NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux - Guide de securite - Contr�les administratifs
Lors de l'administration d'un ordinateur priv�, l'utilisateur doit effectuer certaines t�ches en tant que super-utilisateur ou en s'appropriant les privil�ges du super-utilisateur au moyen d'un programme setuid tel que sudo ou su. Un programme setuid utilise l'ID utilisateur (UID) du propri�taire du programme plut�t que l'utilisateur se servant du programme. Ces programmes sont reconnaissables par la lettre minuscule s apparaissant dans la section propri�taire d'un listage au format d�taill� (long listing), comme dans l'exemple suivant�:
-rwsr-xr-x 1 root root 47324 May 1 08:09 /bin/su
Toutefois, les administrateurs syst�me d'une soci�t� doivent faire des choix quant au niveau d'acc�s administratif dont les utilisateurs de la soci�t� devraient disposer sur leur ordinateur. Gr�ce � un module PAM nomm� pam_console.so, certaines activit�s normalement r�serv�es exclusivement au super-utilisateur, telles que le red�marrage ou le montage de m�dias amovibles, sont permises au premier utilisateur �tablissant une connexion � la console physique (consultez le chapitre intitul� Modules d'authentification enfichables (PAM) du Guide de r�f�rence de Red Hat Enterprise Linux pour obtenir de plus amples informations sur le module pam_console.so). Cependant, d'autres t�ches d'administration syst�me importantes telles que la modification de param�tres r�seau, la configuration d'une nouvelle souris ou le montage de p�riph�riques r�seau ne sont pas possibles sans privil�ges administratifs. Dans de telles circonstances, les administrateurs syst�me doivent d�terminer le degr� d'acc�s dont les utilisateurs de leur r�seau devraient disposer.
4.4.1. Autorisation de l'acc�s super-utilisateur (ou root)
Si les utilisateurs au sein d'une soci�t� font partie d'un groupe de personnes dignes de confiance et dou�es en informatique, alors l'autorisation de disposer de l'acc�s super-utilisateur n'est pas forc�ment une mauvaise id�e. La possibilit� d'obtenir l'acc�s super-utilisateur permet aux utilisateurs individuels de r�soudre des petits probl�mes comme l'ajout de p�riph�riques ou la configuration d'interfaces r�seau, donnant ainsi aux administrateurs syst�me plus de temps pour se concentrer sur la s�curit� r�seau et autres probl�mes d'importance.
D'autre part, l'attribution de l'acc�s super-utilisateur � des utilisateurs individuels peut engendrer les probl�mes suivants�:
Mauvaise configuration de l'ordinateur — Les utilisateurs disposant de l'acc�s super-utilisateur peuvent mal configurer leur ordinateur et n�cessiter d'assistance ou pire encore, peuvent ouvrir des br�ches de s�curit� sans m�me s'en rendre compte.
Ex�cution de services non-s�curis�s — Il se peut que des utilisateurs disposant de l'acc�s super-utilisateur ex�cutent des serveurs non-s�curis�s sur leur ordinateur, comme par exemple FTP ou Telnet, et mettent par l�-m�me potentiellement en danger des noms d'utilisateur et mots de passe dans la mesure o� ces derniers sont transmis en clair sur le r�seau.
Ex�cution de pi�ces jointes de courrier �lectronique en tant que super-utilisateur — Bien que les virus transmis par courrier �lectronique affectant Linux soient rares, ils existent tout de m�me. Toutefois, les seuls cas dans lesquels ils repr�sentent une menace sont lorsqu'ils sont ex�cut�s en tant que super-utilisateur.
4.4.2. Refus de l'acc�s super-utilisateur
Si, pour les raisons mentionn�es ou pour toute autre raison, un administrateur s'inqui�te de la possibilit� offerte aux utilisateurs de se connecter en tant que super-utilisateur, le mot de passe root ne devrait pas �tre divulgu� et l'acc�s au niveau d'ex�cution un ou au mode mono-utilisateur devrait �tre refus� en prot�geant le chargeur de d�marrage � l'aide d'un mot de passe (consultez la Section 4.2.2 pour obtenir de plus amples informations sur le sujet).
Le Tableau 4-1 illustre certaines mani�res auxquelles un administrateur peut recourir pour s'assurer fermement que toute connexion en tant que super-utilisateur est bien refus�e�:
M�thode
Description
Cons�quences
Sans cons�quences
Changement du shell super-utilisateur
Modifiez le fichier /etc/passwd et changez le shell de /bin/bash � /sbin/nologin.
Emp�che l'acc�s au shell super-utilisateur et journalise la tentative.
L'acc�s des programmes suivants au compte super-utilisateur est bloqu�:
� login
� gdm
� kdm
� xdm
� su
� ssh
� scp
� sftp
Pour les programmes ne n�cessitant pas de shell, tels que les clients FTP, les clients de messagerie et de nombreux programmes setuid.
L'acc�s des programmes suivants au compte super-utilisateur n'est pas bloqu�:
� sudo
� clients FTP
� clients de messagerie
D�sactivation de l'acc�s super-utilisateur au moyen de tout terminal de contr�le (tty).
Un fichier /etc/securetty vide emp�che la connexion en tant que super-utilisateur sur tout p�riph�rique reli� � l'ordinateur.
Emp�che l'acc�s au compte super-utilisateur par la console ou le r�seau. L'acc�s des programmes suivants au compte super-utilisateur est bloqu�:
� login
� gdm
� kdm
� xdm
� autres services r�seau qui ouvrent un terminal de contr�le tty
Pour les programmes qui ne se connectent pas en tant que super-utilisateur, mais effectuent des t�ches administratives � travers setuid ou d'autres m�canismes.
L'acc�s des programmes suivants au compte super-utilisateur n'est pas bloqu�:
� su
� sudo
� ssh
� scp
� sftp
D�sactivation des connexions SSH du super-utilisateur
Modifiez le fichier /etc/ssh/sshd_config et donnez au param�tre PermitRootLogin la valeur no.
Emp�che l'acc�s super-utilisateur via la suite d'outils OpenSSH. L'acc�s des programmes suivants au compte super-utilisateur est bloqu�:
� ssh
� scp
� sftp
Puisque ceci ne concerne que la suite d'outils OpenSSH, ces param�tres n'ont de cons�quences sur aucun autre programme.
Utilisation de PAM pour limiter l'acc�s super-utilisateur aux services
Modifiez le fichier relatif au service cible dans le r�pertoire /etc/pam.d/. Assurez-vous que pam_listfile.so est bien n�cessaire pour l'authentification.[a]
Emp�che l'acc�s super-utilisateur aux services r�seau qui prennent en charge PAM.
L'acc�s des services suivants au compte super-utilisateur est bloqu�:
� clients FTP
� clients email
� login
� gdm
� kdm
� xdm
� ssh
� scp
� sftp
� tout service prenant en charge PAM
Programmes et services ne prenant pas en charge PAM.
Remarques�: a. Consultez la Section 4.4.2.4 pour obtenir de plus amples informations.
Tableau 4-1. M�thodes pour d�sactiver le compte super-utilisateur
4.4.2.1. D�sactivation du shell super-utilisateur (root)
Afin d'emp�cher les utilisateurs de se connecter directement en tant que super-utilisateur, l'administrateur syst�me peut d�finir le shell du compte super-utilisateur comme /sbin/nologin dans le fichier /etc/passwd. Ce faisant, tout acc�s au compte super-utilisateur au moyen de commandes n�cessitant un shell, comme par exemple les commandes su et ssh, sera bloqu�.
Important
Les programmes ne n�cessitant pas un acc�s au shell, tels que les clients de messagerie ou la commande sudo, ont toujours acc�s au compte super-utilisateur.
4.4.2.2. D�sactivation des connexions super-utilisateur
Afin de restreindre davantage l'acc�s au compte super-utilisateur, les administrateurs peuvent d�sactiver les connexions root � la console en �ditant le fichier /etc/securetty. Ce dernier �num�re tous les p�riph�riques sur lesquels le super-utilisateur peut se connecter. Si le fichier n'existe pas du tout, le super-utilisateur peut se connecter en utilisant tout p�riph�rique de communication pr�sent sur le syst�me, que ce soit par le biais de la console ou d'une interface r�seau brute. Cette situation est dangereuse car un utilisateur peut se connecter � sa machine en tant que super-utilisateur via Telnet, en transmettant son mot de passe en clair sur le r�seau. Par d�faut, le fichier /etc/securetty de Red Hat Enterprise Linux permet seulement au super-utilisateur de se connecter � la console reli�e physiquement � l'ordinateur. Pour emp�cher le super-utilisateur de se connecter, supprimez le contenu de ce fichier en saisissant la commande suivante�:
echo > /etc/securetty
Avertissement
Un fichier /etc/securetty vierge n'emp�che pas le super-utilisateur de se connecter � distance � l'aide de la suite d'outils OpenSSH, car la console n'est ouverte qu'une fois l'authentification effectu�e.
4.4.2.3. D�sactivation des connexions SSH super-utilisateur
Afin d'emp�cher les connexions super-utilisateur par le biais du protocole SSH, �ditez le fichier de configuration du d�mon SSH (/etc/ssh/sshd_config). Modifiez la ligne stipulant�:
# PermitRootLogin yes
en�:
PermitRootLogin no
4.4.2.4. D�sactivation du super-utilisateur � l'aide de PAM
PAM, au moyen du module /lib/security/pam_listfile.so, offre une grande flexibilit� pour ce qui est du refus de l'acc�s de certains comptes. Gr�ce � PAM, l'administrateur peut indiquer au module une liste d'utilisateurs auxquels refuser la connexion. Ci-dessous figure un exemple de la mani�re dont le module est utilis� pour vsftpd du serveur FTP dans le fichier de configuration de PAM /etc/pam.d/vsftpd (le signe \ plac� � la fin de la premi�re ligne dans l'exemple suivant n'est pas n�cessaire si la directive est sur une seule ligne)�:
Cette directive indique � PAM de consulter le fichier /etc/vsftpd.ftpusers et de refuser l'acc�s au service � tout utilisateur mentionn� dans la liste. L'administrateur peut changer le nom de ce fichier s'il le souhaite et peut garder des listes s�par�es pour chaque service ou il peut utiliser une liste principale pour refuser l'acc�s � de multiples services.
Si l'administrateur souhaite refuser l'acc�s � de multiples services, il peut ajouter une ligne similaire aux services de configuration PAM, tels que /etc/pam.d/pop et /etc/pam.d/imap pour des clients de messagerie ou /etc/pam.d/ssh pour des clients SSH.
Pour obtenir de plus amples informations sur PAM, consultez le chapitre intitul� Modules d'authentification enfichables (PAM) du Guide de r�f�rence de Red Hat Enterprise Linux.
4.4.3. Restriction de l'acc�s super-utilisateur
Plut�t que de refuser compl�tement l'acc�s au super-utilisateur, l'administrateur peut d�cider d'autoriser l'acc�s uniquement via des programmes setuid tels que su ou sudo.
4.4.3.1. La commande su
Lorsque l'utilisateur saisit la commande su, le syst�me demande le mot de passe root et, apr�s authentification, donne une invite du shell root.
Une fois connect� par le biais de la commande su, l'utilisateur devient le super-utilisateur et d�tient alors l'acc�s administratif absolu au syst�me. De plus, une fois que l'utilisateur s'est octroy� les privil�ges du super-utilisateur, il peut, dans certains cas, utiliser la commande su pour se changer en tout autre utilisateur sur le syst�me et ce, sans devoir saisir de mot de passe.
En raison de la puissance de ce programme, les administrateurs au sein d'une soci�t� souhaiteront peut-�tre restreindre le nombre de personnes ayant acc�s � cette commande.
Une des fa�ons les plus simples de proc�der consiste � ajouter des utilisateurs au groupe administratif sp�cial appel� wheel. Pour ce faire, saisissez la commande suivante en �tant connect� en tant que super-utilisateur�:
usermod -G wheel <username>
Dans la commande pr�c�dente, remplacez <username> par le nom d'utilisateur � ajouter au groupe wheel.
Afin d'utiliser le Gestionnaire d'utilisateurs � ces fins, cliquez sur Menu principal (sur le panneau) => Param�tres de syst�me => Utilisateurs et groupes ou saisissez la commande system-config-users � une invite du shell. S�lectionnez l'onglet Utilisateurs, choisissez l'utilisateur parmi la liste d'utilisateurs et cliquez sur Propri�t�s dans le menu de boutons (ou choisissez Fichier => Propri�t�s dans le menu d�roulant).
S�lectionnez ensuite l'onglet Groupes et cliquez sur le groupe nomm� wheel, comme le montre la Figure 4-2.
Figure 4-2. Fen�tre de l'onglet Groupes
Dans un �diteur de texte, ouvrez ensuite le fichier de configuration PAM pour su, /etc/pam.d/su et supprimez le commentaire [#] pr�sent dans la ligne suivante�:
Ce faisant, seuls les membres du groupe administratif wheel pourront utiliser le programme.
Remarque
Par d�faut, le super-utilisateur fait partie du groupe wheel.
4.4.3.2. La commande sudo
La commande sudo fournit une autre approche lors de l'attribution de l'acc�s administratif aux utilisateurs. Lorsqu'un utilisateur de confiance fait pr�c�der une commande administrative par sudo, le syst�me lui demande de saisir son propre mot de passe. Ensuite, une fois authentifi� et en supposant que la commande est permise, la commande administrative est ex�cut�e comme si l'op�ration �tait effectu�e par le super-utilisateur.
Le format de base de la commande sudo est le suivant�:
sudo <command>
Dans l'exemple pr�c�dent, <command> serait remplac� par une commande normalement r�serv�e au super-utilisateur, comme par exemple mount.
Important
Il est recommand� aux utilisateurs de la commande sudo de s'assurer de bien se d�connecter avant de quitter leur ordinateur car toute personne utilisant la commande sudo peut r�utiliser la dite commande sans devoir saisir � nouveau un mot de passe et ce, pendant une dur�e de cinq minutes. Ce param�tre peut �tre modifi� au moyen du fichier de configuration /etc/sudoers.
La commande sudo offre une grande flexibilit�. Par exemple, seuls les utilisateurs mentionn�s dans le fichier de configuration /etc/sudoers sont autoris�s � utiliser la commande sudo et cette derni�re est ex�cut�e dans le shell de l'utilisateur, et non pas dans un shell root. Dans de telles circonstances, le shell root peut �tre compl�tement d�sactiv�, comme l'explique la Section 4.4.2.1.
La commande sudo fournit �galement un certain nombre de traces permettant toute v�rification. Toute authentification r�ussie est journalis�e dans le fichier /var/log/messages et la commande ex�cut�e est elle enregistr�e dans le fichier /var/log/secure, accompagn�e par le nom de l'utilisateur l'ayant engendr�e.
Un autre avantage de la commande sudo r�side dans la possibilit� pour l'administrateur, d'autoriser l'acc�s de diff�rents utilisateurs � des commandes sp�cifiques en fonction de leurs besoins.
Les administrateurs souhaitant changer le fichier de configuration de sudo, /etc/sudoers, devraient utiliser la commande visudo.
Afin d'octroyer � une personne la totalit� des privil�ges administratifs, saisissez la commande visudo et ajoutez dans la partie relative � la sp�cification des privil�ges de l'utilisateur, une ligne semblable � celle qui suit�:
juan ALL=(ALL) ALL
Cet exemple stipule que l'utilisateur, juan, est autoris� � utiliser la commande sudo � partir d'un h�te quelconque et peut ex�cuter toute commande.
L'exemple ci-dessous illustre le niveau de granularit� possible lors de la configuration de sudo�:
%users localhost=/sbin/shutdown -h now
Cet exemple stipule que tout utilisateur peut ex�cuter la commande /sbin/shutdown -h now tant qu'elle est ex�cut�e � partir de la console.
La page de manuel relative � sudoers contient un inventaire d�taill� des options utilisables pour ce fichier.
