UNIX et Linux : Sécurité

UNIX et la sécuritéParvenir à la sécurité d'UNIX

• Détecter les intrusions avec audits/journaux
• Éviter des défauts de sécurité
• Vulnérabilités d'un logiciel et les erreurs de configuration

Protection avec la cryptographie

• PGP (Pretty Good Privacy)
• GnuPG (Gnu Privacy Guard)
• Authenticité et intégrité grâce aux signatures numériques et aux « hash codes »

Renforcer l'authentificationUtilisation sécurisée des comptes

• Le processus de connexion à UNIX
• Assurer des mots de passe de « bonne qualité »
• Contrôle de l'accès aux comptes avec les « PAM » (Pluggable Authentication Modules)
• Journalisation de tous les accès et de tous les échecs de connexion

Suivi et désactivation des comptes

• Comment et quand les désactiver
• Gestion des numéros d'identification des utilisateurs et des groupes

Connexion au réseau

• Risques des protocoles d'applications
• Authentification plus forte lors de la connexion grâce à la cryptographie et aux jetons
• Mise en tunnel de protocoles d'application avec SSH

Limiter les privilèges utilisateurContrôle de l'accès aux racines

• Configuration de terminaux sûrs
• Empêcher l'accès aux réseaux non sécurisés
• Acquérir des privilèges root avec su
• Utilisation de groupes au lieu de l'identité root

Audit de l'activité des superutilisateurs

• Limiter l'accès à des comptes privilégiés
• Détecter les utilisations abusives avec les fichiers journaux

Contrôle de l'accès basé sur le rôle (RBAC)

• Risques de l'accès « tout ou rien » d'UNIX
• RBAC avec Solaris
• Ajout de RBAC avec sudo

Sécuriser les systèmes de fichiers locaux et en réseauStructure et partitionnement de répertoires

• Fichiers, répertoires, périphériques et liens
• Utilisation de partitions en lecture seule
• Permissions d'accès et propriété
• Fichiers immuables et en ajout seul
• Vulnérabilités de NFS

Sauvegarde et test de l'intégrité

• Sauvegarde des données, détection d'intrusions avec Tripwire

Renforcement des systèmes UNIX

• Amélioration de l'assurance de l'information avec yassp, TITAN et Bastille
• Scan de réseaux avec Nessus
• Détection de mauvais choix de configuration avec Sussen

Éviter l'exécution de programmesRisques provenant d'exécutions non souhaitées de programmes

• Démarrage subreptice des programmes
• Exécution de programmes en tant qu'autre utilisateur
• Planification de programmes avec cron et at
• Diminution des vulnérabilités dans les scripts de démarrage

Réagir aux attaques et aux intrusions

• Trouver des signes d'intrusion dans des données syslog
• Analyse d'un système compromise
• Réduire les effets des exploits de BO (buffer overflow)

Minimiser les risques des services réseauTCP/IP et ses points faibles de sécurité

• Sniffer des mots de passe avec Ethereal et dsniff
• Tester l'exposition du réseau avec netstat, isof et nmap

La sécurité des services réseau internes

• Amélioration des enregistrements
• Configuration de OpenSSH et OpenSSL
• Authentification du réseau avec Kerberos
• Système X Window : vulnérabilités/solutions

Connexion sûre aux réseaux externes

• Contrôle et enregistrement de l'accès aux serveurs avec des tcp wrappers et xinetd
• Réduction des problèmes de « buffer overflow »
• Sécurisation des accès de type messagerie, FTP et web