Synthèse (Serveur Web)

Dernière mise à jour : 29 octobre 2015

Sécuriser un serveur web, et de manière générale gérer un serveur web, demande pas mal de connaissances et de disponibilité. Il n’existe pas de recette universelle pour sécuriser un serveur, sachant qu’en outre ils tournent souvent avec un système d’exploitation Linux dont les différentes versions comportent des particularités. Je me bornerai ici à donner quelques bases, dans le cadre d’un serveur web de type personnel, sans ambition de haute disponibilité ou autre exigence de niveau professionnel.

Considérations générales sur la sécurité des serveurs web

La sécurité d’un serveur web répond grosso modo aux mêmes impératifs que ceux d’un ordinateur personnel, mais habituellement les services utilisés (et donc exposés) ne sont pas les mêmes, et surtout par essence ils sont destinés à être accédés depuis n’importe où et par n’importe qui.

Différents points sont à étudier et à mettre en oeuvre, ils peuvent la plupart du temps être mis en oeuvre indépendamment les uns des autres ; je décrirai ici en détail les opérations pour un serveur utilisant une distribution CentOS qui est proposée chez beaucoup d’hébergeurs. Il est néamoins assez facile de les adapter à d’autres .

Il faut également distinguer l’installation du serveur (c’est-à-dire tout ce qui ne pourra pas être changé ou modifié par la suite, donc l’OS et le partitionnement) et l’installation des services.

Principes généraux de base

  1. Toujours utiliser un mot de passe fort pour chacun des utilisateurs
  2. Avoir un firewall (pare-feu)
  3. Avoir un anti-virus
  4. Employer régulièrement des anti-rootkits
  5. Connaître et utiliser des HIPS ou HIDS
  6. Conduire des audits de sécurité et avoir des outils de test
  7. Maintenir son système à jour
  8. Et bien sûr : faire très régulièrement des sauvegardes

Articles intéressants

  • https://www.thefanclub.co.za/how-to/how-secure-ubuntu-1204-lts-server-part-1-basics