| Linux Networking HOWTO | ||
|---|---|---|
| Prev | Chapter 5. Informations g�n�rales concernant la configuration r�seau | Next |
Laissez-moi commencer ce paragraphe en vous avertissant que la s�curisation de votre machine et du r�seau contre les attaques pernicieuses est un art complexe. Je ne me consid�re pas du tout comme un expert dans ce domaine et bien que les m�canismes que je vais d�crire puissent vous aider, si vous �tes pr�occup�s par la s�curit�, alors je vous recommande d'effectuer vous-m�me des recherches sur le sujet. Il existe un grand nombre d'excellentes r�f�rences sur l'Internet qui traitent du sujet, y compris le Security-HOWTO
Une importante r�gle pratique est : `N'utilisez pas de serveurs dont vous n'avez pas besoin'. Un grand nombre de distributions sont livr�es avec tout un tas de services d�j� configur�s et d�marrant automatiquement. Pour assurer quand m�me un minimum de s�curit� vous devriez aller dans votre fichier /etc/inetd.conf et retirez (placez un `#' au d�but de la ligne) toute entr�e que vous ne comptez pas utiliser. De bons candidats sont : shell, login, exec, uucp, ftp, et les services informatifs tels que finger, netstat and systat.
Il y a plein de sortes de s�curit� et de m�canismes de contr�le d'acc�s ; je vais d�crire les plus �l�mentaires.
Le fichier /etc/ftpusers est un m�canisme simple qui vous permet d'interdire l'acc�s de votre machine � certains utilisateurs de ftp. Il est lu par le programme d�mon (ftpd) lorsqu'une connexion ftp est re�ue. Le fichier est une simple liste d'utilisateurs qui ne peuvent pas se connecter. Il ressemble � :
# /etc/ftpusers - utilisateurs ne pouvant pas se connecter par ftp root uucp bin mail |
Le fichier /etc/securetty vous permet de sp�cifier sur quels fichiers de p�riph�riques ttyroot a le droit de se connecter. Le fichier /etc/securetty est lu par le programme de connexion (habituellement /bin/login). Son format est une liste de fichiers de p�riph�riques tty autoris�s (sur tous les autres root ne peut se connecter) :
# /etc/securetty - consoles o� root peut se connecter tty1 tty2 tty3 tty4 |
Le programme tcpd que vous avez vu dans le fichier /etc/inetd.conf fournit les m�canismes de contr�le d'acc�s et de connexion aux services qu'il a pour but de prot�ger.
Lorsqu'il est invoqu� par le programme inetd, il lit deux fichiers contenant les r�gles d'acc�s et il autorise ou interdit l'acc�s au serveur qu'il prot�ge.
Il cherche dans ces deux fichiers jusqu'� ce qu'il trouve une correspondance. S'il n'en trouve pas il suppose que l'acc�s est autoris�. Il recherche dans l'ordre suivant : /etc/hosts.allow, /etc/hosts.deny. Je d�crirai chacun d'eux plus tard. Pour une description compl�te r�f�rez-vous aux pages de manuel appropri�es (hosts_access(5) est un bon point de d�part).
Le fichier /etc/hosts.allow est un fichier de configuration du programme /usr/sbin/tcpd. Il contient les h�tes dont l'acc�s est autoris� (allowed) et qui peuvent donc utiliser un service de votre machine.
Le format du fichier est tr�s simple :
# /etc/hosts.allow # # <liste des services>: <liste des h�tes> [: commande] |
c'est une liste de serveurs, s�par�s par des virgules, auxquels les r�gles d'acc�s s'appliquent. Exemples de serveur : ftpd, telnetd, et fingerd.
c'est une liste de noms d'h�tes, s�par�s par des virgules (vous pouvez utiliser �galement des adresses IP). Vous pouvez en plus sp�cifier des noms d'h�tes ou des adresses IP avec des jokers pour obtenir des groupes d'h�tes. Des exemples : gw.vk2ktj.ampr.orgi pour un h�te sp�cifique, .uts.edu.au pour tous les h�tes se terminant par cette cha�ne , 44. pour toutes les adresses IP commen�ant par ces chiffres. Il y a quelques expressions pour simplifier la configuration, parmi lesquelles : ALL pour tous les h�tes, LOCAL pour tout h�te dont le nom ne contient pas de `.' c'est � dire appartenant au m�me domaine que votre machine, et PARANOID pour tout h�te dont le nom ne correspond pas avec son adresse (tricherie dans le nom). Il y a enfin une expression qui peut �tre utile. Il s'agit de EXCEPT qui vous permet de fournir une liste avec des exceptions. Nous verrons un exemple plus tard.
c'est un param�tre optionnel. Ce param�tre est le nom complet d'une commande (avec son r�pertoire) qui sera ex�cut�e chaque fois qu'il y aura correspondance. Ce peut �tre par exemple une commande qui essaiera d'identifier qui se connecte, ou de g�n�rer un message par courrier ou tout message d'alerte pour l'administrateur syst�me avertissant que quelqu'un est en train de se connecter. On peut y inclure des extensions, par exemple : %h donnera le nom de l'h�te qui se connecte ou bien son adresse s'il n'a pas de nom , %d le programme d�mon appel�.
Un exemple :
# /etc/hosts.allow # # Permet � tout le monde d'utiliser le courrier in.smtpd: ALL # telnet et ftp pour les h�tes de mon domaine et my.host.at.home. telnetd, ftpd: LOCAL, myhost.athome.org.au # finger pour tout le monde, mais garde une trace de l'identit�. fingerd: ALL: (finger @%h | mail -s "finger from %h" root) |
Le fichier /etc/hosts.deny est un fichier de configuration du programme /usr/sbin/tcpd. Ce fichier contient les h�tes qui n'ont pas l'autorisation d'acc�der � l'un des services de votre machine.
Un exemple simple ressemblerait � ceci :
# /etc/hosts.deny # # Interdit l'acces aux hotes ayant des noms suspects ALL: PARANOID # # Interdit l'acces a tous les hotes ALL: ALL |
L'entr�e PARANOID est en fait redondante car l'autre entr�e interdit tous les cas. L'une ou l'autre entr�e devrait convenir, en fonction de vos besoins particuliers.
Mettre ALL: ALL par d�faut dans le fichier /etc/hosts.deny puis autoriser certains services, en liaison avec les h�tes que vous avez choisis, dans le fichier /etc/hosts.allow, est la configuration la plus s�re.
Le fichier hosts.equiv est utilis� pour conc�der � certains h�tes des droits d'acc�s leur permettant d'avoir un compte sur votre machine sans fournir de mot de passe. Cela est utile dans un environnement s�curis� o� vous contr�lez toutes les machines, sinon ce peut �tre tr�s risqu�. Votre machine est aussi s�re que le moins s�r de vos h�tes de confiance. Pour augmenter la s�curit�, n'utilisez pas cette possiblit� et encouragez vos utilisateurs � ne pas utiliser le fichier .rhosts.
Un grand nombre de sites sont int�ress�s � avoir un serveur ftp anonyme pour permettre aux autres de transf�rer et de r�cup�rer des fichiers sans avoir besoin d'une identification sp�ciale. Si vous d�cidez d'offrir ce service soyez certains de configurer votre d�mon ftp de mani�re ad�quate pour les acc�s anonymes. La plupart des pages de manuel d�di�es � ftpd(8) d�crivent tous les d�tails pour y arriver. Vous devez toujours vous assurer que vous avez bien suivi les instructions. Un r�gle importante est de ne pas utiliser une copie de votre fichier /etc/passwd dans le r�pertoire /etc du compte anonyme. Soyez s�rs d'avoir �limin� tous les d�tails des comptes except�s ceux qui sont n�cessaires, autrement vous serez vuln�rables vis � vis de ceux qui ma�trisent les techniques de mise en pi�ces des mots de passe.
Ne pas permettre aux datagrammes d'atteindre votre machine ou les serveurs est un excellent moyen de s�curisation. Ceci est abord� en profondeur dans le Firewall-HOWTO et (de mani�re plus concise) plus loin dans ce document.
Voici d'autres suggestions, potentiellement religieuses, � prendre en consid�ration :
en d�pit de sa popularit�, le d�mon sendmail appara�t avec une effrayante r�gularit� dans les mises en garde concernant la s�curit�. Faites comme vous voulez, mais j'ai choisi de ne pas l'utiliser.
soyez circonspects avec eux. Il y a toutes sortes d'exploits possibles avec ces services. Il est difficile de trouver une option pour les services tels que NFS, mais si vous les configurez, soyez prudents envers ceux � qui vous accordez des droits.
| Prev | Home | Next |
| Autres fichiers de configuration ayant un rapport avec le r�seau | Up | Informations sur Ethernet |
Hosting by: Hurra Communications GmbH
Generated: 2007-01-26 18:01:32