Différences

Ci-dessous, les différences entre deux révisions de la page.

--- securite [2009/09/11 08:57]
root créée
+++ securite [2012/02/05 16:43] (Version actuelle)
@@ Ligne 1: / Ligne 1: @@
 ====== sécurité ======
-====== [[|documentation]] ======
+====== documentation ======
 ----
@@ Ligne 8: / Ligne 8: @@
   * [[http://www.linuxsecurity.com/docs/LDP/Security-Quickstart-Redhat-HOWTO/|Security-Quickstart-Redhat-HOWTO]]
   * [[http://www.seifried.org/security/|linux administration security guide]]
-  * [[http://www.linuxsecurity.com/|linux security]]
+  * [[http://www.linuxsecurity.com/|linux sécurity]]
-  * le [[news://fr.comp.security|forum securite]]
+  * le [[news://fr.comp.security|forum]] sécurite (fr.comp.security)
   * la [[http://michel.arboi.free.fr/secu/FAQNOPI/index.html|faq]] du forum sécurité
   * [[http://all.net/|Strategic Security Intelligence]]: site de Fred Cohen
@@ Ligne 20: / Ligne 20: @@
 et un magazine en français : [[http://www.miscmag.com/|misc]]
 ----
-====== [[|bétonner]] ======
+====== bétonner ======
 ----
   * n'installer que des logiciels de source sure (c'est à dire des packages signés)
-  * réduire les accès par l'utilisation d'un [[#firewall|firewall]]
+  * réduire les accès par l'utilisation d'un [[firewall|firewall]]
   * limiter le nombre des services lances au démarrage(chkconfig)
   * limiter les nombre des services lances via inetd/xinetd
@@ Ligne 42: / Ligne 42: @@
   * réduire les possibilités d'accès root au [[admin-tips.html#securisation|démarrage]]
-===== [[|firewall]] =====
+===== fermer les ports =====
- linux intégre un firewall, basé, selon les noyaux, sur ipchains (2.2) ou iptables (2.4).\\  Voir la documentation pour plus de précisions ou [[http://iptables-tutorial.frozentux.net/|iptables-tutorial]].\\ \\  pour fabriquer une configuration facilement (interface graphique), il y a [[http://www.fwbuilder.org|fwbuilder]]
-===== [[|fermer les ports]] =====
   - utiliser [[#nmap|nmap]] pour détecter les ports ouverts
   - avec la commande //fuser -v -n tcp num_port// pour identifier le programme qui utilise un port
-===== [[|se tenir informé]] =====
+===== se tenir informé =====
 ==== pourquoi ====
@@ Ligne 69: / Ligne 65: @@
   * [[http://www.freshmeat.net/|freshmeat]]
-===== [[|ssh]] =====
+===== ssh =====
-==== le probl�me ====
+==== le problème ====
-les commandes rlogin, rcp, rsh ne sont pas sures (les autres non plus) : au pire les mots de passe circulent en clair sur le r�seau, au mieux, il est facile de tromper l'identification de l'usager : ce sont de gros trous de s�curit�s.
+les commandes rlogin, rcp, rsh ne sont pas sures (les autres non plus) : au pire les mots de passe circulent en clair sur le réseau, au mieux, il est facile de tromper l'identification de l'usager : ce sont de gros trous de sécurités.
 ==== les solutions ====
@@ Ligne 86: / Ligne 82: @@
   * [[http://www-106.ibm.com/developerworks/security/library/l-keyc.html|OpenSSH key management]] : les docs ibm
-  - supprimer le service sshd des d�mon lances : //chkconfig sshd off//
+  - supprimer le service sshd des démon lances : //chkconfig sshd off//
   - rajouter dans ///etc/inetd.conf// la ligne : //ssh stream tcp nowait root /usr/sbin/tcpd /usr/sbin/sshd -i//
   - modifier le fichier ///etc/ssh/sshd_config// :
@@ Ligne 105: / Ligne 101: @@
 remplacer ses fichiers .rhosts par des .shosts (//mv .rhosts .shosts; chmod 600 .shosts//\\  ne pas oublier dans un second temps de modifier ///etc/inetd.conf// pour devalider totalement les remotes commandes.
-===== [[|bastille-linux]] =====
+===== bastille-linux =====
  il existe un projet pour sécuriser les distributions Redhat/Mandriva : [[http://bastille-linux.sourceforge.net|bastille-linux]]\\  c'est une série de scripts perls interactifs.
 ----
-====== [[|détecter les intrusions]] ======
+====== détecter les intrusions ======
 ----
-===== [[|controle d'intégrité]] =====
+===== controle d'intégrité =====
-Pour vérifier que son systèmes n'a pas été modifie a son insu, il faut comparer à intervalles réguliers les signatures des fichiers "sensibles" avec une base. Un [[controleinetgrite|article]] plus complet est consacré à ce sujet.
+Pour vérifier que son systèmes n'a pas été modifie a son insu, il faut comparer à intervalles réguliers les signatures des fichiers "sensibles" avec une base. Un [[controleintegrite|article]] plus complet est consacré à ce sujet.
-===== contr�le des logs =====
+===== controle des logs =====
- en utilisant [[http://logcheck.org/|logcheck]] : on peut "sortir" des logs les �v�nements anormaux
+ en utilisant [[http://logcheck.org/|logcheck]] : on peut "sortir" des logs les évenements anormaux
 ===== analyse des ports =====
-[[http://www.psionic.com/abacus/portsentry/|portsentry]] permet de d�tecter les scan de ports
+[[http://www.psionic.com/abacus/portsentry/|portsentry]] permet de détecter les scan de ports
 ===== ids =====
@@ Ligne 132: / Ligne 128: @@
  ids = intrusion detection system
-  * [[http://www.snort.org/|snort]] : le plus utilis�
+  * [[http://www.snort.org/|snort]] : le plus utilisé, assez complet et complexe
   * [[http://www.prelude-ids.org/|prelude]] : le petit nouveau qui monte ...
+  * [[ http://www.ossec.net/ | ossec ]] : un autre outil libre qui n'a pas l'air mal
 pour faciliter l'exploitation de snort, on peut utiliser :
@@ Ligne 140: / Ligne 137: @@
   * [[http://jeremy.chartier.free.fr/snortalog/|snortalog]] : idem
-===== [[|fail2ban]] =====
+===== fail2ban =====
- le principe est simple : analyse en temps r�el ( appel par fam/gamin) des log et mise en quarantaine (provisoire) reseau (firewall) des adresses IP trouv�es. cela permet par exemple d'empecher toute attaque en force brute. on peut proteger tout service (ssh, apache ....) : [[http://www.fail2ban.org|url de fail2ban]]
+ le principe est simple : analyse en temps réel ( appel par fam/gamin) des log et mise en quarantaine (provisoire) reseau (firewall) des adresses IP trouvées. cela permet par exemple d'empecher toute attaque en force brute. on peut proteger tout service (ssh, apache ....) : [[http://www.fail2ban.org|url de fail2ban]]
 ===== recherche de rootkit =====
@@ Ligne 148: / Ligne 145: @@
   * [[http://www.chkrootkit.org/|chrootkit]] : le plus connu
   * [[http://www.rootkit.nl/|Rootkit Hunter]] : le "petit nouveau" qui monte
-  * [[http://www.hzeroseven.org/projects/aexpl/|AntiExploit]] : utilise un module noyau (dazuko) avec un d�mon en machine pour une surveillance permanente
+  * [[http://www.hzeroseven.org/projects/aexpl/|AntiExploit]] : utilise un module noyau (dazuko) avec un démon en machine pour une surveillance permanente
 ===== installer un "pot de miel" (honeypot) =====
@@ Ligne 154: / Ligne 151: @@
  le principe est d'installer un "faux" serveur sur un port connu (ftp par exemple) et de logguer tout ce qui essaie de s'y connecter :
-  * [[http://all.net/dtk/dtk.html|deception toolkit]] : tr�s �labore : on peut simuler de fa�on configurable un protocole
+  * [[http://all.net/dtk/dtk.html|deception toolkit]] : très élaboré : on peut simuler de façon configurable un protocole
   * [[http://project.honeynet.org/|honeynet]]
 ===== installer un logiciel de controle d'acces =====
-==== principe ====
+le principe est d'avoir des droits d'acces aux fichiers plus fins que les droits unix. par exemple, un serveur apache doit pouvoir accéder a certains fichiers de configuration sous /etc, mais pas à /etc/shadow
-le principe est d'avoir des droits d'acces aux fichiers plus fins que les droits unix. par exemple, un serveur apache doit pouvoir acceder a certains fichiers de configuration sous /etc, mais pas � /etc/shadow
-==== les solutions existantes ====
-=== apparmor ===
-Initialement developp� par Suse, et adopt� par Mandriva. En 2008, le projet semble quasi arr�t�, mais repris par Ubuntu en 2009 : sa p�rennit� est incertaine.\\  concretement, il est assez facile a utiliser (test en mandriva 2008.1)
-=== selinux ===
-Initialement developp� par le NSA et adopt� par RedHat/Fedora, il est int�gr� au noyau linux.\\  cette solution s'appuie sur l'utilisation d'acl dans les inodes. Elle me semble assez complexe a administrer, et semble lourde pour le systeme.
-=== tomoyo ===
-Initialement developp� par une soci�t� japonaise, le code vient d'�tre int�gr� au noyau linux, ce qui est un gage de stabilit� et de p�rennit�.\\  cette solution est un peu comparable a apparmor, avec en plus des niveaux de fonctionnement (disabled, learning, enforcement ...), associ� un environnement (la hierarchie des process appelants) C'est pour moi la meilleure solution actuelle, j'ai commenc� de faire une [[wiki2/doku.php?id=tomoyo|doc]] d'utilisation
-=== smack ===
+une [[mac|page]] plus complète lui est consacrée
-int�gr� dans le noyau linux, bas� sur des acl, un peu comme selinux. pas test�
 ----
-====== [[|tester la s�curit�]] ======
+====== tester la sécurité ======
 ----
- on va utiliser des m�thodes un peu semblables a celles des pirates :
+ on va utiliser des méthodes un peu semblables a celles des pirates :
-===== [[|nmap]] =====
+===== nmap =====
- c'est un scanner de ports : �a permet de savoir ce qui est ouvert sur une machine
+ c'est un scanner de ports : il permet de savoir ce qui est ouvert sur une machine
 ===== nessus =====
- pour d�tecter les failles de s�curit�
+ pour détecter les failles de sécurité
 ===== logiciels d'audit =====
@@ Ligne 203: / Ligne 183: @@
 ----
-====== [[|certification]] ======
+====== certification ======
- la plupart des certifications se font avec un m�canisme clef publique/clef priv�e.\\  c'est utilise notamment dans :
+ la plupart des certifications se font avec un mécanisme clef publique/clef privée.\\  c'est utilise notamment dans :
-  * ssh : connexion s�curis�e
+  * ssh : connexion sécurisée
   * gpg : signature de packages, de mails; on peut s'enregistrer sur [[http://www.keyserver.net/|keyserver]]
 ----
-====== [[|crypter un filesystem]] ======
+====== crypter un filesystem ======
- Sous linux, 2 principales m�thodes :
+ Sous linux, 2 principales méthodes :
   * [[http://loop-aes.sourceforge.net/|loop-aes]]
   * [[http://www.kerneli.org/|kerneli]]
+ --- //[[eric.gerbier@free.fr|eric gerbier]] 2009/09/14 09:13//
+{{tag>securite}}

wiki de Eric Gerbier

Outils pour utilisateurs

Outils du site

Différences

Outils de la page