TODO
TODO
- Renforcement de la gestion des accès
- Utiliser l’authentification par clé SSH uniquement.
- Désactiver le compte root SSH.
- Restreindre les utilisateurs autorisés à se connecter.
- Mettre en place une gestion centralisée des accès (LDAP, SSO).
- Durcissement de la configuration système
- Appliquer les mises à jour de sécurité automatiquement.
- Désactiver ou désinstaller tous les services et paquets inutiles.
- Activer et configurer le pare-feu (UFW) pour n’ouvrir que les ports nécessaires.
- Utiliser fail2ban pour bloquer les tentatives d’intrusion.
- Surveillance et audit
- Activer auditd avec des règles strictes.
- Centraliser les logs.
- Mettre en place des alertes sur les événements critiques (modification de fichiers sensibles, élévation de privilèges, etc.).
- Sécurisation du réseau
- Utiliser un VPN pour les accès d’administration.
- Segmenter le réseau (VLAN, sous-réseaux) pour limiter la propagation en cas de compromission.
- Gestion des secrets
- Ne jamais stocker de secrets en clair sur le serveur.
- Utiliser un Vault pour les mots de passe, clés, tokens.
- Durcissement du kernel et du système
- Activer AppArmor ou SELinux pour limiter les actions des services.
- Activer la protection contre les attaques par symlink/hardlink (fs.protected_symlinks=1, fs.protected_hardlinks=1 dans sysctl).
- Sauvegardes et plans de reprise
- Mettre en place des sauvegardes régulières et tester leur restauration.
- Documenter les procédures de reprise après incident.