4. Configuration

• installer et utiliser la suite shadow password (contre CRACK, programme de cassage de mots de passe par approche "brute force")
• (EB) Surveiller les logs (fichiers d'historique d'activité placés sous /var/log). Ne les laisser accessibles qu'à root. Si le systeme est sensible, imprimer les logs au fur et à mesure et les envoyer sur un autre hôte.
• (EB) utiliser un système de fichiers en lecture seule (un cdrom par exemple) en tant que /
• ne laisser le compte root qu'à des personnes de confiance. Même à titre temporaire, car il existe des méthodes grâce auxquelles un utilisateur root peut bricoler de façon à pouvoir redevenir maître du système facilement malgré tout changement du mot de passe.
• attributs par défaut des fichiers : modifier les "droits" attribués par défaut aux fichiers créés (exemple : seront-ils lisible pour les membres du groupe ?) grâce à la commande umask Attribuer un umask de 027, qui signifie que tous les fichiers créés seront u=rwx,g=rx,o=, à tous les utilisateurs par exemple en plaçant une ligne :

  ---

  umask 027
  

  ---

  dans /etc/profile. Ceci vaut tout particulèrement pour root. La commande bash « umask -S » présentera ce masque de façon explicite.
• (sbi) Ne pas placer de point ('.') dans la variable d'environnement PATH du compte root car si un pirate réalise chez lui un fichier exécutable qui pirate celui qui le lance, il peut l'appeler d'un nom que la victime a de bonnes chances de taper, par exemple ls (mais en général le point est à la fin du PATH, c'est donc en ce cas le binaire ls du système qui sera invoqué) ou bien d'une faute de frappe fréquente (``ks'' par exemple) alors tu exécuteras cela et le programme piratera. Il créera par exemple une copie de /bin/sh avec bit s de la victime (donc root) quelque part sur le système à un endroit discret, afin de pouvoir l'employer par la suite. Pour invoquer un binaire placé dans le répertoire courant : ./programme (noter les deux premiers caractères).
• installer et utiliser correctement Tripwire. L'installer si possible juste après installation du système, et avant connexion à un réseau dangereux. (question : qui veut documenter cela ?) Red Hat : rpm -y -a
• utiliser chattr afin de rendre non modifiables ("immutables") les binaires setuid et certains fichiers importants /etc/passwd, /etc/passwd, /etc/shadow, les bibliothèques partagées (fichier .so) ... Explication : certaines attaques mettent en oeuvre un binaire privilégié installé sur le système qui, à cause d'erreurs de programmation, permet dans certaines conditions d'écraser un fichier existant, par exemple afin de le remplacer par un code dangereux. Cela offre parfois au pirate un moyen de remplacer le contenu d'un binaire setuid existant par ce que bon lui semble. chattr permet d'interdire cela en rendant un fichier non modifiable. Exemple :

  ---

  find / -type f -perm -4000 | xargs -r chattr -V +i
  

  ---

  La commande présentée analyse tout le disque. Si cela semble inutile remplacer le / par les répertoire abritant des binaires, par exemple /bin /sbin /usr/sbin /usr/local/bin /usr/local/sbin /usr/local/etc /usr/X11R6/bin. Protégrer aussi les autres binaires critiques, par exemple ceux du serveur de news (souvent dans /usr/lib/news/bin). Inconvénient : il faut à nouveau utiliser chattr avant d'installer une mise à jour des programmes. Grâce à chattr (attribut 'A') les fichiers journaux (logs) pourront bientôt être déclarés de sorte que "seuls des ajouts y soient possibles" ("append-only").
• installer la dernière version officielle (attention aux « contribs ») stable de toute application stratégique (en particulier les outils système/réseau, ainsi que INN et sendmail)
• l'historique des lignes de commande de root abrite parfois des données intéressantes pour un cracker. Suggestion : cd ; rm .bash_history ; ln -s /dev/null .bash_history
• rechercher, par exemple grâce à FTPSearch, la plus récente version de l'utilitaire nommé « chkexploit ». L'utiliser.