Nous allons voir ici comment minimiser les risques de pénétration de votre systeme Unix depuis l'Internet.

1. Désactiver les services inutiles


Tapez la commande :

$ netstat -a|grep "LISTEN "

S'afficheront alors tous les ports qu'écoute votre systeme Unix. Exemple :

$ netstat -a|grep "LISTEN "

tcp        0      0 *:ftp                   *:*                     LISTEN
tcp        0      0 *:ssh                   *:*                     LISTEN
tcp        0      0 *:smtp                  *:*                     LISTEN
tcp        0      0 *:cvspserver            *:*                     LISTEN

Si vous n'utilisez pas les services en question, désactivez les, soit en commantant leur entrée dans le fichier /etc/inetd.conf
( et relancez inetd en tapant kill -HUP [PID d'inetd] ), soit en les arretant ( kill [PID de l'application] ).
Attention de désactiver le lancement automatique de ces démons au démarage du systeme.

2. Protéger les démons avec TCP Wrappers


Reportez vous à la minidoc sur le sujet.

3. Protéger sa machine grace au firewalling


Pour le firewalling sous GNU/Linux, reportez vous à la minidoc sur le sujet.

Sous systeme BSD, via ipf :

Voir également la minidoc sur le sujet

editez le fichier /etc/ipf.rules

# Exemple rapide de configuration d'ipf
# l'exemple suivant concerne un passerelle contenant 2 cartes reseaux ( ne0 et ne1 )
#
# Regles d'autorisation
# On laisse passer tout ce qui provient du reseau 192.168.0.0/24 et du loopback
pass in quick on ne0 from 192.168.0.0/24 to all
pass in quick on le0 from 127.0.0.0/8 to all

# Regles d'interdiction
# On bloque tout ce qui provient d'autre part sur le port ftp
block in quick on ne1 proto tcp from all to all port = 21
# On bloque tout ce qui provient d'autre part sur le port telnet
block in quick on ne1 proto tcp from all to all port = 23
# On bloque tout ce qui provient d'autre part sur le port smtp
block in quick on ne1 proto tcp from all to all port = 25
# On bloque tout ce qui provient d'autre part sur le port d'X
block in quick on ne1 proto tcp from all to all port = 6000

# Fin

Reste a activer ces regles via la commande :

# /sbin/ipf -f /etc/ipf.rules

4. Remplacez ou sécurisez les demons exploitables


Ce chapitre concerne plus particulièrement les distributions GNU/Linux qui regorgent d'outils peu ou pas configurés et souvent mal choisis.

  1. Préférez le demon ftp/OpenBSD à wu-ftpd
  2. utilisez OpenSSH au lieu de telnet !
  3. “chrootez” tout les démons qui peuvent l'etre et dont vous avez besoin ( typiquement “bind” )

Ce document est à compléter, mais il assure d'ores et déja une prise de risques minimale.

unix/securisation.txt · Last modified: 2010/01/12 13:29 (external edit)