Sécurisation d’un serveur GNU / Linux

But du TP : Exploiter les connaissances acquises durant les cours d’administration système pour sécuriser un serveur GNU / Linux, étape par étape

Eléments pour construire le TP :

COMPLETER la liste des éléments fournis.

Ressources :

Notes

Reprendre les points données au chap 1 du T3 pour faire un genre de cours rapide sur la sécurité :
- politique de sécurité
- audit (scripts qui testent la sécurité)
- formation des employés
- sécurité physique d’un serveur
- etc.
- Faire ce que nous appelons des “clins d’½il” aux cours de l’année, pour permettre à l’élève de se sentir dans son élément
Faire un mini - recueil d’astuces pour permettre à l’élève d’avancer rapidement :
- gpg –symetrie fichier

Mot de passe : Martine est utilisateur de la machine, elle possède des droits sudo et ne ferme pratiquement jamais son bureau (c’est une tête en l’air). Dans son bureau, à côté de l’écran, se trouve plusieurs photos de son chien pompom
Snif réseau d’un utilisateur ? : donner le log du sniffage
Mettre un outil de pirate sur le serveur et permettre à l’élève de détecter puis éradiquer ledit outil
- coroner toolkit ?
- t0rn ?
Faire peut être un joomla ou un drupal ayant une faille connue, l’exploiter pour casser le forum / site, et demander à l’élève de réparer ?
- recherche de la mise à jour
- installation suivant procédure donnée par le site de joomla ou drupal
Injection SQL / XSS pour détruire un site ?
Vérification des commandes basiques tels que ls, cd, etc.

Liste l’ensemble des choses à vérifier :
- mdp trop simple
- bios
- lecture journaux (log)
- accès machine

isolation : le serveur ne doit pas être accessible physiquement ######> minimum salle sans fenêtre, climatisée (+) et avec porte blindée et digicode, mur en béton armé (pas en plâtre). Idem pour les sauvegardes > pas de clé USB !
fournir un mdp à chaque utilisateur, ne pas lui laisser le changer (contrôle total de la fragilité des mdps) : 2majuscules, 4 minuscules, 2 chiffres et 2 caractères comme /, ; .
Donner des instructions à chaque utilisateur :
- Ils doivent apprendre par c½ur le mot de passe
- Supprimer le papier où le mot de passe était => destructeur de documents (chercher le pourcentage de données récupérés par des “malfaiteurs” dans les poubelles)
- ne donner sous aucun prétexte le mot de passe à quelqu’un, quel qu’il soit !
- ne jamais énoncer de vive voix (ni de voix tout court) le mdp
- Si on quitte quelques secondes le poste, on doit VERROUILLER la session
  - Sous Microsoft Windows [touche windows] + [L]
  - Sous GNU / Linux [Ctrl] + [Alt] + [L] (sous gnome et KDE => non testé ailleurs)
vérifier que les utilisateurs n’appartiennent pas à des groupes ayant trop de permissions
- vérifier les accès aux serveurs web, si l’utilisateur a le sudo ou pas
  - Web : apache, fichiers des sites, etc… => droits sur dossier partagé
  - Notamment Samba, NFS (faire NIS), etc…