1. Protéger l’accès en ssh à la machine.

nano /etc/ssh/sshd_config

Changer le numéro de port

Port 1234

Bloquer l’accès root

PermitRootLogin no

Pas oublier de créer un compte utilisateur avant pour se connecter avec un autre compte.

Pour appliquer les changements:

service sshd restart

2.Se prémunir des attaques DoS (Denial of Service)

pour se prémunir de ces attaques il existent un outil fail2ban fiable et qui va surveiller vos logs et va agir dès qu’il va rencontrer des erreurs redondantes en bannissant l’IP d’origine. De plus, il est très simple à mettre en place :

apt-get install fail2ban

Une fois installé, il suffit d’éditer le fichier de configuration /etc/fail2ban/jail.conf et d’activer les services qu’on souhaite protéger. Il est donc possible d’agir sur d’autres services tels que PHP, Apache, Postfix, etc…

Exemple :

[ssh]
enabled  = true
port     = 1234
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 6

3. Brider Php

Il faut vérifier dans votre php.ini si par exemple la fonction exec() est bien désactivée.

Sinon:

disable_functions = exec, passthru, shell_exec, system, proc_open, popen, curl_exec, curl_multi_exec, parse_ini_file, show_source

4. Serveur Web

Un site Web peut regorger d’informations interessantes pour un pirate.

Pour cela, il faut rajouter les instructions suivantes dans la configuration Apache.

ServerSignature Off
ServerTokens Prod

Via la commande

nano /etc/apache2/apache2.conf

Empêcher aussi le listing des répertoires dans apache2

<Directory />
  Order Allow,Deny
  Allow from all
  Options -Indexes
</Directory>

Pour plus d’information concernant la sécurité dans Apache: cliquez ici

5. Avoir le système à jour

Il est possible d’exécuter la commande suivante:

apt-get update && sudo apt-get -y upgrade

Et pour être sur de ne jamais oublié vous pouvez fair un cron de cette commande a exécuter chaque semaine.