[PDF] GUIDE TECHNIQUE RELATIF À LA SÉCURITÉ DU SERVEUR LINUX





Previous PDF Next PDF



SUPPORT DE COURS DE SECURITE INFORMATIQUE ET CRYPTO.

15 gen 1977 Il importe donc de pouvoir mesurer ces risques en fonction de la probabilité ou de ... des mots de passe utilisés à coté de l?ordinateur ;.



CNIL

Elle peut être augmentée ou diminuée en fonction d'autres facteurs durs avec une technologie SED



Office 365 et sécurité

Microsoft intègre dans Office 365 des fonctions de sécurité des paramètres pour permettre identités en utilisant les mots de passe les plus fréquents.



Sécurité informatique - Ethical Hacking

11 giu 2009 Cas pratique : trouver les mots de passe sous GNU/Linux. 246 ... à mesure de notre avancée en fonction de ce que nous allons découvrir)



Red Hat Enterprise Linux 4 Introduction à ladministration système

l'administration système de Red Hat Enterprise Linux en fonction de leurs Cochez la case Nécessite un mot de passe si vous voulez que votre écran de ...



Linux – Commandes et appels systèmes

Mémento de commandes Linux Si la valeur est passée sous forme de constante ... Directive #elif Comme pour le Shell le mot-clé elif a été ajouté.



Documentation SUSE LINUX

13 set 2005 23.2 SSH – travailler en réseau en toute sécurité . ... Remplacez la variable motdepasse par votre mot de passe de.





Conception et réalisation dun système de devis facturation et

14 dic 2010 Tout le projet a été développé sous Linux avec des logiciels open-source ... Mots-clef : imprimerie gestion



La Console

Mémoire sur la pratique du shell Bash sous Gnu Linux. 1. La Console explicitement d'afficher la page man des mots de passe de la huitième section.



I La sécurité des mots de passe sous Linux : la fonction crypt

I La sécurité des mots de passe sous Linux : la fonction crypt a) Description La fonction crypt permet de crypter les mots de passe sous Linux La fonction crypt prend deux paramètres : clé : la donnée à crypter salt : un morceau de texte aléatoire servant à compliquer l'encryption Ceci permet de ne



Se connecter à distance avec ssh (Linux) - Comment Ça Marche

un décryptage beaucoup plus long La solution proposée par Linux (et d'autres système Unix) est de stocker les mots des passes dans un fichier où seul l'administrateur système a le droit de lire et de le modifier Sous Linux les mots de passe des utilisateurs sont stockés dans /etc/shadow et ceux des groupes dans /etc/gshadow



Authentification sous Linux avec Kerberos - Patrick LECOQ

La présence du mot de passe dans /etc/passwd même crypté pose un problème de sécurité puisque tous les utilisateurs possèdent un accès en lecture sur ce fichier Pour remédier à ce problème les mots de passe sont stockés dans un fichier différent que seul l'administrateur peut lire



TP1 : Mots de passe signatures et Infrastructures PKI

La syntaxe générale de la commande openssl est : $openssl commande Le but de ce TP est de manipuler les signatures et les certi cats de la demande de signature (CRS) à leur utilisation en envoyant des messages chi rés et signés 1 Mots de passe Nous allons ici regarder comment sont stockés les mots de passe sous UNIX



GUIDE TECHNIQUE RELATIF À LA SÉCURITÉ DU SERVEUR LINUX

Guide Technique relatif à la sécurité du serveur linux 2 Sécurité relative à un système GNU/Linux 2 1 Installation Le durcissement d’un serveur Linux commence dès la phase de l’installation du système Généralement Il faut éviter de procéder à une installation par défaut



Linux Shadow Password HOWTO Version fran¸caise

La plupart des distributions Linux actuelles ne contiennent pas le support des mots de passe shadow (La Slackware 2 3 Slackware 3 0 et d’autres distributions assez populaires ) Une des raisons est que le copyright concernant la suite Shadow n’´etait pas clair sur les droits de distribution Linux utilise la licence GNU



Cassage et durcissement des mots de passe - schauerfr

La longueur de mot de passe prise en compte étant de 8 caractères le nombre de combinaisons réellement utilisées par des utilisateurs non éduqués est trop faible Une extension HP/UX permet d’obtenir des mots de passe de 16 caractères en fait deux mots de passe de 8 caractères chacun



Tutoriel John The Ripper - Eric BERTHOMIER

mots de passe basés sur les hash MD4 et les mots de passe enregistrés dans MySQL ou LDAP ainsi que les mots de passe NTLM pour les dernières versions de Windows Il n'est pas nécessaire d'avoir un accès physique sur la machine à auditer tant qu'on dispose d'un fichier dans lequel sont enregistrés les mots de passe chiffrés



JRES 2005: La mémorisation des mots de passe dans les

sont indépendantes de la manière dont est stocké le mot de passe sur le serveur (dans un ?chier une base de données ou un annuaire LDAP par exemple) Elles se différencient par la façon dont le navigateur et le serveur web communiquent 2 1 Authenti?cation au niveau du protocole HTTP



Rapport de certification ANSSI-CSPN-2016/10 Sous-système de

3Password-Based Key Derivation Function 2 est un standard pour la dérivation de clefs cryptographiques à partir d’un mot de passe saisi par l’utilisateur défini dans la RFC 2898 Système de chiffrement de disques dm-crypt Noyau Linux 4 4 2 – cryptsetup 1 7 0 Rapport de certification ANSSI-CSPN-2016/10



Sécurité des systèmes Unix - ZenK-Security

• des algorithmes de cryptographie (utilsation pour IPsec chiffrement de partitions) • une implémentation d'IPsec • une gestion des politiques de sécurité • des protections système spécifiques (pile non exécutable d'OpenBSD et grsecurity contraintes sur certains fichiers)

Comment activer le mot de passe sous Linux?

  • Sous Linux, la syntaxe est simple (le client étant intégré dans la plupart des distributions) : Dans un terminal (n'importe lequel), tapez la commande suivante : Dans ce cas-là, si la machine accepte la connexion, le mot de passe vous sera demandé juste après.

Comment sécuriser vos mots de passe ?

  • Pour la sécurisation de vos mots de passe, les exigences minimales de la CNIL varient en fonction des mesures complémentaires mises en place?pour fiabiliser le processus d’authentification. Par exemple, si une authentification est basée exclusivement sur un mot de passe, cela implique a minima l’utilisation d’un mot de passe complexe.

Comment déchiffrer un mot passe?

  • La méthode la plus avancée consiste à utiliser ce que l'on appelle une «attaque par force brute». Dans cette technique, un programme informatique parcourt toutes les combinaisons possibles de lettres, de chiffres et de symboles aussi rapidement que possible pour déchiffrer votre mot de passe.

Quel est le mot de passe Linux par défaut ?

  • Ubuntu affiche une liste de tous les noms d’utilisateur attribués au système. Quel est le mot de passe Linux par défaut ? L’authentification par mot de passe via /etc/passwd et /etc/shadow est la valeur par défaut habituelle. Il n’y a pas de mot de passe par défaut.

ROYAUMEDUMAROC

ADMINISTRATION DE LADÉFENSENATIONALE

DIRECTIONGÉNÉRALE DE LASÉCURITÉ DESSYSTÈMES D"INFORMATIONGUIDETECHNIQUERELATIF À LA SÉCURITÉ DU SERVEUR LINUX

Guide Technique relatif à la sécurité du serveur linux

INFORMATIONS

AVERTISSEMENT

Destiné à vous assister dans l"adoption d"une démarche cohérente et ho- mogène pour la mise en conformité de la sécurité de vos systèmes d"in- formation avec les règles de sécurité édictées par la Directive Nationale de la Sécurité des Systèmes d"information (DNSSI), ce guide élaboré par la DGSSI traite la démarche de sécurisation des systèmes GNU/Linux. Il est destiné à évoluer avec les usages, mais aussi avec vos contribu- tions et retours d"expérience. Les recommandations citées dans ce guide sont livrées en l"état et adaptées aux menaces au jour de leur publica- tion. Au regard de la diversité des systèmes d"information, la DGSSI ne peut garantir que ces informations puissent être reprises sans adaptation sur les systèmes d"information cibles. Dans tous les cas, la pertinence de l"implémentation des éléments proposés par la DGSSI doit être soumise, au préalable, à la validation du Responsable de la Sécurité des Systèmes

d"Information (RSSI) et de l"administrateur du système concerné.PERSONNES AYANT CONTRIBUÉ À LA RÉDACTION DE CE DOCUMENT:Rédigé parVersionDate

DGSSI1.012/12/2014

ÉVOLUTION DU DOCUMENT:VersionDateNature des modifications

1.012/12/2014Version initiale

PUBLIC CONCERNÉ PAR CE DOCUMENT:Secrétariat Général /Direction Générale

Direction SI

RSSIX

Maîtrise d"ouvrage

Administrateur systèmes et réseauxX

Service des Ressources Humaines

Service des Moyens Généraux

Utilisateur

POUR TOUTE REMARQUE:ContactEmail

DGSSIcontact@dgssi.gov.ma

DGSSI 1

Table des matières

INTRODUCTION3

1 LESRISQUES4

2 SÉCURITÉ RELATIVE À UN SYSTÈMEGNU/LINUX5

2.1 Installation

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

2.2 Elimination des services inutiles

. . . . . . . . . . . . . . . . . . . . . 7

2.3 Patch et mise à niveau du système

. . . . . . . . . . . . . . . . . . . 8

2.4 Configuration des paramètres réseaux

. . . . . . . . . . . . . . . . . 8

3 SÉCURITÉ LOCALE DU SYSTÈME12

3.1 Gestion des comptes et des utilisateurs

. . . . . . . . . . . . . . . . 12

3.2 Sécurité des mots de passe

. . . . . . . . . . . . . . . . . . . . . . . . 13

4 GESTION DES ACCÈS16

4.1 Accès physique au système

. . . . . . . . . . . . . . . . . . . . . . . 16

4.2 Droits d"accès aux fichiers

. . . . . . . . . . . . . . . . . . . . . . . . 18

4.3 Accès à distance

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

4.4 Mise en place d"un système de filtrage : Iptables

. . . . . . . . . . . 21

4.5 Contrôle des services réseaux : TCPwrapper

. . . . . . . . . . . . . . 22

5 SAUVEGARDE ET RESTAURATION24

6 CHIFFREMENT26

7 SUPERVISION ET AUDIT27

7.1 Journalisation

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

7.2 Vérification de l"intégrité du système

. . . . . . . . . . . . . . . . . . 28

7.3 Audit

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

RÉFÉRENCES30

2 Guide Technique relatif à la sécurité du serveur linux

Introduction

Le présent document spécifie les techniques de durcissement d"un serveur li- nux basé sur l"état de l"art. Il définit les bonnes pratiques que l"administrateur système doit implémenter pour renforcer la sécurité matérielle et logicielle du serveur. Les aspects traités dans ce guide sont communs à tous les systèmes GNU/LI- NUX indépendamment de la distribution utilisée (Debian, RedHat, etc.) et de la fonction remplie (Messagerie, Web, DNS, etc.). Les recommandations présentées dans ce document ne sauraient donc aucu- nement avoir un caractère exhaustif. Il s"agit simplement d"énoncer les princi- paux axes de durcissement à explorer afin de protéger un serveur linux contre les activités malveillantes. Ce guide est structuré de la manière suivante : Section 1 : " les risques », traite d"une manière générale les risques relatifs à la sécurité des serveurs Linux. Section 2 : " Sécurité relative à un système GNU/Linux»,contientlestechniques de base permettant de sécuriser un serveur linux dès l"installation du sys- tème à savoir :le partitionnement du disque, la réduction de la surface d"at- taque par l"application du principe de minimisation, ainsi que l"application des mises à jour et des correctifs. Section 3 : " Sécurité locale du système »,définitl"ensembledesbonnespratiques que l"administrateur doit implémenter afin de garantir une bonne gestion des comptes, des utilisateurs et des mots de passe. Section 4 : " Gestion des accès », examine la manière de sécuriser les accès aux ressources du serveur Linux à savoir : les accès physique au système via sa console, les permissions sur les fichiers et les accès distants au serveur. Aussi elle traite la manière de sécuriser des connexions et d"implémenter le filtrage pour éviter les intrusions réseaux. Section 5 : " Sauvegarde et restauration »examinelesbonnespratiquesàprendre en compte pour une bonne politique de sauvegarde des données. Section 6 : " Chiffrement », présente l"importance du chiffrement des données et des communications afin de sécuriser l"information. Section 7 : " Supervision et audit », examine l"importance de la supervision ré- gulière des journaux, la vérification de l"intégrité des données, et l"évalua- tion de la sécurité par des audits.DGSSI 3 Guide Technique relatif à la sécurité du serveur linux

1Les Risques

Dans la majorité des cas, les serveurs disposent d"une grande partie de don- nées sensibles et vitales des organismes. Une fois compromises, ces informations deviennent exposées au vol et à la manipulation par des personnes malveillantes. En effet, les attaques auxquelles ces serveurs peuvent faire face sont diverses à savoir : déni de service, altération ou perte de données, contamination par des virus, interception des communications, etc. Parmi les menaces qui peuvent nuire à la sécurité des serveurs informatiques on peut citer : *Les menaces physiques potentielles liées à la sécurité physique du serveur. Il s"agit des événements imprévisibles comme les pannes, les accidents ou encore les atteintes intentionnelles sur les matériels. Par exemple :

Dégâts des eaux (ino ndation,humidité) ;

Feu (Accidente lou criminel) ;

Electricité (su rtension,baisse de tension, coupur edu courant) ; T empératureambi ante(dysfonctionnement de la climatisation) ; Intr usionsphysiques (cir culationde personnes non autorisées dans les lo- caux, vol); Etc.

*Les menaces liées à la sécurité des systèmes d"exploitation générées par l"ex-

ploitation possible des vulnérabilités et failles éventuellement présentes sur le système, notamment :

Services inuti liséset ports ouverts ;

Services sans corr ectifs;

Mauvaise gestion des privilèges et des accès aux r essourcesdu système ;

Mauvaise gestion des mots de passe ;

Applications v ulnérables;

Etc. Ainsi, il est primordial de mettre en place les contrôles nécessaires (physiques, administratifs et techniques) permettant de se prémunir contre les risques et de garantir la confidentialité, l"intégrité et la disponibilité de l"information.DGSSI 4 Guide Technique relatif à la sécurité du serveur linux

2Sécurité relative à un système GNU/Linux

2.1 Installation

Le durcissement d"un serveur Linux commence dès la phase de l"installation Il faut tout d"abord décider quelle en sera l"utilisation (serveur Web, DNS, mes- sagerie, etc.) avant de déterminer des règles à mettre en place pour le sécuriser. Ci-après les principaux aspects à prendre en considération lors de l"installation du système linux. Partitionnement du disque :Le partitionnement est une étape clef de l"ins- tallation de GNU/Linux et de la prise en compte des supports de stockage de données. Il est important de bien choisir le partitionnement à adopter en vue d"obtenir un niveau de sécurité plus élevé. La méthode de partitionnement varie en fonction de l"utilisation du serveur. Tout dépendra des services à offrir par ce serveur, de l"espace disque disponible et des applicatifs nécessaires à son fonctionnement. Généralement, il convient de procé- der au partitionnement suivant : Les arbor escencesde répertoir esmodifiabl espar un utilisateur ,telles que /home, /tmpet/var/tmp, doivent être sur des partitions distinctes; T outepartition qui peut fluctuer ,par exemple /var(surtout/var/log) devrait

être également sur une partition distincte;

T outepartition q uipeut contenir des installations des logiciels ne faisant pas partie de la distribution (des applications tierces) devrait être sur une partition distincte (par exemple/opt); Le répertoir e/bootqui contient les fichiers indispensables au démarrage

peut être mis dans une partition à part.R1Implémenter un schéma de partitionnement permettant de :

Evite rla saturation ;

Simpli fierla sauvegar de;

Appl iquerles options de montage. En créant des partitions différentes pour les répertoires cités ci-dessus, les

données peuvent être séparées et regroupées. Et dans le cas où un incident in- attendu se produit, seules les données de la partition concernée seront endom- magées. Droits lors du montage des partitions :Les partitions peuvent être montées avec certaines options ( par exemple : ro, nodev, noexec, nosuid, etc.) qui limitent les droits attribués aux fichiers systèmes. Les options de montage sont définiesDGSSI 5 Guide Technique relatif à la sécurité du serveur linux dans le fichier "/etc/fstab". Elles peuvent être la cible de certains comportements malveillants en cas de mauvaise configuration. Il est recommandé à cet effet d"ap- pliquer les options de montage appropriées au niveau du fichier /etc/fstab dans les conditions suivantes : Les supports de stockage amovibles doivent êtr emontés en nodev,noexec, nosuid, pour éviter à tout programme d"être exécuté à partir du périphé- rique externe. Les partitionsdestockagetemporairecomme/tmp,/var/tmpet/dev/shmdoivent

être montés ennodev, noexec, nosuid;

Monter le répert oire/homede préférence en nodev, noexec, nosuid; Pour éviter toute modification non autorisée sur les fichiers du démarrage,

la partition/bootne doit pas être montée par défaut.R2Implémenter les options de montages nécessaires et suffisantes adap-

tées au contexte d"emploi.Ajout et suppression des composants logiciels :Lors de l"installation d"un

serveur linux, il est conseillé d"opter pour les composants logiciels appropriés sur la base de la fonction du serveur. Les outils inutiles installés sur la machine pourraient être exploités par des personnes malveillantes pour compromettre le système. A titre d"exemple, la présence d"outils de développement (compilateurs) ou de langages interprétés pourrait faciliter la tâche d"un attaquant dans la compila- tion et l"exécution de codes malveillants sur le serveur. En général, il est conseillé d"éviter l"installation par défaut des groupes de paquetage "Software Develop- ment" ainsi que ceux relatifs au "web server". De même, il est généralement conseillé d"opter pour l"utilisation de l"invite de commande au lieu des outils graphiques. En effet, en plus des failles de X Windows, l"environnement graphique est souvent lourd en termes de ressources matérielles.R3Lors de l"installation et quand le système le permet, il faut décocher les paquetages associés aux applications inutiles pour le serveur :

Compil ateurs;

Logici elsde développement ;

Serveu rsnon nécessair es(exemple : le Serveur X) ; T oute nvironnementgraphique. R4Supprimer les programmes inutiles pour le contexte d"utilisation du serveur notamment les services générant une grande quantité de dé- pendances.Ne pas se connecter à Internet avant la fin complète de la configuration : Certains services peuvent avoir des vulnérabilités non corrigées dans les paquetsDGSSI 6quotesdbs_dbs9.pdfusesText_15
[PDF] I. La situation problème Thème : Observer DÉTECTION DES

[PDF] I. La théorie de l`identité sociale (Tajfel). - Astrophysique

[PDF] I. Le berger n`est pas « homme à tout faire » Fraternité Pentecôte

[PDF] I. Le Cerveau de l`Homme I. Le Cerveau de l`Homme - Avantages Et Compensation

[PDF] I. Le climat Haut-Rhinois dans l`ensemble climatique français Les - Grèce

[PDF] I. LE CONSEIL D`ADMINISTRATION DU C.P.E.O.N.S. - Anciens Et Réunions

[PDF] I. LE MOYEN AGE a) 476 – 1450 Evénements politiques et - Histoire

[PDF] I. Le pavé droit

[PDF] I. LE TRAVAIL DES PAYSANS AU MOYEN - Anciens Et Réunions

[PDF] I. LEBLIC, « Chronologie de la Nouvelle - France

[PDF] I. Les arguments de Wegener. II. Les arguments contre la dérive des - Anciens Et Réunions

[PDF] i. les autorisations d`absence liees a la famille

[PDF] I. Les bases de la mobilité des sociétés - France

[PDF] I. LES COMMUNES EN ZONE BLANCHE DU HAUT DEBIT - France

[PDF] I. Les groupements précurseurs de la Première Internationale II - France