Journal Installation et sécurisation d'une station Debian 3.0 stable

Posté par  .
Étiquettes :
0
2
juin
2004
La section Linux de Developpez.com propose le tutoriel de Simon Castro.

http://linux.developpez.com/cours/securedeb/(...)

Au menu:

- Installation
- Configuration initiale
- Sécurisation minimale, modérée et avancée
- Installation et configuration de Apach et SSL, WebSphere, Samba et Backup, Nagios.

Un article destiné également aux serveurs d'entreprises ...

LA section GNU/Linux :

http://linux.developpez.com(...)

  • # Marrant

    Posté par  . Évalué à 3.

    J'ai retrouvé un thread où on en parle : http://linuxfr.org/2004/04/27/16099.html(...) (Sécuriser une installation Linux)
    Et, ho (on rentre du boulot), ca vient de moi !!!
    Certains threads devraient toujours rester en première page !

  • # Mouais...

    Posté par  . Évalué à 7.

    Après lecture de cet article, j'ai quelques remarques à formuler sachant que l'objectif est de sécuriser une plateforme Debian stable :

    1. De trop nombreux logiciels sont installés à partir de sources (.tar.gz), qui ne sont même pas des "deb-src" Debian. Quid des security-updates de Debian ? On surveille soi-même les bugtracks et on recompile à chaque fois ?

    2. La sécurisation de l'intégrité des FS avec l'attributs "ro" dans le fstab reste théoriquement acceptable mais en pratique, les MAJ du système doivent être faites soit manuellement (mount -o remount,rw), soit automatiquement avec un script personnalisé. Encore du travail supplémentaire...

    3. L'article parle de sécurité mais propose pas moins de remplacer... à partir de sources recompilées... le daemon syslog par modular-syslog, qui bien évidement tourne sous le compte root et fait partie des pièces maitresses (et très convoitée par les exploits) du système. Est-ce raisonnable ? Ne serait-il pas préférable de regarder du côté de la configuration de syslog ?

    4. La "suppression des groupes inutiles" me semble très sommaire et... inutile.

    5. Il est proposé de recompiler le noyau avec un make && make install && bzimage. Sous Debian, ça la fout un peu mal d'autant qu'on perd en traçabilité du système.

    6. Manipuler les MAJ du système avec dselect : quel dommage... (mais c'est plus un avis perso')

    Au-delà de ces critiques, cet article a le mérite de poser les bases de la sécurisation d'un système Debian et de proposer de nombreux outils (scripts) pour backuper/surveiller le système. Y intégrer une méthode pour créer un CD bootable de restauration est un véritable plus.
    Mais il laisse dans l'ombre une partie de l'administration du système (firewall un poil incomplet et peu lisible, gestion des utilisateurs notamment avec samba, ...) et ne dispense pas de lire le "securing Debian manual" (http://www.debian.org/doc/manuals/securing-debian-howto/index.html(...)) rappelé en annexe. Il traite de sécurisation mais reste peu adapté à une administration de plusieurs machines en //

    • [^] # Re: Mouais...

      Posté par  . Évalué à 1.

      « 2. La sécurisation de l'intégrité des FS avec l'attributs "ro" dans le fstab reste théoriquement acceptable mais en pratique, les MAJ du système doivent être faites soit manuellement (mount -o remount,rw), soit automatiquement avec un script personnalisé. Encore du travail
      supplémentaire... »

      Par ailleurs il est extrêment facile de contourner les ro/noexec etc dans le fstab, si j'en crois une doc que j'avais pu lire y a quelques mois sur le même sujet (sécuriser debian).

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.