Secured by Hostico

Le standard sécurisé développé par Hostico pour la sécurité des données

Norme de sécurité
Norme de sécurité
Contenu

I. Système Secured
II. Protection Firewall
III. Protection Anti-Spam / Anti-Virus
IV. Protection contre les attaques HTTP
V. Renforcement du serveur
VI. Prévention des attaques DoS HTTP
VII. Audits quotidiens de sécurité
VIII. Liste complète des services Secured
IX. Applications
X. Audit initial du système
XI. Surveillance

I. Le Système Sécurisé

Secured est un service exclusif de Hostico conçu pour éliminer les inquiétudes liées à la configuration correcte d'un serveur, vous faisant économiser du temps et de l'argent. Ces paramètres initiaux fournissent des services supplémentaires et des modifications à une installation standard du système d'exploitation et du panneau de contrôle cPanel. Ces modifications/services visent à améliorer la sécurité, la fiabilité et la compatibilité du serveur avec les applications. Ce qui signifierait normalement des heures de "réglages" pour vous ou l'embauche d'un tiers est offert gratuitement par Hostico. Votre serveur est sécurisé et prêt à être déployé dès que vous en prenez possession.

II. Protection par Pare-feu

CSF (Config Server Firewall) est installé et configuré. Les ports non utilisés par cPanel ou vos applications sont bloqués pour améliorer la sécurité du serveur, la pile TCP/IP est améliorée, et une limitation ICMP est mise en place pour prévenir les attaques par déni de service (DoS). De plus, LFD (Login Failure Daemon) est installé pour protéger le serveur contre les attaques par force brute, bloquant automatiquement les attaquants dans le pare-feu.

De plus, Hostico prend des mesures de sécurité supplémentaires pour se protéger contre les attaques DoS de type SYN, le empoisonnement DNS et le spoofing. La dernière solution proposée à cet égard est le système de protection ARBOR, qui est également devenu disponible pour les clients de Hostico.

III. Protection Anti-Spam / Anti-Virus

Le filtrage anti-spam basé sur la liste noire en temps réel (RBL) est configuré. La configuration et la combinaison de près de 10 listes noires sont réalisées pour maximiser le filtrage du spam et minimiser les faux positifs. Ces listes sont mises à jour toutes les heures pour garantir une protection constante de votre serveur.

IV. Protection contre les attaques HTTP

Le moteur de détection et de prévention HTTP, Mod Security, est configuré pour Apache. Ce module améliore la sécurité des applications web, les protégeant à la fois contre les attaques connues ainsi que les attaques spécifiques à l'application. Les règles de protection sont mises à jour périodiquement pour fournir une protection constante pour vos applications.

V. Renforcement du serveur

En plus du contrôle initial, qui garantit la correcte installation du système d'exploitation, du panneau de contrôle, et de la mise à jour de tous les paquets, Hostico effectue de nombreux autres ajustements de sécurité sur votre serveur. Tous les services inutiles sont désactivés et tous les paquets non utilisés sont supprimés. SSH est durci et les variables d'exploitation du noyau sont modifiées pour améliorer la sécurité sans affecter le fonctionnement du serveur.

VI. Prévention des attaques DoS HTTP

DDoS-Deflate est installé pour Apache. Ce module prend des mesures d'évasion en cas d'attaque HTTP DoS, DDoS, ou d'attaques par force brute et fonctionne bien pour les attaques distribuées ainsi que pour les attaques provenant d'une seule source.

Les serveurs qui initient les attaques sont bloqués sans perturber les demandes valides.

VII. Audits de sécurité quotidiens

Hostico installe des scripts qui s'exécutent quotidiennement et vérifient l'intégrité du système ainsi que les éventuelles traces d'accès non autorisés ou d'exploits qui pourraient compromettre le système. Rootkit Hunter et Chkrootkit sont également installés pour un scan quotidien du système. En cas de détection d'une anomalie, les techniciens de Hostico sont alertés et enquêtent manuellement sur votre serveur pour garantir son intégrité.

VIII. Liste complète des services Secured

  • CSF (Firewall du Serveur de Configuration) - Un pare-feu avancé pour bloquer les ports non utilisés et renforcer la sécurité du système
  • LFD (Daemon de Défaillance de Connexion) - Détecte et bloque les attaques par force brute
  • Antivirus Email ClamAV - ClamAv analyse les emails entrants et sortants à la recherche de virus, chevaux de Troie et divers vers
  • Filtrage Anti-Spam - Activation des systèmes de filtrage anti-spam via RBL (Liste Noire en Temps Réel)
  • Chkrootkit - Vérifie le système à la recherche de rootkits, portes dérobées et exploits couramment utilisés. Il vérifie également d'autres signes d'intrusion.
  • Rootkit Hunter - Vérifie le système à la recherche de rootkits, backdoors et exploits couramment utilisés. Il recherche également d'autres signes d'intrusion ainsi que les fichiers binaires du système.
  • Mod_security - Système de prévention des intrusions par filtrage des exploits.
  • Désactivation des processus inutiles - Désactivation de tous les services qui ne sont pas requis pour le bon fonctionnement du système
  • Suppression des paquets inutiles - Suppression de tous les paquets qui ne sont pas nécessaires au bon fonctionnement du système
  • Sécurisation des répertoires temporaires - Sécurisation de /tmp, /var/tmp et d'autres répertoires pour empêcher le téléchargement et l'exécution de fichiers binaires interdits
  • Renforcement SSH - Renforcement SSH pour prévenir les attaques par force brute
  • Audits de sécurité quotidiens - Installation de certains scripts qui s'exécutent quotidiennement pour vérifier l'intégrité du système
  • Renforcement des ressources PAM - Renforce les restrictions PAM pour prévenir diverses attaques
  • Renforcement de Sysctl - Modification des valeurs du noyau pour le durcissement de la pile TCP/IP afin de prévenir et de protéger contre diverses attaques
  • Suhosin - Système de protection avancé pour PHP qui protège les applications PHP contre divers attaques connues ainsi que des inconnues par différents moyens.

IX. Applications

  • MyTop - MySQL TOP - le niveau d'utilisation de MySQL dans une interface similaire à la commande Unix "top";
  • IPTraf - surveillance détaillée du trafic
  • ifTOP - surveillance du trafic sur les IPs du serveur

X. Audit initial du système

  • Test de stress du serveur - Dans le cas d'un serveur dédié, le niveau de stress supporté par la mémoire, le processeur, le disque dur et les systèmes d'E/S est vérifié. Procédure standard sur tous les serveurs Hostico.
  • Test de mémoire - Test de la mémoire pour identifier d'éventuelles erreurs. Procédure standard sur tous les serveurs Hostico.
  • Tester et mettre à jour le système d'exploitation - S'assurer que le système d'exploitation fonctionne dans des paramètres normaux et que tous ses composants sont à jour
  • Vérification du panneau de contrôle - Vérification des paramètres du panneau d'administration installé
  • Vérification du noyau - Installation de la dernière version stable du noyau
  • Configuration de la sauvegarde - Assurer le bon fonctionnement des services de sauvegarde

XI. Surveillance

Les serveurs et services configurés sont étroitement surveillés 24/7 pour faciliter une réponse rapide de l'équipe technique de Hostico lorsque la situation l'exige. De plus, la surveillance constante est utile pour les statistiques concernant les niveaux d'utilisation des ressources, la prévention des surcharges et la mise en œuvre d'un mode de travail proactif en général pour l'amélioration du service.

Parmi les services surveillés, nous notons :
  • Serveur Web (HTTP)
  • État du panneau de contrôle (cPanel, Webuzo)
  • Système de messagerie (SMTP, POP3, IMAP, Nombre d'emails dans la file d'attente)
  • Services de Serveur (SSH, FTP, etc)
  • Base de données (MySQL)
  • Charge du serveur
  • Trafic serveur (vers/de (entrant/sortant))
  • Niveau I/O
  • Espace disponible/utilisé
  • Remarque : Les serveurs pour lesquels les clients ont pris la responsabilité de l'administration ne bénéficient pas des applications et techniques détaillées sur cette page.