4409 shaares
Utilisateur
** Changer le mot de passe par défaut
- Remplacer/Renommer l'utilisateur pi par un autre
Serveur SSH
- Changer le port par défaut (22) en autre chose
- Interdire les connexions SSH à root
- Mettre une clef RSA d'au moins 4096 (à partir de janvier 2017)
- Si possible white-lister les IP autorisées
- Mettre en place un fail2ban
- Désactiver toutes les formes d'authentification non supportées
Pare-feu
- Refermer tous les ports (REJECT)
OS
- Interdire l'écriture dans /tmp aux utilisateurs (à l'exception de deux exécutant des services)
- Tenir sa Raspbian à jour (apt upgrade)
-
Exécuter un contrôle d'intégrité périodique (calcul de hash régulier pour s'assurer que les fichiers n'ont pas été modifiés)
## Le script qui fait le taf (chopé sur internet) : #!/bin/bash /bin/mount /dev/fd0 /mnt/floppy trap "/bin/umount /dev/fd0" 0 1 2 3 9 13 15 if [ ! -f /usr/bin/md5sum ] ; then echo "Cannot find md5sum. Aborting." exit 1 fi /bin/cp /usr/bin/md5sum /mnt/floppy echo "Calculating md5 database" >/mnt/floppy/md5checksums.txt for dir in /bin/ /sbin/ /usr/bin/ /usr/sbin/ /lib/ /usr/lib/ do find $dir -type f | xargs /usr/bin/md5sum >>/mnt/floppy/md5checksums-lib.txt done echo "post installation md5 database calculated" if [ ! -f /usr/bin/sha1sum ] ; then echo "Cannot find sha1sum" echo "WARNING: Only md5 database will be stored" else /bin/cp /usr/bin/sha1sum /mnt/floppy echo "Calculating SHA-1 database" >/mnt/floppy/sha1checksums.txt for dir in /bin/ /sbin/ /usr/bin/ /usr/sbin/ /lib/ /usr/lib/ do find $dir -type f | xargs /usr/bin/sha1sum >>/mnt/floppy/sha1checksums-lib.txt done echo "post installation sha1 database calculated" fi exit 0
- Rendre les fichiers critiques immutables avec chattr +i
- Désactiver / Supprimer les services inutiles