Page précédente Page suivante Table des matières

10. Sécurité

10.1 X Window : le fichier .Xauthority

Le fichier .Xauthority est généré par le programme xauth. Il s'agit d'un système d'authentification pour les applications graphiques. Cela permet d'éviter que d'autres personnes envoient des images, des fenêtres sur votre écran - mais également que des personnes puissent "voir" ce qu'il y a sur votre écran.

Le principe est de donner une clef d'identification, en hexadécimal avec un nombre pair de caractères.

Lancer xauth et faire :

add MaMachine:0 MIT-MAGIC-COOKIE-1 MonCode
add MaMachine/unix:0 MIT-MAGIC-COOKIE-1 MonCode

Pour la machine locale, c'est en fait "hostname:NoDisplay".

Un fois lancé, le serveur X interdit toute connexion, sauf si l'application :

Vous pouvez désactiver le système pour certaines machines avec un xhost +toto par exemple.

Rq: certaines versions obligent à lancer le serveur X avec la commande

xinit -- -auth $HOME/.Xauthority
.

10.2 X Window : contrôle de la session

Seul xdm assure un contrôle de session X Window correct. La directive DontZap, placée dans la section ServerFlags du fichier de configuration de XFree86 limite aussi les possibilités de gourance.

Si vous n'employez pas xdm : afin d'interdire aux malintentionnés d'utiliser les touches de "basculement" des consoles virtuelles (Alt-F1, Alt-F2 ...) il suffit de placer dans /etc/profile une ligne :

alias x='(startx >/dev/null &);clear;logout'
Puis d'invoquer x en lieu et place de startx.

10.3 Problèmes de sécurité

La distribution Slackware contient certaines failles. Vous pouvez en consulter la liste à l'adresse suivante : http://bach.cis.temple.edu/pub/linux/linux-security/.

Linux est d'une manière générale très solide car toute faille, sitôt découverte, est immédiatement référencée et corrigée... C'est l'avantage des sources publiques. Toutefois, certaines failles importantes existent dans les distributions et il est important de les corriger. Un document WEB propose une liste des problèmes :

http://bach.cis.temple.edu/pub/linux/linux-security/Linux-Security-FAQ/

10.4 Protection de la machine contre l'extérieur

Une solution pour éviter les connexions externes est d'utiliser TCP/Wrappers. Il est très fortement conseillé de le recompiler !

L'installation est assez intuitive. En bref, il vous suffit d'indiquer le nom des machines autorisées dans le fichier /etc/hosts.allow et les machines interdites dans /etc/hosts.deny. On peut permettre l'envoi de courrier lorsqu'une machine tente de se connecter alors qu'elle est interdite en mettant par exemple dans le fichier /etc/hosts.deny :

wu.ftpd:        ALL: twist = /usr/sbin/real-daemon-dir/safe_finger -l @%h | 
/bin/mail -s %d-%h root
(Sur une seule ligne :-)).

Si vous voulez plus de détails, lisez le document suivant : ftp://ftp.win.tue.nl:/pub/security/tcp_wrapper.ps.Z.

10.5 Quelques pointeurs

En France, le serveur ftp.urec.fr contient de nombreux utilitaires relatifs à la sécurité informatique.

Deux listes de diffusion internationales sont consacrées à la diffusion d'informations liées à des problèmes de sécurité sous Linux : linux-security@tarsier.cv.nrao.edu et linux-alert@tarsier.cv.nrao.edu

10.6 Virus

Par définition, un système Unix n'a pas la même sensibilité aux virus qu'une machine sous MS-DOS. La seule chose qui puisse exister, ce sont des chevaux de Troie (modulo quelques autres cochonneries).

Il s'avère qu'un de ces engins est apparu : bliss. Pour voir si vous êtes touchés :

Un dernier conseil : lorsque vous le pouvez, recompilez les programmes que vous installez, et récupérez-les sur des sites sûrs (miroirs officiels). De cette manière, vous réduisez les risques.

10.7 Cops/Crack

Ces deux outils peuvent être trouvés sur le site ftp://ftp.lip6.fr/pub/unix/security et particulièrement utiles si votre machine est directement connecté à Internet. N'hésitez pas à vous en servir.


Page précédente Page suivante Table des matières