====== Sécurisation d'un serveur GNU / Linux ====== But du TP : Exploiter les connaissances acquises durant les cours d'administration système pour sécuriser un serveur GNU / Linux, étape par étape Eléments pour construire le TP : * Administration, Tome3 : sécuriser un serveur Linux (nommé ici T3) * Sécurité Linux (nommé ici Cadenas) COMPLETER la liste des éléments fournis. Ressources : * Isos Linux : http://ftp.u-strasbg.fr/isos/ * Vmware : demander code à M. GRAD (déjà fait) ===== Notes ===== * Reprendre les points données au chap 1 du T3 pour faire un genre de cours rapide sur la sécurité : * politique de sécurité * audit (scripts qui testent la sécurité) * formation des employés * sécurité physique d'un serveur * etc. * Faire ce que nous appelons des "clins d'½il" aux cours de l'année, pour permettre à l'élève de se sentir dans son élément * Faire un mini - recueil d'astuces pour permettre à l'élève d'avancer rapidement : * gpg --symetrie fichier * ===== En vrac ===== * Sauvegarde = une partie de sécurité importante * Lire manuel de sécurité Debian p1-4 ===== Idée(s) de TP ===== * Mot de passe : Martine est utilisateur de la machine, elle possède des droits //sudo// et ne ferme pratiquement jamais son bureau (c'est une tête en l'air). Dans son bureau, à côté de l'écran, se trouve plusieurs photos de son chien **pompom** * Snif réseau d'un utilisateur ? : donner le log du sniffage * Mettre un outil de pirate sur le serveur et permettre à l'élève de détecter puis éradiquer ledit outil * coroner toolkit ? * t0rn ? * Faire peut être un joomla ou un drupal ayant une faille connue, l'exploiter pour casser le forum / site, et demander à l'élève de réparer ? * recherche de la mise à jour * installation suivant procédure donnée par le site de joomla ou drupal * Injection SQL / XSS pour détruire un site ? * Vérification des commandes basiques tels que ls, cd, etc. ===== Tâches à faire ===== * Liste l'ensemble des choses à vérifier : * mdp trop simple * bios * lecture journaux (log) * accès machine ===== Liste ===== * isolation : le serveur ne doit pas être accessible physiquement => minimum salle sans fenêtre, climatisée (+) et avec porte blindée et digicode, mur en béton armé (pas en plâtre). Idem pour les sauvegardes => pas de clé USB ! * fournir un mdp à chaque utilisateur, ne pas lui laisser le changer (contrôle total de la fragilité des mdps) : 2majuscules, 4 minuscules, 2 chiffres et 2 caractères comme **/**, **;** . * Donner des instructions à chaque utilisateur : * Ils doivent apprendre par c½ur le mot de passe * Supprimer le papier où le mot de passe était => destructeur de documents (chercher le pourcentage de données récupérés par des "malfaiteurs" dans les poubelles) * ne donner __sous aucun prétexte__ le mot de passe à quelqu'un, quel qu'il soit ! * ne jamais énoncer de vive voix (ni de voix tout court) le mdp * Si on quitte quelques secondes le poste, on doit VERROUILLER la session * Sous Microsoft Windows [touche windows] + [L] * Sous GNU / Linux [Ctrl] + [Alt] + [L] (sous gnome et KDE => non testé ailleurs) * vérifier que les utilisateurs n'appartiennent pas à des groupes ayant trop de permissions * vérifier les accès aux serveurs web, si l'utilisateur a le sudo ou pas * Web : apache, fichiers des sites, etc... => droits sur dossier partagé * Notamment Samba, NFS (faire NIS), etc... ---- * Minimisation * Granularité des défenses => plusieurs couches de protection : minimiser les services donc les portes, ajouter de l'audit (= écoute des évènements) * Que faire en cas de pertes de données ? Où sont les sauvegardes ? Et si le feu a tout détruit ? Où est le serveur de secours ? => les assurances ne paient RIEN si on a pas de quoi redémarrer rapidement !! * Surveillance * Vérifier fréquemment l'état du système : courriel envoyé, lecture des journaux, tâches cron pour les sauvegardes * Désinformation (exemple du livre, avec Hitler qui pensait que le débarquement serait fait au Pas - De - Calais) * formation, information, sanctions : notices d'utilisations ludiques ? Qui amènent une envie d'être apprises ? * tutos interactifs ? imagés ? * La veille informatique : être toujours au courant de ce qui existe / se passe ailleurs