Il a été remplacé à un moment donné par le Linux Security Knowledge Base
.
Cette documentation est également disponible dans Debian via le paquet
lksb
. Il est à nouveau de retour en tant que le Lasg.
Par exemple, dans Debian woody, elle est d'environ 40 Mo, essayez ceci :
$ size=0 $ for i in `grep -A 1 -B 1 "^Section: base" /var/lib/dpkg/available | grep -A 2 "^Priority: required" |grep "^Installed-Size" |cut -d : -f 2 `; do size=$(($size+$i)); done $ echo $size 34234
Beaucoup d'intrusions ne sont faites que pour avoir accès aux ressources pour effectuer des activités illégales (attaques de déni de service, envoi de spams, serveurs FTP illicites, pollution de DNS, etc.) plus que pour obtenir des données confidentielles du système compromis.
Vous pouvez créer (sur un autre système) un paquet bidon avec
equivs
Cela inclut le gestionnaire de paquet dpkg
car les scripts
d'installation (pre et pos) et de suppression (pre et post) sont à
/var/lib/dpkg/
et aussi Smartlit
Debian Security Advisories
Cependant, cette dépendance n'est pas fixe. Veuillez lire le Bogue 112965
.
Libpam-chroot
n'a pas encore été testé en profondeur, il
fonctionne pour login
, mais il est possible qu'il ne soit pas
facile de mettre en place l'environnement pour d'autres programmes
Sans l'attribut ajout-uniquement les utilisateurs seraient capables de vider le
contenu du fichier des historiques en exécutant le programme >
.bash_history
.
Chpasswd
ne sait pas gérer la génération de mots de passe MD5, il
faut donc lui donner le mot de passe sous sa forme cryptée avant de l'utiliser
avec l'option -e.
Essayez apt-cache search wordlist
pour une liste des paquets
disponibles pouvant fournir des listes de mots. Vous pouvez également
récupérer des listes de mots de plusieurs sites FTP sur l'Internet. Voir
ftp://ftp.ox.ac.uk/pub/wordlists
ou ftp://ftp.cerias.purdue.edu/pub/dict
.
assurez-vous d'utiliser des majuscules car spawn ne fonctionnera pas
il y a un très bon article sur celui-ci écrit par Lance Spitzner
Dans Debian, le paquet kernel-image
installe les sources sous
/usr/src/kernel-souce-2.X.X
, remplacez simplement linux
par l'endroit où est installé votre noyau
Pour reproduire ceci (exemple fourni par Felix von Leitner sur la liste de diffusion bugtraq) :
hôte a (eth0 connecté sur l'eth0 de l'hôte b): ifconfig eth0 10.0.0.1 ifconfig eth1 23.0.0.1 tcpserver -RHl localhost 23.0.0.1 8000 echo fnord hôte b: ifconfig eth0 10.0.0.2 route add 23.0.0.1 gw 10.0.0.1 telnet 23.0.0.1 8000
Cela semble, cependant, ne pas fonctionner avec les services liés à 127.0.0.1, vous pourriez devoir écrire des tests utilisant des sockets raw.
Le fait que ce comportement puisse être changé par le routage a été décrit par Matthew G. Marsh dans l'enfilade sur bugtraq :
eth0 = 1.1.1.1/24 eth1 = 2.2.2.2/24 ip rule add from 1.1.1.1/32 dev lo table 1 prio 15000 ip rule add from 2.2.2.2/32 dev lo table 2 prio 16000 ip route add default dev eth0 table 1 ip route add default dev eth1 table 2
Il existe des correctifs disponibles pour ce comportement comme décrit dans
l'enfilade sur bugtraq à http://www.linuxvirtualserver.org/~julian/#hidden
et http://www.fefe.de/linux-eth-forwarding.diff
.
Un attaquant peut avoir beaucoup de problèmes à transférer un accès après une configuration de l'adresse IP s'il n'est pas le domaine de broadcast (même réseauà que l'hôte attaqué. Si l'attaque passe par un routeur, il peut être assez difficile pour les réponses de retourner quelque part.
Pour récupérer la liste des démons de courrier disponibles dans Debian, essayez :
$ apt-cache search mail-transport-agent
La liste n'inclura pas qmail
, qui est distribué seulement comme
code source dans le paquet qmail-src
.
Une liste des serveurs/démons supportant ces protocoles dans Debian peut être récupérée avec :
$ apt-cache search pop3-server $ apt-cache search imap-server
sauf si vous utilisez l'option instdir lors de l'appel à
dpkg
mais alors la prison chroot peut être un petit peu plus
complexe
Elle essaie de les faire fonctionner avec le minimum de privilèges, ce qui inclut de faire tourner les démons avec leurs propres utilisateurs au lieu de les exécuter sous root
Vous n'en avez probablement seulement besoin si vous utilisez NFS (Network File System), NIS (Network Information System) ou un autre service basé sur RPC.
À la différence des pare-feux personnels d'autres systèmes d'exploitation,
Debian GNU/Linux ne fournit pas (encore) d'interfaces de génération de
pare-feu qui puisse créer des règles les limitant par processus ou par
utilisateur. Cependant, le code iptables peut être configuré pour faire cela
(voir le module propriétaire (owner) dans la page de manuel
iptables(8)
)
Certains systèmes d'exploitation ont déjà été touchés par des problèmes de
mises à jour automatiques comme la faille de mises
à jour de logiciels de Mac OS X
.
FIXME: la faille d'Internet Explorer sur la gestion des chaînes de certicat a probablement un impact sur les mises à jour de sécurité de Microsoft Windows.
Certains d'entre eux sont fournis en installant le paquet
harden-remoteaudit
.
Pour plus d'exemples sur la façon de configurer gnupg
, consultez
/usr/share/doc/mutt/examples/gpg.rc
.
Vous pouvez aussi vouloir utiliser l'option --quiet
(-q) pour réduire la sortie de apt-get
, ce qui
empêchera la génération de toute sortie si aucun paquet n'est installé.
Notez que certains paquets peuvent ne pas utiliser
debconf
et les mises à jour seront bloquées car les paquets
demanderont des entrées de la part de l'utilisateur pendant la configuration.
C'est un problème courant car beaucoup d'utilisateurs veulent conserver un système stable tout en mettant à jour certains paquets avec unstable pour obtenir les dernières fonctionnalités. Ce besoin provient de l'volution plus rapide de certains projets que le temps entre les distributions stable de Debian.
Il existe 28 fonctionnalités incluant : CAP_BSET, CAP_CHOWN, CAP_FOWNER, CAP_FSETID, CAP_FS_MASK, CAP_FULL_SET, CAP_INIT_EFF_SET, CAP_INIT_INH_SET, CAP_IPC_LOCK, CAP_IPC_OWNER, CAP_KILL, CAP_LEASE, CAP_LINUX_IMMUTABLE, CAP_MKNOD, CAP_NET_ADMIN, CAP_NET_BIND_SERVICE, CAP_NET_RAW, CAP_SETGID, CAP_SETPCAP, CAP_SETUID, CAP_SYS_ADMIN, CAP_SYS_BOOT, CAP_SYS_CHROOT, CAP_SYS_MODULE, CAP_SYS_NICE, CAP_SYS_PACCT, CAP_SYS_PTRACE, CAP_SYS_RAWIO, CAP_SYS_RESOURCE, CAP_SYS_TIME et CAP_SYS_TTY_CONFIG. Elles peuvent être toutes désactivées pour renforcer votre noyau.
Vous n'avez pas besoin d'installer lcap
pour faire cela, mais
c'est plus facile que de configurer /proc/sys/kernel/cap-bound
à
la main.
Si vous êtes aventureux, vous pouvez vous connecter au système et sauver les informations sur tous les processus en fonctionnement (vous en aurez beaucoup avec /proc/nnn/). Il est possible d'avoir l'intégralité du code exécutable depuis la mémoire, même si l'attaquant a supprimé les fichiers exécutables du disque. Puis tirez sur le cordon d'alimentation.
En fait, c'est l'outil utilisé pour construire les CD-ROM pour le projet
Gibraltar
(un pare-feu sur
un CD-ROM autonome basé sur la distribution Debian).
Voici une liste de quelques CERT, pour la liste complète, consultez le FIRST Member Team information
(FIRST est le Forum of Incident Response and Security Teams) :
AusCERT
(Australie),
UNAM-CERT
(Mexique)
CERT-Funet
(Finlande),
DFN-CERT
(Allemagne), RUS-CERT
(Allemagne), CERT-IT
(Italie), JPCERT/CC
(Japon), UNINETT CERT
(Norvège), CERT Polskay
(Pologne), RU-CERT
(Russie), Sl-CERT
(Slovénie) IRIS-CERT
(Espagne), SWITCH-CERT
(Suisse), TWCERT/CC
(Taiwan), et CERT/CC
(États-Unis).
Par exemple, basé sur les données de Securityfocus, il pourrait sembler que
Windows NT est plus sûr que Linux, ce qui est une assertion discutable. Après
tout, les distributions Linux fournissent habituellement beaucoup plus
d'applications en comparison de Windows NT de Microsoft. Ces problèmes de
failles comptabilisées sont mieux décrits dans Why Open Source
Software / Free Software (OSS/FS)? Look at the Numbers!
par David
A. Wheeler
Sans diminuer le fait que d'autres distributions, comme RedHat ou Mandrake, prennent aussi en compte la sécurité dans leurs installations standard en demandant à l'utilisateur de sélectionne des profils de sécurité ou en utilisant des assistants pour aider la configuration de pare-feux personnels.
Notez que ceci est de la « sécurité par l'obscurité » et ne vaudra probablement pas l'effort à long terme.
Notice that there are no SETUID files. This makes it more difficult for remote
users to escape the chroot
environment. However, it also prevents
users from changing their passwords, since the passwd
program
cannot modify the files /etc/passwd
or /etc/shadow
.
Manuel de sécurisation de Debian
2.95 31 mayo 2004Vendredi 4 juillet 2003 23:13:42 +0100jfs@computer.org