Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
securite [2009/09/11 09:27] root mise a jour des liens |
securite [2012/02/05 16:43] (Version actuelle) |
||
---|---|---|---|
Ligne 8: | Ligne 8: | ||
* [[http://www.linuxsecurity.com/docs/LDP/Security-Quickstart-Redhat-HOWTO/|Security-Quickstart-Redhat-HOWTO]] | * [[http://www.linuxsecurity.com/docs/LDP/Security-Quickstart-Redhat-HOWTO/|Security-Quickstart-Redhat-HOWTO]] | ||
* [[http://www.seifried.org/security/|linux administration security guide]] | * [[http://www.seifried.org/security/|linux administration security guide]] | ||
- | * [[http://www.linuxsecurity.com/|linux security]] | + | * [[http://www.linuxsecurity.com/|linux sécurity]] |
- | * le [[news://fr.comp.security|forum securite]] | + | * le [[news://fr.comp.security|forum]] sécurite (fr.comp.security) |
* la [[http://michel.arboi.free.fr/secu/FAQNOPI/index.html|faq]] du forum sécurité | * la [[http://michel.arboi.free.fr/secu/FAQNOPI/index.html|faq]] du forum sécurité | ||
* [[http://all.net/|Strategic Security Intelligence]]: site de Fred Cohen | * [[http://all.net/|Strategic Security Intelligence]]: site de Fred Cohen | ||
Ligne 25: | Ligne 25: | ||
* n'installer que des logiciels de source sure (c'est à dire des packages signés) | * n'installer que des logiciels de source sure (c'est à dire des packages signés) | ||
- | * réduire les accès par l'utilisation d'un [[#firewall|firewall]] | + | * réduire les accès par l'utilisation d'un [[firewall|firewall]] |
* limiter le nombre des services lances au démarrage(chkconfig) | * limiter le nombre des services lances au démarrage(chkconfig) | ||
* limiter les nombre des services lances via inetd/xinetd | * limiter les nombre des services lances via inetd/xinetd | ||
Ligne 41: | Ligne 41: | ||
* /var : nosuid, nodev (pas de noexec sur debian a cause des scripts de pre/post-installation) | * /var : nosuid, nodev (pas de noexec sur debian a cause des scripts de pre/post-installation) | ||
* réduire les possibilités d'accès root au [[admin-tips.html#securisation|démarrage]] | * réduire les possibilités d'accès root au [[admin-tips.html#securisation|démarrage]] | ||
- | |||
- | ===== firewall ===== | ||
- | |||
- | linux intégre un firewall, basé, selon les noyaux, sur ipchains (2.2) ou iptables (2.4).\\ Voir la documentation pour plus de précisions ou [[http://iptables-tutorial.frozentux.net/|iptables-tutorial]].\\ \\ pour fabriquer une configuration facilement (interface graphique), il y a [[http://www.fwbuilder.org|fwbuilder]] | ||
===== fermer les ports ===== | ===== fermer les ports ===== | ||
Ligne 116: | Ligne 112: | ||
===== controle d'intégrité ===== | ===== controle d'intégrité ===== | ||
- | Pour vérifier que son systèmes n'a pas été modifie a son insu, il faut comparer à intervalles réguliers les signatures des fichiers "sensibles" avec une base. Un [[controleinetgrite|article]] plus complet est consacré à ce sujet. | + | Pour vérifier que son systèmes n'a pas été modifie a son insu, il faut comparer à intervalles réguliers les signatures des fichiers "sensibles" avec une base. Un [[controleintegrite|article]] plus complet est consacré à ce sujet. |
Ligne 160: | Ligne 156: | ||
===== installer un logiciel de controle d'acces ===== | ===== installer un logiciel de controle d'acces ===== | ||
- | ==== principe ==== | + | le principe est d'avoir des droits d'acces aux fichiers plus fins que les droits unix. par exemple, un serveur apache doit pouvoir accéder a certains fichiers de configuration sous /etc, mais pas à /etc/shadow |
- | + | ||
- | le principe est d'avoir des droits d'acces aux fichiers plus fins que les droits unix. par exemple, un serveur apache doit pouvoir acceder a certains fichiers de configuration sous /etc, mais pas à /etc/shadow | + | |
- | + | ||
- | ==== les solutions existantes ==== | + | |
- | + | ||
- | === apparmor === | + | |
- | + | ||
- | Initialement developpé par Suse, et adopté par Mandriva. En 2008, le projet semble quasi arrété, mais semble repris par Ubuntu en 2009 : sa pérennité est incertaine.\\ concretement, il est assez facile a utiliser (test en mandriva 2008.1) | + | |
- | + | ||
- | === selinux === | + | |
- | + | ||
- | Initialement developpé par le NSA et adopté par RedHat/Fedora, il est intégré au noyau linux.\\ cette solution s'appuie sur l'utilisation d'acl dans les inodes. Elle me semble assez complexe a administrer, et semble lourde pour le systeme. | + | |
- | + | ||
- | === tomoyo === | + | |
- | + | ||
- | Initialement developpé par une société japonaise, le code vient d'être intégré au noyau linux, ce qui est un gage de stabilité et de pérennité.\\ cette solution est un peu comparable a apparmor, avec en plus des niveaux de fonctionnement (disabled, learning, enforcement ...), associ� un environnement (la hierarchie des process appelants) C'est pour moi la meilleure solution actuelle, j'ai commencé de faire une [[wiki2/doku.php?id=tomoyo|doc]] d'utilisation | + | |
- | === smack === | + | une [[mac|page]] plus complète lui est consacrée |
- | intégré dans le noyau linux, basé sur des acl, un peu comme selinux. pas testé | ||
---- | ---- | ||
Ligne 220: | Ligne 199: | ||
* [[http://www.kerneli.org/|kerneli]] | * [[http://www.kerneli.org/|kerneli]] | ||
- | --- //[[eric.gerbier@free.fr|eric gerbier]] 2009/09/11 09:13// | + | --- //[[eric.gerbier@free.fr|eric gerbier]] 2009/09/14 09:13// |
+ | {{tag>securite}} |