Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux - Guide de securite - Services r�seau disponibles

4.5. Services r�seau disponibles

Alors que l'acc�s des utilisateurs aux contr�les administratifs est un point important pour les administrateurs syst�me au sein d'une soci�t�, savoir quels services r�seau sont actifs, a une importance vitale pour les personnes g�rant ou utilisant un syst�me Linux.

De nombreux services sous Red Hat Enterprise Linux se comportent comme des serveurs r�seau. Si un service r�seau est ex�cut� sur un ordinateur, une application serveur nomm�e daemon est en attente de connexions sur un ou plusieurs ports r�seau. Chacun de ces serveurs devrait �tre consid�r� comme une source potentielle d'agression.

4.5.1. Dangers pour les services

Les services r�seau peuvent poser de nombreux risques pour les syst�mes Linux. Ci-dessous figure une liste de certains probl�mes importants�:

  • Attaques par d�ni de service (DoS) — En submergeant un service de requ�tes, une attaque par d�ni de service peut entra�ner un arr�t du syst�me dans la mesure o� ce dernier essaie d'enregistrer et de r�pondre � chaque requ�te.

  • Attaques de vuln�rabilit� de script — Si un serveur utilise des scripts pour ex�cuter des actions c�t� serveur, comme le font g�n�ralement les serveurs Web, un craqueur peut organiser une attaque en utilisant les faiblesses de scripts mal r�dig�s. Ces agressions bas�es sur les vuln�rabilit�s de scripts pourraient entra�ner une situation de d�passement de la capacit� de la m�moire tampon ou permettre � un agresseur de modifier des fichiers sur le syst�me.

  • Attaques li�es au d�passement de la capacit� de la m�moire tampon — Les services reli�s aux ports allant de 0 � 1023 doivent �tre ex�cut�s en tant qu'un utilisateur administratif. Si l'application a un d�bordement de tampon exploitable, un agresseur pourrait s'octroyer l'acc�s au syst�me en tant qu'utilisateur ex�cutant le d�mon. Parce que les d�bordements de capacit� de la m�moire tampon existent, les craqueurs utiliseront des outils automatis�s pour identifier les syst�mes montrant une certaine vuln�rabilit� et, une fois l'acc�s obtenu, utiliseront des rootkits automatis�s pour maintenir leur acc�s au syst�me.

NoteRemarque
 

La menace des vuln�rabilit�s du d�passement de m�moire tampon est att�nu�e dans Red Hat Enterprise Linux gr�ce � ExecShield, une technologie de protection et de segmentation de m�moire ex�cutable support�e par les noyaux compatibles x86 � un ou plusieurs processeurs. ExecShield r�duit le risque de d�passement de m�moire tampon en s�parant la m�moire virtuelle en segments ex�cutables et non ex�cutables. Tout code de programme qui essaie de tourner en dehors de ce segment ex�cutable (comme un code malveillant inject� depuis un exploit de d�passement de m�moire tampon) produit une erreur de segmentation et s'arr�te.

Execshield inclut �galement une prise en charge de la technologie No eXecute (NX) sur les plateformes AMD64 et la technologie eXecute Disable (XD) sur les syst�mes Itanium et Intel® EM64T. Ces technologies fonctionnent en conjonction avec ExecShield afin d'�viter que du code malveillant tourne dans une portion ex�cutable de la m�moire virtuelle avec une granularit� de 4 Ko de code ex�cutable, r�duisant ainsi le risque d'attaques depuis des exploits furtifs de d�passement de m�moire tampon.

Afin d'obtenir davantage d'informations sur ExecShield et les technologies NX ou XD, consultez le document technique (whitepaper) intitul� New Security Enhancements in Red Hat Enterprise Linux v.3, Update 3 (nouvelles am�liorations au niveau de la s�curit� sous Red Hat Enterprise Linux v.3, Update 3), disponible en ligne � l'adresse suivante�:

https://www.redhat.com/solutions/info/whitepapers/

Afin de limiter les possibilit�s d'attaques sur le r�seau, tout service non-utilis� devrait �tre d�sactiv�.

4.5.2. Identification et configuration de services

Afin d'accro�tre la s�curit�, la plupart des services r�seau install�s avec Red Hat Enterprise Linux sont d�sactiv�s par d�faut. Il existe n�anmoins des exceptions notables�:

  • cupsd — Le serveur d'impression par d�faut de Red Hat Enterprise Linux.

  • lpd — Un autre serveur d'impression.

  • xinetd — Un super-serveur contr�lant les connexions � un ensemble de sous-serveurs, comme vsftpd, telnet.

  • sendmail — L'agent de transport de courrier de Sendmail est activ� par d�faut, mais n'est attentif qu'aux connexions venant de localhost.

  • sshd — Le serveur OpenSSH, qui est un rempla�ant s�curis� de Telnet.

Lors de la d�cision relative � la d�sactivation ou non de ces services, il est pr�f�rable d'utiliser le bon sens et un certain degr� de pr�caution. Par exemple, si vous ne poss�dez pas d'imprimante, ne laissez pas cupsd en cours d'ex�cution. Il en est de m�me pour portmap. Si vous ne montez pas de volumes NFS ou utilisez NIS (le service ypbind), portmap devrait �tre d�sactiv�.

Red Hat Enterprise Linux est vendu avec trois programmes con�us pour activer et d�sactiver des services, � savoir l'Outil de configuration des services (system-config-services), ntsysv et chkconfig. Pour de plus amples informations sur l'utilisation de ces outils, consultez le chapitre intitul� Contr�le de l'acc�s aux services du Guide d'administration syst�me de Red Hat Enterprise Linux.

Figure 4-3. Outil de configuration des services

Si vous n'�tes pas certain du but d'un certain service, l'Outil de configuration des services illustr� dans la Figure 4-3 peut �tre utile, car il dispose d'un champ de description.

N�anmoins, il n'est pas suffisant de v�rifier et identifier quels services r�seau sont disponibles et pr�ts � �tre lanc�s au d�marrage. De bons administrateurs syst�me devraient �galement v�rifier quels ports sont ouverts et en attente de requ�tes. Consultez la Section 5.8 pour obtenir de plus amples informations sur le sujet.

4.5.3. Services non-s�curis�s

Tout service r�seau est potentiellement vuln�rable au niveau s�curit�. Telle est la raison pour laquelle la d�sactivation de services non-utilis�s est une mesure de protection importante. Les diff�rentes exploitations de services sont identifi�es et corrig�es r�guli�rement . Il est donc important de mettre � jour r�guli�rement les paquetages associ�s � tout service r�seau. Consultez le Chapitre 3 pour obtenir de plus amples informations sur le sujet.

Certains protocoles r�seau sont par nature plus vuln�rables au niveau s�curit� que d'autres. Dans cette situation figurent �galement tous les services effectuant les op�rations suivantes�:

  • Transmission non-crypt�e de noms d'utilisateur et de mots de passe � travers un r�seau — De nombreux protocoles relativement anciens, tels que Telnet et FTP, ne cryptent pas la session d'authentification et leur utilisation devraient donc �tre �vit�e autant que possible.

  • Transmission non-crypt�e de donn�es confidentielles � travers un r�seau — De nombreux protocoles transmettent des donn�es de fa�on non crypt�e sur un r�seau. Ceux-ci incluent Telnet, HTTP et SMTP. De nombreux syst�mes de fichiers, tels que NFS et SMB, transmettent �galement des informations sur le r�seau sans les crypter. Lors de l'utilisation de ces protocoles, il incombe � l'utilisateur de limiter le type de donn�es transmis.

    En outre, les services de vidage de m�moire � distance, comme netdump, transmettent sur le r�seau de mani�re non-crypt�e le contenu de la m�moire. Les vidages de m�moire peuvent contenir des mots de passe ou, pire encore, des entr�es de bases de donn�es et toutes autres informations confidentielles.

    D'autres services tels que finger et rwhod fournissent des informations sur les utilisateurs du syst�me.

Parmi les services non-s�curis�s par nature figurent�:

  • rlogin

  • rsh

  • telnet

  • vsftpd

Il est recommand� d'�viter tous les programmes de connexion � distance et de shell (rlogin, rsh et telnet) au profit de SSH. (Consultez la Section 4.7 pour obtenir de plus amples informations sur sshd.)

FTP n'est pas par nature aussi dangereux au niveau de la s�curit� du syst�me que les shells distants, mais les serveurs FTP doivent �tre m�ticuleusement configur�s et surveill�s afin d'�viter tout probl�me. Consultez la Section 5.6 pour obtenir de plus amples informations sur la s�curisation de serveurs FTP.

Parmi les services devant �tre impl�ment�s avec pr�caution et devant se trouver derri�re un pare-feu figurent�:

  • finger

  • identd

  • netdump

  • netdump-server

  • nfs

  • rwhod

  • sendmail

  • smb (Samba)

  • yppasswdd

  • ypserv

  • ypxfrd

Le Chapitre 5 contient de plus amples informations sur la s�curisation de services r�seau.

La section suivante examine les outils disponibles pour mettre en place un pare-feu �l�mentaire.

 
 
  Published under the terms of the GNU General Public License Design by Interspire