Soulfly_tribe90 Posted November 1, 2004 Alors voila j'ai un projet a faire au cour de mon année... Mon sujet est le suivant : - on est deux, chacun doit faire un serveur linux (qui tourne bien sur Debian)... - le but c'est de le sécurisé au maximum et bien sur d'expliquer pourquoi on a fait telle chose etc... - deuxiement il faut attaquer le serveur de l'autre pour voir si il la bien sécurisé... En gros cela revient a apprendre et a comprendre comment sécurisé et donc savoir attaquer pour mieux se securisé... J'ai deja regardé a droite a gauche pour me faire une petite idée de se que je devrait faire... Je voulais savoir si certaines personnes avaient des astuces, des sites internets ou bien des ouvrages a me donner ou a me conseiller. Sinon je voulais aussi savoir si il y avait des gens qui sont interessé et qui sont calé sur le sujet qui si au cas j'ai des problemes de comprehension ou bien des questions pourraient m'aider Voila merci d'avance Share this post Link to post Share on other sites
gauret Posted November 1, 2004 Tu peux commencer à jeter un coup d'oeil du côté de Nessus... Share this post Link to post Share on other sites
Minimalist Posted November 1, 2004 Tu peux regarder du coté de SeLinux, c'est un projet démarré par la NSA. Y'a aussi le principe de chrooter chaque service, pour minimiser les dégats en cas d'intrusion. Faut que vous fassiez tourner quels services sur votre service ? Si c'est pas précisé, t'en lance pas, t'es sûr d'avoir un minimum de failles au moins ça me rapelle un truc que devaient faire des potes en IUT. (Tu ne serais pas, vu ton pseudo, en GTR à Montbéliard, par hasard ?) Share this post Link to post Share on other sites
Soulfly_tribe90 Posted November 1, 2004 Merci deja pour ces ptits indices... Et sinon je vois pas de quoi tu parles Minimalist :lol: Non tu as raison je suis bien a l'iut de montbeliard en GTR ;-) Comment tu sais ca ??? lol Share this post Link to post Share on other sites
Minimalist Posted November 1, 2004 J'ai fais SRC y'a 3 ans, et j'avais des potes en GTR, qui m'ont parlé de ce projet. Je vois qu'ils ont pas vraiment changé le programme Share this post Link to post Share on other sites
Soulfly_tribe90 Posted November 1, 2004 En faite les sujets changent mais il y a un prof qui donne celui la de sur chaque année, et donc je l'ai pris parce que ca peut etre interessant Share this post Link to post Share on other sites
tuXXX Posted November 1, 2004 Ouais, selinux... Compilé avec "-fstack-protector" et "-fstack-protector-all" et avec le noyau qui va bien... Et en plus, lancer les serveurs avec un utilisateur qui a accès que aux trucs nécessaires pour le faire tourner... (et avec un shell du type /dev/null (ou équivalent, je sais plus trop...)) Evidemment iptables pour tout bloquer... et ça, à mon avis, c'est très très difficile à casser... ->les failles de buffer overflow (qui représentent un bon nombre des failles systèmes) sont toutes annulées ->si le gars arrive quand même à rentrer et à changer le mdp (ce qui est très improbable), il ne pourra rien faire (quasiment) Au fait, c'est quoi, comme serveur qu'il faut faire? apache? mysql? les 2? autre chose? PS : le projet gentoo "hardened" est prévu pour la stabilité et est dispo en version "selinux" (et ça contient aussi dès le début le -fstack-protector)... Il y a aussi une autre distrib (je sais plus le nom) qui s'était spécialisée dans le lancement des serveurs avec chacun leur utilisateur... Share this post Link to post Share on other sites
theocrite Posted November 2, 2004 Regarde ces paquets là : Harden Debian Notament Harden et Harden-Doc Share this post Link to post Share on other sites
gauret Posted November 2, 2004 Ouais enfin si tu ouvres aucun service et que tu droppes tous les paquets, et si avec ça le mec arrive encore à rentrer, il peut demander un entretien à la NSA je crois. A mon avis tu dois quand même offrir des services, sinon c'est impossible. Share this post Link to post Share on other sites
tuXXX Posted November 2, 2004 Ouais enfin si tu ouvres aucun service et que tu droppes tous les paquets, et si avec ça le mec arrive encore à rentrer, il peut demander un entretien à la NSA je crois.A mon avis tu dois quand même offrir des services, sinon c'est impossible. Ben ouais, je crois aussi... c'est pour ça que j'ai demandé Share this post Link to post Share on other sites
Soulfly_tribe90 Posted November 2, 2004 Merci pour vos reponses... En faite je n'ai pas encore le sujet complet, je devrais bientot l'avoir... Pour l'instant je sais juste que c'est un serveur sous debian voila... Des que j'ai plus de precision je viendrais vous endire plus Share this post Link to post Share on other sites
tuXXX Posted November 2, 2004 Merci pour vos reponses...En faite je n'ai pas encore le sujet complet, je devrais bientot l'avoir... Pour l'instant je sais juste que c'est un serveur sous debian voila... Des que j'ai plus de precision je viendrais vous endire plus debian obligé? dommage... Share this post Link to post Share on other sites
Soulfly_tribe90 Posted November 2, 2004 debian obligé?dommage... Ben a l'iut on utilise que cette distrib donc c'est pour ca mais je peux demander si c'est obliger d'utiliser Debian... Meme si j'ai franchement envie d'utiliser Debian Share this post Link to post Share on other sites
tuXXX Posted November 2, 2004 Ben si vous utilisez debian, y'a pas beaucoup de questions à se poser... Share this post Link to post Share on other sites
Damien Duff Posted November 5, 2004 Sinon tu peux utiliser la distribution linux sécurisé qui s'appel OpenBSD Ok je sors ===> [ ] Share this post Link to post Share on other sites
darth_tux Posted November 6, 2004 je pense sinon a la fonction no execute sur les amd64 et p4j sa peut est utile mais la il faut du hardware adapté aussi un detecteur d'intrusion voila des pistes a exploité Share this post Link to post Share on other sites
ouragan Posted November 8, 2004 sinon coté logiciels, bienentendu, nmap, ethereal, traceroute, netstat, avec les logs qui vont bien ( pour la partie attaque et logs ). Share this post Link to post Share on other sites
Soulfly_tribe90 Posted November 16, 2004 Alors voila la suite de mon post --> le sujet un peu plus precis... Il faut que je fasse un serveur qui loue de l'espace web a des clients pour qu'ils mettent en ligne leurs sites internet... Donc pour cela il faut que je mette certain service comme http, ftp, sql, php, ssh... Donc en gros c'est un serveur herbergeur voila!!! Donc si quelqu'un a des choses a rajouter sur comment bien sécurisé tout ca ben qu'il me fasse signe Merci a ceux qui repondrons Share this post Link to post Share on other sites
lorinc Posted November 16, 2004 aïe, ftp pour la secu, c'est vraiment pas top (et pourquoi pas un telnet pendant qu'on y est ) le mieux serait de ne pas offrir de ftp mais plutôt du sftp à la place. En résumé, tu n'ouvre que les ports 22 (ssh) et 80 (http), tout le reste doit être droppé. Share this post Link to post Share on other sites
theocrite Posted November 16, 2004 Et le port pour le https (443) Share this post Link to post Share on other sites
gauret Posted November 16, 2004 un bon conseil : fais une partition séparée pour tous les endoits où tes users auront le droit d'écrire, et monte-là en noexec. Comme ça, pas d'exécution de rootkits dessus. Je pense notamment à /home et /tmp. Fais bien gaffe que les users aient pas de droit d'écrire ailleurs, find à des options pour trouver les fichiers et les répertoires qui sont en o+w. Jette un coup d'oeil à Bastille Linux de près, ça va vachement t'aider. Share this post Link to post Share on other sites
lorinc Posted November 16, 2004 +1 pour bastille (qui m'évite de me prendre la tête avec des heures de conf et des heures de tatonnement - tres pédagogique) renseigne toi sur les services en environement chrooté (jail). même si c'est un peu la bombe atomique. j'ajouterais aussi que le projet est un peu stupide si tu n'as pas le droit de verifier la secu de ton serveur et d'étudier des solutions à la volé. C'est vrai, on ne monte pas un serveur sécurisé pour le laisser dans un coin après, il faut pouvoir garder un oeil dessus et envissager des solutions... Share this post Link to post Share on other sites
tuxbubling Posted November 17, 2004 Moi je dirais libsafe pour eviter les overflow, et dans le kernel options de sécurité: Selinux + net hooks + linux default capablities + BSD security level BSD security level a mettre en module (Attention c la bombe H ca, meme le root a plus le droit de rien faire ) Plus une gestion de tes services et un iptables....Ben si on te fait quelque chose sur ton srv , faut embaucher le gars comme expert en sécurité Share this post Link to post Share on other sites
Soulfly_tribe90 Posted November 17, 2004 Merci pour toutes ces reponses je vais etudier tous ca de pres Je vais me documenter et je vais essayer les solutions apportées dans vos post... Merci encore tout le monde Share this post Link to post Share on other sites
gauret Posted November 17, 2004 Oui, si tu te sens l'âme d'un héros, installes SELinux, mais attention il faut bien maîtriser la bête. N'oublions pas, Mieux vaut un serveur dont tu connais tous les composants sur le bout des doigts qu'un serveurs avec les dernières fonctionnalités de sécurité mais mal configuré. Share this post Link to post Share on other sites
