Manuel de sécurisation de Debian
Annexe A - La procédure de durcissement étape par étape

Vous trouverez ci-dessous une procédure post-installation pour durcir un système Debian 2.2 GNU/Linux. Il s'agit d'une approche possible pour une telle procédure et celle-ci est orientée sur le renforcement des services réseaux. Elle est incluse pour présenter le processus entier que vous pouvez utiliser pendant la configuration. Veuillez également voir Liste des contrôles de configuration., Annexe B.

• Faire une installation du système (tenez compte des informations dans ce manuel concernant le partitionnement). Après l'installation du système de base, allez dans l'installation personnalisée, ne sélectionnez pas de paquets de tâches (task). Sélectionnez les mots de passe ombrés (shadow).

• Passer les paquets en revue avec dselect et retirer les paquets non nécessaire mais sélectionnés auparavant avant de faire [I]nstall. Laisser le strict minimum de logiciels sur le système.

• Actualiser tous les logiciels à partir des paquets les plus récents disponibles sur security.debian.org comme décrit précédemment dans Se mettre à jour au niveau de la sécurité, Section 4.2.

• Appliquer les suggestions présentées dans ce manuel concernant les quotas utilisateur, les définitions des connexion et lilo.

• Faire une liste de services actifs sur votre système. Exécuter ceci :

         $ ps aux
         $ netstat -pn -l -A inet 
         # /usr/sbin/lsof -i | grep LISTEN
  

  Vous devrez installer lsof-2.2 pour que la troisième commande fonctionne (à lancer en root). Vous devriez faire attention car lsof peut traduire le mot LISTEN pour votre langue.

• Afin de retirer les services non nécessaires, déterminer avant tout quels paquets fournissent le service et comment ils sont lancés. Cette tâche peut être facilement réalisée en vérifiant le programme qui écoute la « socket », l'exemple suivant nous le montre en utilisant ces outils et dpkg :

         #!/bin/sh
         # FIXME: ceci est vite fait, mal fait ; à remplacer par un bout
         # de script plus robuste
         for i in `sudo lsof -i | grep LISTEN | cut -d " " -f 1 |sort -u` ; do
                 pack=`dpkg -S $i |grep bin |cut -f 1 -d : | uniq`
                 echo "Service $i is installed by $pack";
                 init=`dpkg -L $pack |grep init.d/ `
                 if [ ! -z "$init" ]; then
                          echo "and is run by $init"
                 fi
         done
  

• Une fois les services indésirables trouvés, supprimer le paquet (avec dpkg --purge) ou utiliser update-rc.d (voir Désactivation de services démon, Section 3.6.1) de façon à le retirer du système de démarrage.

• Pour les services inetd (lancés par le super-démon), vérifier quels services sont activés dans /etc/inetd.conf avec :

         $ grep -v "^#" /etc/inetd.conf | sort -u
  

  et désactiver ceux qui ne sont pas nécessaire en commentant la ligne qui les inclut dans /etc/inetd.conf, en supprimant le paquet ou en utilisant update-inetd.

• Si vous avez des services « wrappés » (ceux utilisant /usr/sbin/tcpd), vérifier que les fichiers /etc/hosts.allow et /etc/hosts.deny sont configurés d'après vos règles de services.

• Si le serveur utilise plus d'une interface externe, vous pouvez avoir envie de limiter les services pour qu'ils n'écoutent que sur une seule d'entre elles. Par exemple, si vous voulez un accès FTP interne, paramétrez le démon FTP afin qu'il n'écoute que sur l'interface désirée et non toutes les interfaces (c'est-à-dire 0.0.0.0:21).

• Redémarrez la machine ou passer en mode utilisateur seul puis revenez en mode multi-utilisateur avec :

         $ init 1
         (....)
         $ init 2
  

• Vérifiez que les services sont maintenant disponibles et, si nécessaire, répétez les étapes ci-dessus.

• Installez maintenant les services nécessaires si vous ne l'avez pas encore fait et configurez les correctement.

• Utilisez la commande shell suivante pour déterminer quel utilisateur est utilisé pour lancer chaque service disponible :

         $ for i in `/usr/sbin/lsof -i |grep LISTEN |cut -d " " -f 1 |sort -u`; \
         > do user=`ps ef |grep $i |grep -v grep |cut -f 1 -d " "` ; \
         > echo "Le service $i a été lancé en tant qu'utilisateur $user"; done
  

  Pensez à changer les utilisateur et groupe lançant ces services pour un utilisateur/groupe donné et peut-être utiliser chroot pour augmenter le niveau de sécurité. Vous pouvez procéder en changeant les scripts de démarrage de services de /etc/init.d. La plupart des services dans la Debian utilisent start-stop-daemon qui propose des options (--change-uid et --chroot) pour faire cela. Un petit avertissement concernant l'utilisation de chroot pour des services est nécessaire : vous aurez peut-être besoin de mettre tous les fichiers installés par le paquet (utilisez dpkg -L) fournissant le service ainsi que les paquets dont il dépend dans l'environnement chroot. Des informations sur la mise en place d'un environnement chroot pour le programme ssh peut être trouvée dans Environnement de chroot pour SSH, Annexe G.

• Répéter les étapes ci-dessus afin de vérifier que seuls les services désirés sont lancés et qu'ils fonctionnent avec une combinaison utilisateur/groupe désirée.

• Tester les services installés afin de voir si leur fonctionnement est bien celui souhaité.

• Vérifier le système en utilisant un scanner de vulnérabilités (comme nessus) de façon à déterminer les vulnérabilités du système (mauvaise configuration, services vieux ou non nécessaires).

• Mettre en place des mesures contre les intrusions réseaux et hôtes comme snort et logsentry.

• Répéter l'étape du scanner de réseaux et vérifier que le système de détection d'intrusion fonctionne correctement.

Pour les personnes vraiment paranoïaques, vous pouvez également prendre en considération ce qui suit :

• Ajouter au système des possibilités de pare-feux, acceptant les connexions entrantes uniquement pour les services définis et limitant les connexions sortantes à celles autorisées.

• Revérifier l'installation avec une nouvelle évaluation de vulnérabilité à l'aide d'un scanner de réseaux.

• Vérifier les connexions sortantes en utilisant un scanner de réseaux depuis le système jusqu'à un hôte à l'extérieur et vérifier que les connexions non voulues ne trouvent pas leur sortie.

FIXME: cette procédure considère le durcissement de service, mais pas le renforcement du système au niveau utilisateur, incluant des informations à propos de la vérification des permissions utilisateurs, les fichiers setuid et le gel des changements dans le système en utilisant le système de fichiers ext2.

Manuel de sécurisation de Debian