La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Sécurité du Système d’exploitation Linux

Présentations similaires


Présentation au sujet: "Sécurité du Système d’exploitation Linux"— Transcription de la présentation:

1 Sécurité du Système d’exploitation Linux
Réalise par : - ELLEUCH Fatma 2008/2009

2 Plan Introduction La sécurité physique
La sécurisation du processus d’amorçage Le BIOS Les principes fondamentaux relatifs au système et à l’utilisateur La sécurité du réseau TCP/IP La sécurité du système de fichiers Les avantages à tirer des PAM L’utilisation de ipchains pour le routage et la mise en place d’un pare-feu  Sécurité du Système d’exploitation Linux ISIMS – 18/11/2008

3 Plan Les pare-feu et le routage avec iptables
La sécurité d’Apache et des services FTP et SMTP La sécurité réseau: DNS avec BIND La sécurité réseau: NFS et SAMBA Le chiffrement des flux de données Conclusion Sécurité du Système d’exploitation Linux ISIMS – 18/11/2008

4 Introduction Au cours de cet exposé, nous allons évoquer certains principes fondamentaux qui ont été mise au point pour garantir la sécurité de Linux. Nous allons en premier lieu aborder un sujet qui est à la fois le plus simple et aussi le plus souvent délaissé lors de l’installation et de la configuration d’un système Linux. La sécurité physique (matériel et localisations), les questions de sécurité inhérentes au système d’exploitation, l’installation de linux, l’amorçage, les comptes, les mots de passe, les permissions des fichiers, ainsi que l’utilisation de Linux dans des environnements de réseau. Le pare-feu et le filtrage de paquets, la sécurité de chaque service réseau individuel, y compris le serveur web, et le chiffrement de données en utilisant le Shell sécurisé SSH seront aussi abordés. Sécurité du Système d’exploitation Linux ISIMS – 18/11/2008

5 La sécurité physique Les étapes fondamentales à prendre en compte sont les suivantes : Si possible, conservez tous les systèmes dans un endroit sécurisé. Prévenir les problèmes électriques en désactivant les boutons de mise en marche et réinitialisation, en fixant les câbles d’alimentation et en installant des onduleurs. Verrouiller les lecteurs de disquettes et de CD-ROM ou retirez les complètements s’ils ne sont pas nécessaires. Installer un câble d’acier cadenassé pour empêcher le vol pur et simple de votre machine. Verrouiller également le boîtier de votre machine. Conserver une liste des individus ayant un accès physique à votre machine. Etre alerte et vigilant. Sécurité du Système d’exploitation Linux ISIMS – 18/11/2008

6 La sécurisation du processus d’amorçage
Avant d’entamer la partie sécurisation, nous allons décrire le déroulement du processus d’amorçage : Intervient en premier, le BIOS : cherche et vérifie les différents périphériques lors du démarrage, il essaie ensuite de charger un programme sur divers supports : CDROM, disquette, disque dur, etc... Sécurité du Système d’exploitation Linux ISIMS – 18/11/2008

7 La sécurisation du processus d’amorçage
Le programme en question est appelé boot loader, sur le disque dur,. Le boot loader a pour rôle de charger le système d'exploitation. Avec linux le boot loader est généralement grub ou lilo, il fournit souvent un menu permettant de choisir différentes options pour le boot. Ce dernier s'occupe alors de charger le noyau linux qui se trouve quelque part dans le disque dur . Le noyau fournit une interface entre le matériel et les programmes. Une fois que le noyau est chargé, le script d'initialisation est lancé. Ce script s'occupe de lancer d'autres scripts qui chargent et configurent un environnement complet. Sécurité du Système d’exploitation Linux ISIMS – 18/11/2008

8 La sécurisation du processus d’amorçage
Il est possible de sécuriser le processus d’amorçage en rendant LILO (Linux Loader) méfiant des arguments passés au noyau en modifiant quelques points posant typiquement problème dans le fichier /etc/inittab. Les mesures couvertes incluent les étapes suivantes : Utiliser le mot clé password dans /etc/lilo.conf pour protéger les images du noyau à l’aide d’un mot de passe, ainsi que les processus d’amorçage en générale. Utiliser le mot clé restriced dans /etc/lilo.conf pour assurer une protection par mot de passe des images amorçables sans intervention quand aucun argument supplémentaire n’est fourni. Sécurité du Système d’exploitation Linux ISIMS – 18/11/2008

9 La sécurisation du processus d’amorçage
Modifier les valeurs de prompt et du timeout dans /etc/lilo.conf pour se conformer à votre politique et à vous besoins quant aux réamorçages inattendus. Modifier le fichier /etc/inittab pour éviter de démarrer X à l’amorçage sur des systèmes qui ne nécessitent pas qu’il tourne en permanence. Modifier le fichier /etc/inittab sur les systèmes qui sont disponibles pour une utilisation publique, de manière à supprimer la combinaison de touches de réamorçage logiciel Ctrl+Alt+Suppr. Sécurité du Système d’exploitation Linux ISIMS – 18/11/2008

10 Le BIOS Si un utilisateur malintentionné peut obtenir un contrôle sur le processus d’amorçage , vos données se trouvent compromises, les mesures suivantes doivent donc être prises : Un mot de passe protège le programme de configuration du BIOS. Un mot de passe protège le processus d’amorçage. L’ordre d’amorçage est modifié de manière à éviter l’amorçage à partir du lecteur de disquettes ou de CD-ROM. Là où c’est possible, les BIOS secondaires sont désactivés ou sécurisés. La fonction de mise à jour flash du BIOS et désactivée lorsque c’est possible. Sécurité du Système d’exploitation Linux ISIMS – 18/11/2008

11 Les principes fondamentaux relatifs au système et à l’utilisateur
Voici quelques fondements de la sécurité relatifs à l’administration de système ordinaire et à la gestion de comptes, incluant : Le bon emploi des fichiers /etc/securetty, /etc/shells et /etc/skel/.bash_logout, afin d’augmenter la sécurité. La modification des répertoires de script init de style SysV, afin d’activer ou désactiver le lancement de différents services durant l’amorçage du système. Les méthodes sûres d’ajouter des comptes utilisateur, incluant la création de groupes à utilisateurs privés et l’établissement des dates d’expiration pour les mots de passe et les comptes. L’importance de shadow, MD5 et PAM, pour les distributions Linux modernes, en tant que méthode pour maintenir l’intégrité du système de la base de données des mots de passe. Sécurité du Système d’exploitation Linux ISIMS – 18/11/2008

12 La sécurité du réseau TCP/IP
Les deux piliers principaux de la sécurité de TCP/IP ; le démon inetd et le paquetage TCP wrappers, au cœur desquels repose /usr/sbin/tcpd. D’abord dans un souci de sécurité, il faut configurer le démon inetd, par la modification de /etc/inetd.conf et de /etc/services, de manière qu’ils se conforment à vos besoins. Dans le cas /etc/inetd.conf, quelques signes dièse (#) suffiront à placer les services non requis sous forme de commentaire pour rendre le tout sécurisé. Pour ce qui est de /etc/services, déplacer les services de port en port constitue une action de sécurisation. Effectuer quelques modifications simples sur le fichier /etc/syslog.conf pour assurer de pouvoir compter en tout temps sur une journalisation adéquate, de préférences repartis sur plusieurs systèmes différents. Sécurité du Système d’exploitation Linux ISIMS – 18/11/2008

13 La sécurité du système de fichiers
En utilisant des listes de contrôle d’accès, il est possible d’effectuer les opérations suivantes : Télécharger et installer l’implémentation ACL POSIX pour Linux et ext2. Ajouter de multiple utilisateur et des permissions en fonction des usagers à la liste des propriétés ACL d’un fichier ou répertoire Linux. Ajouter de multiples groupes et des permissions en fonction des groupes à la liste des propriétés ACL d’un fichier ou répertoire Linux. Retirer des utilisateurs ou des groupes de la liste des propriétés ACL d’un fichier ou répertoire Linux. Etablir les permissions ACL par défaut d’un répertoire Linux. Sécurité du Système d’exploitation Linux ISIMS – 18/11/2008

14 La sécurité du système de fichiers
Utiliser le masque de permission ACL pour contrôler les permissions maximales pour toutes les propriétés ACL s’appliquant à un fichier ou répertoire donné. Les outils de suppression sécuritaire, ou utile de suppression permanente, effacent véritablement les donnes entièrement supprimées d’un disque dur, au lieu de libérer simplement de l’espace cela éviterai au utilisateur la récupération des données. Sécurité du Système d’exploitation Linux ISIMS – 18/11/2008

15 Les avantages à tirer des PAM
La configuration PAM (Pluggable Authentication Modules) n’est en réalité qu’une série s’entrée empilées. Chaque fois qu’un service réclame l’aide de PAM, les routines PAM ne font qu’appeler dans l’ordre, les entrées de la pile relatives à ce service. Le processus d’ajout au système de procédure d’authentification pour de nouveaux services et donc aussi simple qu’ajouter quelques entrées dans les fichiers de configuration PAM. Chaque entrée de la pile dans un fichier de configuration PAM contient un type de module pour déterminer le contexte dans lequel l’entrée de la pile sera exécutée, ainsi qu’un indicateur de contrôle pour déterminer son importance. Un module contenant le code à exécuter pour la tâche en question est aussi fourni. Sécurité du Système d’exploitation Linux ISIMS – 18/11/2008

16 L’utilisation de ipchains pour le routage et la mise en place d’un pare-feu
ipchains est un module logiciel qui fournit des fonctions de pare-feu pour Linux 2.1 et 2.2. Plus précisément ipchains est la commande Linux qui permet à un administrateur de configurer le module de filtrage IP intégré aux noyaux Linux. Comme la plupart des pare-feux libres, ipchains ne gère pas IPsec, les proxys, les IDS, les serveurs d'authentification et plein d'autres technologies que les pare-feux commerciaux ont l'habitude de gérer. Pour faire cela il faut utiliser d'autres modules BSD qui se configurent à part. Sécurité du Système d’exploitation Linux ISIMS – 18/11/2008

17 Les pare-feu et le routage avec iptables
IpTables permet de faire du firewalling stateful (à états), de la translation de port et d'adresse, du filtrage au niveau 2 et beaucoup d'autres choses. IpTables est fiable et dispose de très nombreuses options qui permettent de faire du filtrage très fin. Une précision: on parle souvent de « iptables » par abus de langage, alors que le nom du logiciel est « Netfilter ». Netfilter est le module qui fournit à GNU/Linux les fonctions de pare-feu, de partage de connexions internet (NAT) et d'historisation du trafic réseau. iptables est en fait juste l'outil qui permet à un administrateur de configurer Netfilter en mode utilisateur. iptables-restore et iptables-save sont deux commandes associées qui permettent de sauvegarder/restaurer la configuration Netfilter. Sécurité du Système d’exploitation Linux ISIMS – 18/11/2008

18 La sécurité d’Apache et des services FTP et SMTP
Le fichier httpd.conf constitue le fichier central de configuration pour la plupart des installation apache , le paramétrage de ce fichier est recommandé. La directive MaxClients pour limiter le nombre de connexion permise à la fois. La directive Port pour rendre le serveur Web inaccessible de manière trop évidente sans pour autant causer des conflits avec des ports déjà utilisé dans /etc/services. La directive User et Group sont d’extrême importance représentant la propriété de l’utilisateur et du groupe. Les directives ErrorLog et Log Level pour une bonne journalisation qui constitue un élément cruciale pour un bon niveau de sécurité. Sécurité du Système d’exploitation Linux ISIMS – 18/11/2008

19 La sécurité d’Apache et des services FTP et SMTP
Dans el cadre du serveur FTP, le fichier /etc/ftpaccess ainsi que le fichier /etc/ftpusers contiennent des options qui contribuent à la sécurité du serveur FTP . Enfin , pour ce qui est du démon sendmail, un agent de transfert de courrier SMTP, le risque le plus courant en termes de sécurité externe : la connexion non autorisé, il existe deux techniques de bases pour stopper les connexions non autorisées : le filtrage de paquet via ipchains ou iptables , et la conversion de sendmail en un démon géré par inetd et démarré par les TCP wrappers à la place d’un démon tournant de façon permanant en arrière plan. Sécurité du Système d’exploitation Linux ISIMS – 18/11/2008

20 La sécurité réseau: DNS avec BIND
La sécurisation du service des noms de domaines fourni par BIND s’explique par les étapes suivantes : Premièrement, la configuration de filtrage de paquet dans le but de prévenir les connexions au port domain provenant de système avec lesquels l’utilisateur n’a pas de relation légitime. Deuxièmement, la mise en place de bons contrôles d’accès par défaut dans le fichier named.conf, en portant une attention particulière au blocage des transferts de zone aux étrangers. Sécurité du Système d’exploitation Linux ISIMS – 18/11/2008

21 La sécurité réseau: DNS avec BIND
Troisièmement, l’altération de l’installation named standard, afin que le démon opère dans une prison chroot , empêchant ainsi les crackers de compromettre plus profondément le système s’il réussissent à pénétrer dans named. Ces mesures de sécurité de bases rendront le démon de service des noms de domaines beaucoup moins vulnérable que l’installation ordinaire opérant sous root se trouvant sur la plupart des systèmes linux. Sécurité du Système d’exploitation Linux ISIMS – 18/11/2008

22 La sécurité réseau: NFS et SAMBA
Samba est un logiciel libre sous licence GNU GPL 3,[] supportant le protocole SMB/CIFS. Ce protocole est employé par Microsoft pour le partage de diverses ressources (fichiers, imprimantes, etc.) entre ordinateurs équipés de Windows. Samba permet aux systèmes Unix d'accéder aux ressources de ces systèmes et vice-versa. NFS est un service Unix classique qui, sans être extrêmement risqué ou terriblement sécuritaire, se situe quelque part entre les deux. Sécurité du Système d’exploitation Linux ISIMS – 18/11/2008

23 La sécurité réseau: NFS et SAMBA
Il faut prendre le temps de construire un bon fichier /etc/exports. C’est le principal moyen de sécuriser les exportations NFS. SAMBA est un service qui permet à Linux de « parler » en NetBIOS, au dessus de TCP/IP, de façon à imiter un serveur Windows NT, et ainsi d’autoriser le partage de fichiers ou de répertoires avec des utilisateurs Windows. La manière la plus simple de configurer les options de sécurité sous Samba est d’employer SWAT (Samba Web Administration Tool) qui peut être lancé dans une fenêtre de navigateur en se connectant au port 901 sur le serveur Samba Sécurité du Système d’exploitation Linux ISIMS – 18/11/2008

24 Le chiffrement des flux de données
Le chiffrement des flux de données a pour but d’accroitre la sécurité pendant leur transport. Un des outils de chiffrement réseau le plus connu est le Secure Shell (SSH). Cet outil constitue une solution générale de remplacement à rsh, rlogin ,Telnet et d’autres protocoles qui datent un peu et qui ne protège aucune des donnée transmises sur le réseau, y compris les mots de passe et autres information reliées à un compte. C’est aussi un outil de chiffrement des flux réseau à usage général, utilise la redirection de port de la machine locale vers la destination distante. Sécurité du Système d’exploitation Linux ISIMS – 18/11/2008

25 Conclusion Cet exposé nous a permis de découvrir les différents moyen qui ont été mise au point en vue de sécuriser le système d’exploitation Linux, en commençant par les bases de sécurité , et en passant par la sécurité réseau, et pour finir avec le chiffrement des données. « Le seul système informatique qui est vraiment sûr, est un système éteint et débranché, enfermé dans un blockhaus sous terre , entouré par des gaz mortels et des gardiens hautement payés et armés. Même dans ces conditions, je ne parierais pas ma vie dessus !!! » Gene Spafford Sécurité du Système d’exploitation Linux ISIMS – 18/11/2008

26 Conclusion Bien que beaucoup de mesure de sécurité on été mise au point , un système ne peut pas être sûr à 100%. Les bugs dans les programmes sont courant et que les OS sont nombreux. La cryptographie présente des faiblesses : les mots de passe peuvent être cassés. Même un système fiable peut être attaqué par des personnes abusant de leurs droits. Plus les mécanismes de sécurité sont stricts, moins ils sont efficaces. Sécurité du Système d’exploitation Linux ISIMS – 18/11/2008

27 MERCI POUR VOTRE ATTENTION


Télécharger ppt "Sécurité du Système d’exploitation Linux"

Présentations similaires


Annonces Google