16.3. Détails des niveaux de sécurité

Nous passons ici en revue les détails des trois niveaux de sécurité : Lax, Moderate et Paranoid utilisés dans le choix du niveau de sécurité soit pendant l'installation ou en utilisant BastilleChooser.

16.3.1. Configuration d'une station de travail

16.3.1.1. Niveau de sécurité relâchée (Lax Security)

  • pas de pare-feu

  • Retire le bit SUID aux outils du serveur de nouvelles et à DOSEMU

  • Mise en place de l'expiration des mots de passe : les vieux comptes non utilisés seront désactivés, mais leurs propriétaires seront prévenus

  • Le mode mono-utilisateur est protégé par un mot de passe

  • Application de limites de ressources à tous les programmes, de façon à bloquer des attaques de refus de service (DoS)

  • Logs additionnels

  • Désactivation du serveur DHCP

  • Désactivation du serveur SNMP

  • Dans Sendmail, désactivation des commandes VRFY/EXPN

  • Désactivation du serveur DNS

  • Désactivation d'Apache

  • Désactivation des SSI (Server Side Includes) d'Apache

  • L'umask par défaut est 022

  • Le niveau de sécurité par défaut est 2

  • Application des permissions de fichier du niveau 2

  • Pas de "." dans PATH

  • Telnet désactivé

  • FTP désactivé

  • Activation des vérifications de sécurité

16.3.1.2. Niveau de sécurité moyen

  • Pare-feu modéré

  • Enlève le bit SUID à dump, restore, cardctl, rsh, rlogin et rcp

  • Retire le bit SUID aux outils du serveur de nouvelles et à DOSEMU

  • Désactivation de l'accès par rsh/rlogin

  • Mise en place de l'expiration des mots de passe : les vieux comptes non utilisés seront désactivés, mais leurs propriétaires seront prévenus

  • Le mode mono-utilisateur est protégé par un mot de passe

  • Application de limites de ressources à tous les programmes de façon à bloquer des attaques de refus de service (DoS)

  • Logs additionnels

  • Désactivation du démon APMD

  • Désactivation de NFS et Samba

  • Désactivation de GPM

  • Désactivation du serveur DHCP

  • Désactivation du serveur SNMP

  • Désactivation du mode écoute réseau de Sendmail, de telle sorte que cette station de travail n'agisse pas en tant que serveur de courrier électronique

  • Dans Sendmail, désactivation des commandes VRFY/EXPN

  • Désactivation du serveur DNS

  • Désactivation d'Apache

  • Désactivation des SSI (Server Side Includes) d'Apache

  • L'umask par défaut est 022

  • Le niveau de sécurité par défaut est 3

  • Application des permissions de fichier du niveau 3

  • Pas de "." dans PATH

  • Telnet désactivé

  • FTP désactivé

  • Désactivation du FTP anonyme

  • Activation des vérifications de sécurité

  • Protection par TMPDIR activée

16.3.1.3. Niveau de sécurité paranoïaque (Paranoid Security)

  • Pare-feu strict

  • Enlève le bit SUID à mount, umount, ping, at, usernetctl et traceroute

  • Enlève le bit SUID à dump, restore, cardctl, rsh, rlogin et rcp

  • Retire le bit SUID aux outils du serveur de nouvelles et à DOSEMU

  • Désactivation de l'accès par rsh/rlogin

  • Restriction de l'utilisation de cron à root

  • Désactivation du script de démarrage pcmcia

  • Mise en place de l'expiration des mots de passe : les vieux comptes non utilisés seront désactivés, mais leurs propriétaires seront prévenus

  • Le mode mono-utilisateur est protégé par un mot de passe

  • Application de limites de ressources à tous les programmes de façon à bloquer des attaques de refus de service (DoS)

  • Logs additionnels

  • Désactivation du démon APMD

  • Désactivation de NFS et Samba

  • Désactivation de GPM

  • Désactivation du serveur DHCP

  • Désactivation du serveur SNMP

  • Désactivation du mode écoute réseau de Sendmail, de telle sorte que cette station de travail n'agisse pas en tant que serveur de courrier électronique

  • Dans Sendmail, désactivation des commandes VRFY/EXPN

  • Désactivation du serveur DNS

  • Désactivation d'Apache

  • Désactivation des SSI (Server Side Includes) d'Apache

  • Dans Apache, désactivation du suivi des liens symboliques

  • Désactivation des CGI dans Apache

  • Désactivation de tous les serveurs, à l'exception de crond, syslog, keytable, network, gpm, xfs et pcmcia

  • L'umask par défaut est 077

  • Le niveau de sécurité par défaut est 4

  • Application des permissions de fichier du niveau 4

  • Pas de "." dans PATH

  • Telnet désactivé

  • FTP désactivé

  • Désactivation du FTP anonyme

  • Désactivation du FTP utilisateur

  • Activation des vérifications de sécurité

  • Protection par TMPDIR activée

16.3.2. Configuration d'un serveur

La configuration serveur comprend trois niveaux de sécurité. Les serveurs démarrent avec les services majeurs suivants désactivés : DNS, SMTP, HTTP, FTP et DHCP. Ensuite, le comportement est modifié en fonction des services, parmi ces cinq, que l'utilisateur demande à activer.

16.3.2.1. Niveau de sécurité relâchée (Lax Security)

  • Pas de pare-feu

  • Enlève le bit SUID à dump/restore, cardctl, dosemu et les programmes du serveur de nouvelles

  • Mise en place de l'expiration des mots de passe

  • Le mode mono-utilisateur est protégé par un mot de passe

  • Logs supplémentaires

  • Désactivation de apmd, NFS, Samba, pcmcia, des serveurs DHCP, NNTP, SNMP, NIS et démons de routage

  • Dans Sendmail, désactivation des commandes VRFY/EXPN

  • Désactivation du serveur DNS

  • Désactivation d'Apache (HTTP)

  • Désactivation des SSI (Server Side Includes) d'Apache

  • L'umask par défaut est 022

  • Le niveau de sécurité par défaut est 2

  • Application des permissions de fichier du niveau 2

  • Telnet désactivé

  • FTP désactivé

  • Activation des vérifications de sécurité

16.3.2.2. Niveau de sécurité moyen (Moderate Security)

  • Pare-feu modéré

  • Enlève le bit SUID à dump/restore, cardctl, dosemu et les programmes du serveur de nouvelles

  • Enlève le bit SUID à rsh et rlogin

  • Désactivation de l'authentification rhosts

  • Mise en place de l'expiration des mots de passe

  • Le mode mono-utilisateur est protégé par un mot de passe

  • Logs supplémentaires

  • Désactivation de apmd, NFS, Samba, pcmcia, des serveurs DHCP, NNTP, SNMP, NIS et des démons de routage

  • Désactivation de gpm

  • Dans Sendmail, désactivation des commandes VRFY/EXPN

  • Désactivation du serveur DNS

  • Désactivation d'Apache (HTTP)

  • Désactivation des SSI (Server Side Includes) d'Apache

  • Désactivation des CGI dans Apache

  • Désactivation du FTP utilisateur

  • Désactivation du FTP anonyme

  • L'umask par défaut est 022

  • Le niveau de sécurité par défaut est 3

  • Application des permissions de fichier du niveau 3

  • Pas de "." dans PATH

  • Telnet désactivé

  • FTP désactivé

  • Activation des vérifications de sécurité

16.3.2.3. Niveau de sécurité paranoïaque (Paranoid Security)

  • Pare-feu strict

  • Enlève le bit SUID à dump/restore, cardctl, dosemu et les programmes du serveur de nouvelles

  • Enlève le bit SUID à rsh et rlogin

  • Enlève le bit SUID de mount, umount, ping, at, usernetctl et traceroute

  • Désactivation de l'authentification rhosts

  • Restriction de l'utilisation de cron à root

  • Mise en place de l'expiration des mots de passe

  • Limitation des ressources système contre les attaques de refus de service (DoS)

  • Le mode mono-utilisateur est protégé par un mot de passe

  • Logs supplémentaires

  • Désactivation de apmd, NFS, Samba, pcmcia, des serveurs DHCP, NNTP, SNMP, NIS et des démons de routage

  • Désactivation de gpm

  • Dans Sendmail, désactivation des commandes VRFY/EXPN

  • Désactivation du serveur DNS

  • Désactivation d'Apache (HTTP)

  • Désactivation des SSI (Server Side Includes) d'Apache

  • Désactivation des CGI dans Apache

  • Dans Apache, désactivation du suivi des liens symboliques

  • Désactivation de l'impression

  • Désactivation du FTP utilisateur

  • Désactivation du FTP anonyme

  • Protection par TMPDIR activée

  • L'umask par défaut est 077

  • Le niveau de sécurité par défaut est 4

  • Application des permissions de fichier du niveau 4

  • Pas de "." dans PATH

  • Telnet désactivé

  • FTP désactivé

  • Activation des vérifications de sécurité


Tux sur Étoile de MandrakeSoft Linux est une marque déposée de Linus Torvalds. Toutes les autres marques et copyrights sont la propriété de leurs auteurs respectifs.
Sauf mention contraire, tout le contenu de ces pages et toutes les images sont Copyright MandrakeSoft S.A. et MandrakeSoft Inc. 2002.
http://www.mandrakelinux.com/