Bonjour,
Voici un petit post-it sans pretentions juste la pour rappeler les choses à faire et ne pas faire lors d'une nouvelle install ou d'une install existante:
Ce document n'est evidemment pas exhaustif et n'a pas la pretention de l'etre.
1) Ne jamais utiliser le compte Root si ce n'est pas necessaire.
Création d'utilisateur: si il est de bon ton de créer des utilisateurs afin de ne pas utiliser le compte root, il est tout aussi important de désactiver leur compte si on sait qu'il ne s'en serviront pas pendant une longue période... le "usermod -s /bin/false user" est donc bel et bien un outil basique de sécurité.
2) Preferer l'utilisation de clé RSA/DSA pour les acces distants plutot qu'un password
3) Chroot est ton ami -> ne l'oublie pas
4) Firewalling:
Deux principes à retenir pour configurer un fw
-Interdire tout ce qui n'est pas autoriser
ou
-Autoriser tout ce qui n'est pas interdit
Des 2, le premier est la meilleure solution.
Dans un firewall :
logguer tous les paquets deny
et par defaut rajouter des regles pour deny les vers les plus connus et ne pas logguer pour eviter justement de pourrir les logs :
il faut donc interdire et ne pas logguer les paquets suivants allant aux destinations suivantes :
- TCP 1433 : port sql server souvent scanné par des vers
- TCP 445 : Sasser
- TCP 135 : Faille RPC
- TCP 139 : Netbios
Il existe maintenant des FW authentifiés ainsi que des firewall applicatifs.
cf: http://www.openbsd.org/faq/pf/index.html qui est à mon avis le meilleur disponible actuelement.
5)Patch Management
Dans le contexte actuel mieux vaut etre au cours des dernieres failles de secu et patcher dès que possible.
6) Utiliser des passwords complexes plus difficiles à craquer lors d'une attaque par brute force(attaque par dictionnaire)
Voici ce que j'utilise pour definir mes passwords:
8 caratères minimum, Chiffres et lettres, Caratères spéciaux(@,!;...; l'espace est aussi accepté), Mixed case(Miniscule, Majuscule)
7) La paranoia est de mise de nos jours, donc "don't trust anyone, even your sysadmin"
8) Utiliser des softs reputés pour leur code sécurisé -> postfix au lieu de sendmail/qmail, djbdns au lieu de bind, OpenNTP au lieu de ntpd, etc...
Et bien sur cf 3)
9)Verifier regulierement l'integrite du systeme avec des logiciels tel que chkrootkit, clamav, avast,Tripwire, ...
Voila pour le spremiers points qui me sont passés par la tete, si vous avez d'autres suggestions merci de les faire parvenir en MP aux modos de la section, ils se feront un plaisir de mettre ce post-it à jour.
En bonus un petit lien vers le Topic Securité en creation dans la section Logiciels.
http://forum.rue-montgallet.com/ru [...] 0562-1.htm
Ce topic donne un aperçu des differents equipements de secu ainsi qu'un descriptif des attaques les plus courantes et pour finir quelques moyens de protections efficaces.
Les modos
spy & grimms
Message édité par spy le 07-10-2005 à 14:22:23
---------------
"There is a diference between knowing the path and walking the path"
OpenBSD reloaded
MCP Exchange2003
Cisco CCNA