LINUX : Sécurité

Introduction

Mots-clés

sécurité, pare-feu, SUID bit, netfilter

Objectif

Ce chapitre introduit les notions élémentaires de sécurité qu’un administrateur système doit connaître.

Pour cela, vous aborderez :

  • les bases de la sécurité ;

  • la sécurité des services et du réseau ;

  • le suivi des bulletins de sécurité ;

 

 

Énoncé 9.1 Bases de sécurité

Durée estimative : 20 minutes

1.

Créer une copie de bash dans /usr/bin/hack avec le SUID positionné.

Vérifier les droits sur /usr/bin/hack.

2.

Rechercher tous les fichiers disposant des bits SUID et/ou SGID

3.

Chercher le package fournissant le fichier /usr/bin/hack. Que peut-on en déduire ?

4.

Créer le fichier vide /usr/bin/rootedoor.

5.

Vérifier à l’aide de chkrootkit que le système ne possède pas de rootkits connus.

Indices pour l’énoncé 9.1

1.

Utiliser la commande cp, puis la commande chmod.

2.

Utiliser la commande find et les permissions correspondant aux bits SUID et SGID.

3.

Utiliser la commande rpm (Fedora) ou dpkg (Debian) avec l’option adéquate.

5.

Installer le package chkrootkit.

 

 

 

Énoncé 9.2 Sécurité des services et du réseau

Durée estimative : 30 minutes

1.

Lister les ports à l’écoute et les processus correspondants.

Sur Fedora, arrêter au préalable le service firewalld, si ce n’est pas déjà fait.

2.

Interdire l’accès en SSH aux machines ne faisant pas partie du réseau local.

3.

Créer une règle netfilter qui interdit le ping. Vérifier depuis un autre poste.

4.

Que se passe-t-il si on remplace la cible DROP par REJECT dans la règle précédente ? Pourquoi est-ce moins judicieux ?

5.

Créer une règle netfiler qui interdit l’accès au serveur web pour les adresses sources ne faisant pas partie du réseau local.

6.

Afficher toutes les règles.

7.

Effacer toutes les règles et vérifier que toutes les règles ont bien été supprimées.

8.

Pour Debian, explorer l’interface Webmin concernant la configuration du pare-feu.

9.

Pour Fedora, il faut au préalable redémarrer le service firewalld, puis entrer les deux commandes suivantes :

firewall-cmd –zone=FedoraServer –add-port=10000/tcp

firewall-cmd –reload

Indices pour l’énoncé 9.2

1.

Utiliser netstat avec les options adéquates.

2.

Utiliser les tcp_wrappers (hosts.allow et hosts.deny).

3.

Utiliser la commande iptables ; ping utilise le protocole ICMP.

4.

Utiliser la commande iptables avec l’option -D pour supprimer la règle précédente.

5.

Utiliser la commande iptables avec les options adequates.

9.

Utiliser la commande firewall-cmd –get-active-zones pour obtenir le nom de la zone.