7.9. Caractéristiques des niveaux de sécurisation

Le tableau suivant vous donnera les caractéristiques des points particuliers gérés par les divers niveaux de sécurisation :

Caractéristique \ niveau012345
vérifications globales de sécurité   ouiouiouioui
umask des utilisateurs002002002002077077
umask de root002002002002002077
shell sans mot de passeoui     
Autorisés à se connecter au serveur Xtouslocallocalaucunaucunaucun
Utilisateurs dans le groupe audioouiouioui   
. dans $PATHouioui    
Avertissements dans /var/log/security.log ouiouiouiouioui
Avertissements directement sur la console  ouiouiouioui
Avertissements dans syslog  ouiouiouioui
Avertissements envoyés par courrier électronique à root  ouiouiouioui
Vérification des fichiers suid root  ouiouiouioui
Vérification md5sum des fichiers suid root  ouiouiouioui
Vérification des fichiers en écriture   ouiouioui
Vérification des autorisations   ouiouioui
Vérification des fichiers groupe suid root   ouiouioui
Vérification des fichiers sans propriétaire   ouiouioui
Vérification promiscuous   ouiouioui
Vérification des ports ouverts   ouiouioui
Intégrité du fichier de mots de passe   ouiouioui
Intégrité du fichier shadow   ouiouioui
Vérifications périodiques de la sécurité du système    ouiouioui
Tous les événements système redirigés vers tty12   ouiouioui
Seul root peut faire ctrl-alt-del    ouioui
Services inconnus désactivés    ouioui
Mot de passe de démarrage    ouioui
Connections autorisées depuistoustoustoustouslocalaucun

Remarque : six des dix vérifications périodiques peuvent détecter les modifications survenues dans votre système. Elles sauvegardent la configuration antérieure du système (celle de la veille) dans le répertoire /var/log/security/ et vous avertissent des changements qui auraient pu intervenir entre-temps. Ces vérifications sont les suivantes :

7.9.1. « vérifications globales de sécurité   »

  1. « NFS filesystems globally exported  » : (systèmes de fichiers de type NFS exportés en bloc) : cela est considéré comme peu sûr, puisqu'il n'y a aucune restriction sur l'identité de ceux qui peuvent monter ces systèmes de fichiers.

  2. « NFS mounts with missing nosuid  » : (montages par NFS sans l'option nosuid), ces systèmes de fichiers sont exportés dans l'option nosuid, ce qui interdit aux programmes suid de fonctionner sur la machine.

  3. « Host trusting files contains + sign  » : (les fichiers de 'confiance' de l'hôte contiennent le signe +) : cela signifie que l'un des fichiers /etc/hosts.equiv, /etc/shosts.equiv, /etc/hosts.lpd, référence un hôte autorisé à se connecter sans authentification préalable.

  4. « Executables found in the aliases files  » : (Exécutables découverts dans le fichier d'alias) : cet avertissement est généré lorsque l'un des fichiers /etc/aliases ou

    /etc/postfix/aliases contient un alias redirigeant vers un programme.

7.9.2. « umask des utilisateurs  »

Indique le umask qui sera utilisé pour les utilisateurs normaux du système suivant le niveau de sécurisation.

7.9.3. « umask for root  »

La même chose, mais pour root.

7.9.4. « shell sans mot de passe  »

L'accès à la console est permis sans mot de passe.

7.9.5. « autorisés à se connecter au serveur X  »

  1. tous : n'importe qui, connecté depuis n'importe où, peut ouvrir une fenêtre X sur votre écran;

  2. local : seules les personnes connectées sur votre système pourront y ouvrir une fenêtre X;

  3. aucun : personne ne peut faire cela.

7.9.6. « utilisateurs dans le groupe audio  »

Chaque utilisateur du système est automatiquement membre des groupes audio, urpmi et cdrom. Cela signifie que tous les utilisateurs obtiendront des privilèges particuliers pour utiliser la carte son, les paquetages, etc.

7.9.7. « . dans $PATH  »

L'entrée . est ajoutée à la variable d'environnement $PATH, ce qui permet d'exécuter facilement des programmes se trouvant dans le répertoire courant (c'est aussi, d'une certaine manière, une faille dans la sécurité).

7.9.8. « avertissements dans security.log  »

Chaque avertissement généré par MSEC est archivé dans le fichier /var/log/security.log.

7.9.9. « avertissements sur la console  »

Chaque avertissement généré par MSEC est affiché directement sur la console.

7.9.10. « avertissements dans syslog  »

Les avertissements générés par MSEC sont adressés au service syslog.

7.9.11. « avertissements envoyés par e-mail à root  »

Les avertissements générés par MSEC sont également adressés à root par courrier électronique.

7.9.12. « vérification des fichiers suid root  »

Recherche les ajouts ou suppressions de fichiers suid root sur le système. S'il y en a eu, une liste des exécutables concernés est renvoyée sous la forme d'un avertissement.

7.9.13. « vérification MD5 des fichiers suid root  »

Vérifie la signature MD5 de chaque fichier suid root du système. Si la signature a changé, cela signifie qu'une modification a été apportée à ce programme, ce qui peut être le signe d'une intrusion. Un avertissement est alors envoyé.

7.9.14. « vérification des fichiers inscriptibles  »

Cherche les fichiers qui sont inscriptibles par tout le monde sur le système et en génère la liste éventuels sous la forme d'un avertissement.

7.9.15. « vérification des autorisations  »

Vérifie les autorisations relatives à certains fichiers tels que .netrc ou aux fichiers de configuration et aux répertoires des utilisateurs. Si ces autorisations permettent un accès trop étendu ou si les propriétaires apparaissent comme anormaux, un avertissement est envoyé.

7.9.16. « vérification des fichiers suid groupe  »

Recherche les ajouts ou suppressions de fichiers suid groupe sur le système. S'il y en a eu, une liste des exécutables concernés est envoyée en avertissement.

7.9.17. « vérification des fichiers sans propriétaire  »

Recherche les fichiers appartenant à des utilisateurs inconnus du système. Si de tels fichiers sont trouvés, le propriétaire en devient automatiquement nobody.

7.9.18. « vérification de type 'promiscuous'  »

Ce test vérifie chaque carte Ethernet pour déterminer si elle se trouve en mode « promiscuous  ». Ce mode permet à une carte d'intercepter tous les paquets reçus par la carte, même ceux qui ne lui sont pas destinés. Cela peut signifier qu'un sniffer (renifleur) fonctionne sur votre système. Cette vérification est effectuée toutes les minutes.

7.9.19. « vérification des ports ouverts  »

Génère un avertissement contenant la liste des ports ouverts.

 

 

7.9.20. « vérification de l'intégrité du fichier de mots de passe  »

Vérifie que chaque utilisateur a un mot de passe (non vide et pas trop facile à découvrir) et qu'il se trouve dans le fichier shadow.

7.9.21. « vérification de l'intégrité du fichier intitulé shadow  »

Vérifie que chaque utilisateur a un mot de passe (non vide et assez difficile à trouver) dans le fichier shadow.

7.9.22. « vérifications de sécurité du système tous les jours à minuit  »

Toutes les vérifications précédentes seront effectuées chaque jour à minuit. Cela repose sur l'ajout d'un script cron dans le fichier crontab.

7.9.23. « services avancés désactivés  »

Tout service absent de /etc/security/msec/init-sh/server.4 pour le niveau 4 ou server.5 pour le niveau 5 sera désactivé. Il n'est pas effacé mais il n'est simplement pas démarré lors d'un changement de runlevel. Si vous avez besoin de certains de ces services, ajoutez-les à nouveau à l'aide de l'utilitaire chkconfig (vous aurez sans doute aussi besoin de les démarrer avec les scripts de démarrage d'init dans /etc/rc.d/init.d).

7.9.24. « mot de passe de démarrage  »

Il y a deux comportements possibles suivant le chargeur de démarrage que vous utilisez :

GRUB

Au démarrage, GRUB ne vous demandera un mot de passe que si vous passez des options manuellement au noyau. Cela permet à votre système de redémarrer de lui-même, sans opérateur, tout en empêchant des personnes non autorisées de redémarrer la machine de manière insolite (en mode de secours « failsafe  » par exemple).

LILO

Vous permet de définir un mot de passe pour LILO. Empêche les personnes non expérimentées de redémarrer la machine, mais en revanche la machine ne pourra pas redémarrer toute seule en cas de problème.

7.9.25. « permettre l'accès à  »

  1. tous : tous les ordinateurs peuvent se connecter aux ports ouverts.

  2. local : seul le système peut se connecter à ses propres ports.

  3. aucun : aucun ordinateur ne peut se connecter.

Notes

[1]

Ce qui signifie qu'ils écoutent aussi les paquets qui ne leur sont pas destinés.


Tux sur Étoile de MandrakeSoft Linux est une marque déposée de Linus Torvalds. Toutes les autres marques et copyrights sont la propriété de leurs auteurs respectifs.
Sauf mention contraire, tout le contenu de ces pages et toutes les images sont Copyright MandrakeSoft S.A. et MandrakeSoft Inc. 2000.
http://www.linux-mandrake.com/