LinuxPedia

Wiki libre et indépendant dédié à GNU-Linux et BSD.

Outils pour utilisateurs

Outils du site


yast:parametres_de_securite_locale

Le Module "Centre de sécurité et durcissement" de Yast sur OpenSUSE 11.4

FIXME a corriger

Introduction

Anciennement appelé Paramètres de sécurité locale ,ce module permet de paramétrer assez finement la sécurité interne du système, comme les permissions sur les fichiers sécurisés,l' éditeur de niveaux d' exécution ou l’accès à distance sur le serveur X……

En cas de problème n'hésitez pas à contacter la communauté sur www.alionet.org

Centre de sécurité et durcissement

Vous trouverez le module dans “Sécurité et Utilisateurs”:

Cliquez sur “Centre de sécurité et durcissement ”, la fenêtre suivante apparait :

cette fenêtre est séparée en deux parties.À gauche, un menu pour la navigation entre les différents menus, à droite un récapitulatif de l’état actuel de la sécurité locale du système, avec la possibilité de lancer la configuration des différents items.Commençons par celle ci:

récapitulatif de l’état de la sécurité locale

en cliquant sur le lien aide, une aide parfois succincte vous est donnée sur chaque Item:

  • Utiliser les touches magiques SysRq

Si votre machine vient de planter et que vous n'arrivez plus à ne rien faire , n'appuyez pas encore sur la touche reset ! Il vous reste une chance de redémarrer votre machine : les “touches magiques”, ou Magic Sys Keys.
http://doc.ubuntu-fr.org/touches_magiques

Comme vous pouvez le voir cette option est inconnue par défaut

pour l'activer rendez vous dans Yast→Paramètres du Noyau:

puis cliquer sur le deuxième onglet:

cochez ensuite la case SYS RQ

  • Utiliser les permissions de fichiers sécurisés

Tous le fichiers ont des permissions de base mise en place par chkstat via les fichiers /etc/permissions*. Vous avez trois modes: Normal, Sécurisé, Paranoiaque Vous pouvez configurer cette option via le lien configurer qui vous amène à l'onglet “paramètres divers”:

  • Accès à distance au gestionnaire d'affichage

Un gestionnaire d'affichage fournit un écran de login graphique et peut être accessible à travers le réseau par un serveur X lancé sur un autre système, s'il est configuré ainsi.Les fenêtres qui sont actuellement affichées transmettraient leurs données à travers le réseau. Si ce réseau n'est pas complètement sécurisé, le trafic réseau peut être espionné par un attaquant, obtenant ainsi l'accès, non seulement au contenu graphique de l'affichage, mais aussi aux identifiants et aux mots de passe qui sont utilisés.Si vous n'avez pas besoin de XDMCP pour des logins graphiques distants, alors désactivez cette option.

  • Utiliser le répertoire actuel dans le chemin d'accès (path) du super utilisateur (root)

Par défaut, le répertoire actuel de travail n'est pas utilisé lors des recherches d'exécutables.Certains systèmes mettent en place une parade en ajoutant un point (“.”) au chemin de recherche, pour permettre aux fichiers situés dans le chemin actuel d'être trouvés et exécutés. Ceci est extrêmement dangereux car vous risquez de lancer accidentellement des programmes inconnus dans le répertoire actuel au lieu des fichiers système habituels. Cette solution constitue , par conséquent, une porte ouverte à l'exécution de Chevaux de Troie, qui exploitent cette faiblesse pour envahir votre système.Ce paramètre s'applique pour l'utilisateur root et aux utilisateurs système.

  • Utiliser le répertoire actuel dans le chemin d'accès (path) des utilisateurs standards

Idem qu'au dessus mais pour les utilisateurs standards.

  • Retranscrire l'heure du système vers l'horloge matérielle

Au démarrage, l'heure du système est réglée à partir de l'horloge matérielle de l'ordinateur. Par conséquent, paramétrer l'horloge matérielle juste avant l'extinction est nécessaire via la commande:

   hwclock --systohc

Une heure système cohérente est essentielle pour la capacité du système à créer des messages log corrects.

  • Toujours générer des messages syslog pour les scripts cron

Les dysfonctionnements d'un système sont habituellement déterminés par des anomalies de comportement. Les messages syslog à propos des évènements qui réapparaissent de façon régulière sont importants pour trouver la cause des problèmes et l'absence d'un unique enregistrement peut nous en apprendre plus que l'absence de tous les enregistrements de journaux (log).À partir de là, les messages syslog des évènements système sont utiles uniquement s'ils sont présents

  • Exécuter le démon DHCP dans un chroot

<note important> pas réussi a l'activer</note> Les environnements d'exécution chroot sont utilisés pour restreindre un processus uniquement aux fichiers dont il a besoin, en les plaçant dans un sous-dossier séparé et en exécutant le processus dans une racine modifiée (chroot) à ce dossier.

  • Exécuter le démon DHCP en tant qu'utilisateur dhcp

<note important> pas réussi a l'activer</note> Le démon client DHCP devrait être exécuté par l'utilisateur dhcpd pour minimiser la menace possible si le service se révèle vulnérable par une faiblesse dans son code.Veuillez noter que dhcpd ne doit pas être lancé en tant que root ou avec la capacité CAP_SYS_CHROOT pour que le confinement d'exécution soit effectif.

  • Identification à distance en tant que super utilisateur (root) au gestionnaire d'affichage.

Les administrateurs devraient faire attention à ne pas se loguer en tant que root dans une session X Window pour minimiser l'utilisation des privilèges root.Cette option n'aide pas contre les administrateurs imprudents mais devrait empêcher les attaquants d'être capables de se loguer en tant que root par le gestionnaire d'affichage s'ils devinent ou acquièrent le mot de passe.

  • Accès à distance au serveur X

Les clients X Window, par exemple les programmes qui ouvrent une fenêtre sur votre affichage, se connectent à un serveur X qui s'exécute sur la machine physique. Les programmes peuvent aussi s'exécuter sur un système différent et peuvent afficher leur contenu sur le serveur X par des connexions réseau.Lorsque c'est activé, le serveur X écoute sur le port 6000 plus le numéro de l'affichage. Étant donné que le trafic réseau est transféré de façon non cryptée et donc sujet au “sniffing” du réseau et qu'un autre port est maintenu ouvert par un programme, ici le serveur X, cela ouvre des options d'attaque, le paramétrage sécurisé est de le désactiver. Pour afficher des clients X Window à travers le réseau, l'utilisation d'un shell sécurisé (ssh) est recommandé, il permet aux clients X Window de se connecter au serveur X à travers la connexion cryptée ssh (freeNX notamment ou du vnc a travers ssh).

  • Accès à distance au sous-système de réception d'e-mail

Le sous système d'envois d'e-mails est toujours démarré. Cependant, il ne s'expose pas lui même à l'extérieur du système, par défaut, parce qu'il n'écoute pas le port réseau SMTP 25. Si vous n'envoyez pas d'e-mails sur votre système par le protocole SMTP, alors désactivez cette option.

  • Redémarrer les services lors de la mise à jour

Si un paquet contenant un service actuellement en cours d'exécution est mis à jour, alors le service est redémarré après que les fichiers du paquet soient installés. Cela est utile dans la plupart des cas et cela est sûr aussi en considérant que beaucoup de services ont besoin que leurs binaires soient accessibles dans le système de fichiers ou ont besoin de leurs fichiers de configuration. Ces services continueraient à s'exécuter jusqu'à ce que les services soient arrêtés, par exemple lorsque les démons d'exécution sont tués. Ce paramètre devrait être modifié uniquement s'il existe une raison spécifique à cela. Çe qui est le cas lorsque on préfère choisir le moment de redémarrage de certains services notamment en environnement de production.

  • Arrêter les services lors de la suppression

Si un paquet contenant un service actuellement en cours d'exécution est désinstallé, alors le service est arrêté avant que les fichiers du paquet soient supprimés. Cela est utile dans la plupart des cas et cela est sûr en considérant que beaucoup de services ont besoin que leurs binaires soient accessibles dans le système de fichiers ou ont besoin de leurs fichiers de configuration. Ces services continueraient à s'exécuter jusqu'à ce que les services soient arrêtés, par exemple lorsque les démons d'exécution sont tués. Ce paramètre devrait être modifié uniquement s'il existe une raison spécifique à cela.

  • Activer les syncookies TCP

<note important> pas réussi a l'activer</note> Un système peut être submergé par de nombreuses tentatives de connexions à tel point que le système ne dispose plus de mémoire suffisante, amenant à une vulnérabilité de type déni de service (Denial of Service : DoS).L'utilisation de syncookies est une méthode qui peut aider dans de telles situations. Mais dans les configurations avec un nombre très important de tentatives de connexions légitimes depuis une même source, le paramètre Activé peut apporter des problèmes avec des refus de connexions TCP sous forte charge. Mais, pour la plupart des environnements, les syncookies sont la première ligne de défense contre les attaques du type “SYN flood DoS”. Ainsi, le paramètre sécurisé est Activé.

  • Transmission IPv4

<note important> pas réussi a l'activer</note> Transmission IP (IP forwarding) signifie transmettre les paquets réseau qui ont été reçus mais qui ne sont pas destinés à l'une des interfaces réseau configurées du système, comme les adresses d'interface réseau. Si un système transmet un trafic réseau sur la couche 3 du modèle ISO/OSI, il est appelé routeur. Si vous n'avez pas besoin de cette fonctionnalité de routage, alors désactivez cette option. Ce paramètre s'applique uniquement à IPV4.

  • Transmission IPv6

Idem qu'au dessus mais pour l'IPv6 <note important> pas réussi a l'activer</note>

  • Activer les services système basiques au niveau d'exécution (runlevel) 3 (multi-utilisateur avec réseau)

Les services système basiques doivent être activés pour fournir une cohérence du système et pour exécuter les services de sécurité relatifs.Ces services système basiques ne sont pas activés pour le niveau d'exécution 3 :ntp en cliquant sur configurer vous obtenez la fenetre du runlevel editor

  • Activer les services système basiques au niveau d'exécution (runlevel) 5 (multi-utilisateur avec réseau et login graphique)

Les services système basiques doivent être activés pour fournir une cohérence du système et pour exécuter les services de sécurité relatifs.Ces services système basiques ne sont pas activés pour le niveau d'exécution 5 :ntp en cliquant sur configurer vous obtenez la fenetre du runlevel editor

  • Activer les services supplémentaires au niveau d'exécution (runlevel) 3

Chaque service en cours d'exécution est une cible potentielle d'une attaque de sécurité. C'est pourquoi il est recommandé de désactiver tous les services qui ne sont pas utilisés par le système. Ces services supplémentaires sont activés pour le niveau d'exécution 3 : cpufreq rpcbind avahi-daemon bluez-coldplug mcelog network-remotefs cups stoppreload

Vérifiez la liste des services et désactivez tous les services inutilisés.en cliquant sur configurer vous obtenez la fenêtre du runlevel editor

  • Activer les services supplémentaires au niveau d'exécution (runlevel) 5

Chaque service en cours d'exécution est une cible potentielle d'une attaque de sécurité. C'est pourquoi il est recommandé de désactiver tous les services qui ne sont pas utilisés par le système. Ces services supplémentaires sont activés pour le niveau d'exécution 5 : cpufreq rpcbind avahi-daemon bluez-coldplug mcelog network-remotefs cups xdm stoppreload

Vérifiez la liste des services et désactivez tous les services inutilisés.En cliquant sur “configurer” vous obtenez la fenêtre du runlevel editor

Configurations de sécurité prédéfinies

À l'aide des valeurs par défaut prédéfinies, modifiez les paramètres de sécurité locale, qui comprennent l'amorçage, la connexion, les mots de passe, la création d'utilisateurs et les autorisations de fichier. Les paramètres par défaut peuvent être modifiés si nécessaire.

  • Station de travail privée : Ordinateur personnel non connecté à un réseau.
  • Station de travail réseau : Ordinateur connecté à un réseau, quel qu'il soit, y compris Internet.
  • Serveur réseau : Ordinateur fournissant un service, quel qu'il soit.
  • Paramètres personnalisés : Créez votre propre configuration.

Paramètres du mot de passe

Ces paramètres de mot de passe sont principalement stockés dans le fichier /etc/login.defs.
Vérifier les nouveaux mots de passe : Il est judicieux de choisir un mot de passe qui ne figure dans aucun dictionnaire et qui ne soit pas un nom ou autre mot simple et commun. Si vous cochez cette option, le mot de passe sera vérifié en fonction de ces règles.
Longueur minimum acceptable pour un mot de passe : La taille minimum acceptable pour le nouveau mot de passe réduite par le nombre de classes de caractères différentes (autre, majuscule, minuscule et nombre) utilisé dans le nouveau mot de passe. Regardez man pam_cracklib pour de plus amples explications. Cette option ne peut être modifiée que si Vérifier les nouveaux mots de passe est activé.
Mots de passe à mémoriser : Entrez le nombre de mots de passe d'utilisateur à stocker pour empêcher leur réutilisation. Entrez 0 si les mots de passe ne doivent pas être stockés.
Méthode de chiffrement du mot de passe :

  • des, la méthode par défaut de Linux, fonctionne dans tous les environnements réseau, mais limite la longueur du mot de passe à huit caractères. Si vous souhaitez la compatibilité avec d'autres systèmes, utilisez cette méthode.
  • MD5 permet l'utilisation de mots de passe plus longs. Cette méthode est prise en charge par toutes les distributions Linux actuelles, mais pas par d'autres systèmes ou de vieux logiciels.
  • Blowfish est similaire à MD5 mais utilise un algorithme différent pour chiffrer les mots de passe. Une puissance de traitement considérable est nécessaire pour calculer le hachage, ce qui rend très difficile le craquage de mots de passe à l'aide d'un dictionnaire.

Âge du mot de passe : définissez le nombre minimum et maximum de jours qu'un mot de passe peut être utilisé.
Jours avant avertissement de l'expiration du mot de passe : définit le nombre de jours que les utilisateurs seront avertis avant expiration de leur mot de passe. Plus ce délai sera long, moins il y aura de risques que quelqu'un devine les mots de passe.

Paramètres d’amorçage

Utilisez cette boîte de dialogue pour modifier divers paramètres d'amorçage relatifs à la sécurité.
Interprétation de Ctrl + Alt + Del : Configurez le comportement du système en réponse à la pression simultanée des touches CTRL + ALT + DEL sur la console. Généralement, cette manipulation entraîne le redémarrage du système. Dans certains cas, il est souhaitable d'ignorer cet événement, par exemple quand le système sert à la fois de station de travail et de serveur.
Comportement de l'arrêt du gestionnaire de login : Définissez qui est autorisé à éteindre la machine à partir de KDM.

Paramètres de login

Ces paramètres de connexion sont principalement stockés dans le fichier /etc/login.defs.
Délai après une tentative de connexion incorrecte : Il est conseillé de prévoir un délai d'attente après une tentative de connexion incorrecte pour éviter les tentatives de déchiffrement du mot de passe. Choisissez un délai suffisamment court pour que les utilisateurs ne doivent pas attendre entre deux saisies. Une valeur de l'ordre de trois secondes (3) est sensée.
Enregistrer les tentatives de connexion réussies : La journalisation des tentatives de connexion réussies est très utile. Elle peut vous aider à prévenir les accès non autorisés au système (par exemple, quand un utilisateur se connecte depuis un autre emplacement que d'habitude).
Autoriser la connexion graphique à distance : cette option permet d'autoriser l'accès à un écran de connexion graphique pour cette machine sur le réseau. L'accès distant à votre machine par le biais d'un gestionnaire d'affichage peut poser un risque de sécurité.

Ajout d'utilisateur

Utilisez cette boîte de dialogue pour modifier divers paramètres servant à la création d'utilisateurs.

  • Liste à puceLimites d'ID utilisateur : Définissez le nombre minimum et maximum d'ID utilisateur possibles.
  • Liste à puceLimites d'ID de groupe : Définissez le nombre minimum et maximum d'ID de groupe possibles.

Paramètres divers

Utilisez cette boîte de dialogue pour modifier divers paramètres relatifs à la sécurité locale.
Autorisations de fichier : les paramètres relatifs aux autorisations de certains fichiers système sont définis en fonction des données contenues dans /etc/permissions.secure ou /etc/permissions.easy. Le fichier utilisé dépend de cette sélection. Le lancement de SuSEconfig définit ces autorisation d'après /etc/permissions.*. Les fichiers dont les autorisations étaient incorrectes, pour des raisons accidentelles ou du fait d'une intrusion, sont ainsi réparés.
Avec Simple, la majorité des fichiers système exclusivement lisibles par root en mode Sécurisé est modifiée pour en permettre la lecture par d'autres utilisateurs. Avec Sécurisé, certains fichiers système, tels que /var/log/messages, ne peuvent être visualisés que par l'utilisateur root. Certains programmes ne peuvent être exécutés que par root ou par des démons, mais pas par des utilisateurs ordinaires. Le paramètre le plus sécurisé est Paranoïa. Avec ce dernier, vous devez définir les utilisateurs autorisés à exécuter des applications X et des programmes setuid.
Utilisateur lançant updatedb : le programme updatedb est exécuté une fois par jour. Il analyse l'intégralité de votre système de fichiers et crée une base de données (locatedb) où est consigné l'emplacement de chaque fichier. La base de données peut être consultée à l'aide du programme “locate”. Définissez ici l'utilisateur qui exécute cette commande : nobody (quelques fichiers) ou root (tous les fichiers).
Répertoire actuel dans le chemin de root: Dans un système DOS, le système recherche les fichiers exécutables (programmes) d'abord dans le répertoire actuel, puis dans la variable path actuelle. Un système de type UNIX, au contraire, ne les recherche que dans le chemin de recherche (variable PATH).
Répertoire courant dans le chemin d'accès des utilisateurs normaux Un système DOS recherche d'abord les fichiers exécutables (programmes) dans le répertoire courant et ensuite par le biais du chemin d'accès. Dans un système de type UNIX, par contre, ces fichiers sont recherchés exclusivement par le biais du chemin d'accès (variable PATH). Certains systèmes mettent en place une parade en ajoutant un point (“.”) au chemin de recherche, pour permettre aux fichiers situés dans le chemin actuel d'être trouvés et exécutés. Ceci est extrêmement dangereux car vous risquez de lancer accidentellement des programmes inconnus dans le répertoire actuel au lieu des fichiers système habituels. Cette solution constitue , par conséquent, une porte ouverte à l'exécution de Chevaux de Troie, qui exploitent cette faiblesse pour envahir votre système. “yes” : le point (“.”) est ajouté à la fin du chemin d'accès de l'utilisateur root qui sera donc recherché en dernier. “no” : l'utilisateur root devra toujours lancer les programmes dans le répertoire courant avec le préfixe “./”. Exemple : “./configure”.
Activer Magic SysRq Keys Si vous sélectionnez cette option, vous gardez un certain contrôle du système, même en cas de crash système (par exemple durant le débogage de kernel). Pour plus de détails, consultez /usr/src/linux/Documentation/sysrq.txt

have fun!!!!

yast/parametres_de_securite_locale.txt · Dernière modification : 2018/11/17 12:54 de 127.0.0.1