Vous trouverez ci-dessous une procédure post-installation pour durcir un système Debian 2.2 GNU/Linux. Il s'agit d'une approche possible pour une telle procédure et celle-ci est orientée sur le renforcement des services réseaux. Elle est incluse pour présenter le processus entier que vous pouvez utiliser pendant la configuration. Veuillez également voir Liste des contrôles de configuration., Annexe B.
dselect
et retirer les paquets
non nécessaire mais sélectionnés auparavant avant de faire [I]nstall. Laisser
le strict minimum de logiciels sur le système.
lilo
.
$ ps aux $ netstat -pn -l -A inet # /usr/sbin/lsof -i | grep LISTEN
Vous devrez installer lsof-2.2
pour que la troisième commande
fonctionne (à lancer en root). Vous devriez faire attention car
lsof
peut traduire le mot LISTEN pour votre langue.
dpkg
:
#!/bin/sh # FIXME: ceci est vite fait, mal fait ; à remplacer par un bout # de script plus robuste for i in `sudo lsof -i | grep LISTEN | cut -d " " -f 1 |sort -u` ; do pack=`dpkg -S $i |grep bin |cut -f 1 -d : | uniq` echo "Service $i is installed by $pack"; init=`dpkg -L $pack |grep init.d/ ` if [ ! -z "$init" ]; then echo "and is run by $init" fi done
dpkg --purge
) ou utiliser update-rc.d
(voir Désactivation de services démon, Section
3.6.1) de façon à le retirer du système de démarrage.
/etc/inetd.conf
avec :
$ grep -v "^#" /etc/inetd.conf | sort -u
et désactiver ceux qui ne sont pas nécessaire en commentant la ligne qui les
inclut dans /etc/inetd.conf
, en supprimant le paquet ou en
utilisant update-inetd
.
/usr/sbin/tcpd
), vérifier que les fichiers
/etc/hosts.allow
et /etc/hosts.deny
sont configurés
d'après vos règles de services.
$ init 1 (....) $ init 2
$ for i in `/usr/sbin/lsof -i |grep LISTEN |cut -d " " -f 1 |sort -u`; \ > do user=`ps ef |grep $i |grep -v grep |cut -f 1 -d " "` ; \ > echo "Le service $i a été lancé en tant qu'utilisateur $user"; done
Pensez à changer les utilisateur et groupe lançant ces services pour un
utilisateur/groupe donné et peut-être utiliser chroot
pour
augmenter le niveau de sécurité. Vous pouvez procéder en changeant les scripts
de démarrage de services de /etc/init.d
. La plupart des services
dans la Debian utilisent start-stop-daemon
qui propose des options
(--change-uid et --chroot) pour faire cela. Un petit
avertissement concernant l'utilisation de chroot
pour des services
est nécessaire : vous aurez peut-être besoin de mettre tous les fichiers
installés par le paquet (utilisez dpkg -L) fournissant le service ainsi que les
paquets dont il dépend dans l'environnement chroot
. Des
informations sur la mise en place d'un environnement chroot
pour
le programme ssh
peut être trouvée dans Environnement de chroot
pour
SSH
, Annexe G.
nessus
) de façon à déterminer les vulnérabilités du système
(mauvaise configuration, services vieux ou non nécessaires).
snort
et logsentry
.
Pour les personnes vraiment paranoïaques, vous pouvez également prendre en considération ce qui suit :
FIXME: cette procédure considère le durcissement de service, mais pas le renforcement du système au niveau utilisateur, incluant des informations à propos de la vérification des permissions utilisateurs, les fichiers setuid et le gel des changements dans le système en utilisant le système de fichiers ext2.
Manuel de sécurisation de Debian
Version: 3.2, Mon, 20 Jun 2005 08:01:07 +0000jfs@debian.org
debian-l10n-french@lists.debian.org