Sécuriser sa distribution [Résolu]

ShinJava · 12/02/2005, 08h56

Salut tout le monde, vous allez bien

?

Alors je suis un débutant sous linux et j'aimerais y installer un serveur web (entre autre apache2, bon ca c'est pas tres difficile).
Et ma question est toute simple et repose surtout sur les experiences de chacun.
Quel sont les meilleurs outils et les habitudes à prendre pour avoir un linux sécurisé ?
De mon côté, je suis sous Débian et je suis passé à Sarge, pour faire assez souvent les mises a jour de la distribution.

Merci d'avance!!

++
ShinJava

Katyucha · 12/02/2005, 10h35

Il y a un outils simple déjà pour voir tes ports d'ouvert :
nmap

tape : nmap localhost et déjà ca te fera un premier apercu des ports ouverts.

Ensuite la sécurité d'apache2 ne concerne qu'apache2. C'est en lisant et modifiant le fichier de configuration que tu arriveras au mieux à le sécuriser. Même si je trouve que de base, la configuration est très bien.

Pour le reste, travaille judiscieusement les droits sur les répertoires/fichiers contenant tes pages HTML.

vic · 12/02/2005, 22h06

Le plus imoprtant me semble de savoir précisément les services réseau qui tournent sur la machine, et les limiter au minimum. Un nmap est effectivement très utile pour ça.

Première chose à faire, fermer les services inutiles. Certains distributions installent par défaut des services comme finger, qui ne servent à rien d'autre qu'à donner des informations sur la machine a un attaquant potentiel, il faut les couper. D'une manière générale inetd ou xinetd sont à désactiver.

S'il est nécéssaire de se connecter à distance à la machine, utiliser ssh et surtout pas telnet.

Ensuite, garder tous les services à jour et patchés est indispensable (en général Debian fait celà très bien).

Mettre un firewall qui bloque les ports non ouverts et laisse passer les ports ouverts (80, 22 ..) ne sert a priori à rien. Par contre une règle qui limite l'accès à l'intranet par exemple permet de factoriser certaines opérations et de les simplifier, mais c'est faisable depuis la configuration de chaque logiciel en général, et de manière plus fine. A voir selon les besoins.
Il est important de noter qu'un firewall ne protège en rien contre une éventuelle faille de sécurité d'un logiciel.

Olivier Regnier · 13/02/2005, 00h08

Bonjour,

Tu peux potasser ce merveilleux tutoriel à savoir: Manuel de sécurisation de Debian

Débutant avec Debian, ce serait sympa d'apprendre à sécuriser ta distribution avant d'aller plus loin.

Voilà @++

ShinJava · 19/02/2005, 19h52

Salut tout le monde !
Alors tout d'abord merci pour vos messages et liens !
Je les ai lu avec attention et c'est effectivement tres formatteur.

C'est vrai qu'un antivirus ne sert à rien du tout sous Linux ? (désolé si cette question peut paraitre bete, je suis en pleine transition windows/linux).

Les services comme apache , MySQL et tomcat (serveur d'application), vaut mieux t'il les lancer en tant que root ou utilisateur ?

Merci pour vos réponses !

++
ShinJava

Celelibi · 19/02/2005, 21h30

pour l'antivirus il faudrai déjà qu'il y ai des virus.
ceux que tu recois dans ta boite mail, sont tous fait pour windows, pas de trojan possible si tu n'install que des packages officiels, quant-à ceux qui se propagent tout seuls (style sasser sous windows) ils exploitent forcément une faille qui est en général corrigé avant d'avoir pu être exploité.

pour résumer : maintient ta debian à jour ça sera ton meilleur antivirus.

évite au maximum de lancer des programmes en root.
la majorité des failles dans les applications (pas forcément des serveurs) sont des overflow, il devient donc possible de faire exécuter du code "arbitraire" (souvent bien choisi

) comme si ce code faisait parti de l'application elle-même. autrement dit une faille dans une application qui tourne en root, permet d'exécuter du code en root.
ceci dit pour ce qui est d'apache et mysql, eux ils faut les lancer en root, et ils s'occupent tout seul de se loguer avec un user spécifique.

chanmix · 20/02/2005, 11h43

La securite c'est aussi proteger le systeme de soi meme

On ne travaille jamais en tant que root. Root est la pour permettre aux utilisateurs de travailler.

Pour savoir quels sont les ports a l'ecoute sur sa machine :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
netstat --inet -lpn

alveric · 20/02/2005, 14h18

Citation:

Envoyé par Katyucha

Il y a un outils simple déjà pour voir tes ports d'ouvert :
nmap

tape : nmap localhost et déjà ca te fera un premier apercu des ports ouverts.

Si tu utilises nmap sur l'hôte local, tous les paquets passeront par la boucle locale (périphérique loopback), donc le résultat sera différent de ce que pourront voir des machine externes sur le réseau local / internet. Donc nmap localhost, c'est à peu près bien pour déterminer les services lancés, mais ne dit pas coment tu seras vu de l'extérieur. Je dis "à peu près bien", car il se peut que la configuration netfilter/iptables bloque une partie du trafic local, et donc t'empêche de voir des serviecs lancés.

nicolas581 · 20/02/2005, 15h37

Une présentation d'iptables accessible sans être un pro du réseau (comme moi

) et qui permet de limiter les risques d'intrusions.
http://olivieraj.free.fr/fr/linux/information/firewall/

ShinJava · 22/02/2005, 21h35

Merci a vous encore pour les liens et conseils !

Celelibi : ok ! ma debian est souvent mise a jour, donc pas de soucis de ce côté la. Mais sinon pour apache et mysql en root, je ne comprend pas trop le truc car je suis apparement obligé de les lancer en root, je n'ai pas d'autres choix

... donc il risque d'y avoir des problèmes de ce coté ci non ?

chanmix : Je suis pas encore tres bien dans le moule de linux, je continu a m'accrocher. Je commence a comprendre la philosophie du root et qu'il permet de donner pas mal de privilège aux utilisateurs.

alveric : merci pour le truc... la j'ai tres peu de port ouvert, je les gère par rapport à mon routeur.

nicolas581 : cool !! Merci pour le lien ! ca va bien me servir, je vais étudier ca de pres.

Merci encore pour vos conseils, si jamais vous avez d'autres truc et astuces, ca serait genial !

Au fait, j'ai une question : apache2 demarre automatiquement a chaque fois que je demarre debian... y'a un t'il un fichier config a régler pour pouvoir controler ceci ?
Merci d'avance pour vos réponses !

++
shinjava

chanmix · 25/02/2005, 13h22

Hé hé le démarrage des services des Unix Système V est traité dans le cours Debian GNU/Linux :

http://people.via.ecp.fr/~alexis/formation-linux/formation-linux.html

A opposer à la famille BSD qui ont simplifié les options de démarrage à un fichier de boot (chacune des méthodes a ses partisans, rien ne vous empêche de modifier votre /etc/inittab pour avoir un comportement à la BSD sur votre GNU/Linux comme le propose la Slackware par exemple).

Celelibi · 25/02/2005, 18h13

Citation:

Envoyé par ShinJava

Celelibi : ok ! ma debian est souvent mise a jour, donc pas de soucis de ce côté la. Mais sinon pour apache et mysql en root, je ne comprend pas trop le truc car je suis apparement obligé de les lancer en root, je n'ai pas d'autres choix

... donc il risque d'y avoir des problèmes de ce coté ci non ?

Citation:

Envoyé par un peu plus haut y'

ceci dit pour ce qui est d'apache et mysql, eux ils faut les lancer en root, et ils s'occupent tout seul de se loguer avec un user spécifique.

ShinJava · 09/03/2005, 13h18

Merci à vous !
Désolé pour la réponse tardif.
Celibi : autant pour moi, désolé j'etais pas tres attentif.
Avec tout ca devrait aller

A moins que quelqu'un d'autre est quelque chose à rajouter...
Merci tout le monde !
++
ShinJava

12/02/2005, 08h56	#1
ShinJava Membre confirmé Inscription : septembre 2004 Messages : 411 Détails du profil Informations forums : Inscription : septembre 2004 Messages : 411 Points : 287 Points : 287	Sécuriser sa distribution Salut tout le monde, vous allez bien ? Alors je suis un débutant sous linux et j'aimerais y installer un serveur web (entre autre apache2, bon ca c'est pas tres difficile). Et ma question est toute simple et repose surtout sur les experiences de chacun. Quel sont les meilleurs outils et les habitudes à prendre pour avoir un linux sécurisé ? De mon côté, je suis sous Débian et je suis passé à Sarge, pour faire assez souvent les mises a jour de la distribution. Merci d'avance!! ++ ShinJava __________________ Petit débutant deviendra grand... débutant
	00

13/02/2005, 00h08	#4
Olivier Regnier Rédacteur Inscription : juillet 2004 Messages : 2 573 Détails du profil Informations personnelles : Âge : 34 Informations forums : Inscription : juillet 2004 Messages : 2 573 Points : 1 973 Points : 1 973	Bonjour, Tu peux potasser ce merveilleux tutoriel à savoir: Manuel de sécurisation de Debian Débutant avec Debian, ce serait sympa d'apprendre à sécuriser ta distribution avant d'aller plus loin. Voilà @++ __________________ .Olivier
	00

19/02/2005, 21h30	#6
Celelibi Membre émérite Inscription : janvier 2004 Messages : 990 Détails du profil Informations forums : Inscription : janvier 2004 Messages : 990 Points : 822 Points : 822	pour l'antivirus il faudrai déjà qu'il y ai des virus. ceux que tu recois dans ta boite mail, sont tous fait pour windows, pas de trojan possible si tu n'install que des packages officiels, quant-à ceux qui se propagent tout seuls (style sasser sous windows) ils exploitent forcément une faille qui est en général corrigé avant d'avoir pu être exploité. pour résumer : maintient ta debian à jour ça sera ton meilleur antivirus. évite au maximum de lancer des programmes en root. la majorité des failles dans les applications (pas forcément des serveurs) sont des overflow, il devient donc possible de faire exécuter du code "arbitraire" (souvent bien choisi ) comme si ce code faisait parti de l'application elle-même. autrement dit une faille dans une application qui tourne en root, permet d'exécuter du code en root. ceci dit pour ce qui est d'apache et mysql, eux ils faut les lancer en root, et ils s'occupent tout seul de se loguer avec un user spécifique. __________________ Les vaches ne peuvent PAS voler, quoi qu'elles aient pu vous raconter.
	00

12/02/2005, 10h35	#2
Katyucha Expert Confirmé Inscription : mars 2004 Messages : 3 109 Détails du profil Informations personnelles : Âge : 31 Localisation : Allemagne Informations forums : Inscription : mars 2004 Messages : 3 109 Points : 3 313 Points : 3 313	Il y a un outils simple déjà pour voir tes ports d'ouvert : nmap tape : nmap localhost et déjà ca te fera un premier apercu des ports ouverts. Ensuite la sécurité d'apache2 ne concerne qu'apache2. C'est en lisant et modifiant le fichier de configuration que tu arriveras au mieux à le sécuriser. Même si je trouve que de base, la configuration est très bien. Pour le reste, travaille judiscieusement les droits sur les répertoires/fichiers contenant tes pages HTML.
	00

12/02/2005, 22h06	#3
vic Membre éprouvé Inscription : août 2002 Messages : 430 Détails du profil Informations forums : Inscription : août 2002 Messages : 430 Points : 408 Points : 408	Le plus imoprtant me semble de savoir précisément les services réseau qui tournent sur la machine, et les limiter au minimum. Un nmap est effectivement très utile pour ça. Première chose à faire, fermer les services inutiles. Certains distributions installent par défaut des services comme finger, qui ne servent à rien d'autre qu'à donner des informations sur la machine a un attaquant potentiel, il faut les couper. D'une manière générale inetd ou xinetd sont à désactiver. S'il est nécéssaire de se connecter à distance à la machine, utiliser ssh et surtout pas telnet. Ensuite, garder tous les services à jour et patchés est indispensable (en général Debian fait celà très bien). Mettre un firewall qui bloque les ports non ouverts et laisse passer les ports ouverts (80, 22 ..) ne sert a priori à rien. Par contre une règle qui limite l'accès à l'intranet par exemple permet de factoriser certaines opérations et de les simplifier, mais c'est faisable depuis la configuration de chaque logiciel en général, et de manière plus fine. A voir selon les besoins. Il est important de noter qu'un firewall ne protège en rien contre une éventuelle faille de sécurité d'un logiciel.
	00

19/02/2005, 19h52	#5
ShinJava Membre confirmé Inscription : septembre 2004 Messages : 411 Détails du profil Informations forums : Inscription : septembre 2004 Messages : 411 Points : 287 Points : 287	Salut tout le monde ! Alors tout d'abord merci pour vos messages et liens ! Je les ai lu avec attention et c'est effectivement tres formatteur. C'est vrai qu'un antivirus ne sert à rien du tout sous Linux ? (désolé si cette question peut paraitre bete, je suis en pleine transition windows/linux). Les services comme apache , MySQL et tomcat (serveur d'application), vaut mieux t'il les lancer en tant que root ou utilisateur ? Merci pour vos réponses ! ++ ShinJava
	00

20/02/2005, 15h37	#9
nicolas581 Membre confirmé Inscription : avril 2004 Messages : 314 Détails du profil Informations forums : Inscription : avril 2004 Messages : 314 Points : 277 Points : 277	Une présentation d'iptables accessible sans être un pro du réseau (comme moi ) et qui permet de limiter les risques d'intrusions. http://olivieraj.free.fr/fr/linux/information/firewall/
	00

22/02/2005, 21h35	#10
ShinJava Membre confirmé Inscription : septembre 2004 Messages : 411 Détails du profil Informations forums : Inscription : septembre 2004 Messages : 411 Points : 287 Points : 287	Merci a vous encore pour les liens et conseils ! Celelibi : ok ! ma debian est souvent mise a jour, donc pas de soucis de ce côté la. Mais sinon pour apache et mysql en root, je ne comprend pas trop le truc car je suis apparement obligé de les lancer en root, je n'ai pas d'autres choix ... donc il risque d'y avoir des problèmes de ce coté ci non ? chanmix : Je suis pas encore tres bien dans le moule de linux, je continu a m'accrocher. Je commence a comprendre la philosophie du root et qu'il permet de donner pas mal de privilège aux utilisateurs. alveric : merci pour le truc... la j'ai tres peu de port ouvert, je les gère par rapport à mon routeur. nicolas581 : cool !! Merci pour le lien ! ca va bien me servir, je vais étudier ca de pres. Merci encore pour vos conseils, si jamais vous avez d'autres truc et astuces, ca serait genial ! Au fait, j'ai une question : apache2 demarre automatiquement a chaque fois que je demarre debian... y'a un t'il un fichier config a régler pour pouvoir controler ceci ? Merci d'avance pour vos réponses ! ++ shinjava
	00

25/02/2005, 13h22	#11
chanmix Membre à l'essai Inscription : février 2005 Messages : 24 Détails du profil Informations forums : Inscription : février 2005 Messages : 24 Points : 24 Points : 24	Hé hé le démarrage des services des Unix Système V est traité dans le cours Debian GNU/Linux : http://people.via.ecp.fr/~alexis/formation-linux/formation-linux.html A opposer à la famille BSD qui ont simplifié les options de démarrage à un fichier de boot (chacune des méthodes a ses partisans, rien ne vous empêche de modifier votre /etc/inittab pour avoir un comportement à la BSD sur votre GNU/Linux comme le propose la Slackware par exemple).
	00

09/03/2005, 13h18	#13
ShinJava Membre confirmé Inscription : septembre 2004 Messages : 411 Détails du profil Informations forums : Inscription : septembre 2004 Messages : 411 Points : 287 Points : 287	Merci à vous ! Désolé pour la réponse tardif. Celibi : autant pour moi, désolé j'etais pas tres attentif. Avec tout ca devrait aller A moins que quelqu'un d'autre est quelque chose à rajouter... Merci tout le monde ! ++ ShinJava
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email