Manuel de sécurité

De Le Wiki de debian-fr.xyz
Aller à : navigation, rechercher

Manuel de sécurisation

Nous allons essayer de présenter ici d'une manière simple la façon de sécuriser une machine sous Debian. La tâche est complexe et ne pourra pas être exhaustive...

Sécuriser la machine physique

La première chose à étudier est la sécurisation de votre machine physique! A moins d'être enfermée dans un coffre fort, n'importe qui peut y accéder. Le clavier est une porte d'entrée...

Empêchez le système de démarrer sur le lecteur de CD/DVD. Avec un live CD n'importe qui est capable de modifier votre mot de passe root...

Mettez un mot de passe à votre bios pour empêcher qu'on active le démarrage sur le CD/DVD

Si c'est possible prévoyez un système anti-intrusion à votre boitier. Il existe en effet un jumper sur presque toutes les carte mères qui permet de remettre le bios (et donc le mot de passe) à zéro...

Les mots de passe

Le mot de passe root

Inutile de préciser que le mot de passe root doit être très "fort" Ce mot de passe devrait contenir:

Des lettres majuscules; Des lettres minuscules; Des nombres; Des caractère "spéciaux" (lettre avec accent, tiret, point virgule...)

Ne pas être un mot d'un dictionnaire (français et etranger), ne pas être une date de naissance, etc.

Une bonne approche est d'utiliser un programme de génération de mots de passe. Debian fournit les paquets makepasswd, apg et pwgen qui contiennent des programmes (dont le nom est le même que celui du paquet) qui peuvent être utilisés dans ce but.

  • Makepasswd génère des mots de passe vraiment aléatoires avec un accent sur la sécurité plus que la présence dans un dictionnaire;
  • Pwgen essaie de créer des mots de passe sans signification, mais prononçables (bien sûr, cela dépend de votre langue maternelle);
  • Apg dispose d'algorithmes pour les deux (il y a une version client/serveur pour ce programme, mais elle n'est pas incluse dans le paquet Debian).

Activez les mots de passe masqués

À la fin de l'installation, il vous sera demandé si les mots de passe masqués doivent être activés. Répondez oui à cette question ; ainsi les mots de passe seront stockés dans le fichier /etc/shadow.

Seul l'utilisateur root et le groupe shadow peuvent lire ce fichier, ainsi aucun utilisateur ne sera en mesure de récupérer une copie de ce fichier afin de le passer par un programme craqueur de mots de passe.

Vous pouvez basculer entre les mots de passe masqués et les mots de passes normaux à n'importe quel moment en utilisant shadowconfig.

Alerte login SSH

Il est possible, en créant le fichier /etc/ssh/sshrc qui est exécuté au démarrage d'une session ssh de recevoir un e-mail de notification lorsqu'un login est effectué.

# editor /etc/ssh/sshrc

  1. !/bin/sh
  2. source: http://blog.uggy.org/post/2009/06/05/...

if [ $(id -u) -ne 0 ]; then exit 0; fi

DATE=`date "+%d.%m.%Y--%Hh%Mm"` IP=`echo $SSH_CONNECTION | awk '{print $1}'` REVERSE=`dig -x $IP +short`

echo "Connexion de $USER sur $HOSTNAME

IP: $IP ReverseDNS: $REVERSE Date: $DATE

" | mail -s "Connexion de $USER sur $HOSTNAME" utilisateur@domaine.ltd

Assurez-vous que le fichier n'est lisible que par root:

chmod 600 /etc/ssh/sshrc

Limitez les services et les programmes

Il est inutile d'avoir des services et/ou programmes inutilisés, faites la chasse à tout ce qui ne sert pas sur votre machine. Si vous n'utilisez pas les services portmap, nfs et inetd (dans le cas d'un serveur web vous n'en avez pas besoin) :

Voici par exemple ce que vous pourriez retirer:

# /etc/init.d/portmap stop
# /etc/init.d/nfs-common stop
# update-rc.d -f portmap remove
# update-rc.d -f nfs-common remove
# update-rc.d -f inetd remove
# apt-get remove portmap
# apt-get remove ppp

Mettre son système à jour

Ce n'est pas mauvais de le rappeler encore une fois, un système à jour est plus sécurisé!

apt-get update
apt-get dist-upgrade

ou

aptitude safe-upgrade

Prévoyez des sauvegardes

Configuration de Sudo

iptables

Les programmes permettant de se protéger

surveillance

logwatch

rkhunter

Chkrootkit

fail2ban

Sécurisation des services

Sécurisation de ssh

Sécuriser Apache2

serveur mail

ftp

LIENS EXTERNES

Lol 10 août 2011 à 03:24 (CDT)