Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux - Guide de securite - Menaces envers la s�curit� du serveur

2.3. Menaces envers la s�curit� du serveur

La s�curit� du serveur est aussi importante que la s�curit� de r�seaux vu que les serveurs contiennent souvent une grande partie des informations vitales d'une soci�t�. Si un serveur est compromis, tout son contenu peut alors devenir disponible et un craqueur peut facilement le voler ou le manipuler. Les sections suivantes d�taillent quelqu'uns des points les plus importants.

2.3.1. Services inutilis�s et ports ouverts

Une installation compl�te de Red Hat Enterprise Linux contient plus de 1000 paquetages d'applications et de biblioth�ques. Cependant, la plupart des administrateurs de serveur ne choisissent pas d'installer tous les paquetages de la distribution, pr�f�rant � la place une installation de base de paquetages, y compris plusieurs applications serveur.

Un fait courant parmi les administrateurs syst�me est l'installation du syst�me d'exploitation sans vraiment faire attention aux programmes qui sont install�s. Cela peut devenir probl�matique vu que des services qui ne sont pas n�cessaires peuvent �tre install�s, configur�s avec les param�tres par d�faut et m�me parfois activ�s par d�faut. Cela peut provoquer l'ex�cution de services non souhait�s, tels que Telnet, DHCP ou DNS, sur un serveur ou un poste de travail sans que l'administrateur ne s'en rende compte, ce qui, � son tour, peut provoquer un trafic ind�sirable vers le serveur, ou m�me, un chemin vers le syst�me pour les craqueurs. Veuillez consulter le Chapitre 5 pour en savoir plus sur la fermeture de ports et la d�sactivation de services inutilis�s.

2.3.2. Services sans correctifs

La plupart des applications serveur incluses dans une installation par d�faut sont des logiciels solides et minutieusement test�s. Utilis�s dans des environnements de production depuis de nombreuses ann�es, leur code a �t� m�ticuleusement raffin� et de nombreux bogues ont �t� trouv�s et corrig�s.

Cependant, le logiciel parfait n'existe pas et des am�liorations sont toujours possibles. De plus, les nouveaux logiciels ne sont pas souvent aussi rigoureusement test�s que ce que l'on pense, � cause de leur arriv�e r�cente dans les environnements de production ou parce qu'ils ne sont pas aussi populaires que d'autres logiciels serveur.

Les d�veloppeurs et les administrateurs syst�me trouvent souvent des bogues exploitables dans les applications serveur et publient leurs informations sur les sites Web de contr�le de bogues et ceux associ�s � la s�curit� comme la liste de diffusion Bugtraq (https://www.securityfocus.com) ou le site Web Computer Emergency Response Team (CERT) (https://www.cert.org). Bien que ces m�canismes soient efficaces pour pr�venir la communaut� de vuln�rabilit�s de s�curit�, c'est aux administrateurs syst�me d'ins�rer des correctifs dans leurs syst�mes. Cela est particuli�rement vrai vu que les craqueurs ont acc�s aux m�mes services de contr�le de vuln�rabilit�s et utiliseront ces informations pour briser les protections de syst�mes sans correctifs d�s qu'ils le peuvent. Une bonne administration de syst�mes n�cessite de la vigilance, un contr�le de bogues constant et une maintenance de syst�mes correcte pour assurer un environnement informatique s�curis�.

Reportez-vous au Chapitre 3 pour obtenir de plus amples informations sur la mani�re de garder un syst�me � niveau.

2.3.3. Administration inattentive

Les administrateurs qui n'ins�rent pas de correctifs dans leurs syst�mes repr�sentent l'une des plus grandes menaces envers la s�curit� du serveur. Selon l'institut System Administration Network and Security Institute (SANS), la cause principale de vuln�rabilit� de s�curit� informatique est ��de d�signer des personnes non form�es pour maintenir la s�curit� et de n'offrir ni la formation ni le temps pour que le travail puisse �tre fait.��[1] Cela s'applique aux administrateurs sans exp�rience ainsi qu'aux administrateurs trop s�rs d'eux ou sans motivation.

Certains administrateurs n'ins�rent pas de correctifs dans leurs serveurs ou leurs postes de travail, alors que d'autres ne regardent pas les messages de journaux du noyau du syst�me ou du trafic r�seau. Une autre erreur courante est de laisser inchang�s les mots de passe ou les cl�s de services par d�faut. Par exemple, certaines bases de donn�es ont des mots de passe d'administration par d�faut. En effet, les d�veloppeurs de bases de donn�es pr�sument que l'administrateur syst�me changera ces mots de passe imm�diatement apr�s l'installation. Si un administrateur de bases de donn�es ne change pas le mot de passe, m�me un craqueur sans exp�rience peut utiliser un mot de passe par d�faut bien connu pour obtenir les privil�ges d'administration sur la base de donn�es. Ce ne sont que quelques exemples sur la mani�re dont l'administration inattentive peut mener � des serveurs compromis.

2.3.4. Services risqu�s de nature

M�me l'organisation la plus vigilante peut devenir la victime de vuln�rabilit�s si les services r�seau qu'ils s�lectionnent sont risqu�s de nature. Par exemple, il existe de nombreux services d�velopp�s sous la supposition qu'ils seront utilis�s sur des r�seaux de confiance�; cependant, cette supposition dispara�t d�s que le service devient disponible sur l'internet — qui lui-m�me, n'est pas de confiance de nature.

Un type de services r�seau risqu�s regroupe ceux qui n�cessitent des noms d'utilisateur et des mots de passe pour l'authentification, mais qui ne cryptent pas ces informations. Telnet et FTP sont deux exemples de ces services. Un logiciel de reniflage de paquets contr�lant le trafic entre un utilisateur distant et un tel serveur peut alors facilement voler les noms d'utilisateur et les mots de passe.

Les services d�crits ci-dessus peuvent �galement plus facilement devenir la proie de ce que l'industrie de la s�curit� appelle l'attaque man-in-the-middle. Dans ce type d'attaque, un craqueur redirige le trafic r�seau en pi�geant un serveur de noms pirat� de fa�on � pointer sur sa machine � la place du serveur destin�. Lorsque une personne ouvre une session � distance vers ce serveur, la machine de l'agresseur agit en tant que conduit invisible, reposant entre le service distant et l'utilisateur sans soup�ons et capturant les informations. De cette mani�re, un craqueur peut rassembler des mots de passe d'administration et des donn�es brutes sans que le serveur ou l'utilisateur ne s'en rende compte.

Un autre exemple de services risqu�s sont les syst�mes de fichiers r�seau et les services d'informations tels que NFS ou NIS, qui sont d�velopp�s de fa�on explicite pour une utilisation LAN, mais sont, malheureusement, �tendus pour inclure les WAN (pour les utilisateurs distants). NFS ne poss�de pas, par d�faut, de m�canismes de s�curit� ou d'authentification configur�s pour emp�cher un craqueur de monter le partage NFS et d'acc�der � son contenu. NIS a �galement des informations vitales qui doivent �tre connues par tous les ordinateurs sur un r�seau, y compris les mots de passe et les permissions de fichiers, � l'int�rieur d'une base de donn�es DBM (d�riv�e de l'ASCII) ou ACSII en texte clair. Un craqueur qui arrive � acc�der � cette base de donn�es peut alors avoir acc�s � tous les comptes d'utilisateur sur un r�seau, y compris celui de l'administrateur.

Par d�faut, Red Hat Enterprise Linux est distribu� avec tous ces services d�sactiv�s. Toutefois, vu que les administrateurs se trouvent souvent forc�s � utiliser ces services, une configuration m�ticuleuse est critique. Reportez-vous au Chapitre 5 pour davantage d'informations sur la configuration de services de mani�re s�curis�e.

Notes

[1]

Source�: https://www.sans.org/newlook/resources/errors.html

 
 
  Published under the terms of the GNU General Public License Design by Interspire