Entrez les termes que vous recherchez. Envoyer un formulaire de recherche

Quelques conseils en sécurité sous linux

Partitionner en sécurité

Après le partionnement : lilo

Choisir un bon password

Le fichier /etc/service

Limiter les ressources

Programmes setuid bit

Fichiers inhabituels ou cachés

Backup

Choisir un bon mot de passe

Le choix d'un bon mot de passe est un point essentiel dans un système Linux. Un mot de passe incassable n'existe pas . Avec du temps et des ressources, n'importe quel mot de passe peut être deviné, par brute-force ou par social engineering
Exécutez un craqueur de mot de passe est une bonne idée. Cela permet de remplacer les mots de passe faibles. Mais il faut aussi un mécanisme de vérification pour rejeter les mots de passe faibles. Des chaînes de caractères faisant partie du dictionnaire, ou qui ne contiennent pas de caractères spéciaux ne doivent pas être admis. Voici des règles pour un choix de mots de passe efficaces:

Ils doivent comprendre au moins six caractères, huit serait préférables, incluant au moins un chiffre ou un caractère spécial.

Il ne doit pas être trop simple: un mot de passe simple est facile à deviner et qui est souvent basé sur le nom de l'utilisateur, sa famille, ses loisirs ou d'autres traits personnels.

Il doit avoir une période de péremption, demandant le choix d'un nouveau mot de passe.

Il pourrait être invalide après un nombre limité d'essais incorrects.

La longueur minimale d'un mot de passe est de 5 caractères. Cela ne suffit pas , 8 est necessaire.
Editer le fichier /etc/login.defs et changer les valeurs de 5 à 8.

PASS_MIN_LEN 5

en
PASS_MIN_LEN 8

Le fichier /etc/service

Les numéros de port sur lesquels certains services standards sont offerts sont définis dans la RFC 1700 Assigned Numbers. Le fichier /etc/services permet aux programmes serveur et client de convertir les noms de service en ces numéros de port. La liste est conservée sur chaque hôte et elle est gardée dans le fichier /etc/services. L'utilisateur "root" seulement est autorisé à modifier ce fichier est il est rare de l'éditer. Pour améliorer sa sécurité, on peut garantir ce fichier de toute modification ou suppression en utilisant la commande :

[root@deep] /#chattr +i /etc/services

Cette commande peut aussi être utilisée pour les fichiers /etc/passwd, /etc/shadow, /etc/group or /etc/gshadow.

Limiter les ressources

Le fichier limits.conf situé dans le répertoire /etc/security peut être utilisé pour contrôler et limiter les ressources des utilisateurs de votre système. Il est important de définir des limites de ressource pour tous vos utilisateurs de telle sorte qu'ils ne puissent effectuer des dénis de service, des dépassements de mémoire etc. Ces limites doivent être définies pour l'utilisateur quand il s'authentifie. Par exemple, les limites pour tous les utilisateurs de votre système peuvent ressembler à ceci.

Editons le fichier limits.conf avec vi /etc/security/limits.conf et ajoutons et modifions les lignes :

* hard core 0
* hard rss 5000
* hard nproc 20


Cela interdit la creation de fichiers core- core 0, définit le nombre de processus à 20 - nproc 20, et définit l'usage de la mémoire à 5M - rss 5000 pour tout le monde hormis root. Les directives ci-dessus s'appliquent aux utilisateurs authentifiés sur votre système grace au prompt d'authentification. Avec ces quotas, vous pouvez contrôler les processus, les fichiers core et la mémoire des utilisateurs de votre système. L'astérisque * signifie: tous les utilisateurs logués sur le serveur.

Vous devez aussi éditer le fichier /etc/pam.d/login et ajouter la ligne suivante à la fin du fichier:

session required /lib/security/pam_limits.so

Après avoir ajouté la ligne ci-dessus, votre fichier /etc/pam.d/login devrait ressembler à ceci:

Finalement, éditer le fichier /etc/profile et changer la ligne suivante:

ulimit -c 1000000

en

ulimit -S -c 1000000 > /dev/null 2<&1

Cette modification est requise pour éviter d'avoir des messages d'erreur tels que "Unable to reach limit during login" .

Programmes setuid bit

Un utilisateur normal sera capable d'exécuter un programme en tant que root s'il est définit en SUID root. Tous les programmes et les fichiers de votre machine avec le bit s apparaissant dans leur mode, ont le SUID -rwsr-xr-x ou le SGID -r-xr-sr-x bit activé. Puisque ces programmes donnent des privilèges spéciaux à l'utilisateur qui les exécutent, il est important de supprimer ces bits s des programmes dont root est le propriètaire et qui ne nécessitent pas de tels privilèges. Cela peut se faire grace a la commande chmod a-s avec le nom des fichiers SUID/SGID en argument. De tels programmes sont, par exemple:

Des programmes jamais utilisés

Des programmes dont vous ne voudriez pas que des utilisateurs non-root utilises.

Des programmes que vous utilisez de temps en temps, et dont vous acceptez de lancer via su

Nous avons placé un astérisque * à côté de chaque programme à desactiver. Souvenez-vous que votre système a besoin de programmes suid root pour fonctionner, alors soyez prudent. Pour trouver tous les fichiers avec le bits s , executez la commande:

[root@deep]#find / -type f \( -perm -04000 -o -perm -02000 \) \-exec ls 'lg {} \;

Pour enlever le bit suid sur ces programmes, saisissez les commandes suivantes:

Fichiers inhabituels ou cachés

Il est important de ne pas oublier d'inspecter votre système à la recherche de fichier inhabituel ou caché -des fichiers qui commencent par un point et qui ne sont pas habituellement affichés par la commande ls et peuvent être donc utilisés pour cacher des outils et des informations de mot de passe pour des programmes de craquage, etc.. Une technique usuelle sur les systèmes UNIX et de placer un répertoire ou un fichier caché dans un compte d'utilisateur avec un nom bizarre, tel que '...' ou '.. ' ou .. suivi d'un espace our ..-^G -.. ctrl-G. Le programme find peut être employé pour chercher des fichiers cachés.

[root@deep] /# find / -name ".. " -print -xdev
[root@deep] /# find / -name ".*" -print -xdev | cat -v

Tous les fichiers SUID et SGID qui existent encore sur votre système après que vous ayiez supprimé ceux qui n'ont absolument pas besoin d'un tel privilege demeurent un risque potentiel de sécurité, et doivent être surveillés étroitement. Parce que ces programmes donnent des privilèges étendus à ceux qui les éxècutent, il est necessaire de s'assurer que des programmes peu sûrs n'ont pas été installés

Un des tours préférés des crackers est d'exploiter les programmes SUID root, et de laisser un programme SUID comme backdoor pour s'introduire ultèrieurement. Trouver tous les programmes SUID et SGID sur votre système, et garder la trace de ce qu'ils sont de sorte que vous soyez prévenu lors de chaque changement, qui pourrait trahir un assaillant potentiel. Voici la commande pour trouver tous les programmes SUID/SGID de votre système:

[root@deep] /# find / -type f \( -perm -04000 -o -perm -02000 \) \-exec ls -lg {} \;

Les fichiers et répèrtoires accessibles en écriture pour le groupe et les autres peuvent être un trou de sécurité si un attaquant accede à votre système et les modifie. En outre, les répertoires accessibles à tous sont dangereux puisqu'ils autorisent un attaquant à ajouter ou à supprimer les fichiers qu'ils veulent dans ces répertoires. Lors d'opérations normales, quelques fichiers seront accessibles en écriture, tels que ceux inclus dans /dev, /var/catman et tous les liens symboliques dans votre système. Pour trouver tous les fichiers avec des droits en écriture pour le groupe et les autres, employez la commande:

[root@deep] /# find / -type f \( -perm -2 -o -perm -20 \) -exec ls -lg {} \;

Pour trouver tous les répèrtoires avec des droits en écriture pour le groupe et les autres, employez la commande:

[root@deep] /# find / -type d \( -perm -2 -o -perm -20 \) -exec ls -ldg {} \;

une application telle que Tripwire peut être utilisée pour scanner régulièrement, gérer et trouver facilement des fichiers et répertoires modifiés.
N'autorisez pas les fichiers anonymes. Des fichiers n'appartenant à personne peuvent être une indication selon laquelle un assaillant à pénétrer votre système. Si vous trouvez ce genre de fichiers dans votre système, vérifier son intégrité et si cela semble correct, attribuez-lui un nom d'utilisateur. Parfois, vous pouvez désinstaller un programme et obtenir un fichier ou un répertoire anonyme relatif à ce programme; dans ce cas, vous pouvez sans problème supprimer ce fichier. Pour trouver des fichiers de votre système sans propriétaire, employez cette commande:

[root@deep] /#find / -nouser -o -nogroup

N'oubliez pas qu'il ne faut pas tenir compte des fichiers appartenant à /dev

Backup

Pour faire une sauvegarde de l'ensemble de votre système, employez cette commande:

[root@deep] /# cd /
[root@deep] /# tar  cpf /archive/full-backup-`date '+%d-%B-%Y'`.tar \
 --directory / --exclude=proc --exclude=mnt --exclude=archive \
 --exclude=cache --exclude=*/lost+found .

La directive --directory indique à tar de choisir en premier le répertoire suivant,le répertoire / dans cet exemple, avant de démarrer la sauvegarde.
La directive --exclude indique de ne pas tenir compte des rèpertoires spécifiés
Le caractère . à la fin de la commande indique que tar doit tout sauvegarder dans le répertoire courant. Pour commencer...

Sources de l'article