Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 23/01/2009, à 10:20

saelyx

Politique de sécurité Ubuntu

Bonjour à tous,
voici un poste pour demander quelques détails sur la sécurisation d'Ubuntu. J'aimerais au plus possible me rapprocher de la politique de sécurité BSD (OSX). Pour se faire, j'ai déjà penser à :

- créer un groupe operators, qui permet aux utilisateurs de se groupe de lancer les programme SUID, tout les autres utilisateurs n'en ont pas le droit :

chown root.operators $(which ping)
chmod 4750 $(which ping)

Résultat :

-rwsr-x---    root.operators   ping

- par défaut un utilisateur n'est pas dans les sudoers, seul un utilisateur y est, nécessairement du groupe operators, mais un tout le groupe operators n'y est pas

- création de tables ARP avec une liste d'adresse MAC de confiances (routeurs, passerelle, proxy / listé avec nast)

- création de tables Ethernet (ebtables) pour n'autoriser que certains protocoles (IPv4, ARP, TCP, UDP, ICMP)

- accès interdit à la console, /bin/false mis par défaut /etc/passwd
- règles iptables n'autorisant la connexion que sur des ports connus (http, ftp, ssh, https, samba)
- arpwatch installé
- clamav & chrootkit installé

Un script s'occupera de tout ça.

Reste à faire :

- gksu / kdesu doit demander le passe root (comme sur Debian)
- installer un système anti-{stack,buffer,integer,...}-overflow
- configurer ClamAV/ChRootKit pour qu'en cas de détection de virus, le poste soit isolé du réseau et une alerte remonte à l'administrateur.

A bon entendeur...

-----BEGIN GEEK CODE BLOCK-----
GCS d- s+:+ a? C++ UL+++ P L++ E--- W+ N o-- K- w+ O-- M- V-
PS+ PE Y PGP t 5 X+ R- tv-- b+ DI- D++ G e-- h--- r+++ z+++
------END GEEK CODE BLOCK------

Hors ligne

#2 Le 08/04/2009, à 01:43

saelyx

Re : Politique de sécurité Ubuntu

Pour protéger TOUT LES PROGRAMME SUID : 

#!/bin/bash

function protect-suid()
{
	s="-s"
	[ $# -eq 2 ] && s=$2
	f=$1 ; [ ! -f $f ] && f=$(which $1)

	if [ ! -f $f ] ; then
		echo -e "\n\e[1;32m[x] File not exists : $1\e[0m\n"
	fi

	chown root.operators $f
	chmod 4750 $f
	ls -l $f
}


find / -user root -perm +04000 -ls 2>/dev/null >suid-programs.log


for f in $(grep "root     root" suid-programs.log  | grep -v su | grep -oE "\/usr.+")
do
	protect-suid $f
done

Dernière modification par saelyx (Le 08/04/2009, à 01:44)

-----BEGIN GEEK CODE BLOCK-----
GCS d- s+:+ a? C++ UL+++ P L++ E--- W+ N o-- K- w+ O-- M- V-
PS+ PE Y PGP t 5 X+ R- tv-- b+ DI- D++ G e-- h--- r+++ z+++
------END GEEK CODE BLOCK------

Hors ligne

Pages : 1