Principes de sécurité dans Linux

1. Principes de la sécurité sous Linux

La sécurité sous Linux, c'est d'abord une stratégie de "minimisation des privilèges" et un contrôle d'accès fiable. Imagine Linux comme une forteresse à plusieurs couches : plus tu avances, plus il y a de vérifications. Mais pour commencer, voyons les trois piliers sur lesquels repose la sécurité du système.

Division des droits d'accès : utilisateurs, groupes et root

Le secret de la stabilité et de la sécurité de Linux, c'est la division stricte des droits d'accès. Dans le système, il y a trois types d'objets :

• Utilisateurs (users) : des comptes individuels. C'est comme les invités à ta fête de famille - chacun a son badge.
• Groupes (groups) : des ensembles d'utilisateurs. Certaines tâches utilisent un badge pour tout le groupe - par exemple, pour accéder au dossier commun "Photos de grand-mère".
• Root : le super-utilisateur avec tous les droits. Root, c'est comme Superman dans ton monde Linux. Il peut tout faire, mais ça implique aussi une super-responsabilité.

Linux utilise ce modèle pour limiter l'accès aux fichiers, aux applications ou aux fonctions du système. Même si un intrus entre sur le système en tant qu'utilisateur ordinaire, il ne pourra pas nuire au noyau ou aux fichiers critiques.

Minimisation des privilèges

Ne donne pas l'accès root à tout le monde. Imagine que chaque employé de ton bureau a une clé du coffre contenant de l'argent. Quelqu'un finira par la perdre. Sous Linux, la règle est la suivante : accorde aux utilisateurs uniquement les droits nécessaires pour accomplir leurs tâches.

Menaces principales à la sécurité

• Virus : oui, Linux n'est pas parfait, mais les virus y sont moins fréquents grâce à l'architecture du système.
• Attaques via le réseau : intrusion SSH, attaques DDoS, usurpation DNS.
• Vulnérabilités logicielles : des paquets anciens et des bibliothèques non sécurisées peuvent être une porte d'entrée pour les intrus.

---

2. Prévention des menaces

Voyons maintenant les étapes importantes pour que votre serveur Linux continue de vous servir fidèlement et ne devienne pas un outil pour les hackers.

Mise à jour régulière du système

Un exemple concret : mettre à jour le système, c'est comme mettre à jour un antivirus. Sans ça, même la meilleure sécurité sera inutile contre de nouvelles menaces. Commande :

sudo apt update && sudo apt upgrade

permet de garder votre Linux en forme.

Contrôle d'accès aux fichiers importants

Il y a des fichiers qu'il vaut mieux garder hors de portée des curieux. Par exemple, le fichier /etc/sudoers — c'est une liste des utilisateurs ayant un accès aux privilèges administratifs. On peut le modifier uniquement via visudo, pour éviter les erreurs accidentelles.

Restriction de l'accès root

Vous savez que root, c'est la puissance, mais il ne faut pas en abuser. Il vaut mieux travailler sous un utilisateur normal et utiliser sudo quand c'est nécessaire pour obtenir temporairement des privilèges.

---

3. Outils de sécurité

Quels outils sous Linux peuvent t'aider dans la lutte pour la sécurité ? Jetons un œil aux solutions intégrées et tierces.

Mécanismes intégrés

• firewalld et iptables : pare-feux pour gérer le trafic réseau. Ça a l'air compliqué, mais on va tout expliquer !
• SELinux (Security-Enhanced Linux) : un complément spécial qui vérifie quels processus ont droit d'accès aux fichiers.
• ACL (Access Control Lists) : version étendue des droits d'accès standards.

Outils externes

• Lynis : un outil pour l'audit de sécurité.
• OpenSCAP : un ensemble d'outils pour vérifier la conformité des systèmes aux standards de sécurité.

Configuration de la politique de mots de passe

Votre mot de passe est-il suffisamment compliqué... oh, ne répondez pas ! Il vaut mieux assurer une politique de mots de passe fiable dès le départ. La longueur minimale et la complexité d'un mot de passe peuvent être configurées avec PAM.

sudo nano /etc/security/pwquality.conf

Exemple des paramètres :

minlen = 12
minclass = 3

---

4. Exemple pratique : configuration de sécurité de base

Allez, retrousse tes manches ! On va configurer une politique de sécurité simple pour un système de test.

Création d’utilisateurs

On va créer deux utilisateurs : un administrateur et un utilisateur normal.

sudo adduser admin
sudo adduser user1
sudo usermod -aG sudo admin

Maintenant, admin a des droits administratifs, tandis que user1 n'en a pas.

Contrôle d'accès aux fichiers importants

Restreignons l'accès à la configuration de Nginx :

sudo chmod 600 /etc/nginx/nginx.conf

Travailler avec le pare-feu

Installons et configurons ufw (Uncomplicated Firewall) pour sécuriser notre serveur :

sudo apt install ufw
sudo ufw enable

Autorisons uniquement le trafic SSH et HTTP :

sudo ufw allow 22
sudo ufw allow 80

Activons la vérification :

sudo ufw status

---

5. Erreurs typiques

Quand on parle de sécurité, il est important non seulement de savoir ce qu'il faut faire, mais aussi de comprendre ce qu'il faut éviter.

Erreur 1 : Travailler en tant que root

Beaucoup de débutants sont paresseux et travaillent sous un compte root. C'est risqué : toute erreur ou piratage sera fatale pour le système.

Erreur 2 : Paquets non mis à jour

Comme l'a dit un admin : "Le seul bon serveur est un serveur à jour". Les anciens logiciels sont une cible idéale pour les attaques.

Erreur 3 : Mots de passe peu sécurisés

"password123" est l'un des mots de passe les plus populaires. Ne soyez pas la personne qui l'utilise.

---

6. Application pratique : pourquoi en a-t-on besoin ?

Configurer la sécurité de Linux sera utile non seulement au travail, mais aussi lors d’un entretien. Connaître les bases du fonctionnement des firewalls, SELinux et des permissions d’accès impressionne les recruteurs. Par exemple, vous pourrez protéger le serveur d’une entreprise contre les attaques DDoS ou configurer les droits pour le travail d’équipe sur des projets.

Si vous êtes développeur, protéger le système signifie que votre code ne finira pas dans les mains des concurrents et que les données des clients resteront sécurisées. Ce n’est pas seulement une paranoia de Khabarovsk, mais un réel besoin dans l’industrie moderne.