[ précédent ] [ Table des matières ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ suivant ]

Manuel de sécurisation de Debian
Annexe B - Liste des contrôles de configuration.

Cet appendice récapitule brièvement les points des autres sections de ce manuel sous une forme condensée de liste de contrôles. Ceci est un petit résumé pour une personne qui a déjà lu le manuel. Il existe d'autres listes de contrôles disponibles, y compris la sécurisation de Linux pas à pas de Kurt Seifried et la liste de contrôles de sécurité Unix du CERT.

FIXME: Ceci est basé sur la version 1.4 du manuel et a peut-être besoin d'une mise à jour.

• Limiter les accès physiques et les possibilités de démarrage.

  • Activer un mot de passe pour le BIOS.

  • Désactiver le démarrage sur disquette/cdrom/...

  • Mettre un mot de passe à LILO ou GRUB (respectivement /etc/lilo.conf ou /boot/grub/menu.lst) ; vérifier que le fichier de configuration de LILO ou de GRUB est en lecture seule.

  • Interdire le démarrage par disquette sur le MBR en récrivant par dessus le MBR (peut-être pas ?)

• Partitionnement

  • Séparer les données où les utilisateurs peuvent écrire, les données non-système, et les données d'exécution qui changent rapidement dans leurs propres partitions

  • Mettre les options de montage nosuid,noexec,nodev dans /etc/fstab sur les partitions ext2 tel que /tmp.

• Hygiène pour les mots de passes et la sécurité des connexions.

  • Choisir un bon mot de passe root.

  • Activer les mots de passes ombré et MD5.

  • Installer et utiliser PAM.

    • Ajouter le support du MD5 à PAM et s'assurer que (de manière générale) les entrées dans les fichiers /etc/pam.d/ qui autorisent l'accès à la machine ont un second champ dans le fichier pam.d positionné à requisite ou required.

    • Modifier /etc/pam.d/login pour que seul le root puisse se connecter localement.

    • Indiquer également les consoles (ttys) autorisées dans /etc/security/access.conf et généralement configurer ce fichier pour limiter le plus possible les connexions de root.

    • Ajouter pam_limits.so si vous voulez fixer des limites par utilisateur.

    • Modifier /etc/pam.d/passwd : augmenter la taille minimum du mot de passe (6 caractères peut-être) et activer MD5.

    • Ajouter le groupe wheel à /etc/group si vous voulez ; ajouter l'entrée pam_wheel.so group=wheel au fichier /etc/pam.d/su.

    • Pour les contrôles d'usage par utilisateur, utiliser les entrées appropriées dans pam_listfile.so.

    • Avoir un fichier /etc/pam.d/other et mettre en place une sécurité reserrée.

  • Fixer des limites dans /etc/security/limits.conf (notez que /etc/limits n'est pas utilisé si vous utilisez PAM)

  • Resserrer /etc/login.defs ; de même que, si vous activez MD5 et/ou PAM, assurez-vous de faire également les changements ici.

  • Désactiver l'accès par ftp à l'utilisateur root dans le fichier /etc/ftpusers.

  • Désactiver la connexion par réseau de root ; utiliser su(1) ou sudo(1). (considérer l'installation du paquet sudo)

  • Utiliser PAM pour imposer des contraintes supplémentaires sur les connexions ?

• Autres problèmes de sécurité locaux

  • Modifications du noyau (voir Configuration des options réseaux du noyau, Section 4.17.1)

  • Rustines pour noyaux (voir Les utilitaires pour ajouter des rustines au noyau, Section 4.13)

  • Resserrer les permissions sur les fichiers journaux. (/var/log/{last,fail}log, journaux d'Apache)

  • Vérifier que la vérification de setuid est activée dans /etc/checksecurity.conf

  • Penser à créer des fichiers journaux en avec uniquement le droit d'ajout et des fichiers de configuration invariants en utilisant chattr (système de fichiers ext2 uniquement)

  • Mettre en place une vérification d'intégrité des fichiers (voir Vérifier l'intégrité des systèmes de fichiers, Section 4.16.3). Installer debsums

  • Impression de tous les fichiers journaux sur une imprimante locale ?

  • Graver votre configuration sur un CD amorçable et démarrer dessus?

  • Désactiver les modules pour le noyau ?

• Restreindre les accès réseaux

  • Installer et configurer ssh (suggérer PermitRootLogin No dans /etc/ssh, PermitEmptyPasswords No; noter également d'autres suggestions dans le texte)

  • Envisager la désactivation ou la suppression de in.telnetd.

  • Généralement, désactiver les services inutiles dans le fichier /etc/inetd.conf en utilisant update-inetd --disable (ou désactiver inetd complètement, ou utiliser une solution de rechange tel xinetd ou rlinetd).

  • Désactiver les autres services inutiles ; courriel, ftp, DNS, www, etc. ne devraient pas être lancés si vous n'en avez pas besoin et veillez à les surveiller régulièrement.

  • Pour les services dont vous avez besoin, n'utilisez pas simplement les programmes communs, rechercher des versions plus sécurisées disponibles dans Debian (ou depuis tout autre source). Peu importe celle que vous utiliserez, assurez-vous que vous compreniez bien les risques induits.

  • Mettre en place des prisons chroot pour les utilisateurs et démons extérieurs.

  • Configurer un pare-feux et les tcpwrappers (voir hosts_access(5)) ; notez l'astuce pour /etc/hosts.deny dans le texte.

  • Si vous utilisez ftp, mettre en place un serveur ftpd qui sera toujours lancé dans un environnement de chroot au répertoire personnel de l'utilisateur.

  • Si vous utilisez X, désactiver l'authentification xhost et utiliser plutôt ssh ; de façon encore plus sécurisée, désactiver X à distance si vous le pouvez (ajouter -nolisten tcp à la ligne de commande de X et désactiver XDMCP dans le fichier /etc/X11/xdm/xdm-config en plaçant la valeur 0 à requestPort).

  • Désactiver l'accès aux imprimantes de l'extérieur.

  • Encrypter toute session IMAP ou POP via SSL ou ssh ; installez stunnel si vous voulez fournir ce service pour des utilisateurs de courriels à distance.

  • Mettre en place un hôte de journaux et configurer les autres machines pour qu'elles envoient les journaux à cet hôte (/etc/syslog.conf).

  • Sécuriser BIND, Sendmail et tout autre démon complexe (Lancer dans une prison chroot ; lancer en tant qu'utilisateur non-root)

  • Installer snort ou un outil similaire.

  • Faire sans NIS et RPC si vous le pouvez (désactiver portmap).

• Problèmes de règlement

  • Éduquer les utilisateurs sur le pourquoi et le comment de vos règles. Lorsque que vous interdisez quelque chose qui est généralement disponible sur d'autres systèmes, fournissez-leur une documentation qui explique comment arriver aux mêmes résultats d'une manière plus sécurisée.

  • Interdire l'utilisation de protocoles qui utilisent des mots de passe en clair (telnet, rsh et similaire ; ftp, imap, http, ...).

  • Interdire les programmes qui utilisent la SVGAlib.

  • Utiliser les quotas disques.

• Rester informé à propos des problèmes de sécurité

  • S'abonner aux listes de discussions liées à la sécurité.

  • Configurer apt pour les mises à jour de sécurité — ajouter une entrée (ou plusieurs entrées) à /etc/apt/sources.list pour http://security.debian.org/debian-security

  • Se rappeler périodiquement de lancer apt-get update ; apt-get upgrade (mettre en place peut-être une tâche cron ?) comme expliqué dans Faire une mise à jour de sécurité, Section 4.2.

[ précédent ] [ Table des matières ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ suivant ]

Manuel de sécurisation de Debian