Cet article fait partie de notre guide: Les bases de l’administration des serveurs Linux

Lutter contre les ransomwares sur les systèmes Linux

Les systèmes Linux sont susceptibles de servir de vecteur d’attaque. Pensez à les mettre à jour et à attribuer des autorisations correctes. Cet article explique comment.

Tout système est susceptible d’être attaqué par un logiciel malveillant. Les serveurs Linux ne sont pas plus à l’abri que ceux sous Windows. En guise de preuve, voici quelques attaques récentes de logiciels malveillants conçus pour utiliser des systèmes Linux comme vecteurs d’attaque :

  • SprySOCKS. Porte dérobée Linux qui utilise une structure de réseau, appelée HP-Socket, pour collecter des informations sur le système, ouvrir un shell interactif, répertorier les connexions réseau, gérer les configurations de proxy SOCKS et effectuer des opérations de base sur les fichiers.
  • BiBi-Linux wiper. Un logiciel malveillant de type « wiper » qui détruit les données sur les systèmes Linux.
  • PingPull. Un cheval de Troie d’accès à distance (RAT) qui cible les institutions publiques et les banques.
  • Krasue. Un RAT Linux qui cible les entreprises de télécommunications en Thaïlande.

Antivirus, mises à jour et sauvegardes

Un serveur Linux n’a pas besoin d’un logiciel antivirus pour se protéger lui-même, mais il n’est pas inutile d’en installer un pour protéger le reste du réseau. Si le serveur Linux est utilisé comme serveur de messagerie, un logiciel antivirus, tel que ClamAV, peut analyser les fichiers à la recherche de logiciels malveillants dans les pièces jointes. Il protège ainsi les utilisateurs Windows ou macOS de ce serveur contre le risque de se transmettre des pièces jointes infectées.

Deux actions nécessaires permettent de maximiser la sécurité des informations : la mise à jour régulière des machines Linux et la sauvegarde des données importées. Les mises à jour appliquent des correctifs de sécurité qui corrigent les vulnérabilités et empêchent un serveur Linux de servir de vecteur d’attaque. Si vous disposez d’un système dont le noyau ou les logiciels installés sont vulnérables, la probabilité d’une violation augmente considérablement. Effectuez des mises à jour au moins une fois par semaine.

Parallèlement, des sauvegardes automatisées devraient être exécutées quotidiennement. La plupart des systèmes Linux disposent de commandes, telles que tar, rsync et cron, qui permettent de créer facilement des scripts de sauvegarde s’exécutant régulièrement et automatiquement. Cela permet de disposer d’une option de sauvegarde quotidienne et à jour si le système est compromis par un logiciel malveillant.

Les autorisations sont plus importantes que vous ne le pensez

Les administrateurs doivent surveiller les serveurs pour s’assurer que les utilisateurs disposent des autorisations appropriées. L’une des façons de gérer les autorisations avec plusieurs utilisateurs sur un système est d’utiliser des groupes. Créez des groupes disposant d’un accès et d’autorisations spécifiques aux fichiers et aux dossiers, puis ajoutez des utilisateurs à ces groupes. Supprimez ensuite un utilisateur du groupe lorsqu’il n’a plus besoin d’accéder à des fichiers et dossiers spécifiques. Cette approche réduit la nécessité de suivre individuellement les autorisations.

Accordez des autorisations aux utilisateurs, mais séparez les utilisateurs standard des utilisateurs administratifs qui ont des privilèges sudo. Ne placez pas les utilisateurs standard dans un groupe administratif s’ils n’ont pas besoin d’autorisations d’administration. Si un utilisateur disposant de privilèges sudo subit une violation de son compte, la personne qui a désormais accès à l’utilisateur dispose également de privilèges d’administrateur.

Autres considérations

Vous trouverez ci-dessous une liste d’autres idées et de règles à prendre en compte pour prévenir les attaques de logiciels malveillants sur les machines Linux :

  • Laisser la fonction Security-Enhanced Linux activée et en mode d’exécution.
  • Créer et utiliser une politique de mots de passe forts pour les utilisateurs.
  • Activer le pare-feu du système et apprendre à l’utiliser.
  • Désactiver la connexion SSH du compte root.
  • Utiliser l’authentification par clé SSH.
  • Installer et utiliser fail2ban pour bloquer les accès SSH indésirables.
  • Désactiver le compte utilisateur root. Ne vous connectez jamais en tant que root.
  • N’exécutez jamais de code non fiable et n’installez pas de logiciel non vérifié sur votre serveur.

Les distributions Linux finissent par atteindre leur date limite d’opérabilité, dite date de fin de vie (EOL). Hélas, Certaines entreprises maintiennent en opération des versions obsolètes de distributions Linux. Par exemple, Ubuntu Server 14.04 est fréquemment rencontré en production alors que sa date de fin de vie était le 30 avril 2019. Ce logiciel n’a pas reçu de correctifs de sécurité depuis une demi-décennie, ce qui signifie qu’il est vulnérable.

Vérifiez quand toutes vos distributions Linux atteindront leur fin de vie. La plupart des distributions permettent de migrer d’une version de support à long terme (LTS) à une autre. Les versions LTS ont généralement une durée de vie de trois à cinq ans. L’ajout d’un plan de maintenance de sécurité étendu permet de bénéficier de cinq années supplémentaires de support.

Avec un peu d’attention et de planification, les entreprises peuvent éviter les attaques de logiciels malveillants sur Linux. Cependant, aucun système d’exploitation n’est parfaitement immunisé. Les mesures de précaution appropriées peuvent réduire le risque d’attaques, mais une machine est vulnérable dès qu’elle se connecte à un réseau.

Pour approfondir sur Administration de systèmes