89 lines
4.4 KiB
Plaintext
89 lines
4.4 KiB
Plaintext
====== Sécurisation d'un serveur GNU / Linux ======
|
|
|
|
But du TP : Exploiter les connaissances acquises durant les cours d'administration système pour sécuriser un serveur GNU / Linux, étape par étape
|
|
|
|
Eléments pour construire le TP :
|
|
* Administration, Tome3 : sécuriser un serveur Linux (nommé ici T3)
|
|
* Sécurité Linux (nommé ici Cadenas)
|
|
|
|
COMPLETER la liste des éléments fournis.
|
|
|
|
Ressources :
|
|
|
|
* Isos Linux : http://ftp.u-strasbg.fr/isos/
|
|
* Vmware : demander code à M. GRAD (déjà fait)
|
|
|
|
|
|
===== Notes =====
|
|
|
|
* Reprendre les points données au chap 1 du T3 pour faire un genre de cours rapide sur la sécurité :
|
|
* politique de sécurité
|
|
* audit (scripts qui testent la sécurité)
|
|
* formation des employés
|
|
* sécurité physique d'un serveur
|
|
* etc.
|
|
* Faire ce que nous appelons des "clins d'½il" aux cours de l'année, pour permettre à l'élève de se sentir dans son élément
|
|
* Faire un mini - recueil d'astuces pour permettre à l'élève d'avancer rapidement :
|
|
* gpg --symetrie fichier
|
|
*
|
|
|
|
|
|
===== En vrac =====
|
|
|
|
* Sauvegarde = une partie de sécurité importante
|
|
* Lire manuel de sécurité Debian p1-4
|
|
|
|
===== Idée(s) de TP =====
|
|
|
|
* Mot de passe : Martine est utilisateur de la machine, elle possède des droits //sudo// et ne ferme pratiquement jamais son bureau (c'est une tête en l'air). Dans son bureau, à côté de l'écran, se trouve plusieurs photos de son chien **pompom**
|
|
* Snif réseau d'un utilisateur ? : donner le log du sniffage
|
|
* Mettre un outil de pirate sur le serveur et permettre à l'élève de détecter puis éradiquer ledit outil
|
|
* coroner toolkit ?
|
|
* t0rn ?
|
|
* Faire peut être un joomla ou un drupal ayant une faille connue, l'exploiter pour casser le forum / site, et demander à l'élève de réparer ?
|
|
* recherche de la mise à jour
|
|
* installation suivant procédure donnée par le site de joomla ou drupal
|
|
* Injection SQL / XSS pour détruire un site ?
|
|
* Vérification des commandes basiques tels que ls, cd, etc.
|
|
|
|
===== Tâches à faire =====
|
|
|
|
* Liste l'ensemble des choses à vérifier :
|
|
* mdp trop simple
|
|
* bios
|
|
* lecture journaux (log)
|
|
* accès machine
|
|
|
|
===== Liste =====
|
|
|
|
* isolation : le serveur ne doit pas être accessible physiquement => minimum salle sans fenêtre, climatisée (+) et avec porte blindée et digicode, mur en béton armé (pas en plâtre). Idem pour les sauvegardes => pas de clé USB !
|
|
* fournir un mdp à chaque utilisateur, ne pas lui laisser le changer (contrôle total de la fragilité des mdps) : 2majuscules, 4 minuscules, 2 chiffres et 2 caractères comme **/**, **;** .
|
|
* Donner des instructions à chaque utilisateur :
|
|
* Ils doivent apprendre par c½ur le mot de passe
|
|
* Supprimer le papier où le mot de passe était => destructeur de documents (chercher le pourcentage de données récupérés par des "malfaiteurs" dans les poubelles)
|
|
* ne donner __sous aucun prétexte__ le mot de passe à quelqu'un, quel qu'il soit !
|
|
* ne jamais énoncer de vive voix (ni de voix tout court) le mdp
|
|
* Si on quitte quelques secondes le poste, on doit VERROUILLER la session
|
|
* Sous Microsoft Windows [touche windows] + [L]
|
|
* Sous GNU / Linux [Ctrl] + [Alt] + [L] (sous gnome et KDE => non testé ailleurs)
|
|
* vérifier que les utilisateurs n'appartiennent pas à des groupes ayant trop de permissions
|
|
* vérifier les accès aux serveurs web, si l'utilisateur a le sudo ou pas
|
|
* Web : apache, fichiers des sites, etc... => droits sur dossier partagé
|
|
* Notamment Samba, NFS (faire NIS), etc...
|
|
|
|
----
|
|
|
|
* Minimisation
|
|
* Granularité des défenses => plusieurs couches de protection : minimiser les services donc les portes, ajouter de l'audit (= écoute des évènements)
|
|
* Que faire en cas de pertes de données ? Où sont les sauvegardes ? Et si le feu a tout détruit ? Où est le serveur de secours ? => les assurances ne paient RIEN si on a pas de quoi redémarrer rapidement !!
|
|
* Surveillance
|
|
* Vérifier fréquemment l'état du système : courriel envoyé, lecture des journaux, tâches cron pour les sauvegardes
|
|
* Désinformation (exemple du livre, avec Hitler qui pensait que le débarquement serait fait au Pas - De - Calais)
|
|
* formation, information, sanctions : notices d'utilisations ludiques ? Qui amènent une envie d'être apprises ?
|
|
* tutos interactifs ? imagés ?
|
|
* La veille informatique : être toujours au courant de ce qui existe / se passe ailleurs
|
|
|
|
|
|
|
|
|