Ci-dessous, les différences entre deux révisions de la page.
Prochaine révision | Révision précédente | ||
securite [2009/09/11 08:57] root créée |
securite [2009/09/18 10:25] 127.0.0.1 édition externe |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
====== sécurité ====== | ====== sécurité ====== | ||
- | ====== [[|documentation]] ====== | + | ====== documentation ====== |
---- | ---- | ||
Ligne 8: | Ligne 8: | ||
* [[http://www.linuxsecurity.com/docs/LDP/Security-Quickstart-Redhat-HOWTO/|Security-Quickstart-Redhat-HOWTO]] | * [[http://www.linuxsecurity.com/docs/LDP/Security-Quickstart-Redhat-HOWTO/|Security-Quickstart-Redhat-HOWTO]] | ||
* [[http://www.seifried.org/security/|linux administration security guide]] | * [[http://www.seifried.org/security/|linux administration security guide]] | ||
- | * [[http://www.linuxsecurity.com/|linux security]] | + | * [[http://www.linuxsecurity.com/|linux sécurity]] |
- | * le [[news://fr.comp.security|forum securite]] | + | * le [[news://fr.comp.security|forum]] sécurite (fr.comp.security) |
* la [[http://michel.arboi.free.fr/secu/FAQNOPI/index.html|faq]] du forum sécurité | * la [[http://michel.arboi.free.fr/secu/FAQNOPI/index.html|faq]] du forum sécurité | ||
* [[http://all.net/|Strategic Security Intelligence]]: site de Fred Cohen | * [[http://all.net/|Strategic Security Intelligence]]: site de Fred Cohen | ||
Ligne 20: | Ligne 20: | ||
et un magazine en français : [[http://www.miscmag.com/|misc]] | et un magazine en français : [[http://www.miscmag.com/|misc]] | ||
---- | ---- | ||
- | ====== [[|bétonner]] ====== | + | ====== bétonner ====== |
---- | ---- | ||
Ligne 42: | Ligne 42: | ||
* réduire les possibilités d'accès root au [[admin-tips.html#securisation|démarrage]] | * réduire les possibilités d'accès root au [[admin-tips.html#securisation|démarrage]] | ||
- | ===== [[|firewall]] ===== | + | ===== firewall ===== |
linux intégre un firewall, basé, selon les noyaux, sur ipchains (2.2) ou iptables (2.4).\\ Voir la documentation pour plus de précisions ou [[http://iptables-tutorial.frozentux.net/|iptables-tutorial]].\\ \\ pour fabriquer une configuration facilement (interface graphique), il y a [[http://www.fwbuilder.org|fwbuilder]] | linux intégre un firewall, basé, selon les noyaux, sur ipchains (2.2) ou iptables (2.4).\\ Voir la documentation pour plus de précisions ou [[http://iptables-tutorial.frozentux.net/|iptables-tutorial]].\\ \\ pour fabriquer une configuration facilement (interface graphique), il y a [[http://www.fwbuilder.org|fwbuilder]] | ||
- | ===== [[|fermer les ports]] ===== | + | ===== fermer les ports ===== |
- utiliser [[#nmap|nmap]] pour détecter les ports ouverts | - utiliser [[#nmap|nmap]] pour détecter les ports ouverts | ||
- avec la commande //fuser -v -n tcp num_port// pour identifier le programme qui utilise un port | - avec la commande //fuser -v -n tcp num_port// pour identifier le programme qui utilise un port | ||
- | ===== [[|se tenir informé]] ===== | + | ===== se tenir informé ===== |
==== pourquoi ==== | ==== pourquoi ==== | ||
Ligne 69: | Ligne 69: | ||
* [[http://www.freshmeat.net/|freshmeat]] | * [[http://www.freshmeat.net/|freshmeat]] | ||
- | ===== [[|ssh]] ===== | + | ===== ssh ===== |
- | ==== le probl�me ==== | + | ==== le problème ==== |
- | les commandes rlogin, rcp, rsh ne sont pas sures (les autres non plus) : au pire les mots de passe circulent en clair sur le r�seau, au mieux, il est facile de tromper l'identification de l'usager : ce sont de gros trous de s�curit�s. | + | les commandes rlogin, rcp, rsh ne sont pas sures (les autres non plus) : au pire les mots de passe circulent en clair sur le réseau, au mieux, il est facile de tromper l'identification de l'usager : ce sont de gros trous de sécurités. |
==== les solutions ==== | ==== les solutions ==== | ||
Ligne 86: | Ligne 86: | ||
* [[http://www-106.ibm.com/developerworks/security/library/l-keyc.html|OpenSSH key management]] : les docs ibm | * [[http://www-106.ibm.com/developerworks/security/library/l-keyc.html|OpenSSH key management]] : les docs ibm | ||
- | - supprimer le service sshd des d�mon lances : //chkconfig sshd off// | + | - supprimer le service sshd des démon lances : //chkconfig sshd off// |
- rajouter dans ///etc/inetd.conf// la ligne : //ssh stream tcp nowait root /usr/sbin/tcpd /usr/sbin/sshd -i// | - rajouter dans ///etc/inetd.conf// la ligne : //ssh stream tcp nowait root /usr/sbin/tcpd /usr/sbin/sshd -i// | ||
- modifier le fichier ///etc/ssh/sshd_config// : | - modifier le fichier ///etc/ssh/sshd_config// : | ||
Ligne 105: | Ligne 105: | ||
remplacer ses fichiers .rhosts par des .shosts (//mv .rhosts .shosts; chmod 600 .shosts//\\ ne pas oublier dans un second temps de modifier ///etc/inetd.conf// pour devalider totalement les remotes commandes. | remplacer ses fichiers .rhosts par des .shosts (//mv .rhosts .shosts; chmod 600 .shosts//\\ ne pas oublier dans un second temps de modifier ///etc/inetd.conf// pour devalider totalement les remotes commandes. | ||
- | ===== [[|bastille-linux]] ===== | + | ===== bastille-linux ===== |
il existe un projet pour sécuriser les distributions Redhat/Mandriva : [[http://bastille-linux.sourceforge.net|bastille-linux]]\\ c'est une série de scripts perls interactifs. | il existe un projet pour sécuriser les distributions Redhat/Mandriva : [[http://bastille-linux.sourceforge.net|bastille-linux]]\\ c'est une série de scripts perls interactifs. | ||
---- | ---- | ||
- | ====== [[|détecter les intrusions]] ====== | + | ====== détecter les intrusions ====== |
---- | ---- | ||
- | ===== [[|controle d'intégrité]] ===== | + | ===== controle d'intégrité ===== |
- | Pour vérifier que son systèmes n'a pas été modifie a son insu, il faut comparer à intervalles réguliers les signatures des fichiers "sensibles" avec une base. Un [[controleinetgrite|article]] plus complet est consacré à ce sujet. | + | Pour vérifier que son systèmes n'a pas été modifie a son insu, il faut comparer à intervalles réguliers les signatures des fichiers "sensibles" avec une base. Un [[controleintegrite|article]] plus complet est consacré à ce sujet. |
- | ===== contr�le des logs ===== | + | ===== controle des logs ===== |
- | en utilisant [[http://logcheck.org/|logcheck]] : on peut "sortir" des logs les �v�nements anormaux | + | en utilisant [[http://logcheck.org/|logcheck]] : on peut "sortir" des logs les évenements anormaux |
===== analyse des ports ===== | ===== analyse des ports ===== | ||
- | [[http://www.psionic.com/abacus/portsentry/|portsentry]] permet de d�tecter les scan de ports | + | [[http://www.psionic.com/abacus/portsentry/|portsentry]] permet de détecter les scan de ports |
===== ids ===== | ===== ids ===== | ||
Ligne 132: | Ligne 132: | ||
ids = intrusion detection system | ids = intrusion detection system | ||
- | * [[http://www.snort.org/|snort]] : le plus utilis� | + | * [[http://www.snort.org/|snort]] : le plus utilisé, assez complet et complexe |
* [[http://www.prelude-ids.org/|prelude]] : le petit nouveau qui monte ... | * [[http://www.prelude-ids.org/|prelude]] : le petit nouveau qui monte ... | ||
+ | * [[ http://www.ossec.net/ | ossec ]] : un autre outil libre qui n'a pas l'air mal | ||
pour faciliter l'exploitation de snort, on peut utiliser : | pour faciliter l'exploitation de snort, on peut utiliser : | ||
Ligne 140: | Ligne 141: | ||
* [[http://jeremy.chartier.free.fr/snortalog/|snortalog]] : idem | * [[http://jeremy.chartier.free.fr/snortalog/|snortalog]] : idem | ||
- | ===== [[|fail2ban]] ===== | + | ===== fail2ban ===== |
- | le principe est simple : analyse en temps r�el ( appel par fam/gamin) des log et mise en quarantaine (provisoire) reseau (firewall) des adresses IP trouv�es. cela permet par exemple d'empecher toute attaque en force brute. on peut proteger tout service (ssh, apache ....) : [[http://www.fail2ban.org|url de fail2ban]] | + | le principe est simple : analyse en temps réel ( appel par fam/gamin) des log et mise en quarantaine (provisoire) reseau (firewall) des adresses IP trouvées. cela permet par exemple d'empecher toute attaque en force brute. on peut proteger tout service (ssh, apache ....) : [[http://www.fail2ban.org|url de fail2ban]] |
===== recherche de rootkit ===== | ===== recherche de rootkit ===== | ||
Ligne 148: | Ligne 149: | ||
* [[http://www.chkrootkit.org/|chrootkit]] : le plus connu | * [[http://www.chkrootkit.org/|chrootkit]] : le plus connu | ||
* [[http://www.rootkit.nl/|Rootkit Hunter]] : le "petit nouveau" qui monte | * [[http://www.rootkit.nl/|Rootkit Hunter]] : le "petit nouveau" qui monte | ||
- | * [[http://www.hzeroseven.org/projects/aexpl/|AntiExploit]] : utilise un module noyau (dazuko) avec un d�mon en machine pour une surveillance permanente | + | * [[http://www.hzeroseven.org/projects/aexpl/|AntiExploit]] : utilise un module noyau (dazuko) avec un démon en machine pour une surveillance permanente |
===== installer un "pot de miel" (honeypot) ===== | ===== installer un "pot de miel" (honeypot) ===== | ||
Ligne 154: | Ligne 155: | ||
le principe est d'installer un "faux" serveur sur un port connu (ftp par exemple) et de logguer tout ce qui essaie de s'y connecter : | le principe est d'installer un "faux" serveur sur un port connu (ftp par exemple) et de logguer tout ce qui essaie de s'y connecter : | ||
- | * [[http://all.net/dtk/dtk.html|deception toolkit]] : tr�s �labore : on peut simuler de fa�on configurable un protocole | + | * [[http://all.net/dtk/dtk.html|deception toolkit]] : très élaboré : on peut simuler de façon configurable un protocole |
* [[http://project.honeynet.org/|honeynet]] | * [[http://project.honeynet.org/|honeynet]] | ||
===== installer un logiciel de controle d'acces ===== | ===== installer un logiciel de controle d'acces ===== | ||
- | ==== principe ==== | + | le principe est d'avoir des droits d'acces aux fichiers plus fins que les droits unix. par exemple, un serveur apache doit pouvoir accéder a certains fichiers de configuration sous /etc, mais pas à /etc/shadow |
- | le principe est d'avoir des droits d'acces aux fichiers plus fins que les droits unix. par exemple, un serveur apache doit pouvoir acceder a certains fichiers de configuration sous /etc, mais pas � /etc/shadow | + | une [[mac|page]] plus complète lui est consacrée |
- | ==== les solutions existantes ==== | ||
- | |||
- | === apparmor === | ||
- | |||
- | Initialement developp� par Suse, et adopt� par Mandriva. En 2008, le projet semble quasi arr�t�, mais repris par Ubuntu en 2009 : sa p�rennit� est incertaine.\\ concretement, il est assez facile a utiliser (test en mandriva 2008.1) | ||
- | |||
- | === selinux === | ||
- | |||
- | Initialement developp� par le NSA et adopt� par RedHat/Fedora, il est int�gr� au noyau linux.\\ cette solution s'appuie sur l'utilisation d'acl dans les inodes. Elle me semble assez complexe a administrer, et semble lourde pour le systeme. | ||
- | |||
- | === tomoyo === | ||
- | |||
- | Initialement developp� par une soci�t� japonaise, le code vient d'�tre int�gr� au noyau linux, ce qui est un gage de stabilit� et de p�rennit�.\\ cette solution est un peu comparable a apparmor, avec en plus des niveaux de fonctionnement (disabled, learning, enforcement ...), associ� un environnement (la hierarchie des process appelants) C'est pour moi la meilleure solution actuelle, j'ai commenc� de faire une [[wiki2/doku.php?id=tomoyo|doc]] d'utilisation | ||
- | |||
- | === smack === | ||
- | |||
- | int�gr� dans le noyau linux, bas� sur des acl, un peu comme selinux. pas test� | ||
---- | ---- | ||
- | ====== [[|tester la s�curit�]] ====== | + | ====== tester la sécurité ====== |
---- | ---- | ||
- | on va utiliser des m�thodes un peu semblables a celles des pirates : | + | on va utiliser des méthodes un peu semblables a celles des pirates : |
- | ===== [[|nmap]] ===== | + | ===== nmap ===== |
- | c'est un scanner de ports : �a permet de savoir ce qui est ouvert sur une machine | + | c'est un scanner de ports : il permet de savoir ce qui est ouvert sur une machine |
===== nessus ===== | ===== nessus ===== | ||
- | pour d�tecter les failles de s�curit� | + | pour détecter les failles de sécurité |
===== logiciels d'audit ===== | ===== logiciels d'audit ===== | ||
Ligne 203: | Ligne 187: | ||
---- | ---- | ||
- | ====== [[|certification]] ====== | + | ====== certification ====== |
- | la plupart des certifications se font avec un m�canisme clef publique/clef priv�e.\\ c'est utilise notamment dans : | + | la plupart des certifications se font avec un mécanisme clef publique/clef privée.\\ c'est utilise notamment dans : |
- | * ssh : connexion s�curis�e | + | * ssh : connexion sécurisée |
* gpg : signature de packages, de mails; on peut s'enregistrer sur [[http://www.keyserver.net/|keyserver]] | * gpg : signature de packages, de mails; on peut s'enregistrer sur [[http://www.keyserver.net/|keyserver]] | ||
---- | ---- | ||
- | ====== [[|crypter un filesystem]] ====== | + | ====== crypter un filesystem ====== |
- | Sous linux, 2 principales m�thodes : | + | Sous linux, 2 principales méthodes : |
* [[http://loop-aes.sourceforge.net/|loop-aes]] | * [[http://loop-aes.sourceforge.net/|loop-aes]] | ||
* [[http://www.kerneli.org/|kerneli]] | * [[http://www.kerneli.org/|kerneli]] | ||
+ | --- //[[eric.gerbier@free.fr|eric gerbier]] 2009/09/14 09:13// | ||
+ | {{tag>securite}} |