Securité

Avertissement : cette section donne quelque ficelles de sécurité, en aucun cas un serveur respectant TOUS ces trucs pourra être considéré comme sécurisé. Ce sont juste des points de départs qui sont présentés ici, les opérations _minimum_ à effectuer pour avoir une machine sécurisée.

• Se connecter en tant que root à l'aide de la commande su.

• N'autoriser que certains utilisateurs à effectuer la commande su vers l'utilisateur root (sécurité supplémentaire pas rapport au mot de passe). Pour cela, il faut rajouter les lignes suivantes dans le fichier /etc/pam.d/su :

  auth sufficient /lib/security/pam_rootok.so debug
  auth required   /lib/security/pam_wheel.so  group=wheel
  

  et rajouter un utilisateur (ici mdecore) dans le groupe wheel, pour l'autoriser à se connecter en root via la commande su :

  # usermod -Gwheel mdecore
  #
  

  Tous les utilisateurs appartenant au groupe wheel auront le droit de se connecter en root via la commande su, à condition bien sûr d'avoir le bon mot de passe. Se connecter en root en condole est déconseillé, l'utilisation de la commande su (ou équivalente) est conseillé.

  Noter que l'opération précedente ne marche pas avec konsole et gnome-terminal, il faut utiliser xterm ou kvt.

• Autoriser l'utilisateur root à ne se connecter que sur la console 1. Pour cela, il faut commenter dans le fichier /etc/securetty tous les terminaux à partir desquels l'utilisateur root n'est pas autorisé à se connecter :

  #
  # Fichier /etc/securetty : liste des consoles a partir desquelles
  # l'utilisateur ``root'' peut se connecter. En principe, seule la premiere
  # (tty1, accessible par <Ctrl-Alt-F1>) devrait etre autorisee.
  #
  
  tty1
  #tty2
  #tty3
  #tty4
  #tty5
  #tty6
  

• Interdire certains utilisateurs comme root à se connecter en FTP en éditant le fichier /etc/ftpusers :

  #
  # Fichier /etc/ftpusers : liste des utilisateurs qui ne sont PAS autorises a
  # se connecter en FTP. Ces utilisateurs sont en general ``root'', ``uucp'',
  # ``news'' et ressemblants, car ils ont trop de pouvoirs pour etre autorises
  # a faire du FTP.
  #
  
  root
  uucp
  bin
  mail
  

• Empêcher les utilisateurs d'utiliser un fichier $HOME/.rhosts (permettant de se connecter sur une autre machine sans demande de mot de passe) en mettant dans le fichier /etc/pam.d/rlogin :

  login auth required pam_rhosts_auth.so no_rhosts
  

• Utiliser un mot de passe aléatoire (plus difficile à deviner), pouvant être généré comme suit (il y a 15 milliards d'autres façons de le générer) :

  $ head -c 6 /dev/urandom | mimencode
  aMuiZ9Lx
  $
  

• Désactiver au démarrage les services dangereux (inet, portmap, nfs, routed, ruserd, rwalld, rwhod) et les services non nécessaires (samba, nis, sendmail).

• Mettre un commentaire (caractère ``#'') au début des lignes décrivant les services dangereux dans le fichier /etc/inetd.conf. Les bons candidats sont shell, login, exec, telnet, uucp, ftp, finger, systat et netstat.

• Utiliser ssh à la place de telnet, et supprimer les commandes r* (rlogin, rcp, rsh, rexec qui diffusent le mot de passe en clair sur le réseau.

• Pour que telnet n'affiche pas le contenu du fichier /etc/issue.net (qui affiche des informations sur le système, comme Welcome to SuSE Linux 7.0 (i386) - Kernel 2.2.16 (11).), il faut rajouter l'option -h au programme in.telnet dans le fichier /etc/inetd.conf :

  telnet  stream  tcp     nowait  root    /usr/sbin/tcpd  in.telnetd -h
  

• Exécuter les serveurs DNS, WEB et SMTP dans un environnement restreint (à l'aide de chroot).

• Pour Sendmail :
  1. Supprimer l'alias decode du fichier /etc/aliases.

  2. Pour que sendmail n'écoute que sur l'interface de bouclage (et aucune autre interface réseau) :

     DAEMON_OPTIONS(`Port=smtp,Addr=127.0.0.1, Name=MTA')
     

  3. Passer les options suivantes :

     O DaemonPortOptions=Port=smtp,Addr=127.0.0.1, Name=MTA
     

• Pour BIND (serveur DNS) :
  1. Pour la version de BIND, rajouter l'option version dans le fichier /etc/named.conf :

     options {
         directory "/var/named" ;
         listen-on { 127.0.0.1; 192.168.1.1; };
         version "Quoi d'neuf, docteur ?" ;
     } ;
     

     Cela spécifie au serveur DNS qu'il doit écouter exclusivement sur les adresses 127.0.0.1 et 192.168.1.1. De plus, une demande de version se soldera par l'affichage d'un texte sympatique...

  2. Interdire les transferts de zones DNS en bloquant le port 53.

• Pour Apache (serveur HTTP) :
  1. Limiter l'écoute de Apache à l'écoute de l'interface locale :

     Listen 127.0.0.1:80
     

  2. Pour la version de Apache (serveur WEB), rajouter l'option ServerToken

     FIXME
     ServerToken Prod -> pas le nom d'Apache affiche
      
     host -l atlas.ens.uvsq.fr
     

  3. Vérifier que le fichier httpd.conf lance le serveur Apache en tant qu'utilisateur nobody ou wwwrun et comme groupe nogroup ou nobody.

  4. Vérifier que nobody n'est pas propriétaire des répertoires htdocs et cgi-bin.

  5. Supprimer les options Indexes et FollowSymLinks.

• Pour trouver tous les programmes SUID/SGID :

  # find / -type f \( -perm -02000 -o -perm -04000 \) -ls
  #
  

  Ces programmes sont dangereux car l'exécution par utilisateur normal se fait avec les droits de l'utilisateur root. Seuls les programmes en ayant vraiment besoin devraient avoir ces bits spéciaux. Un fichier ayant l'un de ces bits et ne faisant pas partie des programmes standards peut être le signe d'une intrusion d'un pirate sur la machine.

• Afficher les noms de fichiers cachés avec des caractères spéciaux (comme ..., .. ou encore ..^G) :

  # find / -name ".. " -print -xdev
  # find / -name ".*" -print -xdev | cat -v
  #
  

  La présence de tels fichiers peut être le signe d'une intrusion d'un pirate sur la machine.

• Seul l'utilisateur root devrait avoir un UID égal à 0 (qui donne tous les droits), et la map NIS passwd ne possède aucun compte à UID nul (ie. seul root est le super-utilisateur de chaque client NIS).

• Afficher tous les fichiers modifiables pour tout le monde ou par tous les groupes :

  # find / -type d \( -perm -2 -o -perm -20 \) -exec ls -ld {} \;
  #
  

  Des fichiers avec de tels droits peut être le signe d'une intrusion d'un pirate sur la machine.

• Afficher la liste des fichiers sans propriétaire :

  # find / -nouser -o -nogroup
  #
  

  La présence de tels fichiers peut être le signe d'une intrusion d'un pirate sur la machine.

• Vérifier que aucun fichier critique n'a été modifié :

  A l'aide de rpm :

  # rpm -Va
  ..?.....   /etc/cron.daily/aaa_base
  ..?.....   /etc/cron.daily/aaa_base_backup_rpmdb
  ..?.....   /etc/cron.daily/aaa_base_clean_catman
  ..?.....   /etc/cron.daily/aaa_base_clean_core
  ..?.....   /etc/cron.daily/aaa_base_clean_instlog
  ..?.....   /etc/cron.daily/aaa_base_clean_tmp
  ..?.....   /etc/cron.daily/aaa_base_do_mandb
  S.?....T   /etc/cron.daily/aaa_base_rotate_logs
  ..?.....   /etc/cron.daily/aaa_base_updatedb
  S.5....T c /etc/inittab
  S.5....T c /etc/issue
  S.5....T c /etc/issue.net
  .......T c /etc/ld.so.conf
  S.5....T c /etc/mailcap
  S.5....T c /etc/mime.types
  S.5....T c /etc/modules.conf
  S.5....T c /etc/motd
  .......T c /etc/netgroup
  .M...... c /etc/permissions
  .M...... c /etc/permissions.easy
  .M...... c /etc/permissions.paranoid
  .M...... c /etc/permissions.secure
  [...]
  #
  

  Pour une Debian, utiliser debsums :

  # debsums -s
  # debsums -a ???
  [...]
  FIXME
  #
  

• Protéger les fichiers critiques de l'effacement (même par le root !) avec la commande chattr :

  # chattr +i /etc/services
  # chattr +i /etc/inetd.conf
  # chattr +i /etc/passwd
  # chattr +i /etc/shadow
  # chattr +i /etc/group
  # chattr +i /etc/gshadow
  # chattr +i /etc/lilo.conf
  #
  

• Empêcher de redémarrer la machine en appuyant sur . Pour cela, il faut commenter (rajouter un # au début de la ligne) la ligne contenant le mot-cléf ctrlaltdel dans le ficher /etc/inittab :

  #ca::ctrlaltdel:/sbin/shutdown -t3 -r now
  

  Dire à init de relire son fichier de configuration :

  # /sbin/init q
  

• Surveiller les messages de syslog. Pour cela, mettre dans le fichier /etc/syslog.conf les lignes suivantes pour récupérer tous les messages du noyau sur la console numéro 10 et dans le fichier /var/log/kernel.log :

  kern.info /dev/tty10
  kern.info /var/log/kernel.log
  

  Pour affichier tous les messages d'alerte du noyau et toutes les erreurs données par tous les démons, sauf les erreurs d'authentification, sur la dixième console et dans xconsole :

  kern.warn;*.err;authpriv.none    /dev/tty10
  kern.warn;*.err;authpriv.none   |/dev/xconsole
  

  Pour afficher tous les événements de priorité info ou supérieur de tous les démons sauf mail et autentification dans le fichier /var/log/message.log :

  daemon.info;mail.none;authpriv.none    /var/log/message.log
  

  Pour n'afficher que les messages d'autentification dans le fichier /var/log/secure.log :

  authpriv.info    /var/log/secure.log
  

  Pour afficher tous les messages qui mène a un crash systeme sur la dixième console et dans le fichier /var/log/emerg.log :

  *.emerg    /dev/tty10
  *.emerg    /var/log/emerg.log
  

  Relancer syslog pour que les modifications soient prisent en compte :

  # killall -HUP syslogd 
  #
  

• Remplacer inetd par xinetd, qui permet de faitre ce que font inetd, tcpd et plus encore (désactiver des services lorsque la charge devient trop importante, rediriger un service vers une autre machine, chrooter un service, ...). La configuration de xinetd se fait via le fichier /etc/xinetd.conf, qui inclut un répertoire contenant un service décrit par fichier. Voici le contenu du fichier /etc/xinetd.conf :

  defaults
  {
          instances               = 60
          log_type                = SYSLOG authpriv
          log_on_success          = HOST PID
          log_on_failure          = HOST
          cps                     = 25 30
  }
  
  includedir /etc/xinetd.d
  

  Le répertoire /etc/xinetd.d peut contenir les fichiers suivants :

  $ ls /etc/xinetd.d
  chargen      daytime-udp  ntalk    rlogin  sgi_fam  time
  chargen-udp  echo         proftpd  rsh     talk     time-udp
  daytime      echo-udp     rexec    rsync   telnet
  $
  

  Le format des fichiers de chaque service est simple à comprendre. Par exemple, pour le fichier /etc/xinetd.d/telnet :

  service telnet
  {
          flags           = REUSE
          socket_type     = stream        
          wait            = no
          user            = root
          server          = /usr/sbin/in.telnetd
          log_on_failure  += USERID
          disable         = no
  }
  

  Un script Perl, nommé xconv.pl, permet de convertir un fichier /etc/inetd.conf en /etc/xinetd.conf.

  En bref, voici un aperçu des trucs sympas :

  • Commencer par interdire toute connexion (no_access = 0.0.0.0/0), puis autoriser les connexion de certains réseaux (only_from = 192.168.1.0/24) pour chaque service.

  • Compilé avec l'option -with-loadavg, xinetd offre la possibilité de préciser grâce à l'attribut max_load la charge maximale au delà de laquelle le serveur ne répondra plus à un service.

  • Redirection d'un service vers une autre machine grâce à l'attribut redirect.

  • Désactiver par défaut les services servers services xadmin (disabled = servers services xadmin).

  • Chrooter les services comme bind ou ftp, en précisant que le serveur pour ce service est la commande chroot, la commande offrant le service désiré étant passée en argument aux serveur. Par exemple, pour le FTP :

    service ftp
    {
      id           = ftp
      socket_type  = stream
      wait         = no
      user         = root
      server       = /usr/sbin/chroot
      server_args  = /var/servers/ftp /usr/sbin/in.ftpd -l
    }
    

• Restreindre l'accès ou supprimer les compilateurs, les débugeurs et les commandes telles que strings ou ln.