Mise à jour (enfin!) du dernier semestre de cours
This commit is contained in:
olivier
88
cours/S5B/TP/TP4/LISMOI
Normal file
88
cours/S5B/TP/TP4/LISMOI
Normal file
@ -0,0 +1,88 @@
|
||||
====== Sécurisation d'un serveur GNU / Linux ======
|
||||
|
||||
But du TP : Exploiter les connaissances acquises durant les cours d'administration système pour sécuriser un serveur GNU / Linux, étape par étape
|
||||
|
||||
Eléments pour construire le TP :
|
||||
* Administration, Tome3 : sécuriser un serveur Linux (nommé ici T3)
|
||||
* Sécurité Linux (nommé ici Cadenas)
|
||||
|
||||
COMPLETER la liste des éléments fournis.
|
||||
|
||||
Ressources :
|
||||
|
||||
* Isos Linux : http://ftp.u-strasbg.fr/isos/
|
||||
* Vmware : demander code à M. GRAD (déjà fait)
|
||||
|
||||
|
||||
===== Notes =====
|
||||
|
||||
* Reprendre les points données au chap 1 du T3 pour faire un genre de cours rapide sur la sécurité :
|
||||
* politique de sécurité
|
||||
* audit (scripts qui testent la sécurité)
|
||||
* formation des employés
|
||||
* sécurité physique d'un serveur
|
||||
* etc.
|
||||
* Faire ce que nous appelons des "clins d'½il" aux cours de l'année, pour permettre à l'élève de se sentir dans son élément
|
||||
* Faire un mini - recueil d'astuces pour permettre à l'élève d'avancer rapidement :
|
||||
* gpg --symetrie fichier
|
||||
*
|
||||
|
||||
|
||||
===== En vrac =====
|
||||
|
||||
* Sauvegarde = une partie de sécurité importante
|
||||
* Lire manuel de sécurité Debian p1-4
|
||||
|
||||
===== Idée(s) de TP =====
|
||||
|
||||
* Mot de passe : Martine est utilisateur de la machine, elle possède des droits //sudo// et ne ferme pratiquement jamais son bureau (c'est une tête en l'air). Dans son bureau, à côté de l'écran, se trouve plusieurs photos de son chien **pompom**
|
||||
* Snif réseau d'un utilisateur ? : donner le log du sniffage
|
||||
* Mettre un outil de pirate sur le serveur et permettre à l'élève de détecter puis éradiquer ledit outil
|
||||
* coroner toolkit ?
|
||||
* t0rn ?
|
||||
* Faire peut être un joomla ou un drupal ayant une faille connue, l'exploiter pour casser le forum / site, et demander à l'élève de réparer ?
|
||||
* recherche de la mise à jour
|
||||
* installation suivant procédure donnée par le site de joomla ou drupal
|
||||
* Injection SQL / XSS pour détruire un site ?
|
||||
* Vérification des commandes basiques tels que ls, cd, etc.
|
||||
|
||||
===== Tâches à faire =====
|
||||
|
||||
* Liste l'ensemble des choses à vérifier :
|
||||
* mdp trop simple
|
||||
* bios
|
||||
* lecture journaux (log)
|
||||
* accès machine
|
||||
|
||||
===== Liste =====
|
||||
|
||||
* isolation : le serveur ne doit pas être accessible physiquement => minimum salle sans fenêtre, climatisée (+) et avec porte blindée et digicode, mur en béton armé (pas en plâtre). Idem pour les sauvegardes => pas de clé USB !
|
||||
* fournir un mdp à chaque utilisateur, ne pas lui laisser le changer (contrôle total de la fragilité des mdps) : 2majuscules, 4 minuscules, 2 chiffres et 2 caractères comme **/**, **;** .
|
||||
* Donner des instructions à chaque utilisateur :
|
||||
* Ils doivent apprendre par c½ur le mot de passe
|
||||
* Supprimer le papier où le mot de passe était => destructeur de documents (chercher le pourcentage de données récupérés par des "malfaiteurs" dans les poubelles)
|
||||
* ne donner __sous aucun prétexte__ le mot de passe à quelqu'un, quel qu'il soit !
|
||||
* ne jamais énoncer de vive voix (ni de voix tout court) le mdp
|
||||
* Si on quitte quelques secondes le poste, on doit VERROUILLER la session
|
||||
* Sous Microsoft Windows [touche windows] + [L]
|
||||
* Sous GNU / Linux [Ctrl] + [Alt] + [L] (sous gnome et KDE => non testé ailleurs)
|
||||
* vérifier que les utilisateurs n'appartiennent pas à des groupes ayant trop de permissions
|
||||
* vérifier les accès aux serveurs web, si l'utilisateur a le sudo ou pas
|
||||
* Web : apache, fichiers des sites, etc... => droits sur dossier partagé
|
||||
* Notamment Samba, NFS (faire NIS), etc...
|
||||
|
||||
----
|
||||
|
||||
* Minimisation
|
||||
* Granularité des défenses => plusieurs couches de protection : minimiser les services donc les portes, ajouter de l'audit (= écoute des évènements)
|
||||
* Que faire en cas de pertes de données ? Où sont les sauvegardes ? Et si le feu a tout détruit ? Où est le serveur de secours ? => les assurances ne paient RIEN si on a pas de quoi redémarrer rapidement !!
|
||||
* Surveillance
|
||||
* Vérifier fréquemment l'état du système : courriel envoyé, lecture des journaux, tâches cron pour les sauvegardes
|
||||
* Désinformation (exemple du livre, avec Hitler qui pensait que le débarquement serait fait au Pas - De - Calais)
|
||||
* formation, information, sanctions : notices d'utilisations ludiques ? Qui amènent une envie d'être apprises ?
|
||||
* tutos interactifs ? imagés ?
|
||||
* La veille informatique : être toujours au courant de ce qui existe / se passe ailleurs
|
||||
|
||||
|
||||
|
||||
|
||||
Reference in New Issue
Block a user