Description des services inutiles à supprimer.
Ces recommandations sont tirées du document :
Securing-Optimizing-Linux-RH-Edition-1_3.pdf
Ainsi que le sites des « Top Ten »
Packages :
Supprimer les logiciels inutiles ou à risque avec rpm -e
qui sont installés par défaut :
finger
fwhois
rdate
rdist
ucd-snmp
rusers
rwho
Les mots de passe :
Protéger le Bios par un password afin d’empêcher toute modification du comportement du serveur au démarrage (boot sur disque dur uniquement par exemple).
Changer la longueur minimal des password (5 caractères par défaut), mis à 6.
Editer le fichier /etc/logins.defs
et mettre la variable PASS_MIN_LEN 6
Autoriser le login de root uniquement sur la console tty1. Pour cela commenter les lignes tty/etc/securetty
.
Pour passer root sur la console 2, il faudra se connecter sous son login puis faire un su.
Enlever les comptes inutiles du fichier /etc/passwd avec la commande userdel (pour les comptes : sync, shutdown, halt, news, operator, gopher,).
Idem pour les groupes news et slipusers avec la commande delgroup.
Pour empécher toute modification des fichiers suivants, positionner le bit immuable avec la commande chattr +i
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +I /etc/group
chattr +i /etc/gshadow
Si on désire rajouter un utilisateur, il faudra executer la commande chattr -I sur ces fichiers avec la commande adduser
Les services réseau :
Interdire les « pings » sur le serveur visible de l’extérieur (DMZ). La ligne suivante est rajoutée dans le fichier /etc/rc.d/rc.local :
echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all
Interdire les modifications du fichier /etc/services :
chattr +i /etc/services
Idem pour /etc/lilo.conf
Suppression de l’exécutable /bin/rpm du disque dur :
Pour des raisons de sécurité, le binaire /bin/rpm a été déplacé sur un disquette. Ceci empêchera un pirate d’installer ses propres packages (rootkit et autres) sur le serveur. Le binaire se trouve sur une disquette formatée Unix (ext2) . Un alias « mountfd » permet de monter la disquette et le chemin /mnt/fd0 a été rajouté dans le PATH de root.
Désactivation de services au démarrage :
Les services suivants sont désactivés dans /etc/rc.d/rc3.d :
kudzu, identd, lpd
Si root veut imprimer, il suffit de démarrer le service (/etc/rc.d/init.d/lpd start).