Initiation et Administration des systèmes UNIX
138 pages
Français

Initiation et Administration des systèmes UNIX

-

Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres
138 pages
Français
Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

Description

Administration et Sécurisation
des
1Systèmes Linux & BSD
Par
DUPONT Sébastien
dupont_s@epita.fr
Mises à jour disponibles aux adresses suivantes:
http://www.samaro.org/reseaux/secubook.pdf
http://secubook.tuxfamily.org/secubook.pdf
22 juillet 2003
1 ADocumentation générée par LT Xsous licence GNU FDL (Free Documentation License)E TABLE DES MATIÈRES
1 Introduction 3
2 Les différentes distributions Linux & BSD 4
3 Première Approche des distributions Linux & BSD 7
3.1 Manipulation du disque dur . . . . . . . . . . . . . . . . . . . . . . . 7
3.2 Système de fichiers. . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
3.3 Installation d’un système *BSD : OpenBSD . . . . . . . . . . . . . . 12
3.4 Utilisations du SHELL . . . . . . . . . . . . . . . . . . . . . . . . . 12
3.5 Les Éditeurs vi et Emacs . . . . . . . . . . . . . . . . . . . . . . . . 14
3.6 Commandes de bases : . . . . . . . . . . . . . . . . . . . . . . . . . 16
3.6.1 Les aides. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3.6.2 Manipulation des fichiers et des répertoires. . . . . . . . . . . 17
3.6.3 Les outils de recherche. . . . . . . . . . . . . . . . . . . . . . 20
3.6.4 Commandes sur les processus. . . . . . . . . . . . . . . . . . 21
3.6.5 sur les périphériques. . . . . . . . . . . . . . . . 22
3.6.6 de connexion à distance. . . . . . . . . . . . . . 24
3.6.7 Autres commandes système. . . . . . . . . . . . . . . . . . . 24
4 Administration des Systèmes Linux & *BSD 26
4.1 Les différents ...

Sujets

Informations

Publié par
Nombre de lectures 113
Langue Français

Exrait

Administration et Sécurisation des 1Systèmes Linux & BSD Par DUPONT Sébastien dupont_s@epita.fr Mises à jour disponibles aux adresses suivantes: http://www.samaro.org/reseaux/secubook.pdf http://secubook.tuxfamily.org/secubook.pdf 22 juillet 2003 1 ADocumentation générée par LT Xsous licence GNU FDL (Free Documentation License)E TABLE DES MATIÈRES 1 Introduction 3 2 Les différentes distributions Linux & BSD 4 3 Première Approche des distributions Linux & BSD 7 3.1 Manipulation du disque dur . . . . . . . . . . . . . . . . . . . . . . . 7 3.2 Système de fichiers. . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 3.3 Installation d’un système *BSD : OpenBSD . . . . . . . . . . . . . . 12 3.4 Utilisations du SHELL . . . . . . . . . . . . . . . . . . . . . . . . . 12 3.5 Les Éditeurs vi et Emacs . . . . . . . . . . . . . . . . . . . . . . . . 14 3.6 Commandes de bases : . . . . . . . . . . . . . . . . . . . . . . . . . 16 3.6.1 Les aides. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 3.6.2 Manipulation des fichiers et des répertoires. . . . . . . . . . . 17 3.6.3 Les outils de recherche. . . . . . . . . . . . . . . . . . . . . . 20 3.6.4 Commandes sur les processus. . . . . . . . . . . . . . . . . . 21 3.6.5 sur les périphériques. . . . . . . . . . . . . . . . 22 3.6.6 de connexion à distance. . . . . . . . . . . . . . 24 3.6.7 Autres commandes système. . . . . . . . . . . . . . . . . . . 24 4 Administration des Systèmes Linux & *BSD 26 4.1 Les différents répertoires. . . . . . . . . . . . . . . . . . . . . . . . . 26 4.2 Commandes d’administration . . . . . . . . . . . . . . . . . . . . . . 26 4.2.1 Utilisateurs et groupes . . . . . . . . . . . . . . . . . . . . . 27 4.2.2 Configuration Réseau . . . . . . . . . . . . . . . . . . . . . . 27 4.3 Étapes du démarrage d’un système *BSD . . . . . . . . . . . . . . . 28 4.4 du d’un Linux . . . . . . . . . . . . . . . 28 4.5 {Dés}installation de programmes sous Linux/BSD . . . . . . . . . . 31 4.5.1 de programmes sous Linux . . . . . . . . . 31 2 Administration et Sécurisation des systèmes Linux/BSD 3 4.5.2 {Dés}installation de programmes sous *BSD . . . . . . . . . 32 4.6 Les fichiers de Configuration . . . . . . . . . . . . . . . . . . . . . . 34 4.6.1 /etc/rc.d/init.d/ sous Linux . . . . . . . . . . . . . . . . . . . 34 4.6.2 /etc/inetd.conf sous *BSD ou /etc/xinetd sous Linux . . . . . 34 4.6.3 /etc/passwd . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 4.6.4 /etc/master.passwd ou /etc/shadow . . . . . . . . . . . . . . . 35 4.6.5 /etc/group . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 4.6.6 /etc/fstab . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 4.6.7 /etc/syslog.conf . . . . . . . . . . . . . . . . . . . . . . . . . 39 4.6.8 /etc/hosts . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 4.6.9 /etc/resolv.conf . . . . . . . . . . . . . . . . . . . . . . . . . 40 4.6.10 /etc/services . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 4.6.11 /etc/sudoers . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 5 Administration Réseaux 43 5.1 La sécurité du système . . . . . . . . . . . . . . . . . . . . . . . . . 43 5.2 IP Aliasing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 5.3 Installation d’un client/serveur SSH . . . . . . . . . . . . . . . . . . 44 5.4 Mise en place d’un serveur mail. SMTP . . . . . . . . . . . . . . . . 45 5.4.1 Mise en place de Postix . . . . . . . . . . . . . . . . . . . . . 45 5.4.2 Mise en place de Avancé ISP . . . . . . . . . . . . . . 46 5.4.3 Mise en place de Postix avec Cyrus Imapd . . . . . . . . . . 46 5.4.4 Mise en place de Postix avec Scanner Anti Virus . . . . . . . 46 5.4.5 Mise en place de Sendmail . . . . . . . . . . . . . . . . . . . 46 5.4.6 sendmail.mc personnalisé . . . . . . . . . . . . . . . . . . . 47 5.4.7 compatible avec Cyrus Imapd . . . . . . . . . . 49 5.5 installation & configuration d’Apache . . . . . . . . . . . . . . . . . 51 5.6 & sécurisé . . . . . . . . . . . . . 52 5.7 installation d’un serveur ftp . . . . . . . . . . . . . . . . . . . . . . . 53 5.8 du proxy Squid . . . . . . . . . . . . . . . . . . . . . . . 54 5.9 installation d’un serveur samba . . . . . . . . . . . . . . . . . . . . . 56 5.10 d’un serveur pop3{s} . . . . . . . . . . . . . . . . . . . . 58 5.11 Installation d’un serveur imap{s} . . . . . . . . . . . . . . . . . . . . 59 5.11.1 Installation d’un serveur imap U.Washington . . . . . . . . . 60 5.11.2 d’un serveur imap Cyrus . . . . . . . . . . . . . 60 5.12 installation d’un serveur DHCP . . . . . . . . . . . . . . . . . . . . . 62 5.13 de NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 5.14 installation d’un serveur NIS . . . . . . . . . . . . . . . . . . . . . . 67 5.14.1 sous NetBSD . . . . . . . . . . . . . . . . . . . . . . . . . . 67 5.15 installation d’un serveur LDAP . . . . . . . . . . . . . . . . . . . . . 68 5.16 d’un serveur CVS . . . . . . . . . . . . . . . . . . . . . . 68 5.17 installation d’un DNS . . . . . . . . . . . . . . . . . . . . . . . . . . 68 5.18 Mise en place d’un VPN . . . . . . . . . . . . . . . . . . . . . . . . 71 Table des matières dupont_s@epita.fr 5.19 les fichiers hosts.allow et hosts.deny . . . . . . . . . . . . . . . . . . 71 5.20 installation d’un Firewall . . . . . . . . . . . . . . . . . . . . . . . . 72 5.20.1 Configuration de Netfilter (IPtables) . . . . . . . . . . . . . . 74 5.20.2 de pf (packet filter) . . . . . . . . . . . . . . . 83 5.20.3 du filtrage IP (IPchains) . . . . . . . . . . . . . 86 5.21 la translation d’adresses : NAT ou IPmasquerade . . . . . . . . . . . 88 5.22 Outils de configuration . . . . . . . . . . . . . . . . . . . . . . . . . 91 5.22.1 Installation de webmin . . . . . . . . . . . . . . . . . . . . . 91 6 Les outils des Hackers 93 6.1 Les différents types d’attaque . . . . . . . . . . . . . . . . . . . . . . 93 6.1.1 Cartographie des vulnérabilités . . . . . . . . . . . . . . . . . 93 6.1.2 SUID/SGID . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 6.1.3 Le crackage par mot de passe . . . . . . . . . . . . . . . . . 93 6.1.4 Le sniffing des mots de passe et des paquets . . . . . . . . . . 94 6.1.5 L’IP spoofing . . . . . . . . . . . . . . . . . . . . . . . . . . 95 6.1.6 Les scanners . . . . . . . . . . . . . . . . . . . . . . . . . . 96 6.1.7 Les chevaux de Troie . . . . . . . . . . . . . . . . . . . . . . 96 6.1.8 Les vers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 6.1.9 Les trappes . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 6.1.10 Les bombes logiques . . . . . . . . . . . . . . . . . . . . . . 97 6.1.11 Le TCP SYN flooding . . . . . . . . . . . . . . . . . . . . . 97 6.1.12 Le Nuke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 6.1.13 Le Flood . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 6.1.14 Le Spamming . . . . . . . . . . . . . . . . . . . . . . . . . . 99 6.1.15 Les virus . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 6.1.16 Attaque du Display . . . . . . . . . . . . . . . . . . . . . . . 100 7 Les solutions de défense 101 7.1 Les détecteurs d’intrusion IDS . . . . . . . . . . . . . . . . . . . . . 101 7.1.1 snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 7.1.2 aide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 7.2 Les outils de diagnostique . . . . . . . . . . . . . . . . . . . . . . . 103 7.2.1 Nessus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 7.2.2 Dsniff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 7.3 Les outils de cryptage et d’authentification . . . . . . . . . . . . . . . 104 7.3.1 IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 7.3.2 Utilisation de Kerberos . . . . . . . . . . . . . . . . . . . . . 105 7.3.3 Signature sécurisé de mail avec GnuPG . . . . . . . . . . . . 106 Administration et Sécurisation des systèmes Linux/BSD 5 8 La recette magique d’un système sécurisé... 114 8.1 Fonctionnalités de la machine. . . . . . . . . . . . . . . . . . . . . . 114 8.2 Le disque Dur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 8.3 Les Programmes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 8.4 Les droits utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . 115 8.5 Les services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 9 Cryptographie 116 9.1 Sécurité relative de la Cryptographie . . . . . . . . . . . . . . . . . . 116 9.2 Performance des différents algorithmes . . . . . . . . . . . . . . . . 116 9.3 Différents Types de . . . . . . . . . . . . . . . . . . . 118 9.3.1 L’algorithme RSA . . . . . . . . . . . . . . . . . . . . . . . 118 9.4 Protocoles sécurisés. OpenSSL. . . . . . . . . . . . . . . . . . . . . 118 9.4.1 Fonctionnement d’un protocol sécurisé. . . . . . . . . . . . . 118 9.4.2 L’encodage dans SSL . . . . . . . . . . . . . . . . . . . . . . 119 9.4.3 La négociation dans SSL . . . . . . . . . . . . . . . . . . . . 120 10 Astuces 123 10.1 Récupération du passe Root. . . . . . . . . . . . . . . . . . . . . . . 123 10.1.1 Récupération du passe Root sous Linux. . . . . . . . . . . . . 123 10.1.2 du passe Root sous BSD . . . . . . . . . . . . . 123 10.2 Recompilation du Noyau . . . . . . . . . . . . . . . . . . . . . . . . 124 10.3 export DISPLAY . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 10.4 Serveur RPMS pour Mandrake . . . . . . . . . . . . . . . . . . . . . 125 10.5 Mail 100% anonymes . . . . . . . . . . . . . . . . . . . . . . . . . 126 10.6 Connexion SSH sans mot de passe . . . . . . . . . . . . . . . . . . . 126 10.7 Mirroring OpenBSD current Mandrake cooker . . . . . . . . . . . . 127 10.8 Manipulation des images ISO & Gravure . . . . . . . . . . . . . . . 127 10.9 Signature et vérification d’intégrité des fichiers via MD5/GnuPG . . . 129 10.9.1 via MD5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 10.9.2 via GnuPG . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 10.10Réinstallation de lilo sans disquette . . . . . . . . . . . . . . . . . . . 131 11 Historique des changements 134 11.1 DONE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 11.2 TODO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 12 A propos 135 CHAPITRE 1 Introduction 1 E but de cette documentation est de fournir les explications de base afin d’administrer et de sécuriser les systèmes Linux et *BSD, nous nous ba serons sur les distributions “OpenBSD 3.3”, “Mandrake 9.1”, “RedHat”L et “Debian”, mais cela devrait tout de même convenir pour les systèmes GNU/Linux et *BSD en général, les méthodes de configuration restant sensiblement les mêmes. Pour le reste il est indispensable de considérer que la sécurité d’un système ne se limite pas à une sécurisation de chaques services, mais une sécurisation à chaques niveaux, en effet si le serveur est laissé dans un endroit non sécurisé il sera alors possible en le reboutant de la faire démarrer par un simple CD de boot et ainsi de modifier avec les droits root toutes les données souhaitées. De la même façon si des comptes utilisateurs utilisent des mots de passe simple voir in existant il sera possible par l’intermédiaire d’une attaque par dictionnaires “force brut” d’obtenir l’accès au compte. De plus il est indispensable de ne faire qu’une confiance relative au Firewall, qui resteront toujours une rustine. En effet, une récente faille de sécurité sur le client mail “mutt” a bien démontré cela. De plus il existe certaines failles notamment sur Netfilter (iptables) qui peuvent être ex ploitées par simple détection de firewall. Pour conclure il ne sera jamais possible d’ob tenir une sécurisation totale d’un serveur, néanmoins il sera toujours d’éviter un maximum de failles par une bonne administration d’un système et par une politique paranoïaque sur les services autorisés. 1Vous pourrez trouver une version de cette documentation régulièrement mise a jour en cliquant sur le lien suivant Administration & et sécurisation des systèmes Linux/BSD 6 CHAPITRE 2 Les différentes distributions Linux & BSD Cet ouvrage a pour vocation de permettre d’administrer et de sécuriser à la fois les systèmes Linux et BSD. les principales différences de ces systèmes résident à la fois dans leurs kernels (noyaux) et dans la licence qu’ils utilisent. Le noyau Linux présente un grand nombre de fonctionnalitées et de drivers, les noyaux BSD basés sur BSD4.4 présentent un peu moins de mais le compensent par un code respectant les règles de l’art en la matière ainsi qu’une stabilité plus importante. Il est à noté également que les systèmes BSD sont beaucoup plus difficiles à administrer que les systèmes Linux, notamment la gestion des partitions pour le moins “non triviale”. FIG. 2.1: Gentoo : Toute dernière mouture linux, cette distribution, déconseillée aux débutants, est la plus performante des “li nux”, celle ci utilise le système type “port” des BSD qui permet de recompiler l’en semble des programmes en utilisant les op tions de compilation adaptées à la machine hôte, celle ci dispose également d’une im pressionante liste de programmes dispo nibles. 7 dupont_s@epita.fr FIG. 2.2: Debian : Système réputé comme le plus “stable” des distributions linux, re lativement difficile à administrer, il bénéfi cie d’une méthode de mise à jours très ré putée (“apt” semblable a “urpmi” de Man drake). Néanmoins celle ci est de moins en moins mise à jour. FIG. 2.3: Mandrake Linux : La seule distribu tion Française .... système “user friendly” utilisation la plus simplifiée possible pour l’utilisateur. Cette distribution bénéficie également d’un très grand nombre de paquetages, et d’une mise à jour très ra pide (cooker). basée sur la technologie “RPM” dé veloppée par RedHat. La Mandrake est particulière ment recommandée si votre poste bénéficie de ma tériel récent. FIG. 2.4: Suse : Distribution Alle mande. Cette distribution utilise le sys tème Yast pour la configuration du sys tème (très controversé car non GPL ... un comble !) FIG. 2.5: RedHat Linux : Compro mis stabilité/facilité le plus utilisé pour les serveurs réseaux GNU/Linux, dans les universités ou en entreprise (notam ment en version “Advanced Server” ou “Entreprise”) . Néanmoins celle ci ne disposant nativement de programme tel que “urpmi” de Mandrake ou “apt” de Debian elle reste un peu moins agréable a administrer même si celle ci dispose d’un programme de mise à jour à la “Windows Update”. Administration et Sécurisation des systèmes Linux/BSD 9 FIG. 2.6: FreeBSD : Très utilisée par les serveur car supporte les architec tures multiprocesseurs. Relativement simple à administrer pour un système BSD. Utilisé par “Yahoo” et par “hot mail” jusque récemment. Possède un grand nombre de paquetages. FIG. 2.7: NetBSD : C’est le système qui supporte le plus grand nombre de plate forme différentes. Rela tivement difficile à administrer car aucun outil de configuration NetBSD possède également un très grand nombre de paquetages. NetBSD est aujou d’hui le système le plus stable BSD/Linux confon dus. FIG. 2.8: OpenBSD : Le système le plus sécurisé des distributions BSD/Linux. Relativement difficile à administrer, possède moins de paquetages (encore que ...) car tous les subissent une audi tion complète et bien souvent des correctifs. C’est donc la distribu tion la plus recommandée si vous souhaitez faire un serveur réseau sécurisé. C’est également OpenBSD qui est le créateur de Openssh. Liste des paquetages disponibles : http ://www.openbsd.org/3.1_packages/i386.html CHAPITRE 3 Première Approche des distributions Linux & BSD 3.1 Manipulation du disque dur E disque dur se décompose en deux types de partition, les partitions primaires et les partitions logiques. Les partitions primaires sont limitées au nombre de 4. Parmi ces partitions vous pouvez en désigner une en tant que partitionL étendue à l’intérieur de laquelle vous pouvez mettre des partitions logiques (entre 15(SCSI) et 63(IDE)). ___________________________________________________________________ Partitions Primaires & Étendues Il n’existe pas de recommandation spéciale par rapport au nombre de partitions pri maires, néanmoins il en faudra au minimum une si vous souhaitez installer un système Windows ou *BSD, leur nombre peut donc varier entre 0 et 4. Lors de votre choix de partitionnement il est tout de même préférable d’y inclure une partition étendue afin de ne pas être rapidement limité par le nombre de partition. Les systèmes Linux peuvent s’installer aussi bien sur des partitions primaires que sur des partitions logiques, ce qui n’est malheureusement pas le cas des *BSD qui doivent impérativement se situer sur une partition primaire. ___________________________________________________________________ Partitions Logiques Les partitions logiques, qui sont contenues par la partition étendue, sont beaucoup moins restrictives que les partitions primaires, en effet il est possible de créer sur les disques IDE jusqu’à 63 partitions et 15 pour les disques SCSI. Le MBR (Master Boot Record) 10
  • Accueil Accueil
  • Univers Univers
  • Ebooks Ebooks
  • Livres audio Livres audio
  • Presse Presse
  • BD BD
  • Documents Documents