administra- Debian GNU/Linux GNU/Linux Ma®trisez la s©curit© du syst¨me Debian GNU/Linux Ma®trisez

  • View
    222

  • Download
    1

Embed Size (px)

Text of administra- Debian GNU/Linux GNU/Linux Ma®trisez la s©curit© du syst¨me Debian...

Deb

ian

GN

U/L

inux

Ma

tris

ez la

sc

urit

du

syst

me

Debian GNU/Linux Matrisez la scurit du systme

Philippe PIERRE a exerc de nombreuses annes comme Administrateur de Bases de donnes puis Administrateur Systme et Rseau. Aujourdhui res-ponsable dune infrastructure complte, il connat parfaitement les systmes Linux et Unix dans le cadre dun environnement dentreprise haute dis-ponibilit. Cette expertise lui permet de fournir au lecteur un livre rellement oprationnel, 100% De-bian, sur laxe de la scurit !

Ce livre sur la scurit dun systme Debian GNU/Linux sadresse principalement aux administra-teurs dinfrastructures, mais aussi toute personne en charge de serveurs critiques ncessitant de la haute disponibilit. Un minimum de connaissances du systme dexploitation GNU/Linux et de la virtualisation est ncessaire afin de tirer le meilleur profit de la lecture de ce livre.Lauteur donne au lecteur les connaissances ncessaires pour apprhender la scurisation du systme et la sret de fonctionnement des serveurs pour les rendre moins permissifs aux maliciels et aux attaques de tout genre.Ainsi, vous dcouvrirez la dmarche adopter pour mettre en uvre un mode scuris sur les diff-rentes strates du systme : dmarrage, noyau, fonctionnalits de base (gestion des quotas, param-trage des droits utilisateurs ou des rpertoires) ainsi que les flux rseau.Vous tudierez galement la protection contre les virus, le spam ainsi que les outils de mise jour du systme dexploitation (signatures GPG, Puppet). lissue de cette lecture vous serez en mesure daccrotre considrablement la scurit de votre sys-tme Debian/GNU Linux.

Avant-propos Introduction Outils noyau et initialisation Outils de base Outils serveur Outils rseau Outils antivirus Outils de mise jour Conclusion Glossaire

Les chapitres du livre

Tlchargementwww.editions-eni.fr.fr

sur www.editions-eni.fr : b Les scripts et codes sources des exemples

du livre.

ISSN : 1960-3444ISBN : 978-2-409-01286-0

54

Pour plus dinformations :

Debian GNU/Linux

Matrisez la scurit du systme

Philippe PIERRE

1Table des matires

Avant-propos

1. Objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

2. Public vis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

3. Prrequis et connaissances ncessaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

4. Structure de l'ouvrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

5. Normes et rgles de nommage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Chapitre 1

Introduction

1. Pourquoi Debian ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131.1 Scurit du systme d'information . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161.2 Scurit de l'information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171.3 O trouver la distribution Debian ? . . . . . . . . . . . . . . . . . . . . . . . . . . . 191.4 Quelles saveurs de distribution Debian ? . . . . . . . . . . . . . . . . . . . . . 221.5 Exemple dinstallation : iolive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

2. Gnralits sur la scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302.1 Scurit et sret de fonctionnement . . . . . . . . . . . . . . . . . . . . . . . . . . 302.2 Supervision et surveillance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312.3 Traabilit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322.4 Considration du cot et du risque . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

3. Quels sont les lments scuriser sur GNU/Linux . . . . . . . . . . . . . . . . . . . 343.1 Le BIOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

3.1.1 Dmarrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353.1.2 Paramtrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363.1.3 Cas des machines virtuelles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373.1.4 Utilisation d'UEFI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

Les lments tlcharger sont disponibles l'adresse suivante :http://www.editions-eni.fr

Saisissez la rfrence ENI de l'ouvrage EPSSYDEB dans la zone de rechercheet validez. Cliquez sur le titre du livre puis sur le bouton de tlchargement.

lcroiseTampon

2Matrisez la scurit du systme

Debian GNU/Linux

3.2 Le bootloader . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403.3 Le noyau linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423.4 Les modules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443.5 Limage au dmarrage : initrd. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453.6 Les pseudo-systmes de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

3.6.1 /proc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473.6.2 /sys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

3.7 La mmoire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

4. Suppression des anciens noyaux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504.1 Phase dinitialisation init . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504.2 Scripts dinitialisation avec en-ttes LSB. . . . . . . . . . . . . . . . . . . . . . . . 534.3 Paralllisation avec systemd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

5. La scurit fondamentale. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595.1 Scurisation des comptes utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . 605.2 Empcher les comptes inutiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615.3 Mettre en uvre une gestion de mot de passe . . . . . . . . . . . . . . . . . . . 625.4 Fermer les services inutiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 645.5 Effectuer les mises jour . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

Chapitre 2

Outils noyau et initialisation

1. Protection ds la phase de dmarrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 691.1 Scurisation du BIOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 691.2 Prsentation de GRUB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 711.3 Scurisation de GRUB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 751.4 Utilisation de GRUB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 791.5 Boot on SAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

2. Protection du noyau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 822.1 Le noyau linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 822.2 Architecture dun noyau. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 872.3 Les anneaux de protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

2.3.1 Architecture 32 bits sans virtualisation . . . . . . . . . . . . . . . . . . . 882.3.2 Architecture 32 bits virtualise . . . . . . . . . . . . . . . . . . . . . . . . . . 892.3.3 Architecture 64 bits sans virtualisation . . . . . . . . . . . . . . . . . . . 902.3.4 Architecture 64 bits virtualise . . . . . . . . . . . . . . . . . . . . . . . . . . 90

3Table des matires

2.4 Protections naturelles du noyau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

3. Installation de partition chiffre. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 993.1 Utilisation de LUKS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1013.2 Utilisation dEncFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

4. Gestionnaire de volumes logiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1074.1 Description du LVM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

4.1.1 Cration de volumes physiques . . . . . . . . . . . . . . . . . . . . . . . . 1104.1.2 Cration de groupes de volumes. . . . . . . . . . . . . . . . . . . . . . . . 1104.1.3 Cration de volumes logiques . . . . . . . . . . . . . . . . . . . . . . . . . . 111

4.2 Partition LVM chiffre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1134.3 Utilisation des snapshots sur LVM . . . . . . . . . . . . . . . . . . . . . . . . . . . 1164.4 Sauvegardes LVM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1164.5 Le gestionnaire LVM au niveau du SAN . . . . . . . . . . . . . . . . . . . . . . . 1184.6 Vrification des volumes logiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1204.7 Scurisation des attributs. . . . . . . . . . . . . . . . . . . . . . . . . .