10.3. Sécurité physique
Le premier niveau de sécurité que vous devez prendre en compte est la sécurité physique de vos systèmes d'ordinateurs. Qui a un accès physique direct à votre machine? Devrait-il? Pouvez-vous protéger votre machine d'une intrusion de leur part? Devez vous?
le degré de sécurité physique dont vous avez besoin sur votre système dépends beaucoup de votre situation et/ou de votre budget.
Si vous êtes un particulier, vous n'en aurez sans doute pas trop besoin (cependant vous pourriez avoir besoin de protéger votre machine de vos enfants ou de visiteurs gênants. Si vous êtes dans un laboratoire, vous en avez besoin de beaucoup plus, mais les utilisateurs devront néanmoins pouvoir travailler sur les machines. Beaucoup des section suivantes vous y aideront. Si vous êtes dans des bureaux, vous aurez ou non besoin de protéger votre machine pendant les heures de pause ou lorsque vous êtes absent. Dans certaines sociétés, laisser votre console non sécurisée est un crime grave.
Des méthodes de sécurité physiques comme des serrures sur les portes, câbles, armoires fermées, et vidéo surveillance sont de bonnes idées, mais en dehors de la portée de ce chapitre.
10.3.1. Verrouillage de l'ordinateur
De nombreux boîtiers de PC proposent une option de verrouillage. Cela se présente généralement sous la forme d'une serrure sur l'avant du boîtier vous permettent de passer d'un état déverrouillé à verrouillé à l'aide d'une clé. Ce type de verrouillage peut empêcher quelqu'un de voler votre ordinateur, ou ouvrir le boîtier pour directement manipuler votre matériel. Il peut aussi parfois empêcher le redémarrage de la machine par une disquette ou autre.
Ces verrouillages de boîtier font différents choses selon le support par la carte mère et la conception du boîtier. Sur beaucoup de PCs ils font en sorte que vous devez casser le boîtier pour pouvoir l'ouvrir. Sur d'autres, ils empêchent la connexion de nouveaux claviers ou souris. Consultez les caractéristiques de votre carte mère ou du boîtier pour plus de renseignements. Ils peuvent être parfois une caractéristique très utile, même si la serrure est parfois de très mauvaise qualité, et facile à forcer avec un passe-partout
Certains boîtiers (particulièrement des SPARCs et macs) possèdent un anneau à l'arrière, de sorte que si vous y passez un câble l'attaquant devra couper le câble ou casser le boîtier pour pouvoir l'ouvrir. Y mettre un cadenas ou une chaîne peut avoir un bon effet dissuasif sur quelqu'un essayant de voler votre machine.
10.3.2. Sécurité au niveau du BIOS
Le BIOS est le niveau logiciel le plus bas qui configure ou manipule votre matériel x86. grub ou d'autres méthodes de boot GNU/Linux accèdent au BIOS pour déterminer comment démarrer votre machine GNU/Linux. Les autres architectures sur lesquelles GNU/Linux tourne ont des programmes similaires (OpenFirmware sur Macs et nouveaux Sun, Sun boot PROM, etc.). Vous pouvez utiliser votre BIOS pour empêcher les attaquants de redémarrer votre machine et y manipuler votre système GNU/Linux.
La plupart des BIOS de PC permettent la configuration d'un mot de passe. Cela ne garantit pas beaucoup de sécurité (le BIOS peut être réinitialisé, ou enlevé si quelqu'un a accès au boîtier), mais peut être une bonne dissuasion (i.e. cela prendra du temps et laissera des traces d'infraction). De même, sur S/Linux (GNU/Linux pour SPARC(tm)), votre EEPROM peut être configurée pour exiger un mot de passe de démarrage.
Le mot de passe par défaut s'avère un autre risque lorsque vous faites confiance au mot de passe du BIOS pour sécuriser votre système. La plupart des fabricants de BIOS ne s'attendent pas à ce que les utilisateurs ouvrent leur ordinateur et déconnectent les batteries s'ils oublient leur mot de passe et ont muni leurs BIOS de mots de passe par défaut qui fonctionnent, nonobstant le mot de passe que vous avez choisi. Voici certains des mots de passe les plus communs :
j262 AWARD_SW AWARD_PW lkwpeter Biostar AMI Award bios BIOS setup cmos AMI!SW1 AMI?SW1 password hewittrand shift + s y x z |
Beaucoup de BIOS x86 vous permettent aussi de spécifier plusieurs autres bons paramètres de sécurité. Consultez le manuel de votre BIOS ou explorez le la prochaine fois que vous redémarrez. Par exemple, certains BIOS désactivent le démarrage depuis une disquette et d'autres demandent un mot de passe pour pouvoir accéder aux caractéristiques du BIOS.
 | Si votre machine est un serveur, et vous configurez un mot de passe de démarrage, votre machine ne pourra pas redémarrer toute seule. Gardez à l'esprit que vous aurez besoin de vous déplacer et fournir le mot de passe en cas de coupure de courant. ;( |
10.3.3. Sécurité avec OpenBoot
Le BIOS est le niveau logiciel le plus bas qui configure ou manipule votre matériel x86. LILO ou d'autres méthodes de boot GNU/Linux accèdent au BIOS pour déterminer comment démarrer votre machine GNU/Linux. Les autres architectures sur lesquelles GNU/Linux tourne ont des programmes similaires (OpenFirmware sur Macs et nouveaux Suns, Sun boot PROM, etc...). Vous pouvez utiliser votre BIOS pour empêcher les attaquants de redémarrer votre machine et y manipuler GNU/Linux.
OpenBoot est plus évolué qu'un BIOS de PC lorsqu'il s'agit de sécurité (consultez le « Guide d'installation » sur la façon d'utiliser OpenBoot).
Il est crucial de définir votre mot de passe avant de changer le mode de sécurité, car sinon vous ne pourriez plus le définir. De plus, SUN avertit que vous devriez alors contacter votre revendeur pour que votre machine puisse démarrer à nouveau...
Voici un exemple d'interaction sur la manière de définir votre mot de passe :
> password > New password (only first 8 chars are used): > Retype new password: >
Vous pouvez choisir entre trois niveaux de sécurité en modifiant la variable security-mode :
full: Toutes les commandes sauf go requièrent le mot de passe.
command: Toutes les commandes sauf boot et go requièrent le mot de passe.
none: Aucun mot de passe nécessaire (défaut).
> setenv security-mode full >
| Si votre machine est un serveur, et vous configurez un mot de passe de démarrage, votre machine ne pourra pas redémarrer toute seule. Gardez à l'esprit que vous aurez besoin de vous déplacer et fournir le mot de passe en cas de coupure de courant. ;( |
10.3.4. Sécurité du chargeur de démarrage
Gardez à l'esprit lorsque vous mettez en place tous ces mots de passe, que vous devez vous en souvenir :-) Rappelez-vous aussi que ces mots de passe vont seulement ralentir un intrus déterminé. Ils ne vont pas empêcher quelqu'un de démarrer à partir d'une disquette et monter votre partition racine.
Si vous utilisez la sécurité en conjonction avec votre chargeur de démarrage, vous devriez aussi désactiver le démarrage depuis une disquette, ainsi que protéger l'accès au BIOS.
Souvenez-vous également que les permissions du fichier /etc/lilo.conf doivent être réglées en mode « 600 » (lecture et écriture pour root seulement). Sinon, d'autres utilisateurs pourront lire vos mots de passe !
Si vous utilisez la sécurité en conjonction avec votre chargeur de démarrage, vous devriez aussi protéger l'accès au PROM.
| Une fois encore, Si votre machine est un serveur, et vous configurez un mot de passe de démarrage, votre machine ne pourra pas redémarrer toute seule. Gardez à l'esprit que vous aurez besoin de vous déplacer et fournir le mot de passe en cas de coupure de courant. ;( |
10.3.4.1. Avec grub
The various GNU/Linux boot loaders also can have a boot password set. grub is quite flexible in that sense: your default config file /boot/grub/menu.lst may contain a line allowing the loading of a new config file with different options (this new file may contain a new password to access another third config file and so on).
So you have to add a line in your file /boot/grub/menu.lst, something like:
password very_secret /boot/grub/menu2.lst |
From the grub info page:
- Command: password passwd new-config-file
Disable all interactive editing control (menu entry editor and
command line). If the password PASSWD is entered, it loads the
NEW-CONFIG-FILE as a new config file and restarts the GRUB Stage 2. |
10.3.4.2. Avec LILO
LILO propose les paramètres password et restricted; password exige un mot de passe à chaque redémarrage, alors que restricted demande un mot de passe seulement si vous spécifiez des options au prompt (comme single) au prompt LILO .
Extrait de la page man de lilo.conf :
password=password
Correspond à l'option `password' spécifique à une image, que l'on applique
alors à toutes les images (voir plus bas).
restricted
Correspond à l'option `restricted' spécifique à une image, que l'on applique
alors à toutes les images (voir plus bas).
password=password
Protéger le chargement de l'image par un mot de passe.
restricted
Ne demander un mot de passe que si l'on ajoute des paramètres sur la ligne
de commande (par exemple `single' pour redémarrer en mode mono-utilisateur). |
10.3.4.3. Avec SILO
Le chargeur de démarrage SILO peut aussi proposer un mot de passe de démarrage : password exige un mot de passe à chaque redémarrage, alors que restricted demande un mot de passe seulement si vous spécifiez des options (comme single) au prompt SILO.
Extrait de la page man de silo.conf :
password=password
Protège le démarrage avec un mot de passe. Le mot
de passe est donné en clair dans le fichier de
configuration. A cause de cela, le fichier de
configuration ne devrait être accessible que par
le super-utilisateur et le mot de passe devrait être
différent si possible des autres mots de passe du
système.
restricted
Un mot de passe n'est nécessaire pour lancer l'image
spécifiée dans /etc/silo.conf que si des paramètres
sont rajoutés sur la ligne de commande, ou si
l'image n'est pas du tout citée dans le fichier de
configuration (par exemple. lecture d'un fichier arbitraire). |
10.3.5. kxlock et vlock
Si vous vous éloignez de votre machine de temps à autre, il est bon de « verrouiller » votre console afin que personne ne puisse manipuler ou regarder votre travail. Pour ce faire, vous pouvez utiliser les programmes klock ou vlock.
klock est un verrouilleur d'écran X;. Vous pouvez lancer klock depuis n'importe quel terminal X, il verrouillera alors l'affichage et exigera un mot de passe pour pouvoir y retourner. La plupart des environnements graphiques proposent aussi cette option dans leurs menus respectifs.
vlock est un simple petit programme qui vous permet de verrouiller quelques unes ou toutes les consoles de votre machine GNU/Linux. vous pouvez bloquer l\juste celle que vous utilisez ou bien toutes. Si vous n'en bloquez qu'une, d'autres peuvent venir et utiliser la console; ils ne seront simplement pas autorisés à utiliser votre console jusqu'à ce que vous la déverrouilliez.
Bien sûr, verrouiller votre console empêchera quelqu'un de falsifier votre travail, mais ne les empêchera pas de redémarrer la machine, et ainsi interrompre votre travail. Ça ne les empêche pas non plus d'accéder à votre machine depuis une autre et y faire des dégâts.
Plus important, cela n'empêche personne de quitter complètement X Window System et d'aller sur un prompt de console virtuelle normale, ou à la console depuis laquelle X a été démarré et la suspendre, obtenant ainsi vos privilèges. Pour cette raison, vous ne devriez utiliser cela que sous le contrôle de KDM (ou autre).
10.3.6. La sécurité des périphériques locaux
Si une webcam ou un microphone est relié à votre système, vous devriez analyser s'il est possible qu'un attaquant gagne l'accès à votre système par leur entremise. Lorsqu'ils ne sont pas utilisés, débrancher ou carrément enlever ces périphériques s'avère une option intelligente. Sinon, vous devriez lire la documentation et examiner tout logiciel qui pourrait donner accès à ces périphériques.
10.3.7. Détecter des violations physiques de sécurité
La première chose à toujours noter, est quand la machine est redémarrée. Du fait que GNU/Linux est un système d'exploitation stable et robuste, les seules fois où votre machine devrait redémarrer, est lorsque vous l'arrêtez pour des mises à jour majeure, changement de matériel, ou des actions de cet ordre. Si votre machine a redémarré sans votre intervention, cela pourrait être un signe qu'un intrus l'a violée. Beaucoup des manières de violer votre machines impliquent en effet le redémarrage ou l'arrête de celle-ci.
Vérifier qu'il n'y a aucune trace d'infraction sur le boîtier et dans la zone de la machine. Bien que la plupart des intrus nettoient les traces de leur passage des logs, c'est une bonne idée de les vérifier et noter toute irrégularité.
C'est aussi une bonne idée de garder les données de log en un endroit sûr, comme un serveur de logs dédié, à l'intérieur de votre réseau bien protégé. Lorsque une machine a été violée, les données de log deviennent de peu d'utilité, car il est fort probable qu'ils aient aussi étés modifiés par l'intrus.
Le démon syslog peut être configuré pour envoyer automatiquement les données de log vers un serveur %prog-syslog; central, mais les données sont généralement envoyées en clair, permettant à un intrus de consulter les logs lors du transfert. Cela pourrait révéler des informations sur votre réseau qui ne devraient pas être dévoilées. Il y a des démons %prog-syslog; disponibles qui cryptent les données lorsqu'elles sont envoyées.
Soyez aussi conscient que falsifier les messages de %prog-syslog; est facile - avec un programme de craquage ayant été publié. %prog-syslog; accepte même les entrées de log réseau qui prétendent venir de l'hôte local sans même indiquer leur origine réelle.
Quelques points à vérifier dans vos logs :
Logs courts ou incomplets.
Logs contenant des dates étranges.
Logs avec des permissions ou propriétaire incorrects.
traces de redémarrage de la machine ou de services.
Logs manquants.
Entrées su ou connections depuis des origines inhabituelles.
Nous parlerons des donnés log système dans le chapitre Gardez trace des données de journalisation du système.