informatique:linux:securite_sous_linux
no way to compare when less than two revisions
Differences
This shows you the differences between two versions of the page.
Last revision | |||
— | informatique:linux:securite_sous_linux [2009/02/06 10:41] – créée pteu | ||
---|---|---|---|
Line 1: | Line 1: | ||
+ | {{tag> | ||
+ | ======Sécurité sous Linux====== | ||
+ | //(Résumé d'une partie du bouquin **Sécurité sous Linux** de Aron Hsiao, ed. Campus Press)// | ||
+ | |||
+ | |||
+ | =====Configuration de LILO===== | ||
+ | |||
+ | Lilo (Linux LOader) est le programme qui lance l' | ||
+ | |||
+ | * au prompt : '' | ||
+ | |||
+ | * le fichier de config est **/ | ||
+ | |||
+ | * lilo peut demander un mot de passe pour se charger grâce au mot-clé **password**. S'il est placé dans la section globale il sera demander pour loader n' | ||
+ | '' | ||
+ | |||
+ | * **restricted** permet à une image protégée par mot de passe d' | ||
+ | |||
+ | * **prompt** permet de proposer une invite pour passer des paramètres au noyau ('' | ||
+ | |||
+ | * **timeout** permet de définir le temps d' | ||
+ | |||
+ | * pour prendre en compte les modification, | ||
+ | |||
+ | * sécuriser le fichier de config pour interdire la lecture du fichier (souvenons-nous que le mot de passe est en clair dedans !) : | ||
+ | |||
+ | # chmod 600 / | ||
+ | |||
+ | |||
+ | =====Les niveaux d' | ||
+ | |||
+ | //Debian GNU/Linux utilise des runlevels (runlevels) légèrement différents de ceux-ci, qui sont documentés dans **/ | ||
+ | * 0 : arrêt système, tous les processus sont arrêtés | ||
+ | * 1 : mode mono-utilisateur (argument '' | ||
+ | * 2 : mode multi-utilisateur minimal. Seuls quelques services sont démarrés. | ||
+ | * 3 : mode multi-utilisateur complet (normal). | ||
+ | * 4 : //non utilisé ou spécifié par l' | ||
+ | * 5 : mode multi-utilisateur avec serveur X (système amorcé en X11R6) | ||
+ | * 6 : reboot = tous les processus sont arrêtés, la machine redémarre | ||
+ | |||
+ | * **/ | ||
+ | * **$HOME/ | ||
+ | Ce fichier est issu de **/ | ||
+ | * **/ | ||
+ | |||
+ | |||
+ | =====Le fichier / | ||
+ | |||
+ | Configure le service //init//, à l' | ||
+ | * on règle le runlevel par défaut au démarrage | ||
+ | |||
+ | id: | ||
+ | |||
+ | * on peut désactiver la combinaison de touches '' | ||
+ | |||
+ | ca: | ||
+ | |||
+ | * le fichier contient des lignes genre : | ||
+ | |||
+ | l0: | ||
+ | l1: | ||
+ | l2: | ||
+ | (..) | ||
+ | |||
+ | Cela indique les scripts lancés pour chaque // | ||
+ | Par ex. le dossier **/ | ||
+ | |||
+ | * activer les **password shadow** : les mots de passe de chaque utilisateur ne sont plus stockés dans **/ | ||
+ | |||
+ | |||
+ | =====Protections réseau===== | ||
+ | |||
+ | // | ||
+ | |||
+ | Se protéger contre les //Smurf Attack// : | ||
+ | # echo " | ||
+ | |||
+ | Éviter le //source routing// : | ||
+ | # echo " | ||
+ | |||
+ | Se protéger des attaques de type //Syn Flood// : | ||
+ | # echo " | ||
+ | # echo " | ||
+ | # echo " | ||
+ | |||
+ | Désactivez l’autorisation des redirections ICMP: | ||
+ | # echo " | ||
+ | # echo " | ||
+ | |||
+ | Éviter le log des paquets ICMP erroné: | ||
+ | # echo " | ||
+ | |||
+ | Active le logging des paquets aux adresses sources falsifiées ou non routables : | ||
+ | # echo " | ||
+ | |||
+ | |||
+ | =====Interdire l' | ||
+ | |||
+ | Ça peut être une faille de sécurité de laisser le droit d' | ||
+ | |||
+ | L' | ||
+ | / | ||
+ | |||
+ | Si vous n'avez pas de partition spécifique pour ''/ | ||
+ | # on créer un fichier de 40 Mo | ||
+ | cd /root | ||
+ | dd if=/ | ||
+ | mkfs.ext3 -F / | ||
+ | | ||
+ | # on le monte dans /tmp | ||
+ | mv /tmp /tmp.backup | ||
+ | mkdir /tmp | ||
+ | mount -o loop, | ||
+ | chmod 0777 /tmp | ||
+ | | ||
+ | # on modifie la fstab comme vu plus haut | ||
+ | if ! grep -qai tmpMnt /etc/fstab ; then | ||
+ | echo "/ | ||
+ | fi | ||
+ | | ||
+ | # on monte toutes les entrées de la fstab (dont /tmp) | ||
+ | mount -a | ||
+ | | ||
+ | # vérification que ça marche | ||
+ | cp /bin/ls /tmp/ | ||
+ | /tmp/ls | ||
+ | |||
+ | |||
+ | =====Liens===== | ||
+ | |||
+ | * [[http:// | ||
+ | * [[http:// |
informatique/linux/securite_sous_linux.txt · Last modified: 2013/10/14 20:44 by 127.0.0.1