B.2. Liste des contrôles de configuration

Cette annexe récapitule brièvement les points des autres sections de ce manuel sous une forme condensée de liste de contrôles. C'est un petit résumé pour ceux qui ont déjà lu le manuel. D'autres listes de contrôles sont disponibles, y compris la http://seifried.org/security/os/linux/20020324-securing-linux-step-by-step.html de Kurt Seifried et la http://www.cert.org/tech_tips/usc20_full.html.

FIXME : C'est basé sur la version 1.4 du manuel et a peut-être besoin d'une mise à jour.

Limiter les accès physiques et les possibilités de démarrage.
- Activer un mot de passe pour le BIOS.
- Désactiver le démarrage depuis disquette, CD, etc. dans le BIOS du système.
- Mettre un mot de passe à LILO ou GRUB (respectivement /etc/lilo.conf ou /boot/grub/menu.lst) ; vérifier que le fichier de configuration de LILO ou de GRUB est en lecture seule.
Partitionnement.
- Séparer les données que les utilisateurs peuvent écrire, les données non système et les données d'exécution qui changent rapidement dans leurs propres partitions.
- Mettre les options de montage nosuid,noexec,nodev dans /etc/fstab pour les partitions ext2 ou ext3 telles que /home ou /tmp.
Hygiène pour les mots de passe et la sécurité des connexions.
- Choisir un bon mot de passe pour le superutilisateur.
- Installer et utiliser PAM.
  Ajouter la prise en charge de MD5 à PAM et s'assurer (de manière générale) que les entrées dans les fichiers /etc/pam.d/ qui autorisent l'accès à la machine ont un second champ dans le fichier pam.d positionné à requisite ou required.
  Modifier /etc/pam.d/login pour que seul le superutilisateur puisse se connecter localement.
  Indiquer également les consoles (ttys) autorisées dans /etc/security/access.conf et configurer généralement ce fichier pour limiter au maximum les connexions du superutilisateur.
  Ajouter pam_limits.so pour définir des limites par utilisateur.
  Modifier /etc/pam.d/passwd : augmenter la taille minimale du mot de passe (6 caractères par exemple) et activer MD5.
  Ajouter éventuellement le groupe wheel à /etc/group ; ajouter l'entrée pam_wheel.so group=wheel au fichier /etc/pam.d/su.
  Pour les contrôles personnalisés par utilisateur, utiliser les entrées appropriées de pam_listfile.so.
  Avoir un fichier /etc/pam.d/other et mettre en place une sécurité resserrée.
- Définir des limites dans /etc/security/limits.conf (remarquez que /etc/limits n'est pas utilisé si vous utilisez PAM).
- Resserrer /etc/login.defs ; de même, si vous activez MD5 ou PAM, assurez-vous de faire également les modifications dans ce fichier.
- Resserrer /etc/pam.d/login
- Désactiver l'accès FTP au superutilisateur dans le fichier /etc/ftpusers.
- Désactiver la connexion réseau du superutilisateur ; utiliser su(1) ou sudo(1) (considérer l'installation du paquet sudo).
- Utiliser PAM pour imposer des contraintes supplémentaires sur les connexions ?
Autres problèmes locaux de sécurité.
- Modifications du noyau (consultez Section 4.18.1, « Configuration des options réseau du noyau »).
- Correctifs du noyau (consultez Section 4.14, « Les utilitaires pour ajouter des correctifs au noyau »).
- Resserrer les permissions sur les fichiers journaux (/var/log/{last,fail}log, journaux d'Apache).
- Vérifier que la vérification de setuid est activée dans /etc/checksecurity.conf.
- Penser à créer des fichiers journaux avec uniquement le droit d'ajout et des fichiers de configuration invariants en utilisant chattr (systèmes de fichiers ext2 ou ext3 uniquement).
- Mettre en place une vérification d'intégrité des fichiers (consultez Section 4.17.3, « Vérifier l'intégrité des systèmes de fichiers »). Installer debsums.
- Impression de tous les fichiers journaux sur une imprimante locale ?
- Graver la configuration sur un CD amorçable et démarrer dessus ?
- Désactiver les modules pour le noyau ?
Restreindre les accès réseaux.
- Installer et configurer ssh (considérer « PermitRootLogin No » dans /etc/ssh et « PermitEmptyPasswords No » ; d'autres suggestions sont également dans le texte).
- Désactiver ou supprimer in.telnetd s'il est installé.
- Généralement, désactiver les services inutiles dans le fichier /etc/inetd.conf en utilisant update-inetd --disable (ou désactiver inetd complètement, ou utiliser une solution de rechange comme xinetd ou rlinetd).
- Désactiver les autres services inutiles ; FTP, DNS, HTTP, etc. ne devraient pas être démarrés si vous n'en avez pas besoin et être surveillés régulièrement sinon. Dans la plupart des cas, les courriers électroniques devraient être fonctionnels, mais configurés uniquement pour la livraison locale.
- Pour les services nécessaires, n'utilisez pas simplement les programmes usuels, recherchez des versions plus sécurisées disponibles dans Debian (ou depuis tout autre source). Peu importe celle choisie, assurez-vous de bien comprendre les risques induits.
- Mettre en place des prisons chroot pour les utilisateurs et démons extérieurs.
- Configurer un pare-feu et l'encapsulation TCP (consulter hosts_access(5)) ; considérer l'astuce pour /etc/hosts.deny dans le texte.
- Si FTP est disponible, mettre en place un serveur FTP qui sera toujours démarré dans un environnement chroot dans le répertoire personnel de l'utilisateur.
- Si X est disponible, désactiver l'authentification xhost et utiliser plutôt ssh ; de façon encore plus sécurisée, désactiver X à distance si possible (ajouter -nolisten tcp à la ligne de commande de X et désactiver XDMCP dans le fichier /etc/X11/xdm/xdm-config en affectant la valeur 0 à requestPort).
- Désactiver l'accès distant aux imprimantes.
- Chiffrer toute session IMAP ou POP par SSL ou ssh ; installer éventuellement stunnel pour fournir ce service aux utilisateurs de courrier à distance.
- Mettre en place un hôte de journaux et configurer les autres machines pour qu'elles envoient les journaux à cet hôte (/etc/syslog.conf).
- Sécuriser BIND, Sendmail et tout autre démon complexe (exécuter dans une prison chroot ; exécuter en tant que peudo-utilisateur non superutilisateur).
- Installer tiger ou un outil similaire de détection d'intrusion réseau.
- Installer snort ou un outil similaire de détection d'intrusion réseau.
- Faire sans NIS et RPC si possible (désactiver portmap).
Problèmes de règlement.
- Expliquer aux utilisateurs les tenants et aboutissants des règles. Lorsque vous interdisez quelque chose habituellement disponible sur d'autres systèmes, fournissez-leur une documentation qui explique comment arriver aux mêmes résultats de façon plus sécurisée.
- Interdire l'utilisation de protocoles qui utilisent des mots de passe en clair (telnet, rsh et similaire ; FTP, IMAP, HTTP, etc.)
- Interdire les programmes qui utilisent la SVGAlib.
- Utiliser les quotas de disque.
Rester informé des problèmes de sécurité.
- S'abonner aux listes de discussions liées à la sécurité.
- Configurer apt pour les mises à jour de sécurité — ajouter une entrée (ou plusieurs entrées) à /etc/apt/sources.list pour http://security.debian.org/.
- Se rappeler périodiquement d'exécuter apt-get update ; apt-get upgrade (mettre en place peut-être une tâche cron ?) comme expliqué dans Section 4.2, « Faire une mise à jour de sécurité ».