13.3. Détails des niveaux de sécurité

Nous passons ici en revue les détails des trois niveaux de sécurité : Lax, Moderate et Paranoid utilisés dans le choix du niveau de sécurité soit pendant l'installation ou en utilisant BastilleChooser.

13.3.1. Configuration d'une station de travail

13.3.1.1. Niveau de sécurité relâchée (Lax Security)

  • pas de pare-feu

  • Retire le bit SUID aux outils du serveur de news et à DOSEMU

  • Mise en place de l'expiration des mots de passe : les vieux comptes non utilisés seront désactivés, mais leurs propriétaires seront prévenus

  • Le mode monoutilisateur est protégé par un mot de passe

  • Application de limites de ressources à tous les programmes, de façon à bloquer des attaques de déni de service (DoS).

  • Logs additionnels

  • Désactivation du serveur DHCP

  • Désactivation du serveur SNMP

  • Dans Sendmail, désactivation des commandes VRFY/EXPN

  • Désactivation du serveur DNS

  • Désactivation d'Apache

  • Désactivation des SSI (Server Side Includes) d'Apache

  • L'umask par défaut est 022

  • Le niveau de sécurité par défaut est 2

  • Application des permissions de fichier du niveau 2

  • Pas de "." dans PATH

  • Telnet désactivé

  • FTP désactivé

  • Activation des vérifications de sécurité

13.3.1.2. Niveau de sécurité moyen (Moderate Security)

  • Pare-feu modéré

  • Enlève le bit SUID à dump, restore, cardctl, rsh, rlogin et rcp

  • Retire le bit SUID aux outils du serveur de news et à DOSEMU

  • Désactivation de l'accès par rsh/rlogin

  • Mise en place de l'expiration des mots de passe : les vieux comptes non utilisés seront désactivés, mais leurs propriétaires seront prévenus

  • Le mode monoutilisateur est protégé par un mot de passe

  • Application de limites de ressources à tous les programmes, de façon à bloquer des attaques de déni de service (DoS).

  • Logs additionnels

  • Désactivation du démon APMd

  • Désactivation de NFS et Samba

  • Désactivation de GPM

  • Désactivation du serveur DHCP

  • Désactivation du serveur SNMP

  • Désactivation du mode écoute réseau de Sendmail, de telle sorte que cette station de travail n'agisse pas en tant que serveur mail

  • Dans Sendmail, désactivation des commandes VRFY/EXPN

  • Désactivation du serveur DNS

  • Désactivation d'Apache

  • Désactivation des SSI (Server Side Includes) d'Apache

  • L'umask par défaut est 022

  • Le niveau de sécurité par défaut est 3

  • Application des permissions de fichier du niveau 3

  • Pas de "." dans PATH

  • Telnet désactivé

  • FTP désactivé

  • Désactivation du FTP anonyme

  • Activation des vérifications de sécurité

  • Protection par TMPDIR activée

13.3.1.3. Niveau de sécurité paranoïaque (Paranoid Security)

  • Pare-feu strict

  • Enlève le bit SUID à mount, umount, ping, at, usernetctl et traceroute

  • Enlève le bit SUID à dump, restore, cardctl, rsh, rlogin et rcp

  • Retire le bit SUID aux outils du serveur de news et à DOSEMU

  • Désactivation de l'accès par rsh/rlogin

  • Restriction de l'utilisation de cron à root

  • Désactivation du script de démarrage pcmcia

  • Mise en place de l'expiration des mots de passe : les vieux comptes non utilisés seront désactivés, mais leurs propriétaires seront prévenus

  • Le mode monoutilisateur est protégé par un mot de passe

  • Application de limites de ressources à tous les programmes, de façon à bloquer des attaques de déni de service (DoS).

  • Logs additionnels

  • Désactivation du démon APMd

  • Désactivation de NFS et Samba

  • Désactivation de GPM

  • Désactivation du serveur DHCP

  • Désactivation du serveur SNMP

  • Désactivation du mode écoute réseau de Sendmail, de telle sorte que cette station de travail n'agisse pas en tant que serveur mail

  • Dans Sendmail, désactivation des commandes VRFY/EXPN

  • Désactivation du serveur DNS

  • Désactivation d'Apache

  • Désactivation des SSI (Server Side Includes) d'Apache

  • Dans Apache, désactivation du suivi des liens symboliques

  • Désactivation des CGI dans Apache

  • Désactivation de tous les serveurs, à l'exception de crond, syslog, keytable, network, gpm, xfs et pcmcia

  • L'umask par défaut est 077

  • Le niveau de sécurité par défaut est 4

  • Application des permissions de fichier du niveau 4

  • Pas de "." dans PATH

  • Telnet désactivé

  • FTP désactivé

  • Désactivation du FTP anonyme

  • Désactivation du FTP utilisateur

  • Activation des vérifications de sécurité

  • Protection par TMPDIR activée

13.3.2. Configuration d'un serveur

La configuration serveur comprend trois niveaux de sécurité. Les serveurs démarrent avec les services majeurs suivants désactivés : DNS, SMTP, HTTP, FTP et DHCP. Puis le comportement est modifié en fonction des services, parmi ces cinq, que l'utilisateur demande à activer.

13.3.2.1. Niveau de sécurité relâchée (Lax Security)

  • Pas de firewalling

  • Enlève le bit SUID à dump/restore, cardctl, dosemu et les programmes du serveur de news

  • Mise en place de l'expiration des mots de passe

  • Le mode monoutilisateur est protégé par un mot de passe

  • Logs supplémentaires

  • Désactivation de apmd, NFS, Samba, pcmcia, des serveurs DHCP, NNTP, SNMP, NIS et démons de routage

  • Dans Sendmail, désactivation des commandes VRFY/EXPN

  • Désactivation du serveur DNS

  • Désactivation d'Apache (HTTP)

  • Désactivation des SSI (Server Side Includes) d'Apache

  • L'umask par défaut est 022

  • Le niveau de sécurité par défaut est 2

  • Application des permissions de fichier du niveau 2

  • Telnet désactivé

  • FTP désactivé

  • Activation des vérifications de sécurité

13.3.2.2. Niveau de sécurité moyen (Moderate Security)

  • Pare-feu modéré

  • Enlève le bit SUID à dump/restore, cardctl, dosemu et les programmes du serveur de news

  • Enlève le bit SUID à rsh et rlogin

  • Désactivation de l'authentication rhosts

  • Mise en place de l'expiration des mots de passe

  • Le mode monoutilisateur est protégé par un mot de passe

  • Logs supplémentaires

  • Désactivation de apmd, NFS, Samba, pcmcia, des serveurs DHCP, NNTP, SNMP, NIS et démons de routage

  • Désactivation de gpm

  • Dans Sendmail, désactivation des commandes VRFY/EXPN

  • Désactivation du serveur DNS

  • Désactivation d'Apache (HTTP)

  • Désactivation des SSI (Server Side Includes) d'Apache

  • Désactivation des CGI dans Apache

  • Désactivation du FTP utilisateur

  • Désactivation du FTP anonyme

  • L'umask par défaut est 022

  • Le niveau de sécurité par défaut est 3

  • Application des permissions de fichier du niveau 3

  • Pas de "." dans PATH

  • Telnet désactivé

  • FTP désactivé

  • Activation des vérifications de sécurité

13.3.2.3. Niveau de sécurité paranoïaque (Paranoid Security)

  • Pare-feu strict

  • Enlève le bit SUID à dump/restore, cardctl, dosemu et les programmes du serveur de news

  • Enlève le bit SUID à rsh et rlogin

  • Enlève le bit SUID de mount, umount, ping, at, usernetctl et traceroute

  • Désactivation de l'authentication rhosts

  • Restriction de l'utilisation de cron à root

  • Mise en place de l'expiration des mots de passe

  • Limitation des ressources système contre les DoS

  • Le mode monoutilisateur est protégé par un mot de passe

  • Logs supplémentaires

  • Désactivation de apmd, NFS, Samba, pcmcia, des serveurs DHCP, NNTP, SNMP, NIS et démons de routage

  • Désactivation de gpm

  • Dans Sendmail, désactivation des commandes VRFY/EXPN

  • Désactivation du serveur DNS

  • Désactivation d'Apache (HTTP)

  • Désactivation des SSI (Server Side Includes) d'Apache

  • Désactivation des CGI dans Apache

  • Dans Apache, désactivation du suivi des liens symboliques

  • Désactivation de l'impression

  • Désactivation du FTP utilisateur

  • Désactivation du FTP anonyme

  • Protection par TMPDIR activée

  • L'umask par défaut est 077

  • Le niveau de sécurité par défaut est 4

  • Application des permissions de fichier du niveau 4

  • Pas de "." dans PATH

  • Telnet désactivé

  • FTP désactivé

  • Activation des vérifications de sécurité


Tux sur Étoile de MandrakeSoft Linux est une marque déposée de Linus Torvalds. Toutes les autres marques et copyrights sont la propriété de leurs auteurs respectifs.
Sauf mention contraire, tout le contenu de ces pages et toutes les images sont Copyright MandrakeSoft S.A. et MandrakeSoft Inc. 2000.
http://www.linux-mandrake.com/