If you can't read please download the document

LPIC1 11 02 sécurité système

Embed Size (px)

Citation preview

  • 1. Nol Mac Formateur et Consultant indpendant expert Unix et FOSS http://www.noelmace.comScuritScurit systmeLicence Creative Commons Ce(tte) uvre est mise disposition selon les termes de la Licence Creative Commons Attribution - Pas dUtilisation Commerciale - Partage dans les Mmes Conditions 3.0 France.Linux LPIC1 Comptia Linux+noelmace.com

2. Plan Bonnes pratiques pour les mots de passe Limiter l'accs root Sudo Configuration de sudo Configuration de sudo : Exemple Limiter l'usage des ressources Configuration de pam_limits Commande ulimit Fichier nologin Localiser les fichiers avec SUID/SGID Linux LPIC1 Comptia Linux+noelmace.com 3. Bonnes pratiques pour les mots de passe choisir de bons mots de passe ce qui est de plus en plus difficile changer les mot de passe rgulirement cf commande chage utiliser les mot de passe shadow garder les mot de passe secrets pas d'envoi par email ou autre, note (papier ou electronique), etc ... utiliser des protocoles d'authentification distante scuriss attention au "shoulder surfing" UN mot de passe pour UN systme attention au social engineering et au fishing Linux LPIC1 Comptia Linux+noelmace.com 4. Choisir un bon "mot" de passe ? xkcd.com - cc-by-nc Donc, de nos jours, il est possible de deviner les "mots" de passes : du dictionnaire (rainbow table)"courts" (bruteforce)en "pass phrase" existants ie. prsent quelque part sur le net ou un livremme avec remplacement des lettres classiques par des chiffres et caractres spciauxou mme encore avec diffrentes astuces exemple : crire une pass phrase anglaise sur un clavier russebref tout ce qu'un cerveau humain peu retenir plus ou moins simplement Et tout cela est encore plus simplifi si vous respectez une certainepolitique de scurit accessible par l'attaquant Les mots de passes et pass phrases ne rpondent donc plus (et FAUX ! depuis longtemps) aux problmatiques de scuritcf le travail de Kevin YoungLinux LPIC1 Comptia Linux+noelmace.com 5. Limiter l'accs root ne jamais se connecter directement en tant que root limiter l'usage du compte root le plus possible$ su -c "commande" $ su -c "commande"Linux LPIC1 Comptia Linux+noelmace.com 6. Sudo Permet de donner certains droits d'administration aux utilisateurs dfinis par des groupes de commandes et des droits utilisateurs (comme root)Linux LPIC1 Comptia Linux+noelmace.com 7. Configuration de sudo /etc/sudoers ident identhote = (user : grp) commande1, (user) commande2, ... hote = (user : grp) commande1, (user) commande2, ...# visudo # visudoLinux LPIC1 Comptia Linux+noelmace.com 8. Alias Permettent de regrouper des lments sous un identifiant unique User_Alias Runas_Alias Host_Alias Cmnd_AliasLinux LPIC1 Comptia Linux+noelmace.com 9. Droits identifiant : nom de l'utilisateur ou groupe %groupe : le groupe systme groupe (un seul par ligne) (utilisateur : groupe) : utilisateur et groupe dont sudo donne les droits (root : root) par dfautou (ALL)options -u et -g de sudo commandes priviligier les chemins absoluscf whereis!cmd : refus de cette commandeLinux LPIC1 Comptia Linux+noelmace.com 10. Configuration de sudo : Exemple ## Storage ## Storage Cmnd_Alias STORAGE = /sbin/fdisk, /sbin/sfdisk, /sbin/parted, Cmnd_Alias STORAGE = /sbin/fdisk, /sbin/sfdisk, /sbin/parted, /sbin/partprobe, /bin/mount, /bin/umount /sbin/partprobe, /bin/mount, /bin/umount ## Processes ## Processes Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall /usr/bin/killall %sys %sys %disk %disk %wheel %wheelALL = STORAGE, PROCESSES ALL = STORAGE, PROCESSES ALL = STORAGE ALL = STORAGE ALL=(ALL) ALL ALL=(ALL) ALL## The user dgb may run /bin/ls, /bin/kill, and /usr/bin/lprmbut ## The user dgb may run /bin/ls, /bin/kill, and /usr/bin/lprmbut ## only as operator. E.g., ## only as operator. E.g., ## $ sudo -u operator /bin/ls ## $ sudo -u operator /bin/ls dgb boulder = (operator) /bin/ls, (root) /bin/kill, /usr/bin/lprm dgb boulder = (operator) /bin/ls, (root) /bin/kill, /usr/bin/lprm alan alanALL = (root, bin : operator, system) ALL ALL = (root, bin : operator, system) ALLLinux LPIC1 Comptia Linux+noelmace.com 11. Limiter l'usage des ressources pam_limits intgr par dfaut dans la plupart des distributions ulimits : pour les limites du bashLinux LPIC1 Comptia Linux+noelmace.com 12. Configuration de pam_limits /etc/security/limits.conf domain type item value domain type item value Exemple @limited hard cpu 2 @limited hard cpu 2Linux LPIC1 Comptia Linux+noelmace.com 13. Configuration de pam_limits domain : entit pour laquelle les limites s'appliquent nom d'utilisateurnom de groupe (@groupname) item : quel type d'item est affect (gnralement en Ko)tout le monde (*)core : taille des "core files" dump de l'tat d'un processus en mmoire lors d'un arrt brutalpour debugging type : hard ou soft limit hard : ne peu tre dpasse mise en place par l'admin- : hard ET softfsize : taille des fichiers crs par l'utilisateurnofile : nombre de fichiers ouvertsrss : resident set size max soft : peu tre dpasse temporairementdata : taille des donnes programmeportion de la mmoire processus stock en mmoiremaxlogins : nbr max de logins simultansLinux LPIC1 Comptia Linux+nproc : nombre de processus concurrents value : valeur appliquerpriority : process prioritycpu : temps cpu d'un seul processus, en minutes noelmace.com 14. Commande ulimit commande interne bash n'affecte que bash et les programmes qu'il lance trs limit - peu tre contourn (GUI Login, SSH dans certains cas)prvenir les problmes accidentels, non intentionnels# ulimit [options [limit]] # ulimit [options [limit]]Linux LPIC1 Comptia Linux+noelmace.com 15. Options de ulimits fichiers -c : limite la taille des core dumps-f : taille des fichiers crs par le shell-n : nombre de descripteurs de fichiers ouverts stockage des variables locales et des adresses deretour de fonctionsn'est pas pris en compte par la plupart des systmes-m : rss max-d : taille max en mmoire des donnes d'un programme pile + tas-l : taille max pouvant tre vrouille en mmoire processus -u : nombre de processus qu'un utilisateur peu lancer-t : temps CPU total (en sec) limite -H : hard limit-S : soft limit mmoire -v : taille de mmoire virtuelle disponible pour le shell-s : taille max de la pileLinux LPIC1 Comptia Linux+ -a : afficher les limites actuelles affiche galement toutes les options correspondantes noelmace.com 16. Fichier nologin /etc/nologin interdit la connexion tout autre utilisateur que root pour maintenance Simple message Authentification dsactive jusqu' 14h pour maintenance. Authentification dsactive jusqu' 14h pour maintenance.Linux LPIC1 Comptia Linux+noelmace.com 17. Localiser les fichiers avec SUID/SGID cf. find Exemple # find / -perm +6000 -type f # find / -perm +6000 -type fLinux LPIC1 Comptia Linux+noelmace.com 18. Ce quon a couvert Sujet 110.1 : Effectuer des tches d'administration de scurit Audit du systme pour retrouver les fichiers ayant les permissions suid/guid positionnes. (find)Positionner et changer les mots de passe des utilisateurs ainsi que les informations de validit du compte. (chage, passwd, usermod)Imposer les limites aux utilisateurs en terme de l'utilisation de la mmoire et des processus. (ulimit)Configuration et utilisation basique de "sudo" (/etc/sudoers, sudo, su) Sujet 110.2 : Configurer la scurit du systme Comprendre et savoir utiliser les mots de passe shadow (/etc/nologin, /etc/passwd/, /etc/shadow)Linux LPIC1 Comptia Linux+noelmace.com 19. Licence Ce(tte) uvre (y compris ses illustrations, sauf mention explicite) est mise disposition selon les termes de la Licence Creative Commons Attribution - Pas dUtilisation Commerciale - Partage dans les Mmes Conditions 3.0 France. Pour voir une copie de cette licence, visitez http://creativecommons.org/licenses/by-nc-sa/3.0/fr/ ou crivez : Creative Commons, 444 Castro Street, Suite 900, Mountain View, California, 94041, USA.Vous tes libre de: partager reproduire, distribuer et communiquer cette uvreremixer adapter luvreSelon les conditions suivantes : Attribution Vous devez clairement indiquer que ce document, ou tout document driv de celui, est (issu de) luvre originale de Nol Mac (noelmace.com) (sans suggrer qu'il vous approuve, vous ou votre utilisation de luvre, moins d'en demander expressment la permission).Pas dUtilisation Commerciale Vous navez pas le droit dutiliser cette uvre des fins commerciales (ie. l'intention premire ou l'objectif d'obtenir un avantage commercial ou une compensation financire prive). Pour obtenir ce droit, une autorisation explicite de l'auteur est requise.Partage dans les Mmes Conditions Si vous modifiez, transformez ou adaptez cette uvre, vous navez le droit de distribuer votre cration que sous une licence identique ou similaire celle-ci.Pour toute demande de collaboration, d'utilisation commerciale ou de publication de ce support ou d'un driv de celui-ci sous une licence incompatible, contacter l'auteur via les contacts indiqus sur le site http://www.noelmace.com. Vous tes par ailleurs vivement encourag (sans obligation lgale) communiquer avec celui-ci si vous ralisez une uvre drive ou toute amlioration de ce support.Linux LPIC1 Comptia Linux+noelmace.com


L'audit de sécurité du système d'information

L'audit de sécurité du système d'information

Documents
Audit de sécurité du système d’information de le Moteur Dieselpf-mh.uvt.rnu.tn/948/1/Moteur-Diesel.pdf · Audit de sécurité du système d’information de le Moteur Diesel

Audit de sécurité du système d’information de le Moteur Dieselpf-mh.uvt.rnu.tn/948/1/Moteur-Diesel.pdf · Audit de sécurité du système d’information de le Moteur Diesel

Documents
Système dexploitation : Assembleur Semaine 02 Architecture

Système dexploitation : Assembleur Semaine 02 Architecture

Documents
Système de contrôle d’accès et de sécurité intégré haute

Système de contrôle d’accès et de sécurité intégré haute

Documents
Système de sécurité supervisé DP8360 avec centrale … · Système de sécurité supervisé DP8360 3 Utilisation quotidienne Lexique des fonctions du système de sécurité supervisé

Système de sécurité supervisé DP8360 avec centrale … · Système de sécurité supervisé DP8360 3 Utilisation quotidienne Lexique des fonctions du système de sécurité supervisé

Documents
02-Arrêt et démarrage d’un système SAP.ppt

02-Arrêt et démarrage d’un système SAP.ppt

Documents
Réorganisation du système marocain de contrôle et de sécurité

Réorganisation du système marocain de contrôle et de sécurité

Documents
Sécurité incendie - Siemens · Sécurité incendie | Détection incendie, mise en sécurité, extinction automatique, évacuation, supervision. Le système d’extinction automatique

Sécurité incendie - Siemens · Sécurité incendie | Détection incendie, mise en sécurité, extinction automatique, évacuation, supervision. Le système d’extinction automatique

Documents
Manuel de sécurité Description du système

Manuel de sécurité Description du système

Documents
Système d’Exploitation,dequen/lib/exe/fetch.php?... · 2020-02-26 · 26/02/2020 2 Plan • Système d’exploitation • Terminologie • Principes généraux • Système de

Système d’Exploitation,dequen/lib/exe/fetch.php?... · 2020-02-26 · 26/02/2020 2 Plan • Système d’exploitation • Terminologie • Principes généraux • Système de

Documents
Interphonie de Sécurité - | EATON · SYSTÈME DE SÉCURITÉ INCENDIE . EATON Catalogue Sécurité - Sécurité Incendie 285 4 3 1 : Interphone de sécurité 2 : Téléphone de sécurité

Interphonie de Sécurité - | EATON · SYSTÈME DE SÉCURITÉ INCENDIE . EATON Catalogue Sécurité - Sécurité Incendie 285 4 3 1 : Interphone de sécurité 2 : Téléphone de sécurité

Documents
SYSTÈME DE GESTION DE LA SÉCURITÉ : QUEL MODÈLE …

SYSTÈME DE GESTION DE LA SÉCURITÉ : QUEL MODÈLE …

Documents
Sécurité du système de politique d’acheminement

Sécurité du système de politique d’acheminement

Documents
SIRIUS Safety Integrated Système de sécurité modulaire 3RK3

SIRIUS Safety Integrated Système de sécurité modulaire 3RK3

Documents
Sécurité et économie Renouvellement du Système d

Sécurité et économie Renouvellement du Système d

Documents
Thème « Système de management intégré (Qualité-Sécurité

Thème « Système de management intégré (Qualité-Sécurité

Documents
Tableau de bord Sécurité - Indicateurs Clefs de la sécurité système

Tableau de bord Sécurité - Indicateurs Clefs de la sécurité système

Documents
Système de sécurité DP8000 GUIDE D'UTILISATION

Système de sécurité DP8000 GUIDE D'UTILISATION

Documents
Système intégré de sécurité - NCS scaline

Système intégré de sécurité - NCS scaline

Documents
1. Présentation-Administration et Sécurité Système & Réseaux

1. Présentation-Administration et Sécurité Système & Réseaux

Documents
Système de sécurité pour silos KCS - Accueil | Profiltre

Système de sécurité pour silos KCS - Accueil | Profiltre

Documents
Manuel de votre SyStèMe de Sécurité - Sector Alarm

Manuel de votre SyStèMe de Sécurité - Sector Alarm

Documents
Démarche de prévention des risques dans le secteur cimentier · 2017-02-15 · HSE, ouvriers Thème abordé: –Système de Management de la sécurité –Travaux hauteur ... du

Démarche de prévention des risques dans le secteur cimentier · 2017-02-15 · HSE, ouvriers Thème abordé: –Système de Management de la sécurité –Travaux hauteur ... du

Documents
Info système sécurité

Info système sécurité

Documents
Système Off-Camera Flash 2015-02 FR

Système Off-Camera Flash 2015-02 FR

Documents
Système d’Alerte Précoce Surveillance de la Sécurité B es

Système d’Alerte Précoce Surveillance de la Sécurité B es

Documents
Etude du système informatique de BIG: Sécurité et déploiement … … · Etude du système informatique de BIG: sécurité et déploiement de services réseaux NIKIEMA Ousmane

Etude du système informatique de BIG: Sécurité et déploiement … … · Etude du système informatique de BIG: sécurité et déploiement de services réseaux NIKIEMA Ousmane

Documents
votre système de sécurité incendie

votre système de sécurité incendie

Documents
Sécurité Informatique - PAG1 Sécurité Informatique Module 02

Sécurité Informatique - PAG1 Sécurité Informatique Module 02

Documents
Sécurité du Système d’exploitation Linux

Sécurité du Système d’exploitation Linux

Documents