et un magazine en français : misc
La licence GPL impose la disponibilité des codes sources, ce qui “facilite” la relecture et le debugage des programmes. Les Bugs sont donc plus vite trouvées et corrigées
Par contre, les rapports de bugs étant publics, il est plus facile à un pirate d'exploiter les failles de sécurité …
Il est donc indispensable de suivre les évolutions logicielles
il faut pour cela s'abonner a des listes de diffusion :
ou de s'abonner a des flux rss d'annonces des nouveautes logicielles :
les commandes rlogin, rcp, rsh ne sont pas sures (les autres non plus) : au pire les mots de passe circulent en clair sur le réseau, au mieux, il est facile de tromper l'identification de l'usager : ce sont de gros trous de sécurités.
c'est d'utiliser un soft qui crypte les sessions.
ssh (fourni par tuxfinder)
site central openssh
remplacer ses fichiers .rhosts par des .shosts (mv .rhosts .shosts; chmod 600 .shosts
ne pas oublier dans un second temps de modifier /etc/inetd.conf pour devalider totalement les remotes commandes.
il existe un projet pour sécuriser les distributions Redhat/Mandriva : bastille-linux
c'est une série de scripts perls interactifs.
Pour vérifier que son systèmes n'a pas été modifie a son insu, il faut comparer à intervalles réguliers les signatures des fichiers “sensibles” avec une base. Un article plus complet est consacré à ce sujet.
en utilisant logcheck : on peut “sortir” des logs les évenements anormaux
portsentry permet de détecter les scan de ports
ids = intrusion detection system
pour faciliter l'exploitation de snort, on peut utiliser :
le principe est simple : analyse en temps réel ( appel par fam/gamin) des log et mise en quarantaine (provisoire) reseau (firewall) des adresses IP trouvées. cela permet par exemple d'empecher toute attaque en force brute. on peut proteger tout service (ssh, apache ….) : url de fail2ban
le principe est d'installer un “faux” serveur sur un port connu (ftp par exemple) et de logguer tout ce qui essaie de s'y connecter :
le principe est d'avoir des droits d'acces aux fichiers plus fins que les droits unix. par exemple, un serveur apache doit pouvoir accéder a certains fichiers de configuration sous /etc, mais pas à /etc/shadow
une page plus complète lui est consacrée
on va utiliser des méthodes un peu semblables a celles des pirates :
c'est un scanner de ports : il permet de savoir ce qui est ouvert sur une machine
pour détecter les failles de sécurité
la plupart des certifications se font avec un mécanisme clef publique/clef privée.
c'est utilise notamment dans :