=========================== | Faire un serveur secure | | By Lionel | |_________________________| 1)Intro ------- On est bien gentil de dire oui toi ta secu elle est pourrie mais si on dit meme pas comment faire pour quelle sois plus meilleur alors c'est nous qui le sommes!J'ecrie se texte pour tous les admins, les boufons des l'irc , les mecs qui se croivent au dessus de ca! 2)Un serveur secure? -------------------- Quesque c'est d'etre secure? Ben c'est d'avoir une securité parfaite se qui est impossible comme en electronique pour un generateur parfait! Vous allez me dire alors tu es con ca veus dire que toi aussi tu es pas secure, et oui je l'avous y a des moyens de me "bedave".Vous allez me dire je ferme tous mes port , je firewall est voila j'ai une securité parfaite!!! Moi je te dis que non mon frere y a toujours une faille , quelle sois humaine , ou informatique! Imagine que tu es fermé tous les port de ta machine et que un super Hax0r t'envoie une email qui contient un buffer overflow fatal pour ton service email!!!! Tu t'es fais bedave mais tu la bien cherché le mal s'install dans ta .... J'arrette le tripe ;) .Biensur y a d'autres moyen comme par exemple le social engering , l'infection par le web , l'irc , icq , ... Il n'y a pas besion d'avoir forcement des services ouvert pour se faire infecté... En bref une securitée parfaite n'exsite pas , personne n'est parfait :) 3)Comment devenir le plus secure possible? ------------------------------------------ Bon c'est bien beau le blabla , mais comment s'approche t'on de la perfection? Deja minimaliser les services ouvert en verifiant qu'il n'y a pas de bug connu sur la version en allant sur bugtraq (http://www.securityfocus.com/templates/archive.pike?list=1),mais biensur des ptit malin arrive a trouver des bug avant que bugtraq ou cert ne les trouves .C'est pour cela que je vous conseil si vous en avez le courage de verifier les sources ou de testé les commandes , mon "Scan vuln ver1.0" realise ce travail ca dur environ 5minutes mais apres tu as deja de bonne base, puis vaus mieux prendre 5minutes que ce faire hax! (la ver2.0 qui est deja faite et qui sortira dans le n°3 est bien plus puissante que la 1.0 ...).Si vous faite ca vous evitez env. 70% d'attaques .Dans le n°2 nous commencons des ADVISORYs qui sont tres interessante puisque en genral c'est des bugs trouvé par mon scan vuln et qui ne sont pas repertorié sur bugtraq, mais je pensse aussi mettre des bugs trouvé par bugtraq car tous le monde ne lit pas bugtraq se que je trouve dommage! Moins nombreuse les attaques hijack a distance , via spoof(je prepare un article dessus pour le n°3). Les 30% restant c'est quoi? Deja il y a une part qui vas sur la betise humaine(S.E.), alors faite attention a se que vous dites sur le net!!!! Il y a aussi les attaques venant de vos connections sur l'exterrieur(voir projet diabolique -> Lionel&Datahck[n°2ou3]).Provenant de l'irc ,icq , email ...Tous se que vous ne prevoiez pas peut devenir votre pire cochemare. Il y a aussi dirons nous les attaque dites "local" faite d'un user ayant un access a la machine,sur se point il est tres facile de devenir root!!!Grace a de petit exploit!Ou alors en local on peut "sniffer" les connections sur le reseaux LAN , se qui permet de connaitre tous se qui se passe. Il y en a beaucoups en tous cas!!! 4) base d'un serveur secure --------------------------- Quelle service à eviter? -RPC NFS -> evité de donner l'access en ecriture , evité de donner un access a tous le monde. -FTPD -> Ne donné pas le moyen d'ecrire sur un rep. -FINGER -> evité de le laisser car ca peut donner des bonnes info utilisable pour un brute force ou autre attaque. -XWIN -> verifié que vous etes en "xhost -" -SENDMAIL -> verifié que les commandes EXPN et VRFY ne puisse pas donner d'information sur votre serveur,identité , pouvant etre utilisé a votre desavantage. -RSH,RLOGIN -> verifié que vous n'avez pas de "++" dans un rhost ou un "+" dans /etc/host.equiv qui donnerais access a n'importe qui sur votre machine. -SSH -> verifié que vous n'avez pas une version inferieur ou egale à la 1.2.27,car elle contienne un buffer overflow... -RPC NIS -> evité de le mettre un conseil! -CGI -> verifié que vos cgi ne sois pas "buggé" -TFTP -> fermé se service (l'université de AIX la , si vous voulez regardé se que on peut avoir....[je sais pas si ca marche toujours]). -SAMBA -> essayé de ne pas avoir se service , je le trouve pas beau... Pour une meilleur securitée , il faut avoir un firewall qui log les entrée et sortie,ou avec le firewall si vous voulez garder des services en local mais pas accessible via le net , mais faite attention tous de meme car certaine vieille version de firewall peuve etre passé grace a plusieur solution (syn flood...), ssh pour evité le sniffage ou le hijacking , ssl pour le web si vous faite du biss.Mettez des passwd les plus complexe possible.Si vous pouvez enlevé les services telnet,rlogin,rsh,... c'est tres bien comme ca si un pirate avait reussi a avoir vos passes par ou rentrais t-il? Verifié que vous n'utilisé pas une version bugé de "pine(service de rammassage de email)"[pour ma part je crois que ca exsite pas encore une version de pine non bugé].Ne lancé pas vos deamon en root comme ca si il y avait une faille le pirate n'aurras pas un access root!Scannez vous pour verifier que vous avez bien les service voulu ouvert... "rcpinfo -p 127.0.0.1" regardé vos service rpc ouvert, pour ma part les rpc c'est le bon moyen de se faire avoir!! Donnée de l'information sur la securité a vos users. Je pensse que deja la vous vous approchez de plus en plus de la perfection :) 5) Conclusion ------------- La meilleur securité n'exsite pas , rien n'est parfait.Ne vous croiez jamais au dessus de la securitée . 6) Greetz --------- To: clemm, spoty , ank , tiffa, shado, klog, XSFX, Datahck, OrganiKs,[fred], Mayhem, rix, exile , chx , prfalken , togusa , einstein , #toulouse, #r9, #rhino9,madchat(#madchat->undernet),Darkbug,#linux-fr(ircnet),#oracle(efnet), torcy&marcx dormoy&18eme (Ali k.,Xav,Olivier,Mathieux,Mémet,Arnauld,Camel,...), cantepeau(sophie,ced,youness,seb,la shente,bouboule,ouadgerie, ...), toulouse(Gui.,florian,Lionel,JM,Dav,Vincent,Bruno,yohan,seb,cyril, damien,jenny&virginie,stef&julie...).......Et tous ce que j'oublie...