Après la lecture de toutes les informations des précédents chapitres, vous vous demandez certainement « de nombreuses choses sont à faire afin de durcir mon système, tout cela ne peut-il pas être automatisé ? ». La réponse est oui mais soyez prudent avec les outils automatisés. Certaines personnes croient qu'un outil de renforcement n'élimine pas la nécessité d'une bonne administration. Donc, ne pensez pas que vous pouvez automatiser toutes les procédures et que vous arriverez à résoudre tous les problèmes. La sécurité est un processus évoluant constamment dans lequel l'administrateur doit participer et ne peut pas rester à l'écart et laisser les outils se débrouiller tout seul avec toutes les implémentations de directives de sécurité, toutes les attaques et tous les environnements.
Depuis woody (Debian 3.0) il existe deux paquets spécifiques qui sont utiles
pour le durcissement de la sécurité. Le paquet harden
qui base
son approche sur les dépendances des paquets pour installer rapidement des
paquets sûrs et retirer ceux avec des imperfections, la configuration devant
être faite par l'administrateur. Le paquet bastille
implémente
une politique de sécurité donnée pour le système basée sur une configuration
antérieure de l'administrateur (la configuration peut être faite à l'aide de
simples questions oui/non).
Le paquet harden
essaie de rendre plus facile l'installation et
l'administration d'hôtes qui ont besoin d'une bonne sécurité. Ce paquet
devrait être utilisé par ceux qui veulent une aide afin d'améliorer la sécurité
du système. Pour cela, il est en conflit avec des paquets ayant des problèmes
connus, incluant (mais non limitativement): des bogues de sécurité connus
(comme les dépassements de tampon), l'utilisation de mots de passe en clair, le
manque de contrôle d'accès, etc. Il installe aussi automatiquement des outils
pour accroître la sécurité : outils de détection d'intrusions, outils
d'analyse de sécurité, etc. Harden installes les paquetages virtuels
suivants (i.e., pas de contenu, juste des dependences sur d'autres
paquets) :
harden-tools
: outils pour améliorer la sécurité du sytème
(vérificateur d'intégrité, détection d'intrusions, rustines pour noyau, etc.),
harden-doc
: fournit ce même manuel et d'autres paquets de
documentations liés à la sécurité,
harden-environment
: aide à configurer un durcissement
d'environnement (actuellement vide),
harden-servers
: retire les serveurs considérés comme douteux
pour certaines raisons,
harden-clients
: retire les clients considérés comme douteux
pour certaines raisons,
harden-remoteflaws
: supprime les paquets contenant des trous
de sécurité connus pouvant être utilisés par un assaillant distant afin de
compromettre le système (utilise des Conflicts: versionés),
harden-localflaws
: supprime les paquets contenant des trous
de sécurité connus qui peuvent être utilisés par un assaillant local afin de
compromettre le système (utilise des Conflicts: versionés).
harden-remoteaudit
: outils pour auditer un système à
distance.
Prenez garde dans le cas où vous avez besoin d'un logiciel (et que vous ne
voulez pas désinstaller) et qu'il soit en contradiction avec certains paquets
ci-dessus, vous ne serez peut-être pas capable d'utiliser pleinement
harden
. Les paquets harden ne font rien (directement). Ils
entrent, cependant, en conflit avec des paquets non sûrs connus. De cette
façon, le système de paquetage Debian n'approuvera pas l'installation de ces
paquets. Par exemple, lorsque vous essayer d'installer un démon telnet avec
harden-servers
, apt
vous dira :
# apt-get install telnetd The following packages will be REMOVED: harden-servers The following NEW packages will be installed: telnetd Do you want to continue (Y/n)
Ceci devrait alerter l'administrateur, qui devrait reconsidérer ses actions.
Bastille Linux
est un
outil de durcissement automatique originellement orienté vers les distributions
Linux RedHat et Mandrake. Toutefois, le paquet bastille
fourni
dans Debian (depuis Woody) a été modifié de façon à fournir les mêmes
fonctionnalités pour le système Debian GNU/Linux.
Bastille peut être utilisé avec différentes interfaces (toutes sont documentées dans leur propre page de manuel dans le paquet Debian) qui permettent à l'administrateur de :
InteractiveBastille(8)
),
BastilleChooser(8)
),
AutomatedBastille(8)
).
Manuel de sécurisation de Debian
2.95 5 marzo 2004Vendredi 4 juillet 2003 23:13:42 +0100jfs@computer.org