Sécurité Serveur · 5 min read · Jan 08, 2026

Sécuriser le serveur CentOS avec Bastille et PSAD

Cet article montre comment sécuriser un serveur CentOS en utilisant psad, Bastille et quelques autres ajustements. psad est un outil qui aide à détecter les analyses de ports et d’autres trafics suspects, et le programme de durcissement Bastille verrouille un système d’exploitation, configurant proactivement le système pour une sécurité accrue et diminuant sa susceptibilité à des compromissions.

Créer un compte supplémentaire pour l’administration système

La commande “adduser” créera un compte.

adduser service

La commande “passwd” définira le mot de passe pour le compte “service”.

passwd service

Création d’un répertoire pour les téléchargements.

Cela créera un répertoire pour télécharger les RPM et d’autres fichiers.

mkdir /downloads  
cd /downloads

Installation de PSAD

psad est une collection de trois démons système légers (deux démons principaux et un démon d’assistance) qui s’exécutent sur des machines Linux et analysent les messages de journal Netfilter pour détecter les analyses de ports et d’autres trafics suspects. Plus d’informations peuvent être trouvées ici.

wget http://www.cipherdyne.com/psad/download/psad-2.4.6.tar.gz  
tar xfz psad-2.4.6.tar.gz  
cd psad-2.4.6  
./install.pl

Installation de Bastille

Le programme de durcissement Bastille “verrouille” un système d’exploitation, configurant proactivement le système pour une sécurité accrue et diminuant sa susceptibilité à des compromissions. Bastille peut également évaluer l’état actuel de durcissement d’un système, rapportant de manière granulaire sur chacun des paramètres de sécurité avec lesquels il travaille. Plus d’informations peuvent être trouvées ici.

wget https://downloads.sourceforge.net/project/bastille-linux/bastille-linux/3.2.1/Bastille-3.2.1-0.1.noarch.rpm  
  
rpm -ivh Bastille-3.2.1-0.1.noarch.rpm

Exécution de Bastille

Cela démarrera l’invite interactive.

/usr/sbin/bastille -c

Réponse à l’invite interactive

Ces paramètres sont des recommandations pour l’installation de Perfect Setup. Il peut y avoir certaines valeurs qui doivent changer si d’autres logiciels ou paquets ont été installés.

accept  
  
  
  
Souhaitez-vous définir des autorisations plus restrictives sur les utilitaires d'administration ? -> OUI  
  
  
  
Souhaitez-vous désactiver le statut SUID pour mount/umount ? -> OUI  
Souhaitez-vous désactiver le statut SUID pour ping ? -> OUI  
Souhaitez-vous désactiver le statut SUID pour at ? -> OUI  
Souhaitez-vous désactiver les outils r ? -> OUI  
Souhaitez-vous désactiver le statut SUID pour usernetctl ? -> OUI  
Souhaitez-vous désactiver le statut SUID pour traceroute ? -> OUI  
Bastille doit-elle désactiver les protocoles r en clair qui utilisent l'authentification basée sur IP ? -> OUI  
Souhaitez-vous appliquer une expiration de mot de passe ? -> OUI  
Voulez-vous définir le umask par défaut ? -> OUI   
Quel umask souhaitez-vous définir pour les utilisateurs sur le système ? -> 007  
Devrions-nous interdire la connexion root sur tty's 1-6 ? -> NON  
Bastille doit-elle vous demander des comptes superflus à supprimer ? -> NON  
Souhaitez-vous protéger par mot de passe l'invite GRUB ? -> NON  
Souhaitez-vous désactiver le redémarrage CTRL-ALT-DELETE ? -> OUI  
Souhaitez-vous protéger par mot de passe le mode utilisateur unique ? -> NON  
Souhaitez-vous définir un refus par défaut sur TCP Wrappers et xinetd ? -> NON  
Souhaitez-vous afficher des messages "Utilisation autorisée" au moment de la connexion ? -> OUI  
Qui est responsable de l'autorisation d'utilisation de cette machine ? -> VOTRE NOM D'ENTREPRISE  
Souhaitez-vous limiter l'utilisation des ressources système ? -> OUI  
  
  
  
Devrions-nous restreindre l'accès à la console à un petit groupe de comptes utilisateurs ? -> OUI  
Quels comptes devraient pouvoir se connecter à la console ? -> root  
Souhaitez-vous configurer la comptabilité des processus ? -> NON  
  
  
  
Souhaitez-vous désactiver acpid et/ou apmd ? -> OUI  
Souhaitez-vous désactiver les services PCMCIA ? -> OUI  
Souhaitez-vous désactiver GPM ? -> OUI  
Souhaitez-vous désactiver le script HP OfficeJet (hpoj) sur cette machine ? -> OUI  
Souhaitez-vous désactiver le script ISDN sur cette machine ? -> OUI  
Souhaitez-vous désactiver l'exécution de kudzu au démarrage ? -> OUI  
Voulez-vous empêcher sendmail de s'exécuter en mode démon ? -> OUI  
Souhaitez-vous désactiver named, au moins pour l'instant ? -> NON  
Souhaitez-vous désactiver le serveur web Apache ? -> NON  
Souhaitez-vous lier le serveur Web pour écouter uniquement sur localhost ? -> NON  
Souhaitez-vous lier le serveur web à une interface particulière ? -> NON  
  
  
  
Souhaitez-vous désactiver le suivi des liens symboliques ? -> OUI  
Souhaitez-vous désactiver l'impression ? -> OUI  
Souhaitez-vous installer des scripts TMPDIR/TMP ? -> NON  
Souhaitez-vous exécuter le script de filtrage des paquets ? -> OUI  
  
  
  
Avez-vous besoin des options de mise en réseau avancées ? -> NON  
Serveurs DNS : [0.0.0.0/0] -> LAISSEZ PAR DÉFAUT  
Interfaces publiques : -> eth+  
Services TCP à auditer : -> telnet ftp imap pop3 finger sunrpc exec login linuxconf ssh  
Services UDP à auditer : -> 31337  
Services ICMP à auditer : -> VIDE  
Noms de services TCP ou numéros de ports à autoriser sur les interfaces publiques : -> 21 22 25 53 80 110 111 143 443 631 953 993 995 3306  
Noms de services UDP ou numéros de ports à autoriser sur les interfaces publiques : -> VIDE  
Forcer le mode passif ? -> OUI  
Services TCP à bloquer : -> 2049 2065:2090 6000:6020 7100  
Services UDP à bloquer : -> 2049 6770  
Types ICMP autorisés : -> destination-unreachable echo-reply time-exceeded  
Activer la vérification de l'adresse source ? -> OUI  
Méthode de rejet : -> REFUSER  
Interfaces pour les requêtes DHCP : -> VIDE  
Serveurs NTP à interroger : -> VIDE  
Types ICMP à interdire sortants : -> destination-unreachable time-exceeded  
Bastille doit-elle exécuter le pare-feu et l'activer au démarrage ? -> OUI  
Souhaitez-vous configurer psad ? -> OUI  
intervalle de vérification psad : -> 15  
Seuil de plage de ports à analyser : -> 1  
Activer la persistance des analyses ? -> NON  
Délai d'analyse : -> 3600  
Afficher toutes les signatures d'analyse ? -> NON  
Niveaux de danger : -> 5 50 1000 5000 10000  
Adresses e-mail : -> root@localhost  
Niveau de danger d'alerte par e-mail : -> 1  
Alerte sur tous les nouveaux paquets ? -> OUI  
Activer le blocage automatique des IPs scannées ? -> NON  
Bastille doit-elle activer psad au démarrage ? -> OUI  
Avez-vous terminé de répondre aux questions, c'est-à-dire pouvons-nous apporter les modifications ? -> OUI

Modifier la configuration SSH

Cela nécessitera une étape supplémentaire pour sécuriser SSH. Les paramètres suivants permettront :

  • de s’assurer que SSHv2 est utilisé
  • que l’utilisateur root ne peut pas se connecter directement via SSH
  • que les comptes sans mots de passe ne seront pas autorisés à se connecter
  • qu’une bannière de connexion sera affichée.
vi /etc/ssh/sshd_config

Modifiez les lignes suivantes et supprimez la remarque. N’oubliez pas de sauvegarder et de quitter.

#Protocol 2,1 -> Protocol 2  
#PermitRootLogin yes -> PermitRootLogin no  
#PermitEmptyPasswords no -> PermitEmptyPasswords no  
#Banner /some/path -> Banner /etc/issue

Redémarrer le système

Veuillez redémarrer le système comme vérification finale. Assurez-vous que tout démarre correctement.

reboot
Share: X/Twitter LinkedIn
#Sécurité Serveur

Recevez de nouveaux articles dans votre boîte de réception.

Aucun spam. Désabonnez-vous à tout moment.