La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Réalise par : - ELLEUCH Fatma 2008/2009. I. Introduction II. La sécurité physique III. La sécurisation du processus damorçage IV. Le BIOS V. Les principes.

Présentations similaires


Présentation au sujet: "Réalise par : - ELLEUCH Fatma 2008/2009. I. Introduction II. La sécurité physique III. La sécurisation du processus damorçage IV. Le BIOS V. Les principes."— Transcription de la présentation:

1 Réalise par : - ELLEUCH Fatma 2008/2009

2 I. Introduction II. La sécurité physique III. La sécurisation du processus damorçage IV. Le BIOS V. Les principes fondamentaux relatifs au système et à lutilisateur VI. La sécurité du réseau TCP/IP VII. La sécurité du système de fichiers VIII. Les avantages à tirer des PAM IX. Lutilisation de ipchains pour le routage et la mise en place dun pare-feu ISIMS – 18/11/ Sécurité du Système dexploitation Linux

3 X. Les pare-feu et le routage avec iptables XI. La sécurité dApache et des services FTP et SMTP XII. La sécurité réseau: DNS avec BIND XIII. La sécurité réseau: NFS et SAMBA XIV. Le chiffrement des flux de données XV. Conclusion ISIMS – 18/11/ Sécurité du Système dexploitation Linux

4 Le pare-feu et le filtrage de paquets, la sécurité de chaque service réseau individuel, y compris le serveur web, et le chiffrement de données en utilisant le Shell sécurisé SSH seront aussi abordés. ISIMS – 18/11/ Sécurité du Système dexploitation Linux Au cours de cet exposé, nous allons évoquer certains principes fondamentaux qui ont été mise au point pour garantir la sécurité de Linux. Nous allons en premier lieu aborder un sujet qui est à la fois le plus simple et aussi le plus souvent délaissé lors de linstallation et de la configuration dun système Linux. La sécurité physique (matériel et localisations), les questions de sécurité inhérentes au système dexploitation, linstallation de linux, lamorçage, les comptes, les mots de passe, les permissions des fichiers, ainsi que lutilisation de Linux dans des environnements de réseau.

5 Les étapes fondamentales à prendre en compte sont les suivantes : Si possible, conservez tous les systèmes dans un endroit sécurisé. Prévenir les problèmes électriques en désactivant les boutons de mise en marche et réinitialisation, en fixant les câbles dalimentation et en installant des onduleurs. Verrouiller les lecteurs de disquettes et de CD-ROM ou retirez les complètements sils ne sont pas nécessaires. Installer un câble dacier cadenassé pour empêcher le vol pur et simple de votre machine. Verrouiller également le boîtier de votre machine. Conserver une liste des individus ayant un accès physique à votre machine. Etre alerte et vigilant. ISIMS – 18/11/ Sécurité du Système dexploitation Linux

6 Avant dentamer la partie sécurisation, nous allons décrire le déroulement du processus damorçage : Intervient en premier, le BIOS : cherche et vérifie les différents périphériques lors du démarrage, il essaie ensuite de charger un programme sur divers supports : CDROM, disquette, disque dur, etc... ISIMS – 18/11/ Sécurité du Système dexploitation Linux

7 Le programme en question est appelé boot loader, sur le disque dur,. Le boot loader a pour rôle de charger le système d'exploitation. Avec linux le boot loader est généralement grub ou lilo, il fournit souvent un menu permettant de choisir différentes options pour le boot. Ce dernier s'occupe alors de charger le noyau linux qui se trouve quelque part dans le disque dur. Le noyau fournit une interface entre le matériel et les programmes. Une fois que le noyau est chargé, le script d'initialisation est lancé. Ce script s'occupe de lancer d'autres scripts qui chargent et configurent un environnement complet. ISIMS – 18/11/ Sécurité du Système dexploitation Linux

8 Il est possible de sécuriser le processus damorçage en rendant LILO (Linux Loader) méfiant des arguments passés au noyau en modifiant quelques points posant typiquement problème dans le fichier /etc/inittab. Les mesures couvertes incluent les étapes suivantes : Utiliser le mot clé password dans /etc/lilo.conf pour protéger les images du noyau à laide dun mot de passe, ainsi que les processus damorçage en générale. Utiliser le mot clé restriced dans /etc/lilo.conf pour assurer une protection par mot de passe des images amorçables sans intervention quand aucun argument supplémentaire nest fourni. ISIMS – 18/11/ Sécurité du Système dexploitation Linux

9 Modifier les valeurs de prompt et du timeout dans /etc/lilo.conf pour se conformer à votre politique et à vous besoins quant aux réamorçages inattendus. Modifier le fichier /etc/inittab pour éviter de démarrer X à lamorçage sur des systèmes qui ne nécessitent pas quil tourne en permanence. Modifier le fichier /etc/inittab sur les systèmes qui sont disponibles pour une utilisation publique, de manière à supprimer la combinaison de touches de réamorçage logiciel Ctrl+Alt+Suppr. ISIMS – 18/11/ Sécurité du Système dexploitation Linux

10 Si un utilisateur malintentionné peut obtenir un contrôle sur le processus damorçage, vos données se trouvent compromises, les mesures suivantes doivent donc être prises : Un mot de passe protège le programme de configuration du BIOS. Un mot de passe protège le processus damorçage. Lordre damorçage est modifié de manière à éviter lamorçage à partir du lecteur de disquettes ou de CD-ROM. Là où cest possible, les BIOS secondaires sont désactivés ou sécurisés. La fonction de mise à jour flash du BIOS et désactivée lorsque cest possible. ISIMS – 18/11/ Sécurité du Système dexploitation Linux

11 Voici quelques fondements de la sécurité relatifs à ladministration de système ordinaire et à la gestion de comptes, incluant : Le bon emploi des fichiers /etc/securetty, /etc/shells et /etc/skel/.bash_logout, afin daugmenter la sécurité. La modification des répertoires de script init de style SysV, afin dactiver ou désactiver le lancement de différents services durant lamorçage du système. Les méthodes sûres dajouter des comptes utilisateur, incluant la création de groupes à utilisateurs privés et létablissement des dates dexpiration pour les mots de passe et les comptes. Limportance de shadow, MD5 et PAM, pour les distributions Linux modernes, en tant que méthode pour maintenir lintégrité du système de la base de données des mots de passe. ISIMS – 18/11/ Sécurité du Système dexploitation Linux

12 Les deux piliers principaux de la sécurité de TCP/IP ; le démon inetd et le paquetage TCP wrappers, au cœur desquels repose /usr/sbin/tcpd. Dabord dans un souci de sécurité, il faut configurer le démon inetd, par la modification de /etc/inetd.conf et de /etc/services, de manière quils se conforment à vos besoins. Dans le cas /etc/inetd.conf, quelques signes dièse (#) suffiront à placer les services non requis sous forme de commentaire pour rendre le tout sécurisé. Pour ce qui est de /etc/services, déplacer les services de port en port constitue une action de sécurisation. Effectuer quelques modifications simples sur le fichier /etc/syslog.conf pour assurer de pouvoir compter en tout temps sur une journalisation adéquate, de préférences repartis sur plusieurs systèmes différents. ISIMS – 18/11/ Sécurité du Système dexploitation Linux

13 En utilisant des listes de contrôle daccès, il est possible deffectuer les opérations suivantes : Télécharger et installer limplémentation ACL POSIX pour Linux et ext2. Ajouter de multiple utilisateur et des permissions en fonction des usagers à la liste des propriétés ACL dun fichier ou répertoire Linux. Ajouter de multiples groupes et des permissions en fonction des groupes à la liste des propriétés ACL dun fichier ou répertoire Linux. Retirer des utilisateurs ou des groupes de la liste des propriétés ACL dun fichier ou répertoire Linux. Etablir les permissions ACL par défaut dun répertoire Linux. ISIMS – 18/11/ Sécurité du Système dexploitation Linux

14 Utiliser le masque de permission ACL pour contrôler les permissions maximales pour toutes les propriétés ACL sappliquant à un fichier ou répertoire donné. Les outils de suppression sécuritaire, ou utile de suppression permanente, effacent véritablement les donnes entièrement supprimées dun disque dur, au lieu de libérer simplement de lespace cela éviterai au utilisateur la récupération des données. ISIMS – 18/11/ Sécurité du Système dexploitation Linux

15 La configuration PAM (Pluggable Authentication Modules) nest en réalité quune série sentrée empilées. Chaque fois quun service réclame laide de PAM, les routines PAM ne font quappeler dans lordre, les entrées de la pile relatives à ce service. Le processus dajout au système de procédure dauthentification pour de nouveaux services et donc aussi simple quajouter quelques entrées dans les fichiers de configuration PAM. Chaque entrée de la pile dans un fichier de configuration PAM contient un type de module pour déterminer le contexte dans lequel lentrée de la pile sera exécutée, ainsi quun indicateur de contrôle pour déterminer son importance. Un module contenant le code à exécuter pour la tâche en question est aussi fourni. ISIMS – 18/11/ Sécurité du Système dexploitation Linux

16 ipchains est un module logiciel qui fournit des fonctions de pare-feu pour Linux 2.1 et 2.2. Plus précisément ipchains est la commande Linux qui permet à un administrateur de configurer le module de filtrage IP intégré aux noyaux Linux. Comme la plupart des pare-feux libres, ipchains ne gère pas IPsec, les proxys, les IDS, les serveurs d'authentification et plein d'autres technologies que les pare-feux commerciaux ont l'habitude de gérer. Pour faire cela il faut utiliser d'autres modules BSD qui se configurent à part. ISIMS – 18/11/ Sécurité du Système dexploitation Linux

17 IpTables permet de faire du firewalling stateful (à états), de la translation de port et d'adresse, du filtrage au niveau 2 et beaucoup d'autres choses. IpTables est fiable et dispose de très nombreuses options qui permettent de faire du filtrage très fin. Une précision: on parle souvent de « iptables » par abus de langage, alors que le nom du logiciel est « Netfilter ». Netfilter est le module qui fournit à GNU/Linux les fonctions de pare-feu, de partage de connexions internet (NAT) et d'historisation du trafic réseau. iptables est en fait juste l'outil qui permet à un administrateur de configurer Netfilter en mode utilisateur. iptables-restore et iptables-save sont deux commandes associées qui permettent de sauvegarder/restaurer la configuration Netfilter. ISIMS – 18/11/ Sécurité du Système dexploitation Linux

18 Le fichier httpd.conf constitue le fichier central de configuration pour la plupart des installation apache, le paramétrage de ce fichier est recommandé. La directive MaxClients pour limiter le nombre de connexion permise à la fois. La directive Port pour rendre le serveur Web inaccessible de manière trop évidente sans pour autant causer des conflits avec des ports déjà utilisé dans /etc/services. La directive User et Group sont dextrême importance représentant la propriété de lutilisateur et du groupe. Les directives ErrorLog et Log Level pour une bonne journalisation qui constitue un élément cruciale pour un bon niveau de sécurité. ISIMS – 18/11/ Sécurité du Système dexploitation Linux

19 Dans el cadre du serveur FTP, le fichier /etc/ftpaccess ainsi que le fichier /etc/ftpusers contiennent des options qui contribuent à la sécurité du serveur FTP. Enfin, pour ce qui est du démon sendmail, un agent de transfert de courrier SMTP, le risque le plus courant en termes de sécurité externe : la connexion non autorisé, il existe deux techniques de bases pour stopper les connexions non autorisées : le filtrage de paquet via ipchains ou iptables, et la conversion de sendmail en un démon géré par inetd et démarré par les TCP wrappers à la place dun démon tournant de façon permanant en arrière plan. ISIMS – 18/11/ Sécurité du Système dexploitation Linux

20 La sécurisation du service des noms de domaines fourni par BIND sexplique par les étapes suivantes : Premièrement, la configuration de filtrage de paquet dans le but de prévenir les connexions au port domain provenant de système avec lesquels lutilisateur na pas de relation légitime. Deuxièmement, la mise en place de bons contrôles daccès par défaut dans le fichier named.conf, en portant une attention particulière au blocage des transferts de zone aux étrangers. ISIMS – 18/11/ Sécurité du Système dexploitation Linux

21 Troisièmement, laltération de linstallation named standard, afin que le démon opère dans une prison chroot, empêchant ainsi les crackers de compromettre plus profondément le système sil réussissent à pénétrer dans named. Ces mesures de sécurité de bases rendront le démon de service des noms de domaines beaucoup moins vulnérable que linstallation ordinaire opérant sous root se trouvant sur la plupart des systèmes linux. ISIMS – 18/11/ Sécurité du Système dexploitation Linux

22 Samba est un logiciel libre sous licence GNU GPL 3,[] supportant le protocole SMB/CIFS. Ce protocole est employé par Microsoft pour le partage de diverses ressources (fichiers, imprimantes, etc.) entre ordinateurs équipés de Windows. Samba permet aux systèmes Unix d'accéder aux ressources de ces systèmes et vice-versa. NFS est un service Unix classique qui, sans être extrêmement risqué ou terriblement sécuritaire, se situe quelque part entre les deux. ISIMS – 18/11/ Sécurité du Système dexploitation Linux

23 Il faut prendre le temps de construire un bon fichier /etc/exports. Cest le principal moyen de sécuriser les exportations NFS. SAMBA est un service qui permet à Linux de « parler » en NetBIOS, au dessus de TCP/IP, de façon à imiter un serveur Windows NT, et ainsi dautoriser le partage de fichiers ou de répertoires avec des utilisateurs Windows. La manière la plus simple de configurer les options de sécurité sous Samba est demployer SWAT (Samba Web Administration Tool) qui peut être lancé dans une fenêtre de navigateur en se connectant au port 901 sur le serveur Samba ISIMS – 18/11/ Sécurité du Système dexploitation Linux

24 Le chiffrement des flux de données a pour but daccroitre la sécurité pendant leur transport. Un des outils de chiffrement réseau le plus connu est le Secure Shell (SSH). Cet outil constitue une solution générale de remplacement à rsh, rlogin,Telnet et dautres protocoles qui datent un peu et qui ne protège aucune des donnée transmises sur le réseau, y compris les mots de passe et autres information reliées à un compte. Cest aussi un outil de chiffrement des flux réseau à usage général, utilise la redirection de port de la machine locale vers la destination distante. ISIMS – 18/11/ Sécurité du Système dexploitation Linux

25 Cet exposé nous a permis de découvrir les différents moyen qui ont été mise au point en vue de sécuriser le système dexploitation Linux, en commençant par les bases de sécurité, et en passant par la sécurité réseau, et pour finir avec le chiffrement des données. « Le seul système informatique qui est vraiment sûr, est un système éteint et débranché, enfermé dans un blockhaus sous terre, entouré par des gaz mortels et des gardiens hautement payés et armés. Même dans ces conditions, je ne parierais pas ma vie dessus !!! » Gene Spafford ISIMS – 18/11/ Sécurité du Système dexploitation Linux

26 Bien que beaucoup de mesure de sécurité on été mise au point, un système ne peut pas être sûr à 100%. Les bugs dans les programmes sont courant et que les OS sont nombreux. La cryptographie présente des faiblesses : les mots de passe peuvent être cassés. Même un système fiable peut être attaqué par des personnes abusant de leurs droits. Plus les mécanismes de sécurité sont stricts, moins ils sont efficaces. ISIMS – 18/11/ Sécurité du Système dexploitation Linux

27


Télécharger ppt "Réalise par : - ELLEUCH Fatma 2008/2009. I. Introduction II. La sécurité physique III. La sécurisation du processus damorçage IV. Le BIOS V. Les principes."

Présentations similaires


Annonces Google