en herbe, changer manuellement le compte « admin » peut s’avérer un peu complexe. C’est pourquoi je recommande plutôt l’utilisation d’une extension nommée Change Admin Username. Une fois installée, cette extension ajoute un item « Change Username » au menu « Utilisateurs » du module administratif de WordPress. Il suffit alors d’y entrer le nouveau d’utilisateur qui remplacera « admin » et le tour est joué!

2. Installer « Login Lockdown »

En second lieu, installer l’extension Login Lockdown protégera votre blogue contre les Brute Force Attacks en bloquant l’accès au formulaire d’authentification après un certain nombre de tentatives d’accès infructueuses. Une fois l’extension activée, il suffit de cliquer sur « Login Lockdown » du menu « Réglages » de WordPress afin de la configurer. Personnellement, voici comment je configure cette extension:

• Max Login Retries: 3
• Retry Time Period Restriction (minutes): 15
• Lockout Length (minutes): 60
• Lockout Invalid Usernames: no
• Mask Login Errors: no

Ainsi configurée, Login Lockdown bloquera l’accès à toutes sources d’intrusion suffisamment longtemps pour que l’attaque soit abandonnée.