Accueil - Informatique - Systèmes d’exploitation - Linux - Sécuriser son serveur

Les services et mots de passe

Publié le vendredi 16 avril 2004.


Description des services inutiles à supprimer.

Le système

Ces recommandations sont tirées du document :
Securing-Optimizing-Linux-RH-Edition-1_3.pdf
Ainsi que le sites des « Top Ten »

Packages :

Supprimer les logiciels inutiles ou à risque avec rpm -e qui sont installés par défaut :

finger
fwhois
rdate
rdist
ucd-snmp
rusers
rwho

Les mots de passe :

Protéger le Bios par un password afin d’empêcher toute modification du comportement du serveur au démarrage (boot sur disque dur uniquement par exemple).

Changer la longueur minimal des password (5 caractères par défaut), mis à 6.

Editer le fichier /etc/logins.defs et mettre la variable PASS_MIN_LEN 6

Autoriser le login de root uniquement sur la console tty1. Pour cela commenter les lignes tty dans le fichier /etc/securetty.

Pour passer root sur la console 2, il faudra se connecter sous son login puis faire un su.

Enlever les comptes inutiles du fichier /etc/passwd avec la commande userdel (pour les comptes : sync, shutdown, halt, news, operator, gopher,).

Idem pour les groupes news et slipusers avec la commande delgroup.

Pour empécher toute modification des fichiers suivants, positionner le bit immuable avec la commande chattr +i

chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +I /etc/group
chattr +i /etc/gshadow

Si on désire rajouter un utilisateur, il faudra executer la commande chattr -I sur ces fichiers avec la commande adduser

Les services réseau :

Interdire les « pings » sur le serveur visible de l’extérieur (DMZ). La ligne suivante est rajoutée dans le fichier /etc/rc.d/rc.local :

echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all

Interdire les modifications du fichier /etc/services :

chattr +i /etc/services
Idem pour /etc/lilo.conf

Suppression de l’exécutable /bin/rpm du disque dur :

Pour des raisons de sécurité, le binaire /bin/rpm a été déplacé sur un disquette. Ceci empêchera un pirate d’installer ses propres packages (rootkit et autres) sur le serveur. Le binaire se trouve sur une disquette formatée Unix (ext2) . Un alias « mountfd » permet de monter la disquette et le chemin /mnt/fd0 a été rajouté dans le PATH de root.

Désactivation de services au démarrage :

Les services suivants sont désactivés dans /etc/rc.d/rc3.d :

kudzu, identd, lpd

Si root veut imprimer, il suffit de démarrer le service (/etc/rc.d/init.d/lpd start).