[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [linux-team] securiser un serveur
Pascal Bleser wrote:
>
> On Wed, Aug 11, 1999 at 10:04:57AM +0000, Alec Effinger wrote:
> > Hi all,
> >
> > J'ai installe Redhat 5.2 sur une machine connectee a
> > Internet (via le LAN).
> >
> > La machine offre ou doit offrir les services suivants :
> > - serveur web
> > - serveur ftp
> > - serveur mail (SMTP, POP3 et IMAP)
> > - acces telnet (pour l'administration du serveur
> > uniquement)
> >
> > Quelles sont les mesures a prendre pour securiser au
> > maximum ce serveur (a part le debrancher du LAN bien sur).
> Supprime l'accès telnet, c'est très peu sur.
> Remplace-le plutôt par SSH (Secure SHell) qui permet aussi de
> faire un tunnel encrypté pour FTP, X, POP3, ...
>
> Sinon, vérifie bien /etc/inetd.conf et vire tout ce dont tu
> n'as pas besoin (aussi des services "builtin" de inetd comme
> ECHO - ça permet trop souvent un flooding de la machine).
>
> Une bonne idée aussi est de remplacer inetd par xinetd qui
> est plus élégant à configurer mais surtout a beaucoup plus
> d'options côté sécurité (nbe max d'éxécutions par sec. ou
> par minute, etc...).
>
> Contrôle bien l'accès aux services en passant par les
> TCP wrappers (tcpd, cf. /etc/hosts.allow et /etc/hosts.deny):
> cela te permet de limiter l'accès à certains services en
> fonction de l'IP de la machine qui veut l'utiliser.
> p.ex. autorise le SSH uniquement à partir d'une ou deux
> machines du LAN
>
> Si tu a l'intention d'utiliser WebMin (http://www.webmin.com/webmin)
> pour administrer ton serveur à distance via un browser, veille à
> installer OpenSSL et le module Perl::SSL pour que toute la communication
> soit encryptée.
>
> Pour détecter si la caisse a été hackée, fais dupliquer le syslog
> via le réseau (cf. /etc/syslog.conf) vers une autre caisse du LAN.
>
> Ah, oui: choisis des bons mots de passe, càd: longs (8), avec des
> chiffres et des lettres et pas un mot (qui a un sens ;)), de
> préférence. Si tu veux être sur, fais cracker ton /etc/shadow
> par "john" (the ripper).
>
> Bon, voilà, pour un début...
>
Un petit truc pour t'aider a regarder ce qui est effectif : nmap
(http://www.insecure.org/)
Une fois que tu as défini tout tes paramètres, tu utilise nmap sur ta
machine et tu regarde les ports ouverts. Si tout est conforme, c'est ok.
Sinon, you're in trouble...
Bruno
> ---------
> Visit the Linux Supertore Online: http://www.redcorp.com !
> If you want to be deleted from the list, send a mail to
> majordomo@rtfm.be with "unsubscribe linux-team" in the body.
--
First they ignore you...Second they laugh at you...
Then they fight you......And then you win!
(Ghandi)
---------
Visit the Linux Supertore Online: http://www.redcorp.com !
If you want to be deleted from the list, send a mail to
majordomo@rtfm.be with "unsubscribe linux-team" in the body.