Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Niveau de sécurité à l'installation

larswool

Par larswool
dans OS alternatifs

 Partager

Messages recommandés

larswool Mega Power Member

larswool

Posté(e)
Posté(e)

Bonjour,

 

A l'installation d'un système d'exploitation linux, on a le choix 3 ou 4 niveaux:

- normal

- élevé

- jesaisplus

- parnoïaque

 

Après des recherches sur le net en vain, j'aimerai savoir si quelqu'un avait une documentation à propos de ce que font réellement ces niveaux de sécurité.

 

Merci d'avance,

 

larswool.

Greywolf Tera Power Extrem Member

Greywolf

Posté(e)
Posté(e)

ça n'est pas qu'une histoire de firewall.

 

ça rend le système plus ou moins permissif quant à ce que l'utilisateur lambda peut faire ou non (lancer X, lancer sudo ou non,...), les bits SetUID sur les exécutables root, les services lancés au démarrage chrootés ou non, etc etc.

 

Je crois que c'est Mandrake qui propose ces choix, la doc de mandrake ne fournit-elle pas plus d'explications?

larswool Mega Power Member

larswool

Posté(e)
  • Auteur
Posté(e) (modifié)

@achtungbaby: je mets en place un serveur en fait.

 

@greywolf : malheureusement la documentation Mandrake est pour le moins ...

succinte:

voyez par vous même :-(

 

@theboss1er: nope, mais je vais voir merci.

 

Mais je continue mais inverstigation ... c'est bizarre qu'il soit assez difficile d'y accèder car je pense que cela est une étape important, peut être négligée? :P

 

EDIT: voici un lien avec des premières réponses, ici

EDIT2: tient parait qu'il y est un decriptif ici: /usr/share/doc/msec-*/security.txt sur la machine. Quelqu'un pourrait nous faire un lien ou copier/coller de ce que contient ce précieux fichier? :-P

Modifié par larswool
KewlCat Devil Member !

KewlCat

Posté(e)
Posté(e)

Ah oui, en effet c'est.... succinct !

 

Tu n'as pas accès au détail de la configuration du firewall, pour te donner une idée de ce qui est filtré ? (puisque a priori c'est le seul paramètre qui t'interesse ici)

Greywolf Tera Power Extrem Member

Greywolf

Posté(e)
Posté(e)

tu peux éventuellement regarder les fichiers de conf présents dans /etc/security:

access.conf  fileshare.conf  group.conf  limits.conf  pam_env.conf  time.conf

 

qui permettent respectivement de:

contrôler l'accès sur qui peut se logger sur quoi et à partir d'où

des restrictions sur les partages de fichiers

conférer temporairement une appartenance au group x lorsque l'utilisateur y se logge sur le tty z

ce que peut faire l'user x en terme d'utilisation de ressources machine

la config du Pluggable Authentification Module

Permet de définir quand un utilisateur a le droit de se logger.

larswool Mega Power Member

larswool

Posté(e)
  • Auteur
Posté(e)

Pour ce week end je ne peux malheureusement accèder à une congfig Linux. Mais dès le début de la semaine prochaine, j'éditerai ce spost pour en vous en faire part.

 

@kewlcat: en fait je ne m'intéresse pas seulement au firewall, mais à tous ce que les niveau de sécurité engendre sur la config par rapport à un niveau standart.

larswool Mega Power Member

larswool

Posté(e)
  • Auteur
Posté(e)
tu peux éventuellement regarder les fichiers de conf présents dans /etc/security:

access.conf  fileshare.conf  group.conf  limits.conf  pam_env.conf  time.conf

 

qui permettent respectivement de:

contrôler l'accès sur qui peut se logger sur quoi et à partir d'où

des restrictions sur les partages de fichiers

conférer temporairement une appartenance au group x lorsque l'utilisateur y se logge sur le tty z

ce que peut faire l'user x en terme d'utilisation de ressources machine

la config du Pluggable Authentification Module

Permet de définir quand un utilisateur a le droit de se logger.

423844[/snapback]

Très très intéressant, je susi en train de regarder, merci :P

 

Sinon, voici ce que contient le fichier security.txt, lui aussi très intéressant!

****************************
Security level 0 :

- no password
- umask is 002 ( user = read,write | greoup = read,write | other = read ) 
- easy file permission.
- everybody authorized to connect to X display.
- . in $PATH

****************************
Security level 1 :

- Global security check.
- umask is 002 ( user = read,write | greoup = read,write | other = read ) 
- easy file permission.
- localhost authorized to connect to X display and X server listens to
tcp connections.
- . in $PATH
- Warning in /var/log/security.log

****************************
Security level 2 ( Aka normal system ) :

- Global security check
- Suid root file check
- Suid root file md5sum check
- Writable file check
- Warning in syslog
- Warning in /var/log/security.log 

- umask is 022 ( user = read,write | group = read | other = read )
- easy file permission.
- localhost authorized to connect to X display and X server listens to
tcp connections.

****************************
Security level 3  ( Aka more secure system ) :

- Global security check 
- Permissions check
- Suid root file check
- Suid root file md5sum check
- Suid group file check 
- Writable file check 
- Unowned file check 
- Promiscuous check 
- Listening port check 
- Passwd file integrity check
- Shadow file integrity check
- Warning in syslog
- Warning in /var/log/security.log
- rpm database checks
- send the results of checks by mail if they aren't empty

- umask is 022 ( user = read,write | group = read | other = read )
- Normal file permission.
- X server listens to tcp connections.
- All system events additionally logged to /dev/tty12
- Some system security check launched every midnight from the ( crontab ).
- no autologin

- home directories are accesible but not readable by others and group members.

****************************
Security level 4 ( Aka Secured system ) :

- Global security check 
- Permissions check
- Suid root file check 
- Suid root file md5sum check
- Suid group file check
- Writable file check
- Unowned file check 
- Promiscuous check 
- Listening port check 
- Passwd file integrity check 
- Shadow file integrity check 
- Warning in syslog
- Warning in /var/log/security.log
- Warning directly on tty
- rpm database checks
- Send the results of checks by mail even if they are empty
to show that the checks were run.

- umask 022 ( user = read,write | group = read | other = read ) for root
- umask 077 ( user = read,write | group =  | other =  ) for normal users
- restricted file permissions.
- All system events additionally logged to /dev/tty12
- System security check every midnight ( crontab ).
- localhost authorized to connect to X display.
- X server doesn't listen for tcp connections
- no autologin
- sulogin in single user
- no direct root login
- remote root login only with a pass phrase
- no list of users in kdm and gdm
- password aging at 60 days
- shell history limited to 10
- shell timeout 3600 seconds
- at and crontab not allowed to users not listd in /etc/at.allow and /etc/cron.allow
* - Services not contained in /etc/security/msec/server.4 are disabled during
package installation (  considered as not really secure ) ( but the user can reenable it with
chkconfig -add ).
- Connection to the system denyied for all except localhost (authorized services must be
in /etc/hosts.allow).
- ctrl-alt-del only allowed for root ( or user in /etc/shutdown.allow ).

- most sensible files and directories are restricted to the members of the adm group.
- home directories are not accesible by others and group members.
- X commands from /usr/X11R6/bin restricted to the members of the xgrp group.
- network commands (ssh, scp, rsh, ...) restricted to the members of the ntools group.
- compilation commands (gcc, g++, ...) restricted to the members of the ctools group.
- rpm command restricted to the members of the rpm group.

*******************************
Security level 5 ( Aka Paranoid system ) :

- Global security check
- Permissions check 
- Suid root file check 
- Suid root file md5sum check
- Suid group file check 
- Writable file check
- Unowned file check 
- Promiscuous check 
- Listening port check 
- Passwd file integrity check 
- Shadow file integrity check
- Warning in syslog
- Warning in /var/log/security.log
- Warning directly on tty
- rpm database checks
- Send the results of checks by mail even if they are empty
to show that the checks were run.

- umask 077 ( user = read,write | group =  | other =  )
- Highly restricted file permission
- All system events additionally logged to /dev/tty12
- System security check every midnight ( crontab ).
- X server doesn't listen for tcp connections
- no autologin
- sulogin in single user
- no direct root login
- no list of users in kdm and gdm
- password aging at 30 days
- password history to 5
- shell history limited to 10
- shell timeout 900 seconds
- su to root only allowed to members of the wheel group (activated only if the wheel group
isn't empty)
* - Services not contained in /etc/security/msec/server.5 are disabled during
package installation (  considered as not really secure ) ( but the user can reenable it with
chkconfig -add ).
- Connection to the system denyied for all (authorized services must be
in /etc/hosts.allow).
- ctrl-alt-del only allowed for root ( or user in /etc/shutdown.allow ) .

- most sensible files and directories are restricted to the root account.
- home directories are not accesible by others and group members.
- X commands from /usr/X11R6/bin restricted to the members of the xgrp group.
- network commands (ssh, scp, rsh, ...) restricted to the members of the ntools group.
- compilation commands (gcc, g++, ...) restricted to the members of the ctools group.
- rpm command restricted to the members of the rpm group.

******************

* level4/level5 : "services disabled" explanations :

- Some server aren't really considered as secure,
 these one, should for example be compiled from sources.
 server considered as secure are specified in /etc/security/msec/server.4/5
 
 When enabling level4/5, all servers which aren't considered as secure are
 disabled ( NOT uninstalled, just disabled ) user can reenable them using the
 chkconfig utility ( server will be launched at next boot ).

 In these level, we are also denying rpm to enable any server considered as insecure 
 ( off course rpm can install the server ).
 The user have the choise : chkconfig --add servername will enable the server.
 Or add the server in the secured server list

*** Future Release : ***
- Automatic tty locking ( unlock by passwd ) after X time of inactivity.
***

 

Voilà qui est quand même très utile!

Quelqu'un pourrait m'expliquer ce qu'il entend par "le service x écoute (ou n'écoute pas) sur le port tcp?

Greywolf Tera Power Extrem Member

Greywolf

Posté(e)
Posté(e)

On peut se connecter à X à distance (protocole XDCMP je crois);

 

en bon parano de sécu, ça permettrait d'espionner à distance ce qui se passe sous X.

 

Par défaut sous debian, c'est réglé sur No.

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...