Après la lecture de toutes les informations des précédents chapitres, vous vous dîtes sûrement "de nombreuses choses sont à faire afin de durcir mon système, tout cela ne peut-il pas être automatisé ?". La réponse est oui mais soyez prudents avec les outils automatisés. Certaines personnes croient qu'un outil de renforcement n'élimine pas la nécessité d'une bonne administration. Donc, ne pensez pas que vous pouvez automatiser toutes les procédures et que vous arriverez à résoudre tous les problèmes. La sécurité est un processus évoluant constamment dans lequel l'administrateur doit participer et ne peut pas rester à l'écart et laisser les outils se débrouiller tout seul avec toutes les implémentations politiques de sécurité, toutes les attaques et tous les environnements.
Depuis woody (Debian 3.0) il existe deux paquets spécifiques qui sont utiles
pour le durcissement de la sécurité. Le paquet harden
qui base
son approche sur les dépendances des paquets pour installer rapidement des
paquets sûrs et retirer ceux avec des imperfections, la configuration devant
être faite par l'administrateur. Le paquet bastille
implémente
une politique de sécurité donné pour le système basée sur une configuration
antérieure de l'administrateur (la configuration peut être faite à l'aide de
simples questions oui/non).
Le paquet harden
essaie de rendre plus facile l'installation et
l'administration d'hôtes qui ont besoin d'une bonne sécurité. Ce paquet
devrait être utilisé par ceux qui veulent une aide afin d'améliorer la sécurité
du système. Pour cela, il cherche les paquets imparfaits, incluant (mais non
limitatif): Bugs de sécurité connus (comme les buffers overflow), l'utilisation
de mot de passe en clair, manque de contrôle d'accès, etc. Il installe aussi
automatiquement des outils pour accroître la sécurité : outils de détection
d'intrusion, outils d'analyse d'audit de sécurité, etc. Harden installes les
paquetages virtuels suivants (par exemple, pas de contenu, juste des
dependences vers d'autres):
harden-tools
: outils pour améliorer la sécurité sytème
(vérificateur d'intégrité, détection d'intrusion, rustines pour noyau, ...)
harden-doc
: fourni ce même manuel et d'autres paquets de
documentations liés à la sécurité.
harden-environment
: aide à configurer un durcissement
d'environnement (actuellement vide).
harden-servers
: retire les serveurs considérés comme douteux pour
certaines raisons.
harden-clients
: retire les clients considérés comme douteux pour
certaines raisons.
harden-remoteflaws
: supprime les paquets contenant des trous de
sécurité connus qui peuvent être utilisés par un assaillant distant afin de
compromettre le système (uses versioned Conflicts:).
harden-localflaws
: supprime les paquets contenant des trous de
sécurité connus qui peuvent être utilisés par un assaillant local afin de
compromettre le système (uses versioned Conflicts:).
harden-remoteaudit
: outils pour auditer un système à distance.
Prenez garde dans le cas où vous disposez d'un logiciel (et que vous ne voulez
pas désinstaller) et qu'il soit en contradiction avec certains paquets
ci-dessus, vous ne serez peut-être pas capable d'utiliser pleinement
harden
. Les paquets harden ne font rien (directement). Ils
rencontrent, cependant, des conflits avec des paquets non sûrs connus. De
cette façon, le système de paquetage Debian n'approuvera pas l'installation de
ces paquets. Par exemple, lorsque vous essayer d'installer un daemon telnet
avec harden-servers
, apt vous dira :
# apt-get install telnetd The following packages will be REMOVED: harden-servers The following NEW packages will be installed: telnetd Do you want to continue (Y/n)
Ceci devrait alerter l'administrateur, qui devrait reconsidérer ses actions.
Bastille Linux
est un
outil de durcissement automatique originellement orienté vers les distributions
Linux RedHat et Mandrake. Toutefois, le paquet bastille
fourni
dans Debian (depuis woody) a été rafistolé de façon à fournir les mêmes
fonctionnalités pour le système Debian GNU/Linux.
Bastille peut-être utilisé avec différentes interfaces (toutes sont documentées dans leur propre page de man dans le paquet Debian) qui permettent à l'administrateur de :
InteractiveBastille(8)
)
BastilleChooser(8)
)
AutomatedBastille(8)
)
Securing Debian Manual
2.8 14 febrero 2004Mon, 18 Nov 2002 23:13:42 +0100jfs@computer.org