| Mandrake Linux 8.2: Manuel de référence | ||
|---|---|---|
| Page précédente | Chapitre 12. msec – Utilitaires de sécurisation Mandrake | Page suivante |
Viennent ici la description des différentes caractères de sécurité que chaque niveau apporte au système. Ces caractères sont de deux types: fortifications qui modifient le système, et vérifications périodiques qui ne modifient pas le système.
Le système de fortification modifie les permissions, propriétaire, groupe des fichiers et répertoires du système selon le niveau de sécurité.
Le système de fortification modifie aussi les fichiers de configuration et relance les programmes concernés pour prendre en compte les changements. Le système de fortification est lancé toute les heures ; tous les changements sont enregistrés par syslog.
| Caractéristique \ niveau | 0 | 1 | 2 | 3 | 4 | 5 |
|---|---|---|---|---|---|---|
| umask des utilisateurs | 002 | 002 | 002 | 002 | 077 | 077 |
| umask de root | 002 | 002 | 002 | 002 | 002 | 077 |
| shell sans mot de passe | oui | |||||
| Autorisés à se connecter au serveur X | tous | local | local | aucun | aucun | aucun |
| Le serveur X réponds aux requêtes | toutes | toutes | toutes | toutes | locales | locales |
| expiration du shell (sec.) | non | non | non | non | 3600 | 900 |
| su uniquement pour les membres du groupe wheel | oui | |||||
| taille de l'historique du shell | 10 | 10 | ||||
| sulogin en runlevel 1 | oui | oui | ||||
| affiche la liste des utilisateurs dans le gestionnaire de connexion | oui | oui | oui | oui | non | non |
| ignore les echo ICMP | oui | oui | ||||
| ignore les messages d'erreur ICMP défectueux | oui | oui | ||||
| connexion root directe | oui | oui | oui | oui | ||
| libsafe activée | oui | oui | ||||
| autorise at et crontab pour les utilisateurs | oui | oui | oui | oui | non | non |
| expiration du mot de passe (jours) | 60 | 30 | ||||
| empêche autologin | oui | oui | oui | |||
| autorise « issues » (invites de connexion) | tous | tous | tous | local | local | aucun |
| . dans $PATH | oui | oui | ||||
| Avertissements dans /var/log/security.log | oui | oui | oui | oui | oui | |
| Avertissements directement sur la console | oui | oui | oui | oui | ||
| Avertissements dans syslog | oui | oui | oui | oui | ||
| Avertissements envoyés par courrier électronique à root | oui | oui | oui | oui | ||
| Tous les événements système redirigés vers tty12 | oui | oui | oui | |||
| Seul root peut faire ctrl-alt-del | oui | oui | ||||
| Services inconnus désactivés | oui | oui | ||||
| Connections autorisées depuis | tous | tous | tous | tous | local | aucun |
Indique le umask qui sera utilisé pour les utilisateurs normaux du système suivant le niveau de sécurisation.
La même chose, mais pour root.
L'accès à la console est permis sans mot de passe.
tous : n'importe qui, connecté depuis n'importe où, peut ouvrir une fenêtre X sur votre écran ;
local : seules les personnes connectées sur votre système pourront y ouvrir une fenêtre X;
aucun : personne ne peut faire cela.
tous : le serveur X écoute les connections depuis tcp.
local : le serveur X écoute les connections depuis une interface (socket) UNIX.
Si l'utilisateur reste inactif pendant une période donnée, la session est fermée.
Seuls les membres du groupe wheel sont autorisés à utiliser su pour prendre l'identité root.
Le nombre de commandes sauvegardées à la fin d'une session shell.
sulogin est utilisé pour protéger l'accès au niveau d'exécution « utilisateur unique » (single user (Le mot de passe de root est requis).
Empêcher de lister les utilisateurs du système dans KDM et GDM.
Ne réponds pas aux requêtes ping.
Ne gère pas les messages d'erreur ICMP défectueux.
Autoriser root à se connecter directement sans avoir à utiliser le programme su.
Active la protection libsafe (Effectif uniquement si le paquetage libsafe est installé).
Les commandes at et crontab sont interdits aux utilisateurs mais peuvent être utilisées par root. Si vous souhaitez autoriser seulement quelques utilisateurs, ajoutez les dans les fichiers /etc/at.allow et /etc/cron.allow respectivement.
Les mots de passe expirent après une période donnée. Les utilisateurs doivent les changer avant l'expiration du délai s'ils ne veulent pas que leur compte soit désactivé.
Le programme autologin est interdit.
Si positionné à aucun, aucune bannière de connexion n'est affichée. Si positionné à local, seule la bannière de connexion sur la console est affichée. Si positionné à all, une bannière de connexion est affichée pour toutes les invites de connexion.
L'entrée . est ajoutée à la variable d'environnement $PATH, ce qui permet d'exécuter facilement des programmes se trouvant dans le répertoire courant (c'est aussi, d'une certaine manière, une faille dans la sécurité).
Chaque avertissement généré par MSEC est archivé dans le fichier /var/log/security.log.
Chaque avertissement généré par MSEC est affiché directement sur la console.
Les avertissements générés par MSEC sont adressés au service syslog.
Les avertissements générés par MSEC sont également adressés à root par courrier électronique.
Lorsqu'un paquetage est installé, les services ne sont pas ajoutés par chkconfig --add <service> et ainsi insérés dans la séquence de démarrage uniquement si le nom du service n'est pas connu de /etc/security/msec/server.
tous: toutes les machines sont autorisés à se connecter sur les ports ouverts.
local : seul le système peut se connecter à ses propres ports.
aucun : aucun ordinateur ne peut se connecter.
Cette protection est apportée par le paquetage tcp wrappers. Si vous souhaitez autoriser l'accès à un service alors qu'aucun d'eux n'est autorisé, utilisez /etc/hosts.allow. Par exemple, si vous souhaitez autoriser les connections ssh depuis partout, ajoutez la ligne suivante à /etc/hosts.allow:
sshd: ALL |
Si le niveau de sécurité est supérieur à 0, les vérifications sont faites toutes les nuits.
| Caractéristique \ niveau | 0 | 1 | 2 | 3 | 4 | 5 |
|---|---|---|---|---|---|---|
| vérifications globales de sécurité | oui | oui | oui | oui | oui | |
| Vérification des fichiers suid root | oui | oui | oui | oui | ||
| Vérification md5sum des fichiers suid root | oui | oui | oui | oui | ||
| Vérification des fichiers en écriture | oui | oui | oui | |||
| Vérification des autorisations | oui | oui | oui | |||
| Vérification des fichiers groupe suid root | oui | oui | oui | |||
| Vérification des fichiers sans propriétaire | oui | oui | oui | |||
| Vérification promiscuous | oui | oui | oui | |||
| Vérification des ports ouverts | oui | oui | oui | |||
| Intégrité du fichier de mots de passe | oui | oui | oui | |||
| Intégrité du fichier shadow | oui | oui | oui | |||
| Vérifications d'intégrité de la base RPM | oui | oui | oui |
Remarque : sept des dix vérifications périodiques peuvent détecter les modifications survenues dans votre système. Elles sauvegardent la configuration antérieure du système (celle de la veille) dans le répertoire /var/log/security/ et vous avertissent des changements qui auraient pu intervenir entre-temps. Ces vérifications sont les suivantes :
vérification des fichiers suid root
vérification de la signature MD5 des fichiers suid root
vérification des fichiers inscriptibles;
vérification des fichiers suid pour le groupe;
vérification des fichiers sans propriétaire;
vérification des ports ouverts.
vérification d'intégrité de la base RPM
« NFS filesystems globally exported » : (systèmes de fichiers de type NFS exportés en bloc) : cela est considéré comme peu sûr, puisqu'il n'y a aucune restriction sur l'identité de ceux qui peuvent monter ces systèmes de fichiers.
« NFS mounts with missing nosuid » : (montages par NFS sans l'option nosuid ), ces systèmes de fichiers sont exportés dans l'option nosuid, ce qui interdit aux programmes suid de fonctionner sur la machine.
« Host trusting files contains + sign » : (les fichiers de 'confiance' de l'hôte contiennent le signe + ) : cela signifie que l'un des fichiers /etc/hosts.equiv, /etc/shosts.equiv, /etc/hosts.lpd, référence un hôte autorisé à se connecter sans authentification préalable.
« Executables found in the aliases files » : (Exécutables découverts dans le fichier d'alias) : cet avertissement est généré lorsque l'un des fichiers /etc/aliases ou
Recherche les ajouts ou suppressions de fichiers suid root sur le système. S'il y en a eu, une liste des exécutables concernés est renvoyée sous la forme d'un avertissement.
Vérifie la signature MD5 de chaque fichier suid root du système. Si la signature a changé, cela signifie qu'une modification a été apportée à ce programme, ce qui peut être le signe d'une intrusion. Un avertissement est alors envoyé.
Cherche les fichiers qui sont inscriptibles par tout le monde sur le système et en génère la liste éventuels sous la forme d'un avertissement.
Vérifie les autorisations relatives à certains fichiers tels que .netrc ou aux fichiers de configuration et aux répertoires des utilisateurs. Si ces autorisations permettent un accès trop étendu ou si les propriétaires apparaissent comme anormaux, un avertissement est envoyé.
Recherche les ajouts ou suppressions de fichiers suid groupe sur le système. S'il y en a eu, une liste des exécutables concernés est envoyée en avertissement.
Recherche les fichiers appartenant à des utilisateurs inconnus du système. Si de tels fichiers sont trouvés, le propriétaire en devient automatiquement nobody.
Ce test vérifie chaque carte Ethernet pour déterminer si elle se trouve en mode « promiscuous ». Ce mode permet à une carte d'intercepter tous les paquets reçus par la carte, même ceux qui ne lui sont pas destinés. Cela peut signifier qu'un sniffer (renifleur) fonctionne sur votre système. Cette vérification est effectuée toutes les minutes.
Génère un avertissement contenant la liste des ports ouverts.
Vérifie que chaque utilisateur a un mot de passe (non vide et pas trop facile à découvrir) et qu'il se trouve dans le fichier shadow.
Vérifie que chaque utilisateur a un mot de passe (non vide et assez difficile à trouver) dans le fichier shadow.
Vérifie qu'aucun des fichiers appartenant à un paquetage installé n'a été altéré et qu'aucun paquetage n'a été installé, supprimé ou mis à jour depuis la dernière vérification.
| Page précédente | Début | Page suivante |
| Niveau 5 | Remonter | Personnalisation |