Serveur sécurisé et distrib' de "hack"

[lol.2.dol]

Salut,

Voilà en cours de networking & Security on a un nouveau projet : Hacker un serveur Linux!

 

La classe est répartie en différents groupe, chaque groupe aura son serveur avec dessus une installation d'un Linux(ou UNIX je sais pas encore). Les serveurs seront tous branché sur une borne Wifi, pas d'accès physique seulement via SSH. Chaque team devra sécuriser son serveur, et en même temps tenter de craquer le serveur des autres!

 

j'ai vu que les autres groupes sont parti avec des distrib' Fedora(j'ai vu une Ubuntu aussi se balader je crois). Je sais bien que toute distrib peuvent se sécuriser, mais je préferai avoir un truc bien sécurisé dès le début.

 

Donc dans mon choix j'ai pensé:

Gentoo Hardened(Vu que je touche en Gentoo c'est cool)

openBSD(ça a l'air bien sécu ça, mais j'y connais que dale, et j'ai pas demandé si on pouvait mettre du BSD)

FreeBSD voir TrustedBSD

On me soufle à l'oreille Gentoo/BSD

Adamantix(basé sur Debian que j'ai déjà touché)

EnGarde Secure Linux (que je connais pas du tout)

 

Voilà pour la partie serveur...

 

Ensuite il me faudrait une distrib(parce que je compte pas faire ça sous Windows), pour pirater...

Je connais déjà BackTrack(que je trouve sympa)

Mais j'ai découvert Pentoo(mais ça n'a pas l'air très à jour)(basé sur Gentoo que je gère ^^)

 

 

Donc voilà, si vous pouviez m'aider à choisir un truc qui poutre

 

(PS:KewlCat dans ta FAQ OS alternatif: OpenBSD a eu 2 failles de sécu dans l'installation par défaut en 10 Ans)

[KewlCat]

OpenBSD a eu 2 failles de sécu dans l'installation par défaut en 10 Ans

Ouais, c'est plus ce que c'était, hein ?

 

Tu vas avoir l'air fin avec ton BSD si le but de la manoeuvre c'est "Hacker un serveur Linux !"...

 

Après... Il faudrait des détails... Parce que tout faire par SSH c'est bien gentil, mais va bien falloir à un moment insérer un CD dans la babasse et utiliser le clavier pour installer au moins le système de base !

Une fois que tout est installé, tu bannis l'usage des mots de passe (uniquement du SSH2 et des clés cryptées avec des passphrases de 4km de long), tu fermes tous les ports sauf le port ssh (que tu auras bien pris soin de changer, bien sûr) et voilà ! La belle machine bien sécurisée qui sert qu'à se connecter par ssh

[lol.2.dol]

Bah voilà, je sais pas encore si on peut foutre du BSD.

Mais si on peut, est-ce que c'est vraiment plus sécurisé? ou pas?

 

Je sais pas encore si on doit ajouter "rôles" Web,FTP,etc... au serveur. Je vais aller demander des détails.

[lol.2.dol]

Toujours pas de nouvelle... Le prof on dirait qu'il en sait encore moins que moi...

Si j'ai le temps aujourd'hui je vais aller me faire une installation de Gentoo Hardened parce qu'il faut absolument que j'avance...

 

Voilà voilà

[256JMAN]

tu peu pas mal avancer ton installation en faisant un stage 4, depuis une machine virtuel par exemple ...

Modifié le 10 février 2008 par 256JMAN

[juddix]

S' il y a intrusion sur ta distribution, as tu perdu ?

Patch Kernel grsecurity

 

John the ripper

[lol.2.dol]

Alors, j'ai presque fini l'installation de l'OS, pour l'instant j'ai une Gentoo-Hardened, je vais la passer en SELinux.

Tourangeaux, d'après ce que j'ai pu voir, les patches GRSecurity sont inclus sur le kernel Gentoo-Hardened.

 

Le prof m'a répondu, il ne sait pas encore ce qu'il faudra mettre... Donc ça me laisse le temps de peaufiner mon installation aux p'tits oignons!

 

Je ne sais pas si j'ai perdu ou pas.... On a aucune information sur le cours(Bienvenu dans l'université classé dernière des universitées anglaise!)

Modifié le 20 février 2008 par lol.2.dol

[lol.2.dol]

Salut tout le monde

J'ai un petit problème sur ma Gentoo Hardened, en passe de devenir SELinux...

Dans la doc(disponible ici), il me demande d'activer ceci dans le kernel

Under "Pseudo filesystems (via "File systems")

[ ] /dev file system support (EXPERIMENTAL)

[*] /dev/pts Extended Attributes

[*] /dev/pts Security Labels

[*] Virtual memory file system support (former shm fs)

[*] tmpfs Extended Attributes

[*] tmpfs Security Labels

 

Le problème c'est que ça n'existe pas dans mon noyau 2.6.23. ESt-ce que vous sauriez comment l'activer, je pense qu'il y a surement une dépendance quelque part.

 

J'ai essayer de continuer sans ça, mais au moment de rebooter j'ai un problème de label(en gros ça reboot pas...). Et quand je cherche à labelliser mes système de fichier avec "rlpkg -r -a", j'ai un retour "No Filesystems to relabel! Are the filesystem mounted read-write?"

 

Je pense que ce retour, vient de ma mauvaise configuration du kernel.

Donc voilà si vous pouviez m'aider ça m'arrangerai bien beaucoup!

 

edit: Pour la distrib' de "Hack"(Je devrai dire de sécurité offensive), j'ai choisi BackTrack, installé sur une clé USB, c'est bien rapide et ça permet de la mettre à jour!

 

 

edit: J'ai trouvé.

J'ai voulu aller trop vite, dans la doc il y avait ça de marqué

Code Listing 2.1: /etc/selinux/config contents

# This file controls the state of SELinux on the system on boot.

 

# SELINUX can take one of these three values:

# enforcing - SELinux security policy is enforced.

# permissive - SELinux prints warnings instead of enforcing.

# disabled - No SELinux policy is loaded.

SELINUX=permissive (This should be set permissive for the remainder of the install)

 

# SELINUXTYPE can take one of these two values:

# targeted - Only targeted network daemons are protected.

# strict - Full SELinux protection.

SELINUXTYPE=strict (Set this as strict or targeted)

J'ai pas lu la p'tite notice et j'au voulu passer directement en enforcing... Donc ça faisait tout foiré, j'ai donc rebooté avec SELinux désactivé(selinux=0 dans grub), puis changer la valeur en permissive, relabelliser, rebooter, relabelliser!

Et là je vais passer en enforcing!

Modifié le 22 février 2008 par lol.2.dol

[juddix]

Si ça peux te donner quelques idées....

Wiki archlinux: Grsecurity_patchset

[lol.2.dol]

Bonjour bonjour

Alors je m'en sors pas avec SELinux pour l'instant, la police de base n'a pas l'air de vouloir se charger j'ai vu sur les forums de Gentoo que quelqu'un avait le même problème, j'attends une réponse.

En tout cas, niveau securité, j'empêche au root de se loguer en console physique. J'ai appliqué les patchs GRSecurity, et aussi PAX. Les 2 sont inclus dans les sources de gentoo-hardened.

J'ai une connexion SSH, avec pour l'instant qu'un seul PC autorisé(le mien) avec authentification DSA(avec des clés de fou ^^). Les mots de passe sont tous générés aléatoirement(64 caractères, majuscule, spéciaux, chiffres...), et j'en ai mis pour le BIOS, Grub, utilisateurs et root.

 

Je voudrais bien faire 2-3 trucs supplémentaires, la possibilité de supprimer des consoles(en laisser que 2 ou 3, une sur laquelle on peut se loguer, et les autres pour faire défiler les logs.

Faire en sorte qu'au boot, que le PC arrive sur une console prédéfinie.

Faire en sorte aussi de n'autoriser qu'un certains nombres de connexion SSH simultanées(1 ça me parait suffisant!).

Et vu que je suis un porc, est-ce que c'est possible de compiler le support clavier en module, et pouvoir lancer ce module que surdemande en ajoutant une ligne dans Grub?

 

Voilà, si vous pouviez m'aider sur ces p'tites choses ça serait sympa!