====== Les services réseaux : Comment les désactiver et pourquoi ? ====== Vous désirez sécuriser votre station ? Souvent on associe la sécurité informatique au FireWall, pourtant plutot que de protéger certains services il est plus logique de désactiver ces services si l'on n'en a pas l'utilité. ===== Lister les services actifs ===== Pour savoir quels sont les services réseaux en train de tourner sur votre machine, vous pouvez vous loggez en root et tapper "netstat -atup | grep LISTEN" Vous obtiendrez un résultat qui a le look suivant (notez que cet exemple est fictif) : Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 *:ftpd *:* LISTEN 1753/proftpd On voit ici que le service FTP est en train de fonctionner. Ce service est associé au PID 1753 et au programme proftpd. On peut obtenir plus d'infos sur ce démon en tappant "ps aux | grep 1753" bin 1753 0.0 0.3 1420 420 ? Ss 10:24 0:00 /sbin/proftpd Le programme lancé est donc /sbin/proftpd Répétez l'opération avec les différents PID pour connaitre tous les services réseaux qui se lancent au démarrage de votre machine ===== Comment sont lancés ces services ? ===== De nos jours les services sont dits "standalones". C'est à dire qu'ils ne sont pas lancés par un programme spécifique comme c'était le cas avant. Ces programmes spéciaux s'appellent inetd et xinetd et sont encore utilisés aujourd'hui pour lancer de vieux services comme Telnet, les r*-commandes ou encore tftp. Je ne m'atarde pas sur la configuration de xinetd puisque nous allons nous intéresser aux services standalones. Ces services sont lancés au démarrage de Linux. Il faut savoir que le premier programme à se lancer se nomme "init". Ce dernier peut etre appele dans plusieurs niveaux d'exécutions (runlevel en anglais). Chaque niveau d'exécution a son utilité propre. Ce qu'il faut retenir c'est que plus le niveau est bas moins le système propose de fonctionnalités. Quelle est l'utilité ? Et bien si une fonctionnalité refuse de se lancer et bloque le démarrage de la station, l'administrateur va passer à un level inférieur dans lequel cette fonctionnalité n'existe pas et ainsi pouvoir corriger le problème. Par défaut le niveau d'exécution est 5. Celui permet de tout faire : accès au réseau, utilisation de X et beaucoup d'autre... Chaque niveau d'exécution possède son répertoire. Celui du niveau 1 est /etc/init.d/rc1.d/ et comme vous pouvez le deviner celui du niveau 5 est... /etc/init.d/rc5.d/ Explorons ce dernier répertoire (ls /etc/init.d/rc5.d/) On observe deux catégories de fichiers : certains commencent par un S et d'autres par un K. Les premiers définissent comment démarrer un service (Start) et les autres définissent comment les arreter (Kill). Tous ces scripts ont un numéro qui précisent l'odre dans lequel ils sont lancés. Exemple : K07splash_late K14portmap S01isdn S12fbset K07xdm K14resmgr S01random S12powersaved K08cron K14splash_early S02coldplug S12running-kernel K08hwscan K15smbfs S05network S13kbd K08nscd K16syslog S06syslog S13splash K09splash K17network S07smbfs S14cron K10alsasound K20coldplug S08portmap S14hwscan K10fbset K21hotplug S08resmgr S14nscd K10powersaved K21isdn S08splash_early S15splash_late K10running-kernel K21random S10nfsboot S15xdm K12nfsboot S01hotplug S12alsasound Dans cet exemple les services hotplup et random sont lancés en premier. Xdm est le dernier lancé (ceci est logique puisque Xdm vous permet de vous logger sur le système). Pour les scripts d'arret l'ordre est inversé. Ainsi Xdm et splash_late sont les premiers stoppés et hotplug est effectivement le dernier stoppé. Cet ordre est du à certaines dépendances entre les services. Il est évident que nfs (système de partage de fichiers réseaux) ne peux pas fonctionner si aucun support réseau (network) n'est lancé. Je vous laisse étudier ce répertoire par vous meme... Nous allons maintenant voir comment utiliser YaST pour configurer ces services. ===== Activer/Désactiver des services avec YaST ===== La configuration des services avec YaST est resté un mystère pour moi pendant un certain temps. Et pour cause ce module ne semble pas installé par défaut. Pour savoir si vous l'avez, lancez YaST et allez dans la partie Système. Si vous voyez "Editeur de niveau d'exécution" alors vous l'avez... sinon installez yast-runlevel qui se trouve sur le CD/DVD de la distribution. Relancez YaST, et lancez l'éditeur de niveaux d'exécution. Je vous recommande le mode simple qui vous empéchera de faire des bétises (si vous désactivez un service vital aux différents niveaux vous pouvez bien ne plus jamais accèder à votre PC). Les services réseaux auquel nous allons nous intéresser ici sont cups, postfix et sshd. La configuration est très simple : vous choisissez un service et vous cliquez sur activer ou déactiver. Vous allez retrouver les services que vous avez noté avec le netstat. Il est possible que certains services réseaux soit activés sans que vous les ayez remarqué lors du netstat. Par exemple sur ma machine SSHd et Postfix étaient activés pourtant ils n'ouvraient aucun ports... Il s'est avéré qu'ils ne parvenait pas à démarrer... dans ce cas là autant les désactiver tout de suite. ===== Quels services désactiver ? ===== CUPS est utilisé pour les imprimantes. Si vous ne possédez pas d'imprimantes ce n'est pas la peine de le garder. SSH permet d'accèder à votre machine de façon sécurisé (cryptographie). Ce service vous permet d'administrer votre machine à distance. Si votre machine n'est relié à aucun réseau SSH ne vous sera d'aucune utilité. Si vous êtes administrateur à vous de voir si l'administration distante vous est vraiment nécessaire (mieux vaut faire 5 pas vers la machine voisine plutot que de laisser un service ouvert tongue.gif ) Postfix est un serveur de mail. Il vous permet d'envoyer des mails. cela peut etre intéressant si vous possédez un nom de domaine ou si vous etes sur un grand réseau où les personnes ont besoin de communiquer (université, entreprise). La encore mieux vaux utiliser ses jambes jusqu'au bureau qui se trouve à 3 mètre que de laisser ce service ouvert. Faites particulièrement attention avec les serveurs de mails. Les spammeurs vont vite découvrir s'ils peuvent exploiter votre serveur. Si c'est le cas non seulement ils vont utiliser votre bande passante mais en plus vous risquez de vous retrouvez dans les listes noires (listes qui contiennent les serveurs dont le courier doit etre rejeté). Pour finir Relancez votre machine et observez le résultat ;-) ps: j'avoue que j'ai pas des dons de présentation. si vous désirez ajouter quelque chose n'hésitez pas...