[gull] securiser les ports d'entrée

Marc SCHAEFER schaefer at alphanet.ch
Tue May 17 10:11:10 CEST 2005


On Tue, May 17, 2005 at 08:50:17AM +0200, Dominique-Georges Branciard wrote:
> Je desire comprendre comment sécuriser mon PC...

Question simple, réponse complexe (chacun des points pourraient amener
un développement de plusieurs pages ...)

1. ne pas installer sarge, car sarge n'est pas sécurisée (pour le
moment; il y a des efforts pour amener à la sécurisation de sarge via sa
stabilisation)

2. ne pas ajouter des sources d'installation Debian (dans
/etc/apt/sources.list) en dehors de Debian stable.

3. ne pas installer de packages manuellement ni compiler de logiciel
local

(PS: toute infraction aux règles ci-dessus vous transforme
automatiquement en mainteneur du programme/package considéré et donc
vous force à consulter la liste de distribution pour connaître les
bugs et patcher immédiatement).

4. n'installer que les logiciels réellement nécessaires.

5. limiter l'accès aux périphériques et fichiers par les permissions
UNIX

les deux points ci-dessus permettent de limiter les conséquences d'une
prise de contrôle distante (p.ex. script PHP mal écrit)

6. ne tourner que les services minimaux nécessaires (netstat -anp)

7. tourner les services pas sous root, sauf si strictement nécessaire.
   Pour les services complexes, il est recommandé de les tourner dans
   une prison chroot (jail sous BSD), ou un serveur virtuel (p.ex.
   instance d'UML).

8. s'assurer que le kernel que l'on tourne est à jour (si l'on n'utilise
pas le kernel non optimisé de base de Debian ou qu'on y a ajouté des
pilotes propriétaires comme p.ex. modem USB ADSL, etc).

les trois points ci-dessus concernent les attaques distantes

> Pouvez-vous me donner un lien ou un titre de livre qui me permette de 
> contrôler mes ports.

Il y a le manuel de sécurisation de Debian GNU/Linux, notamment.

> Le port 80 pour la publication des pages de test avant publication chez 

s'il s'agit d'un test *local*, vous pourriez bloquer ce port par
firewall de manière à ce que seules les requêtes provenant de
l'interface loopback soient transmises au serveur WWW.

> Et un autre pour le dialogue ssh avec l'un ou l'autre des amis qui me 
> soutiennent dans ma recherche de connaisance dans le monde LINUX (20 ans 
> dans le monde M... sa ne s'efface pas d'un coup)...

Vous pourriez ne lancer ssh que lorsque c'est strictement nécessaire, en
modifiant /etc/init.d/ssh: changeant  start)  en realstart) dans le
script.




More information about the gull mailing list