[ précédent ]
[ Table des matières ]
[ 1 ]
[ 2 ]
[ 3 ]
[ 4 ]
[ 5 ]
[ 6 ]
[ 7 ]
[ 8 ]
[ 9 ]
[ 10 ]
[ 11 ]
[ A ]
[ B ]
[ C ]
[ suivant ]
Securing Debian Manual
Annexe B - Liste de contrôles des configuration.
Cet appendice récapitule brièvement les points des autres sections de ce manuel
sous une forme condensée de liste de contrôles. Ceci est un petit résumé pour
une personne qui a déjà lu le manuel.
FIXME: Ceci est basé sur la version 1.4 du manuel et a peut-être besoin d'une
mise à jour.
-
Limiter les accès physiques et les possibilités de démarrage.
-
Activer un mot de passe pour le BIOS.
-
Désactiver le démarrage sur disquette/cdrom/...
-
Mettre un mot de passe à LILO ou GRUB (respectivement
/etc/lilo.conf
ou /boot/grub/menu.lst
); vérifier que
le fichier de configuration de LILO ou de GRUB soit en lecture seule.
-
Interdire le démarrage par disquette sur le MBR en récrivant par dessus le MBR
(peut-être pas ?)
-
Partitionnement
-
Séparer les données où les utilisateurs peuvent écrire, données non-système, et
rapidement changer les données runtime pour leurs propres partitions
-
Mettre les options de montage nosuid,noexec,nodev dans
/etc/fstab
sur les partitions ext2 tel que /tmp.
-
Hygiène pour les mots de passes et la sécurité des connexions.
-
Établir un bon mot de passe root.
-
Activer les mots de passes ombrés et MD5.
-
Installer et utiliser PAM.
-
Ajouter le support du MD5 à PAM et être sûr que (de manière générale) les
entrées dans les fichiers
/etc/pam.d/
qui ouvrent les droits
d'accès à la machine ont un second champs dans le fichier pam.d mettre à
"requisite" ou "required".
-
Modifiez
/etc/pam.d/login
pour que seul le root puisse se loguer
localement.
-
Indiquer également les tty:s autorisés dans
/etc/security/access.conf
et généralement limiter le plus possible
l'accès à ce fichier par l'utilisateur root.
-
Ajouter pam_limits.so si vous voulez fixer des limites par utilisateur.
-
Modifiez
/etc/pam.d/passwd
: augmenter la taille minimum du mot de
passe (6 caractères peut-être).
-
Ajouter le groupe wheel à
/etc/group
si vous voulez; ajouter
l'entrée pam_wheel.so group=wheel au fichier /etc/pam.d/su
.
-
Pour les contrôles d'usage par utilisateur, utiliser les entrées appropriées
dans parm_listfile.so.
-
Avoir un fichier
/etc/pam.d/other
et mettre en place une sécurité
serrée.
-
Fixer des limites dans
/etc/security/limits.conf
(notez que
/etc/limits
n'est pas utilisé is vous utiliser PAM)
-
Resserrer
/etc/login.defs
; de même que, si vous activé MD5 et/ou
PAM, soyez sûr de faire également les changements ici.
-
Désactiver l'accès par ftp à l'utilisateur root dans le fichier
/etc/ftpusers
.
-
Désactiver la connexion par réseau de root; use
su(1)
ou
sudo(1)
. (prendre en compte que le paquet sudo
soit
installé)
-
Utiliser PAM pour imposer des contraintes supplémentaires sur les connexions ?
-
Autres problèmes de sécurité locaux
-
Resserrer les permissions sur les fichiers de logs.
(
/var/log/{last,fail}log
, logs d'Apache)
-
Verifier que la vérification de setuid soit active dans
/etc/checksecurity.conf
-
Penser à créer des fichiers de logs en avec uniquement le droit d'ajout<--!
Traduction de append-only nécessaire. Fait. jpg --> et des fichiers de
configuration invariable en utilisant chattr (système de fichier ext2
uniquement)
-
Penser à remplacer locate par slocate
-
Impression de tous les logs sur une imprimante locale ?
-
Graver votre configuration sur un CD démarrable et démarrer dessus?
-
Désactiver les modules pour le noyau ?
-
Restreindre les accès réseaux
-
Installer et configurer
ssh
(proposer PermitRootLogin No dans
/etc/ssh
, PermitEmptyPasswords No; noter d'autre suggestion de
texte)
-
Envisager la désactivation ou la suppression de in.telnetd.
-
Généralement, désactiver les services inutiles dans le fichier
/etc/inetd.conf
en utilisant update-inetd --disable
(ou désactiver inetd complètement, ou utiliser une solution de rechange tel
xinetd ou rlinetd).
-
Désactiver les autres services inutiles; mail, ftp, DNS, www, etc ne devraient
pas être lancés si vous n'en avez pas besoin et veillez à les vérifier
régulièrement.
-
Pour les services dont vous avez besoin, n'utilisez pas uniquement les
programmes communs, rechercher des versions plus sécurisées disponibles avec la
Debian (ou depuis tout autre source). Peu importe celle que vous utiliserez,
soyez sûr que vous compreniez bien les risques induits.
-
Mettre en place des prisons chroot pour les utilisateurs et daemons extérieurs.
-
Configurer pare-feux et tcpwrappers (voir
hosts_access(5)
); notez
l'astuce pour /etc/hosts.deny
-
Si vous utiliser ftp, mettre en place un serveur ftpd qui sera toujours lancé
dans un environnement chrooté au répertoire home de l'utilisateur.
-
Si vous utiliser X, désactiver l'authentification xhost et utiliser plutôt ssh;
de façon encore plus sécurisé, désactiver X à distance si vous pouvez (ajouter
-nolisten tcp à la ligne se référant à la commande X et mettre hors service
XDMCP dans le fichier
/etc/X11/xdm/xdm-config
en plaçant la valeur
0 à requestPort).
-
Désactivez l'accès aux imprimantes de l'extérieur.
-
Encryptez toute session IMAP ou POP via SSL ou SSH; installez stunnel si vous
voulez fournir ce service pour des utilisateurs distant.
-
Mettre en place un hôte de logs et configurer les autres machines afin qu'elles
envoient les logs à cet hôte (
/etc/syslog.conf
).
-
Sécuriser BIND, Sendmail et tout autre daemon complexe (Lancer dans une prison
chroot; lancer en tant qu'utilisateur non root)
-
Installer snort ou un outil similaire.
-
Faire sans NIS et RPC si vous pouvez (désactiver portmap).
-
Problèmes de politique
-
Éduquer les utilisateurs sur le comment et le pourquoi de vos règles. Lorsque
que vous avez interdit quelque chose qui est généralement disponible sur
d'autres systèmes, fournissez leur une documentation qui explique comment
arriver aux mêmes résultats d'une manière plus sécurisée.
-
Interdire l'utilisation de protocoles qui utilisent des mots de passes en clair
(telnet, rsh and friends; ftp, imap, http, ...).
-
Interdire les programmes qui utilisent la SVGAlib.
-
Utiliser les quotas disques.
-
Rester informé à propos des problèmes de sécurité
-
S'abonner aux listes de discussions liées à la sécurité.
-
S'abonner aux mises à jour de sécurité -- ajouter une ou des entrées
http://security.debian.org/debian-security au fichier
/etc/apt/sources.list
[ précédent ]
[ Table des matières ]
[ 1 ]
[ 2 ]
[ 3 ]
[ 4 ]
[ 5 ]
[ 6 ]
[ 7 ]
[ 8 ]
[ 9 ]
[ 10 ]
[ 11 ]
[ A ]
[ B ]
[ C ]
[ suivant ]
Securing Debian Manual
2.8 14 febrero 2004Mon, 18 Nov 2002 23:13:42 +0100
Javier Fernández-Sanguino Peña jfs@computer.org