Full Circle Magazine FR

Outils pour utilisateurs

Outils du site

Piste :
issue81:securite_ubuntu

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
issue81:securite_ubuntu [2014/05/13 15:04] auntieeissue81:securite_ubuntu [2014/05/14 14:53] (Version actuelle) andre_domenech
Ligne 1: Ligne 1:
 Systems based on Linux are relatively secure by default. Not only is the amount of malware just a fraction compared with Microsoft Windows, but the architecture of the operating system helps in defending against common attacks. Still, whatever operating system is in use, weaknesses are introduced quickly. In this article we look at some common practices to improve the security of an Ubuntu system and how we can check it ourselves. Systems based on Linux are relatively secure by default. Not only is the amount of malware just a fraction compared with Microsoft Windows, but the architecture of the operating system helps in defending against common attacks. Still, whatever operating system is in use, weaknesses are introduced quickly. In this article we look at some common practices to improve the security of an Ubuntu system and how we can check it ourselves.
  
-**Les systèmes basés sur Linux sont, par défaut, relativement sécurisés. Non seulement par la quantité, très minime, de logiciels malveillants qui touche ce système d'exploitation par rapport à Microsoft Windows, mais aussi par l'architecture du système d'exploitation en elle-même qui aide à se défendre contre les attaques courantes. Pourtant, quel que soit le système d'exploitation utilisé, des faiblesses sont introduites rapidement. Dans cet article, nous examinerons certaines pratiques de base pour améliorer la sécurité d'un système Ubuntu et nous verrons comment nous pouvons le vérifier nous-même.**+**Les systèmes basés sur Linux sont, par défaut, relativement sécurisés. Non seulement par la quantité, très minime, de logiciels malveillants qui touche ce système d'exploitation par rapport à Microsoft Windows, mais aussi par l'architecture du système d'exploitation en elle-même qui aide à se défendre contre les attaques courantes. Pourtant, quel que soit le système d'exploitation utilisé, des faiblesses peuvent être introduites rapidement. Dans cet article, nous examinerons certaines pratiques de base pour améliorer la sécurité d'un système Ubuntu et nous verrons comment nous pouvons le vérifier nous-mêmes.**
  
 It all starts with data It all starts with data
Ligne 18: Ligne 18:
 Lynis is six years old, and helps us by performing a security scan of our system. With all the magic involved, we might almost call her a sorcerer. For now, let's call it an audit and hardening tool. The software is open source, free to use and consists of a set of shell scripts. Each script has a specific goal to fulfill, like scanning the available software, performing tests, or providing specific functions to main Lynis script. Lynis is six years old, and helps us by performing a security scan of our system. With all the magic involved, we might almost call her a sorcerer. For now, let's call it an audit and hardening tool. The software is open source, free to use and consists of a set of shell scripts. Each script has a specific goal to fulfill, like scanning the available software, performing tests, or providing specific functions to main Lynis script.
  
-**Lynis est un projet qui a six ans et qui nous aide en effectuant une analyse de la sécurité de notre système. On pourrait presque l'appeler un sorcier, étant donné toute la magie qui s'y cache. Pour l'instant, appelons-le un outil d'audit et de renforcement de la sécurité. Le logiciel est Open Source, son utilisation est gratuit et il se compose d'un ensemble de scripts shell. Chaque script doit remplir un objectif précis  comme : un scan des logiciels disponibles, la réalisation de tests, ou bien fournir des fonctions spécifiques au script principal de Lynis.**+**Lynis est un projet qui a six ans et qui nous aide en effectuant une analyse de la sécurité de notre système. On pourrait presque l'appeler un sorcier, étant donné toute la magie qui s'y cache. Pour l'instant, appelons-le un outil d'audit et de renforcement de la sécurité. Le logiciel est Open Source, son utilisation est gratuite et il se compose d'un ensemble de scripts shell. Chaque script doit remplir un objectif précis  comme : un scan des logiciels disponibles, la réalisation de tests, ou bien fournir des fonctions spécifiques au script principal de Lynis.**
  
  
Ligne 54: Ligne 54:
 lynis -c -Q lynis -c -Q
  
-**Il est temps de faire un premier lancement de Lynis pour découvrir jusqu'à quel point ce système spécifique est sécurisé. Déplacez vous dans le répertoire (cd lynis -1.3.7) et exécutez Lynis à partir du répertoire local (./Lynis). Lynis fournira alors les paramètres disponibles. Les plus courants sont -c ( pour « contrôle tout » ) et Q ( pour « rapide » ). Le premier paramètre indique à Lynis d'exécuter tous les tests et le second est utilisé pour enchaîner automatiquement les test de chaque section. Si vous préférez consulter le résultat après chaque section, utilisez seulement -c.**+**Il est temps de faire un premier lancement de Lynis pour découvrir jusqu'à quel point ce système spécifique est sécurisé. Déplacez-vous dans le répertoire (cd lynis -1.3.7) et exécutez Lynis à partir du répertoire local (./Lynis). Lynis fournira alors les paramètres disponibles. Les plus courants sont -c ( pour « contrôle tout » ) et Q ( pour « rapide » ). Le premier paramètre indique à Lynis d'exécuter tous les tests et le second est utilisé pour enchaîner automatiquement les test de chaque section. Si vous préférez consulter le résultat après chaque section, utilisez seulement -c.**
  
 **Pour nous lancer, nous allons utiliser les paramètres « tous les contrôles » et « rapide », soit :** **Pour nous lancer, nous allons utiliser les paramètres « tous les contrôles » et « rapide », soit :**
Ligne 70: Ligne 70:
 Now that we have a first impression on how well our system is hardened (or the lack of) the next step is to determine what actions are suitable for our system. As with all changes to a system, there is some risk involved that it may break something, expected or unexpected. So don't try to fix everything in one go, but apply changes in small steps. As usual, start with the quick wins and then move towards the ones which take more time to implement. Now that we have a first impression on how well our system is hardened (or the lack of) the next step is to determine what actions are suitable for our system. As with all changes to a system, there is some risk involved that it may break something, expected or unexpected. So don't try to fix everything in one go, but apply changes in small steps. As usual, start with the quick wins and then move towards the ones which take more time to implement.
  
-**Maintenant que nous avons une première estimation sur la sécurisation (ou pas) de notre système, la prochaine étape consiste à déterminer les actions qui pourront être appliquées à notre système. Comme c'est le cas pour toute modification apportée à un système, il y a un certain risque de casser quelque chose, attendu ou inattendu. Ainsi, il ne faut pas essayer de tout corriger en une seule fois, mais plutôt d'appliquer les modifications étape par étape. Comme d'habitude, commencez par les choses les plus simples et les plus rapides à mettre en œuvre, puis passer à celles qui prennent plus de temps.**+**Maintenant que nous avons une première estimation sur la sécurisation (ou pas) de notre système, la prochaine étape consiste à déterminer les actions qui pourront lui être appliquées. Comme c'est le cas pour toute modification apportée à un système, il y a un certain risque de casser quelque chose, attendu ou inattendu. Ainsi, il ne faut pas essayer de tout corriger en une seule fois, mais plutôt d'appliquer les modifications étape par étape. Comme d'habitude, commencez par les choses les plus simples et les plus rapides à mettre en œuvre, puis passer à celles qui prennent plus de temps.**
  
 In this case the system seems to be missing security patches, as Lynis found vulnerable packages. As it is a warning, and usually easy to fix, we start with that. When clicking on the Software updater, it notifies us that security patches are available (as expected). That's already something easy to fix, yet very important. In this case the system seems to be missing security patches, as Lynis found vulnerable packages. As it is a warning, and usually easy to fix, we start with that. When clicking on the Software updater, it notifies us that security patches are available (as expected). That's already something easy to fix, yet very important.
Ligne 79: Ligne 79:
 The second warning indicates that Lynis found only one nameserver (or DNS server) configured, or just one that actually works. These servers are used for DNS, which is the engine behind resolving domain names to IP addresses for network communication. While this might be a more serious risk on a server, for our simple desktop one DNS server is fine. If that one stops working, we quickly find out anyways, as we won't be able to browse the web anymore. Servers on the other hand might act in an unexpected way, while we won't always be able to see it. So depending on the role of the system, the warning may be something to seriously consider fixing. In this case we don't mind, and to avoid this warning showing up each time, we can ignore the test in the scan profile. The second warning indicates that Lynis found only one nameserver (or DNS server) configured, or just one that actually works. These servers are used for DNS, which is the engine behind resolving domain names to IP addresses for network communication. While this might be a more serious risk on a server, for our simple desktop one DNS server is fine. If that one stops working, we quickly find out anyways, as we won't be able to browse the web anymore. Servers on the other hand might act in an unexpected way, while we won't always be able to see it. So depending on the role of the system, the warning may be something to seriously consider fixing. In this case we don't mind, and to avoid this warning showing up each time, we can ignore the test in the scan profile.
  
-**Le deuxième avertissement de Lynis indique qu'un seul serveur de noms (ou serveur DNS) est configuré, ou tout simplement qu'il n'y en a qu'un qui fonctionne réellement. Ces serveurs sont utilisés pour la résolution des noms de domaine en adresses IP pour les communications réseau. Cela représente sans doute un risque plus grave pour un serveur, mais, pour notre simple machine de bureau, cela ira comme ça. Si cet unique serveur DNS s'arrête de fonctionner on s'en apercevra rapidement, car on ne pourra plus naviguer sur le Web. En revanche, un serveur pourrait se comporter de façon inattendu, qui serait un peu plus compliquée à analyser. Donc, selon le rôle du système que l'on examine, un avertissement peut être important à corriger ou non. Dans notre cas, ce n'est pas important et nous pouvons alors ignorer ce test dans le profil d'audit de Lynis afin de ne plus voir cet avertissement.**+**Le deuxième avertissement de Lynis indique qu'un seul serveur de noms (ou serveur DNS) est configuré, ou tout simplement qu'il n'y en a qu'un qui fonctionne réellement. Ces serveurs sont utilisés pour la résolution des noms de domaine en adresses IP pour les communications réseau. Cela représente sans doute un risque plus grave pour un serveur, mais, pour notre simple machine de bureau, cela ira comme ça. Si cet unique serveur DNS s'arrête de fonctionner on s'en apercevra rapidement, car on ne pourra plus naviguer sur le Web. En revanche, un serveur pourrait se comporter de façon inattendue, qui serait un peu plus compliquée à analyser. Donc, selon le rôle du système que l'on examine, un avertissement peut être important à corriger ou non. Dans notre cas, ce n'est pas important et nous pouvons alors ignorer ce test dans le profil d'audit de Lynis afin de ne plus voir cet avertissement.**
  
 We edit default.prf and tell Lynis to skip test NETW-2705, which is the ID found at the end of each warning or suggestion line. We edit default.prf and tell Lynis to skip test NETW-2705, which is the ID found at the end of each warning or suggestion line.
  
-**Nous éditons Default.prf et nous disons à Lynis de sauter le test NETW-2705, ce qui est l'ID trouve à la fin de chaque avertissement ou d'une ligne de suggestion.**+**Nous éditons Default.prf et nous disons à Lynis de sauter le test NETW-2705, ce qui est l'ID trouvée à la fin de chaque avertissement ou d'une ligne de suggestion.**
  
 default.prf: default.prf:
Ligne 97: Ligne 97:
 # Sauter un ou plusieurs tests précis # Sauter un ou plusieurs tests précis
  
-# (ignore toujours le mode scan et fera en sorte que le text n'est jamais fait)+# (ignore toujours le mode scan et fera en sorte que le test n'est jamais fait)
  
 # config:test_skip_always:AAAA-1234 BBBB-5678 CCCC-9012: # config:test_skip_always:AAAA-1234 BBBB-5678 CCCC-9012:
Ligne 109: Ligne 109:
 That is already looking much better! The index not only turned yellow instead of red, it also provided us with additional security due to installing the patches. Since software is usually the weakest link, staying up-to-date with patches from the security repository is important. Ignoring tests won't make a system more secure, but at least it helps us to focus on the things we can really improve. That is already looking much better! The index not only turned yellow instead of red, it also provided us with additional security due to installing the patches. Since software is usually the weakest link, staying up-to-date with patches from the security repository is important. Ignoring tests won't make a system more secure, but at least it helps us to focus on the things we can really improve.
  
-**C'est déjà beaucoup mieux! L'indice est non seulement devenu jaune au lieu de rouge, mais il nous a aussi fourni une sécurité supplémentaire en raison de l'installation des correctifs. Puisque les logiciels sont généralement le maillon le plus faible, rester à jour avec les correctifs à partir des dépôts de sécurité demeure très important. Ignorer les tests ne fera pas de notre système un système plus sûr, mais au moins cela nous aide à nous concentrer sur les choses que nous pouvons vraiment améliorer.+**C'est déjà beaucoup mieux ! L'indice est non seulement devenu jaune au lieu de rouge, mais il nous a aussi fourni une sécurité supplémentaire en raison de l'installation des correctifs. Puisque les logiciels sont généralement le maillon le plus faible, rester à jour avec les correctifs à partir des dépôts de sécurité demeure très important. Ignorer les tests ne fera pas de notre système un système plus sûr, mais au moins cela nous aide à nous concentrer sur les choses que nous pouvons vraiment améliorer.
 ** **
  
Ligne 118: Ligne 118:
 Since each system has a completely different purpose, some suggestions might be more suitable for servers, while others apply both to desktops and servers. It is up to you, the user, to decide what suggestions are worth investigating. Others can be ignored in the scanning profile, as shown above. Since each system has a completely different purpose, some suggestions might be more suitable for servers, while others apply both to desktops and servers. It is up to you, the user, to decide what suggestions are worth investigating. Others can be ignored in the scanning profile, as shown above.
  
-**Étant donné que chaque système a un rôle distinct, certaines suggestions pourraient être plus appropriés pour les serveurs, tandis que d'autres s'appliquent à la fois aux ordinateurs de bureau et aux serveurs. C'est à vous, l'utilisateur, de décider lesquelles des suggestions seraient intéressantes à analyser. D'autres peuvent être ignorées dans le profil d'analyse, comme indiqué ci-dessus.+**Étant donné que chaque système a un rôle distinct, certaines suggestions pourraient être plus appropriées pour les serveurs, tandis que d'autres s'appliquent à la fois aux ordinateurs de bureau et aux serveurs. C'est à vous, l'utilisateur, de décider lesquelles des suggestions seraient intéressantes à analyser. D'autres peuvent être ignorées dans le profil d'analyse, comme indiqué ci-dessus.
 ** **
  
 Useful hints behind each test can be found in the log file (/var/log/lynis.log), which usually shows the related files. Additionally, the related test itself is in the include directory, to determine what the test is looking for. Then there is the CISOfy website with documentation and information about the individual tests themselves. Finally, of course, the Internet. Usually more people will have similar reported suggestions or questions regarding the implementation. Useful hints behind each test can be found in the log file (/var/log/lynis.log), which usually shows the related files. Additionally, the related test itself is in the include directory, to determine what the test is looking for. Then there is the CISOfy website with documentation and information about the individual tests themselves. Finally, of course, the Internet. Usually more people will have similar reported suggestions or questions regarding the implementation.
  
-**Toutes les suggestions liées à chaque test se trouvent dans le fichier de log (/var/log/lynis.log), qui indique généralement les fichiers connexes. En outre, chaque test se trouve dans le répertoire include de Lynis, si vous êtes curieux de savoir ce qu'il recherche... Ensuite, il y a le site CISOfy avec la documentation sur chaque test en lui-même. Enfin, bien sûr, il y a l'Internet, où vous trouverez des gens qui auront eu des suggestions similaires ou des questions au sujet de la mise en œuvre de Lynis..+**Toutes les suggestions liées à chaque test se trouvent dans le fichier de log (/var/log/lynis.log), qui indique généralement les fichiers connexes. En outre, chaque test se trouve dans le répertoire include de Lynis, si vous êtes curieux de savoir ce qu'il recherche... Ensuite, il y a le site CISOfy avec la documentation sur chaque test en lui-même. Enfin, bien sûr, il y a l'Internet, où vous trouverez des gens qui auront eu des suggestions similaires ou des questions au sujet de la mise en œuvre de Lynis.
 ** **
  
issue81/securite_ubuntu.1399986252.txt.gz · Dernière modification : 2014/05/13 15:04 de auntiee