Tenir compte de la sécurité au quotidien
Introduction
Un ordinateur n'est jamais en sécurité, quand bien même on croit qu'il l'est. Un dicton informatique ne dit-il pas que le maillon le plus faible dans un système informatique est l'utilisateur ? Cette fiche est là pour connaître les différents risques que l'on court en ayant un ordinateur, connecté à un réseau ou non, ainsi que pour se parer contre toute attaque et enfin pour savoir comment nettoyer l'ordinateur d'une attaque que l'on vient de subir.
Les bases : connaître son système
D'abord et avant tout il faut être à l'aise avec les concepts essentiels de linux. Cela permettra d'une part de mieux connaître et comprendre ce que nous faisons et d'autre part de mieux réagir en cas d'attaque. Donc documentez vous sur ce système et son langage de commande (shell bash).Lisez aussi la documentation expliquant ce que sont les démons et comment ils fonctionnent. Voyez comment fonctionne un réseau, ce que sont les ports réseau, les permissions des fichiers.
Bien configurer ses démons
Apache sshd plutôt que telnetd samba NFS vnc au-dessus de ssh
Ensuite, il faut installer le strict minimum, par exemple sur un serveur il n'est nul besoin de serveur X.
Par ailleurs, veillez à ne pas démarrer des services inutiles (nul besoin d'un serveur ntp si la machine n'est utilisée qu'en tant que client sur internet, par exemple).
Une fois les risques liés aux connexions externes limités, il faut mettre en place un firewall filtrant grâce à iptables (ou autre), qui permet de commander Netfilter.
Un antivirus n'est nécessaire que si l'ordinateur est en dual boot avec windows. En revanche, il n'est jamais mauvais d'installer et de lancer régulièrement chkrootkit, qui vérifie la présence de rootkits (équivalent des vers, troyens, etc.).
<cadre info>rootkits : logiciel permettant d'utiliser une faille de sécurité pour obtenir les droits de l'administrateur (root).</cadre>
Si la machine possède un serveur apache fournissant des pages dynamiques (cgi mais surtout php et autres langages de script web) il faut se méfier des attaques du type injection de code.
A l'installation du système, il faut bien réfléchir au partitionnement des disques. Les données statiques (binaires, configuration, etc.) seront sur une partition montée en lecture seule.
De manière générale, éviter autant que possible le sticky bit.
<cadre>sticky bit : droit donné à un fichier exécutable d'utiliser les droits de l'administrateur.</cadre>
Recompiler le noyau en ne laissant que le nécessaire n'est pas une mauvaise initiative.
Connaître les risques
Vérifier la présence de keyloggers.
Détecter les intrusions
Les systèmes de détection d'intrusion (IDS) : snort, tiger, chkrootkit fcheck
Que faire en cas d'attaque ?
Connaître les outils
- who
- netstat
- lsof
- ps