Outils pour utilisateurs
securite
Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
securite [2009/09/11 09:27] root mise a jour des liens |
securite [2012/02/05 16:43] (Version actuelle) |
||
|---|---|---|---|
| Ligne 8: | Ligne 8: | ||
| * [[http://www.linuxsecurity.com/docs/LDP/Security-Quickstart-Redhat-HOWTO/|Security-Quickstart-Redhat-HOWTO]] | * [[http://www.linuxsecurity.com/docs/LDP/Security-Quickstart-Redhat-HOWTO/|Security-Quickstart-Redhat-HOWTO]] | ||
| * [[http://www.seifried.org/security/|linux administration security guide]] | * [[http://www.seifried.org/security/|linux administration security guide]] | ||
| - | * [[http://www.linuxsecurity.com/|linux security]] | + | * [[http://www.linuxsecurity.com/|linux sécurity]] |
| - | * le [[news://fr.comp.security|forum securite]] | + | * le [[news://fr.comp.security|forum]] sécurite (fr.comp.security) |
| * la [[http://michel.arboi.free.fr/secu/FAQNOPI/index.html|faq]] du forum sécurité | * la [[http://michel.arboi.free.fr/secu/FAQNOPI/index.html|faq]] du forum sécurité | ||
| * [[http://all.net/|Strategic Security Intelligence]]: site de Fred Cohen | * [[http://all.net/|Strategic Security Intelligence]]: site de Fred Cohen | ||
| Ligne 25: | Ligne 25: | ||
| * n'installer que des logiciels de source sure (c'est à dire des packages signés) | * n'installer que des logiciels de source sure (c'est à dire des packages signés) | ||
| - | * réduire les accès par l'utilisation d'un [[#firewall|firewall]] | + | * réduire les accès par l'utilisation d'un [[firewall|firewall]] |
| * limiter le nombre des services lances au démarrage(chkconfig) | * limiter le nombre des services lances au démarrage(chkconfig) | ||
| * limiter les nombre des services lances via inetd/xinetd | * limiter les nombre des services lances via inetd/xinetd | ||
| Ligne 41: | Ligne 41: | ||
| * /var : nosuid, nodev (pas de noexec sur debian a cause des scripts de pre/post-installation) | * /var : nosuid, nodev (pas de noexec sur debian a cause des scripts de pre/post-installation) | ||
| * réduire les possibilités d'accès root au [[admin-tips.html#securisation|démarrage]] | * réduire les possibilités d'accès root au [[admin-tips.html#securisation|démarrage]] | ||
| - | |||
| - | ===== firewall ===== | ||
| - | |||
| - | linux intégre un firewall, basé, selon les noyaux, sur ipchains (2.2) ou iptables (2.4).\\ Voir la documentation pour plus de précisions ou [[http://iptables-tutorial.frozentux.net/|iptables-tutorial]].\\ \\ pour fabriquer une configuration facilement (interface graphique), il y a [[http://www.fwbuilder.org|fwbuilder]] | ||
| ===== fermer les ports ===== | ===== fermer les ports ===== | ||
| Ligne 116: | Ligne 112: | ||
| ===== controle d'intégrité ===== | ===== controle d'intégrité ===== | ||
| - | Pour vérifier que son systèmes n'a pas été modifie a son insu, il faut comparer à intervalles réguliers les signatures des fichiers "sensibles" avec une base. Un [[controleinetgrite|article]] plus complet est consacré à ce sujet. | + | Pour vérifier que son systèmes n'a pas été modifie a son insu, il faut comparer à intervalles réguliers les signatures des fichiers "sensibles" avec une base. Un [[controleintegrite|article]] plus complet est consacré à ce sujet. |
| Ligne 160: | Ligne 156: | ||
| ===== installer un logiciel de controle d'acces ===== | ===== installer un logiciel de controle d'acces ===== | ||
| - | ==== principe ==== | + | le principe est d'avoir des droits d'acces aux fichiers plus fins que les droits unix. par exemple, un serveur apache doit pouvoir accéder a certains fichiers de configuration sous /etc, mais pas à /etc/shadow |
| - | + | ||
| - | le principe est d'avoir des droits d'acces aux fichiers plus fins que les droits unix. par exemple, un serveur apache doit pouvoir acceder a certains fichiers de configuration sous /etc, mais pas à /etc/shadow | + | |
| - | + | ||
| - | ==== les solutions existantes ==== | + | |
| - | + | ||
| - | === apparmor === | + | |
| - | + | ||
| - | Initialement developpé par Suse, et adopté par Mandriva. En 2008, le projet semble quasi arrété, mais semble repris par Ubuntu en 2009 : sa pérennité est incertaine.\\ concretement, il est assez facile a utiliser (test en mandriva 2008.1) | + | |
| - | + | ||
| - | === selinux === | + | |
| - | + | ||
| - | Initialement developpé par le NSA et adopté par RedHat/Fedora, il est intégré au noyau linux.\\ cette solution s'appuie sur l'utilisation d'acl dans les inodes. Elle me semble assez complexe a administrer, et semble lourde pour le systeme. | + | |
| - | + | ||
| - | === tomoyo === | + | |
| - | + | ||
| - | Initialement developpé par une société japonaise, le code vient d'être intégré au noyau linux, ce qui est un gage de stabilité et de pérennité.\\ cette solution est un peu comparable a apparmor, avec en plus des niveaux de fonctionnement (disabled, learning, enforcement ...), associ� un environnement (la hierarchie des process appelants) C'est pour moi la meilleure solution actuelle, j'ai commencé de faire une [[wiki2/doku.php?id=tomoyo|doc]] d'utilisation | + | |
| - | === smack === | + | une [[mac|page]] plus complète lui est consacrée |
| - | intégré dans le noyau linux, basé sur des acl, un peu comme selinux. pas testé | ||
| ---- | ---- | ||
| Ligne 220: | Ligne 199: | ||
| * [[http://www.kerneli.org/|kerneli]] | * [[http://www.kerneli.org/|kerneli]] | ||
| - | --- //[[eric.gerbier@free.fr|eric gerbier]] 2009/09/11 09:13// | + | --- //[[eric.gerbier@free.fr|eric gerbier]] 2009/09/14 09:13// |
| + | {{tag>securite}} | ||
securite.1252654058.txt.gz · Dernière modification: 2012/02/05 16:43 (modification externe)
Outils de la page
Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : GNU Free Documentation License 1.3
