Differences

This shows you the differences between two versions of the page.

Link to this comparison view

unix:securisation [2010/01/12 13:29] (current)
Line 1: Line 1:
 +Nous allons voir ici comment minimiser les risques de pénétration de votre systeme Unix depuis l'​Internet.
 +
 +1. **Désactiver les services inutiles**
 +--------------------------------------------------------------------------
 +Tapez la commande :
 +<​code>​
 +$ netstat -a|grep "​LISTEN "
 +</​code>​
 +S'​afficheront alors tous les ports qu'​écoute votre systeme Unix.
 +Exemple :
 +<​code>​
 +$ netstat -a|grep "​LISTEN "
 +
 +tcp        0      0 *:ftp                   ​*:​* ​                    ​LISTEN
 +tcp        0      0 *:ssh                   ​*:​* ​                    ​LISTEN
 +tcp        0      0 *:​smtp ​                 *:*                     ​LISTEN
 +tcp        0      0 *:​cvspserver ​           *:*                     ​LISTEN
 +</​code>​
 +Si vous n'​utilisez pas les services en question, **désactivez les**, soit en commantant leur entrée dans le fichier /​etc/​inetd.conf\\
 +( et relancez inetd en tapant kill -HUP [PID d'​inetd] ), soit en les arretant ( kill [PID de l'​application] ).\\ 
 +Attention de désactiver le lancement automatique de ces démons au démarage du systeme.
 +
 +2. **Protéger les démons avec TCP Wrappers**
 +--------------------------------------------------------------------------
 +Reportez vous à [[http://​gcu-squad.org/?​tips+tcp-wrappers|la minidoc sur le sujet]].
 +
 +3. **Protéger sa machine grace au firewalling**
 +--------------------------------------------------------------------------
 +Pour le firewalling sous GNU/Linux, reportez vous à [[http://​gcu-squad.org/?​tips+firewall|la minidoc sur le sujet]].
 +
 +**Sous systeme BSD, via ipf :**
 +
 +Voir également la [[http://​gcu-squad.org/?​tips+ipf|minidoc sur le sujet]]
 +
 +editez le fichier /​etc/​ipf.rules
 +<​code>​
 +# Exemple rapide de configuration d'ipf
 +# l'​exemple suivant concerne un passerelle contenant 2 cartes reseaux ( ne0 et ne1 )
 +#
 +# Regles d'​autorisation
 +# On laisse passer tout ce qui provient du reseau 192.168.0.0/​24 et du loopback
 +pass in quick on ne0 from 192.168.0.0/​24 to all
 +pass in quick on le0 from 127.0.0.0/8 to all
 +
 +# Regles d'​interdiction
 +# On bloque tout ce qui provient d'​autre part sur le port ftp
 +block in quick on ne1 proto tcp from all to all port = 21
 +# On bloque tout ce qui provient d'​autre part sur le port telnet
 +block in quick on ne1 proto tcp from all to all port = 23
 +# On bloque tout ce qui provient d'​autre part sur le port smtp
 +block in quick on ne1 proto tcp from all to all port = 25
 +# On bloque tout ce qui provient d'​autre part sur le port d'X
 +block in quick on ne1 proto tcp from all to all port = 6000
 +
 +# Fin
 +</​code>​
 +Reste a activer ces regles via la commande :
 +<​code>​
 +# /sbin/ipf -f /​etc/​ipf.rules
 +</​code>​
 +4. **Remplacez ou sécurisez les demons exploitables**
 +--------------------------------------------------------------------------
 +Ce chapitre concerne plus particulièrement les distributions GNU/Linux qui regorgent d'​outils peu ou pas configurés et souvent mal choisis.
 +
 +     - Préférez le demon ftp/OpenBSD à wu-ftpd
 +     - **utilisez OpenSSH au lieu de telnet !**
 +     - "​chrootez"​ tout les démons qui peuvent l'etre et dont vous avez besoin ( typiquement "​bind"​ )
 +
 +
 +Ce document est à compléter, mais il assure d'ores et déja une prise de risques minimale.
  
unix/securisation.txt · Last modified: 2010/01/12 13:29 (external edit)