| Red Hat Linux 7.1: Guide de référence officiel Red Hat Linux | ||
|---|---|---|
| Précédent | Chapitre 7. Red Hat : la sécurité | Suivant |
Les manières d'aborder la sécurité peuvent être divisées en deux types : active ou passive. Une manière active consiste à prévenir toute brèche du modèle de sécurité d'un système, alors qu'une manière passive fait plutôt référence aux gestes posés pour contrôler la sécurité du système basée sur le modèle de sécurité en question.
Tout utilisateur devrait employer les deux méthodes car elles se renforcent mutuellement. En effet, le fait de savoir au moyen du journal du serveur qu'un utilisateur donné essaie de déjouer votre système de sécurité (manière passive d'aborder la sécurité) pourrait faire en sorte que vous installiez une application qui bloque les utilisateurs et les empêche carrément d'obtenir une invite de connexion pour commencer (manière active). De même, le fait que vous n'utilisiez pas de mots de passe masqués pour protéger votre système, (approche active) pourrait vous mener à vérifier vigoureusement les changements apportés aux fichiers clés de votre système avec un outil tel que Tripwire (manière passive). Pour obtenir plus de renseignements sur Tripwire, reportez-vous au Chapitre 10.
Red Hat Linux comprend toute une série d'outils qui vous aideront à mettre en pratique ces deux approches de la sécurité. Dans les deux cas, vous devez toutefois utiliser une méthodologie appropriée afin d'éviter que la protection de votre système ne dépende trop étroitement des outils que vous utiliserez.
La plupart des outils de sécurité pour Red Hat Linux fonctionnent de façon à protéger activement le système. Voici quelques-uns des outils source ouverte les plus communs et les plus utiles :
Utilitaires masqués — ensemble d'outils conformes aux normes de l'industrie pour gérer les utilisateurs locaux et les groupes d'un système au moyen de mots de passe cryptés.
Kerberos 5 — système sécurisé qui fournit des services d'authentification réseau. Il empêche l'utilisation de mots de passe en texte clair envoyés par réseau pour accéder à des services. (Voir le Chapitre 9 pour avoir plus de détails sur Kerberos 5.)
OpenSSL — vous aide à protéger toute une série de services pouvant être pris en charge par un logiciel de cryptographie. (Voir le Guide de personnalisation officiel Red Hat Linux pour en savoir plus sur OpenSSL.)
OpenSSH — ensemble de programmes utilitaires qui peuvent très bien remplacer des outils omniprésents, quoique non sécurisés, tels que telnet et ftp avec des ssh et scp puissants et sécurisés. (Voir le Guide de personnalisation officiel Red Hat Linux pour plus de renseignements sur OpenSSH.)
Voici quelques méthodes qui impliquent une manière active d'aborder la sécurité :
Limitez le nombre d'utilisateurs pouvant exécuter des commandes en tant qu'utilisateur root — que ce soit de façon intentionnelle ou non, un pourcentage élevé des problèmes de sécurité sont le résultat, bien qu'indirect parfois, de personnes connaissant le mot de passe root ou ayant reçu la permission par le biais de sudo d'exécuter une commande au niveau root.
Connaître tous les paquetages logiciels installés sur votre système et demeurer au fait des faiblesses en matière de sécurité récemment découvertes — vous ne saurez quels paquetages surveiller à moins de savoir lesquels sont installés sur votre système, ni ne saurez qu'ils ont besoin d'être mis à jour à moins de consulter régulièrement des sources d'information sur le sujet, telles que Red Hat Network.
Limitez les services en exécution sur le système à ceux dont vous avez vraiment besoin — en fait, plus vous en avez en cours, plus vous risquez qu'on les attaque ou qu'on y accède sans autorisation. Gardez les ressources du système (et évitez ainsi de devoir maintenir des choses qui ne vous servent pas) et enlevez les paquetages que vous n'utilisez pas. Ou alors, la moindre des choses à faire serait d'exécuter un outil tel que ntsysv afin d'empêcher que les services inutiles ne s'exécutent avec le système au démarrage. (Voir Contrôler l'accès aux services dans le Guide de personnalisation officiel Red Hat Linux.)
Exigez de vos utilisateurs qu'ils créent des mots de passe et qu'ils les changent souvent — la plupart des problèmes de sécurité commencent par un accès non autorisé au système. Il est possible de réduire ce risque en demandant à vos utilisateurs de pratiquer, eux-aussi, des méthodes actives de sécurité et de protéger leurs clés du système.
Assurez-vous que les autorisations d'accès aux fichiers ne sont pas inutilement ouvertes — aucun fichier, ou presque, ne devrait pouvoir être modifié de tous.
Bien que la plupart des outils de sécurité pour Red Hat Linux soient destinés à la manière active d'aborder la sécurité, quelques outils font de la manière passive un fardeau d'administration beaucoup moins lourd.
Tripwire — application conçue pour vous informer de tout changement apporté à des répertoires ou systèmes de fichiers spécifiés. De cette façon, vous saurez au moins si des utilisateurs non autorisés ont accès à votre système ou s'ils effectuent des changements non désirés aux fichiers importants. (Voir le Chapitre 10 pour obtenir plus de renseignements sur Tripwire.)
COPS — ensemble d'outils de sécurité conçus pour remplir différentes fonctions, allant de la vérification des ports ouverts sur un ordinateur hôte donné à la recherche de mots de passe utilisateur trop faciles.
Voici quelques méthodes qui impliquent une manière passive d'aborder la sécurité :
Prendre l'habitude de contrôler les journaux système — par défaut, Red Hat Linux enregistre une énorme quantité de données utiles dans les journaux système situés dans le répertoire /var/log et plus particulièrement dans le fichier messages. Une simple commande exécutée en tant qu'utilisateur root, telle que grep "session opened for user root" /var/log/messages | less vous permet de faire une vérification partielle très efficace de votre système et de contrôler qui y accède en tant qu'utilisateur root. Cela vous donne notamment la possibilité de réduire rapidement le nombre d'utilisateurs possibles pouvant avoir changé un fichier donné qui ne peut être modifié que par des utilisateurs root en comparant tout simplement l'heure à laquelle le fichier en question a été changé avec les heures de début de session dans le fichier /var/log/messages. Il est à noter toutefois que cette méthode n'est pas à toute épreuve et qu'une personne ayant la possibilité de modifier un important système de fichiers pourrait également avoir le droit d'apporter des changements à /var/log/messages et ainsi d'effacer ses traces.
| Précédent | Sommaire | Suivant |
| Red Hat : la sécurité | Niveau supérieur | Préparation d'une politique de sécurité |