cours0809/cours/S5B/TP/TP4/LISMOI

89 lines
4.4 KiB
Plaintext

====== Sécurisation d'un serveur GNU / Linux ======
But du TP : Exploiter les connaissances acquises durant les cours d'administration système pour sécuriser un serveur GNU / Linux, étape par étape
Eléments pour construire le TP :
* Administration, Tome3 : sécuriser un serveur Linux (nommé ici T3)
* Sécurité Linux (nommé ici Cadenas)
COMPLETER la liste des éléments fournis.
Ressources :
* Isos Linux : http://ftp.u-strasbg.fr/isos/
* Vmware : demander code à M. GRAD (déjà fait)
===== Notes =====
* Reprendre les points données au chap 1 du T3 pour faire un genre de cours rapide sur la sécurité :
* politique de sécurité
* audit (scripts qui testent la sécurité)
* formation des employés
* sécurité physique d'un serveur
* etc.
* Faire ce que nous appelons des "clins d'½il" aux cours de l'année, pour permettre à l'élève de se sentir dans son élément
* Faire un mini - recueil d'astuces pour permettre à l'élève d'avancer rapidement :
* gpg --symetrie fichier
*
===== En vrac =====
* Sauvegarde = une partie de sécurité importante
* Lire manuel de sécurité Debian p1-4
===== Idée(s) de TP =====
* Mot de passe : Martine est utilisateur de la machine, elle possède des droits //sudo// et ne ferme pratiquement jamais son bureau (c'est une tête en l'air). Dans son bureau, à côté de l'écran, se trouve plusieurs photos de son chien **pompom**
* Snif réseau d'un utilisateur ? : donner le log du sniffage
* Mettre un outil de pirate sur le serveur et permettre à l'élève de détecter puis éradiquer ledit outil
* coroner toolkit ?
* t0rn ?
* Faire peut être un joomla ou un drupal ayant une faille connue, l'exploiter pour casser le forum / site, et demander à l'élève de réparer ?
* recherche de la mise à jour
* installation suivant procédure donnée par le site de joomla ou drupal
* Injection SQL / XSS pour détruire un site ?
* Vérification des commandes basiques tels que ls, cd, etc.
===== Tâches à faire =====
* Liste l'ensemble des choses à vérifier :
* mdp trop simple
* bios
* lecture journaux (log)
* accès machine
===== Liste =====
* isolation : le serveur ne doit pas être accessible physiquement => minimum salle sans fenêtre, climatisée (+) et avec porte blindée et digicode, mur en béton armé (pas en plâtre). Idem pour les sauvegardes => pas de clé USB !
* fournir un mdp à chaque utilisateur, ne pas lui laisser le changer (contrôle total de la fragilité des mdps) : 2majuscules, 4 minuscules, 2 chiffres et 2 caractères comme **/**, **;** .
* Donner des instructions à chaque utilisateur :
* Ils doivent apprendre par c½ur le mot de passe
* Supprimer le papier où le mot de passe était => destructeur de documents (chercher le pourcentage de données récupérés par des "malfaiteurs" dans les poubelles)
* ne donner __sous aucun prétexte__ le mot de passe à quelqu'un, quel qu'il soit !
* ne jamais énoncer de vive voix (ni de voix tout court) le mdp
* Si on quitte quelques secondes le poste, on doit VERROUILLER la session
* Sous Microsoft Windows [touche windows] + [L]
* Sous GNU / Linux [Ctrl] + [Alt] + [L] (sous gnome et KDE => non testé ailleurs)
* vérifier que les utilisateurs n'appartiennent pas à des groupes ayant trop de permissions
* vérifier les accès aux serveurs web, si l'utilisateur a le sudo ou pas
* Web : apache, fichiers des sites, etc... => droits sur dossier partagé
* Notamment Samba, NFS (faire NIS), etc...
----
* Minimisation
* Granularité des défenses => plusieurs couches de protection : minimiser les services donc les portes, ajouter de l'audit (= écoute des évènements)
* Que faire en cas de pertes de données ? Où sont les sauvegardes ? Et si le feu a tout détruit ? Où est le serveur de secours ? => les assurances ne paient RIEN si on a pas de quoi redémarrer rapidement !!
* Surveillance
* Vérifier fréquemment l'état du système : courriel envoyé, lecture des journaux, tâches cron pour les sauvegardes
* Désinformation (exemple du livre, avec Hitler qui pensait que le débarquement serait fait au Pas - De - Calais)
* formation, information, sanctions : notices d'utilisations ludiques ? Qui amènent une envie d'être apprises ?
* tutos interactifs ? imagés ?
* La veille informatique : être toujours au courant de ce qui existe / se passe ailleurs