[ précédent ] [ Table des matières ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ suivant ]

Manuel de sécurisation de Debian
Chapitre 6 - Durcissement automatique de systèmes Debian


Après la lecture de toutes les informations des précédents chapitres, vous vous demandez certainement « de nombreuses choses sont à faire afin de durcir mon système, tout cela ne peut-il pas être automatisé ? ». La réponse est oui mais soyez prudent avec les outils automatisés. Certaines personnes croient qu'un outil de renforcement n'élimine pas la nécessité d'une bonne administration. Donc, ne pensez pas que vous pouvez automatiser toutes les procédures et que vous arriverez à résoudre tous les problèmes. La sécurité est un processus évoluant constamment dans lequel l'administrateur doit participer et ne peut pas rester à l'écart et laisser les outils se débrouiller tout seul avec toutes les implémentations de directives de sécurité, toutes les attaques et tous les environnements.

Depuis woody (Debian 3.0) il existe deux paquets spécifiques qui sont utiles pour le durcissement de la sécurité. Le paquet harden qui base son approche sur les dépendances des paquets pour installer rapidement des paquets sûrs et retirer ceux avec des imperfections, la configuration devant être faite par l'administrateur. Le paquet bastille implémente une politique de sécurité donnée pour le système basée sur une configuration antérieure de l'administrateur (la configuration peut être faite à l'aide de simples questions oui/non).


6.1 Harden

Le paquet harden essaie de rendre plus facile l'installation et l'administration d'hôtes qui ont besoin d'une bonne sécurité. Ce paquet devrait être utilisé par ceux qui veulent une aide afin d'améliorer la sécurité du système. Pour cela, il est en conflit avec des paquets ayant des problèmes connus, incluant (mais non limitativement): des bogues de sécurité connus (comme les dépassements de tampon), l'utilisation de mots de passe en clair, le manque de contrôle d'accès, etc. Il installe aussi automatiquement des outils pour accroître la sécurité : outils de détection d'intrusions, outils d'analyse de sécurité, etc. Harden installes les paquetages virtuels suivants (i.e., pas de contenu, juste des dependences sur d'autres paquets) :

Prenez garde dans le cas où vous avez besoin d'un logiciel (et que vous ne voulez pas désinstaller) et qu'il soit en contradiction avec certains paquets ci-dessus, vous ne serez peut-être pas capable d'utiliser pleinement harden. Les paquets harden ne font rien (directement). Ils entrent, cependant, en conflit avec des paquets non sûrs connus. De cette façon, le système de paquetage Debian n'approuvera pas l'installation de ces paquets. Par exemple, lorsque vous essayer d'installer un démon telnet avec harden-servers, apt vous dira :

     # apt-get install telnetd 
     The following packages will be REMOVED:
     	harden-servers
     The following NEW packages will be installed:
     telnetd 
     Do you want to continue (Y/n)

Ceci devrait alerter l'administrateur, qui devrait reconsidérer ses actions.


6.2 Bastille Linux

Bastille Linux est un outil de durcissement automatique originellement orienté vers les distributions Linux RedHat et Mandrake. Toutefois, le paquet bastille fourni dans Debian (depuis Woody) a été modifié de façon à fournir les mêmes fonctionnalités pour le système Debian GNU/Linux.

Bastille peut être utilisé avec différentes interfaces (toutes sont documentées dans leur propre page de manuel dans le paquet Debian) qui permettent à l'administrateur de :


[ précédent ] [ Table des matières ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ suivant ]

Manuel de sécurisation de Debian

Version: 2.95 (CVS revision 1.113), Fri, 03 Dec 2004 23:31:54 +0000

Javier Fernández-Sanguino Peña jfs@debian.org

version française par Frédéric Bothamy (traducteur actuel)
Pierre Machard et Arnaud Assad (anciens traducteurs)
et les membres de la liste debian-l10n-french@lists.debian.org