Manuel de sécurité
Manuel de sécurisation
Nous allons essayer de présenter ici d'une manière simple la façon de sécuriser une machine sous Debian. La tâche est complexe et ne pourra pas être exhaustive...
Sécuriser la machine physique
La première chose à étudier est la sécurisation de votre machine physique! A moins d'être enfermée dans un coffre fort, n'importe qui peut y accéder. Le clavier est une porte d'entrée...
Empêchez le système de démarrer sur le lecteur de CD/DVD. Avec un live CD n'importe qui est capable de modifier votre mot de passe root...
Mettez un mot de passe à votre bios pour empêcher qu'on active le démarrage sur le CD/DVD
Si c'est possible prévoyez un système anti-intrusion à votre boitier. Il existe en effet un jumper sur presque toutes les carte mères qui permet de remettre le bios (et donc le mot de passe) à zéro...
Les mots de passe
Le mot de passe root
Inutile de préciser que le mot de passe root doit être très "fort" Ce mot de passe devrait contenir:
Des lettres majuscules; Des lettres minuscules; Des nombres; Des caractère "spéciaux" (lettre avec accent, tiret, point virgule...)
Ne pas être un mot d'un dictionnaire (français et etranger), ne pas être une date de naissance, etc.
Une bonne approche est d'utiliser un programme de génération de mots de passe. Debian fournit les paquets makepasswd, apg et pwgen qui contiennent des programmes (dont le nom est le même que celui du paquet) qui peuvent être utilisés dans ce but.
- Makepasswd génère des mots de passe vraiment aléatoires avec un accent sur la sécurité plus que la présence dans un dictionnaire;
- Pwgen essaie de créer des mots de passe sans signification, mais prononçables (bien sûr, cela dépend de votre langue maternelle);
- Apg dispose d'algorithmes pour les deux (il y a une version client/serveur pour ce programme, mais elle n'est pas incluse dans le paquet Debian).
Activez les mots de passe masqués
À la fin de l'installation, il vous sera demandé si les mots de passe masqués doivent être activés. Répondez oui à cette question ; ainsi les mots de passe seront stockés dans le fichier /etc/shadow.
Seul l'utilisateur root et le groupe shadow peuvent lire ce fichier, ainsi aucun utilisateur ne sera en mesure de récupérer une copie de ce fichier afin de le passer par un programme craqueur de mots de passe.
Vous pouvez basculer entre les mots de passe masqués et les mots de passes normaux à n'importe quel moment en utilisant shadowconfig.
Alerte login SSH
Il est possible, en créant le fichier /etc/ssh/sshrc qui est exécuté au démarrage d'une session ssh de recevoir un e-mail de notification lorsqu'un login est effectué.
# editor /etc/ssh/sshrc
- !/bin/sh
- source: http://blog.uggy.org/post/2009/06/05/...
if [ $(id -u) -ne 0 ]; then exit 0; fi
DATE=`date "+%d.%m.%Y--%Hh%Mm"`
IP=`echo $SSH_CONNECTION | awk '{print $1}'`
REVERSE=`dig -x $IP +short`
echo "Connexion de $USER sur $HOSTNAME
IP: $IP
ReverseDNS: $REVERSE
Date: $DATE
" | mail -s "Connexion de $USER sur $HOSTNAME" utilisateur@domaine.ltd
Assurez-vous que le fichier n'est lisible que par root:
chmod 600 /etc/ssh/sshrc
Limitez les services et les programmes
Il est inutile d'avoir des services et/ou programmes inutilisés, faites la chasse à tout ce qui ne sert pas sur votre machine. Si vous n'utilisez pas les services portmap, nfs et inetd (dans le cas d'un serveur web vous n'en avez pas besoin) :
Voici par exemple ce que vous pourriez retirer:
# /etc/init.d/portmap stop # /etc/init.d/nfs-common stop # update-rc.d -f portmap remove # update-rc.d -f nfs-common remove # update-rc.d -f inetd remove # apt-get remove portmap # apt-get remove ppp
Mettre son système à jour
Ce n'est pas mauvais de le rappeler encore une fois, un système à jour est plus sécurisé!
apt-get update apt-get dist-upgrade
ou
aptitude safe-upgrade
Prévoyez des sauvegardes
Configuration de Sudo
iptables
Les programmes permettant de se protéger
surveillance
logwatch
rkhunter
Chkrootkit
fail2ban
Sécurisation des services
Sécurisation de ssh
Sécuriser Apache2
serveur mail
ftp
LIENS EXTERNES
- (fr) Manuel de sécurisation de Debian
- (en) Annonces de sécurité Debian
- Sur le Forum: Outil de surveillance serveur
- Sur le Forum: Je suis piraté ... à l'aide !
- Sur le Forum: Sécurité serveur : que surveiller ?
- Sur le Forum: Consulter les logs : quoi, où, que rechercher.
Lol 10 août 2011 à 03:24 (CDT)