salut,
 
voila LE topic pour securiser sa machine (passerelle ou autre )
 
bon, on commence doucement, je propose ke vous postiez vos commentaires et autres experiences perso
 
voilou, longue vie a ce topic
 
ATTENTION !!
pour ceux qui sont toujours avec une version 4.3.4 de PHP, upgradez de suite, une faille existe et permet d'executer du code arbitraire, notemment par le biais de backdoor ou rootkit !!
vous êtes prévenus
(merci à jowile pour avoir testé ça pour nous
 
 
----------------------------------------------------------------
 
 
le commencement :  
 
Mots de passe
Il faut commencer par mettre au moins un user sur la machine en + de root, et ce, pour lancer les services
Ensuite, mettre des mots de passe d AU MOINS 8 caracteres (alphabetique + numerique + tous les autres : *-_][() ....)
Preferez l utilisation de la fonction mkpasswd plutot que vos mots de passe, car il seront moins aleatoires
 
ensuite, mettre comme shell pour tous les autres comptes, le shell /bin/false
il est tout a fait possible de mettre /bin/false pour apache
en fait vous pouvez mettre ce shell pour pratiquement tous les services
voila ceux ki ont /bin/false chez moi :
- games
- postgres
- www-data
- backup
- operator
- irc
- nobody
- identd
- sshd
- postfix
 
on peut surement mettre ca aussi a sys, bin, lp ...
 
pensez aussi a mettre des mots de passe vide pour ces users (champ a x dans /etc/passwd et a * ds /etc/shadow)
 
Services
Il faut commencer par virer tous les services non utilises (meme virer les executables )
 
bon, on peut aussi chrooter les services (on vera pour l explication )
 
EDIT: bon j ai essaye chroot et makejail (2 prog differents pour chrooter des services) et je dois dire ke c est la croix et la baniere !!!
alors peut etre que pour un apache de base sans ssl ni php ou mysql c est simple, mais moi avec php + openssl en module, chroot n a jamais voulu marcher
 
pour makejail, j ai reussi a lancer apache en jail, mais le site ne marchait plus
 
donc retour a mon bon vieux apache-ssl en mode normal
 
Ssh avec clées + passphrase
 
But :se logguer (avec ssh evidemment ) mais par cle + pass phrase uniquement, et interdire les connexions pas mot de passe uniquement
 
 
c est tres simple :
 
generer sa paire de cles privee/publique :

rentrer une passphrase NON VIDE !
 
(cle de 1024 bits par defaut)
 
copier sa cle publique sur la machine ou l on veut pouvoir se loguer

 
sur la machine sécurisée : mettre l option

ds /etc/ssh/sshd_config et relancer sshd
 
voila, ca marche
 
ps : pour les nomades avec cle usb par exmple : copier sa cle privee (id_dsa) sur la machine d ou vous voudrez vous connecter
 
ps2 : vous pouvez faire l inverse bien sur : rajouter une cle + passphrase sur la machine securisee
 
nb : pour les gens sous windows utilisant putty, il faut d abord penser a modifier sa cle privée avec putty-gen sinon ca ne marchera jamais
 
Kernel Grsecurity + ACLs
La, c est la partie bas niveau
Grsecurity est un "pack" de patchs securité, qui permettent notemment l'évasion d un chroot, l apport des ACLs, la restriction des sockets, etc .
 
Commencez deja par recuperer le patch correspondant a votre noyau sur www.grsecurity.org
 
ensuite, patchez !
 
il fo ensuite recompiler votre kernel en activant grsecurity bien sur
hop hop on reboot
 
le kernel patché ne suffit pas, il faut activer grsecurity au moyen d un programme en userland (de la meme facon k iptables koi) : gradm
donc :

 
ensuite, il faut un script pour ke grsecurity soit activé au boot :
 

 
ce script n est pas de moi
 
Voila, deja avec ca beaucoup de choses sont limitées, mais ce n est rien comparé a ce ke peuvent faire les ACLs !!! (on vera ca plus tard )
 
ps : j ai eu klk pb avec grsec et nfs : il ne se lancait plus car grsec le killait (a cause d un pb de socket )
 
ATTENTION : ne pas utiliser l option lock pour ce script : sinon, pour modifier les options grsecurity, il faut rebooter !!
 
 
Firewall
Bien sur, un petit iptables avec de bonnes regles :
- tous les ports de fermes
- ouverture uniquement des ports necessaires
- no reponse aux pings
- logs des packets douteux (la y a un paquet de criteres !!!)
- + tout ce qui vous passe par la tete (ban d IP, etc.)
 
pour ceux dont la syntaxe rebute encore pas mal (dont moi ) voici le lien vers le script iptables surement le plus connu : celui d arno
http://freshmeat.net/projects/ipta [...] pic_id=151
 
bon deja, la avant ke klk un rentre ca devient chaud
 
 
Web
Enfin, faire tres tres tres attention a ce qui peut etre execute par apache (php, cgi, etc.)
la il faut faire gaffe aux erreurs d include, sql injection etc.
normalement, apache par defaut n est pas sensible au XSS ou CSS
 
Ne mettez pas la possibilite de lister les repertoires, ca vous evitera des mauvaises surprises
 
attention aux droits accordes au ftp aussi
 
bien sur, avec les distribs modernes (debian donc ), lancer un petit apt-get update && apt-get upgrade
 
pour Mandrake après avoir configuré les sources security, c'est :
urpmi.update -a && urpmi --auto-select + urpmi kernel si besoin de MAJ le kernel. (merci Mjules )
 
TOUS LES JOURS !!!
 
 
     Apache
Bon, voici un debut de "securisation" de apache
 
Tout, d abord, si votre site ne sert ke pour vous ou klk personnes passez le en ssl (port 443 )
ca restrindra de maniere plus ke significative le nombre d attaques !!
(j avais des km de logs d attaques IIS sur le port 80:lol
lorsqu apache se bind sur un port < 1024 il doit etre lance en root (car ces ports lui sont reserves)
donc vous pouves toujours essayer de le chrooter (j ai pas reussi avec apache-ssl )
 
ensuite, interdisez l affichage de l arborescence des repertoires : virer simplement l option

faites aussi attention aux liens symboliques, qui sont suivis par defaut
 
 
 
voilou, j attends vos precision + contributions    
 
 
Autres liens utiles
 
Audit, liens utils sur la secu - post plus en rapport avec la partie sombre de la force : failles, exploits, etc.
 
Security Focus - Le site de la secu, en anglais
 
Security Focus Unix - Le site de la secu, partie Unix (donc ki nous interesse plus )  
 
Toute la secu internet - site generaliste regroupant pas mal de liens sur tous les sujets de la secu
 
HSC - Site de secu en francais
 
KernelNewbies - Site de patch pour le kernel (rubrique secu notamment)
 
Sécuriser sa Debian  
Sécuriser sa debian (oui encore )
 
Un excellent site qui rappelle les bases des protocoles, la sécurisation en générale, les outils de scan et le maniement d'iptable. (Sidounet)

iop !
 
dite-moi , comment faire pour lancer certains services ( bind (je sais je vais le changer dans pas longtemps) , dhcp , samba , ntp , ssh , vnc par example) , par defaut mandrake lance ces process sous le compte root . Deja ca , se serait bien .

Cé de la ségrégation ...
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

tu veux faire koi    
 
pour les services lances en root, tu peux les chrooter

koi le petit passage sur la debian  

Et Gentoo ca compte pour des prunes ptet ?    
(Et les autres aussi ...   )
 
 
P.S. : Et les xxBSD, t'en fais quoi hein ?  

 
hehe chuis sur ke ca attirera plus de monde comme ca

bon et pis arrete de pourrir mon topic zZozo
 
 

Tu veux un titre qui accroche ?  
"Sécuriser Windaube 2000" ...
A mon avis l'un des premiers posts risque d'être ...
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
... "Autant se jeter d'une falaise" ...    
 
 
 
 
N.B. : Vous aurez remarqué un ingrédient pour un tomic à succès, à savoir un gros troll du fin fond des cavernes, bien velu ...
Manques plus qu'un peu de sexe et de violence pour en faire the tomic à succès ...

Attenetion aux caractères spéciaux dans les mot de passe !!!! Moi je me suis fait avoir une fois, j'avais mis le caractère "à" et quand j'ai voulu me connecter à distance j'avais un clavier sur lequel il n'y avait pas ce p... de m... de caractère...  

 
Ben lancer les daemons bind ou samba sous le compte que j'ai creé plutot qu'en root . C'est possible? Ou les chrooter seulement ? De toute facon , ils n'ecoutent que sur mon LAN .

Trop tareeeeeeeuuuhhhh ...

Sujet : [Topic Unik] Securiser sa passerelle internet
 
 

à faire également : appliquer un patch de sécu au kernel (genre grsecurity) afin d'effectuer quelques restrictions nécessaires pour durcir (beaucoup) le système.
          - rendre la pile non éxécutable (contre les BOF)
          - restreindre l'accès à /proc pour les users
          - PID aléatoires
          - durcir les chroots (impossibilité de chrooter un chroot,...)
          - modification de la pile tcp/ip (par celle d'openbsd)
          - et bien d'autres encore ...

 
En parlant de chrooter, c'est réellement pris en compte de base pour dhcpd ??? (il n'y a plus à tripatouiller d'une manière incompréhensible pour moi les fichiers de conf avant compilation ???)
 
Comme j'ai déjà Bind de chrooter, ce serait bien pour avoir aussi une reco dynamique des adresses. Et plus chrooter Bind   !
 
Le passant.

be je sais po car j ai po installer bind ni dhcpd

perso sur mon server, j'ai ajouter un 2eme compte root de secours. au cas ou un connard chopais le passwd et le changeais    
 
ca peut limiter les degats  

kel interet s il passe root, il fait ce k il veut : il vire l autre compte !

ouais mais il peut le laisser aussi.
 
on ne pense jamais a tout
 
c aussi une protection en cas d'oubli de passwd.  

Il suffit de debrancher la prise de telephone
Ou la prise rj45
 
On peut aussi couper le courrant
 
Sinon, plus serieusement, deja virer tous les services qui ne servent a rien, faire un bon script iptables (je peux poster le mien en exemple si ca vous botte), mmettre a jour regulierement contre les failles, installer une debian, ne pas utiliser les ports par defaut pr les services (style pas de ssh en 22 mais en 42357 par ex ! pareil pr le ftp ...), et scanner sa machine avec nmap pour voir ce que ca donne !
 
C'est tt ce qui me vient en tete là, mais j'ai pas dormi bcp donc bon ... le reste reviendra p-e

 

ca existe ? juste pour des scan de base ?

j'ai pas dit de mettre un serveur http en 45712, mais si tu fait un serveur ftp perso pr tes potes et toi, tu peux prendre un port exotique !
 
Faut etre un acharné pr se tapper le scan des 65000 ports d'une machine !
 
Nmap marche pr les scans de base (nmapfe pr la gui)

de rien petit scarabé ;-)
 
je poste mon script iptable pr ceux que ca interesse ou tout le monde s'en contre tamponne le coquillard

 
Heureusement que non.
 
Parce que tu crois que mettre ton srv FTP sur un port exotique le rendra invisible ?
Laisse moi rire, ce serait trop facile.

ca depend
 
car je sais ke le script Arno est vraiment top, donc si tu peux rivaliser c ok

pour les scripts kidies et autres scan de stro, c est deja un +

au fait je rappel l etat d esprit de ce post : c est pour s entraider, par pour savoir c est ki le plus gros warlordz en secu  
 
et pis aussi evitez k il porte en troll

j'ai jamais dis ca
mais ecxuse moi, faut vraiment pas avoir de bol pour tomber sur un acharné qui va se taper tous les ports de TA machine! Le plus gros risque pr un serveur perso c'est le gars qui scan des plages d'ip et des ports definis! A moins que tu heberge des données secret defense ...
 
 
 
TOmate, je connais pas le script de arno, mais poste le ici, il me semble que c'ets le bon tomic, non ?

je sais po si c est tres utile, car il fait 2 kilometres de long
 
pk ne pas plutot parler des choses a interdire/logguer/etc. pour un script de firewall ???
car la syntaxe, dans tout langage de programmation ne doit pas etre un obstacle (:D)
 
bref, c est l approche qui est importante

je dirais que la je regarde pour les histoires de log et un petit coup de snort

oui c'est sur ;-) mais bon l'apprentissage d'iptables est plutot ... chaint ! a la rigeur poste un lien vers le script de ce monsieur si tu pense qu'il nuira a la lisibilité du sujet

 
voila le lien vers le script du monsieur
 
je le rajoute ds la 1ere page (enfin 1er post plutot )

Euh, faudrait savoir si ce topic se destine vraiment à sécuriser ou simplement à s'amuser.
 
J'ai des doutes là

pk  
 
moi je voulais rassembler tout ce k il fo savoir et faire pour avoir une machine securisee (a notre nivo)
 
c mal ??

Un petit guide sur les bases de la sécurisation (le chapitre 3 surtout):
 
http://www.mandrakelinux.com/en/do [...] uide.html/
 
 
aussi, interdire le log direct en root sur quelque console que ce soit. (les consoles autorisées sont dans /etc/securetty )

 
Euh, pourquoi la Debian, je comprends po trop la ???
Ca m'échappe.
 
Utiliser une distri la plus légère possible sans tout le tintoin, ok.. (donc éviter si possible mandrake & Redhat ou y faire des coupe sombre).
Par tintoin, je comprends la désactivation des services ET la supressions de leurs executables !!!
 
Mais c'est pas d'utiliser Debian qui va nous sauver   !
 
Tu m'aurais dit un *BSD, ok, mais une Debian   .
 
Le passant.
 
Ps : dsl pour le troll !

Bien sur il fallait voir le leger troll qui a pu montrer le bout de son nez ;-)
 
en fait j'aime bien la deb pr un serv pr apt-get update && apt-get upgrade ! Ca permet d'avoir un system tjs a jours et sans failles connues en un minimum de tps et d'efforts ! Celà dit d'autre distrib doivent le faire aussi bien je n'en doute pas !