rev |
line source |
slaxemulator@4
|
1 ====== SliTaz et la sécurité du système ======
|
slaxemulator@4
|
2
|
slaxemulator@4
|
3 ===== Politique de sécurité =====
|
slaxemulator@4
|
4
|
slaxemulator@4
|
5 SliTaz porte une grande attention à la sécurité du système. Les applications sont testées de nombreux mois avant d'être incluses dans la distribution. Lors du démarrage, un minimum de services sont lancés par les scripts rc. Pour avoir une liste des démons lancés au démarrage il faut regarder la variable RUN_DAEMONS du fichier de configuration /etc/rcS.conf.
|
slaxemulator@4
|
6
|
slaxemulator@4
|
7 <code> $ cat /etc/rcS.conf | grep RUN_DAEMONS </code>
|
slaxemulator@4
|
8
|
slaxemulator@67
|
9 Pour connaître les processus actifs, leur PID et leurs ressources mémoire, vous pouvez utiliser la commande 'ps' pour lister les processus en cours ou lancer l'utilitaire LXTask :
|
slaxemulator@4
|
10
|
slaxemulator@4
|
11 <code>
|
slaxemulator@4
|
12 $ ps
|
slaxemulator@4
|
13 $ lxtask
|
slaxemulator@4
|
14 </code>
|
slaxemulator@4
|
15
|
slaxemulator@4
|
16 ===== Root - L'administrateur système =====
|
slaxemulator@4
|
17
|
slaxemulator@67
|
18 Root vient de l'anglais racine. Sur un système GNU/Linux l'utilisateur //root// est l'administrateur système, il a tous les droits sur les fichiers du système et ceux de tous les utilisateurs. Il est conseillé de ne jamais se loguer en tant que //root// et d'utiliser la commande //su// suivie du mot de passe de l'utilisateur //root// pour obtenir les droits absolus. Ne pas se loguer en root et surfer sur internet par exemple, permet d'avoir une double barrière en cas d'attaque ou d'intrusion suite à un téléchargement. C'est-à-dire qu'un //cracker// tentant de prendre le contrôle de votre machine devra d'abord craquer votre mot de passe pour ensuite tenter de craquer celui de l'administrateur //root//.
|
slaxemulator@4
|
19
|
slaxemulator@51
|
20 Un système GNU/Linux sécurisé a donc au minimum 2 utilisateurs, un pour travailler et //root// pour administrer, configurer ou mettre à jour le système. Il est aussi conseillé de confier l'administration du système à une personne en particulier.
|
slaxemulator@4
|
21
|
slaxemulator@51
|
22 ===== Mots de passe =====
|
slaxemulator@4
|
23
|
slaxemulator@51
|
24 Par défaut l'utilisateur tux n'a pas de mot de passe et l'administrateur système (//root//) a pour mot de passe : //root//. Vous pouvez facilement changer cela avec la commande //passwd// :
|
slaxemulator@4
|
25
|
slaxemulator@4
|
26 <code>
|
slaxemulator@4
|
27 $ passwd
|
slaxemulator@4
|
28 # passwd
|
slaxemulator@4
|
29 </code>
|
slaxemulator@4
|
30
|
slaxemulator@4
|
31 ===== Busybox =====
|
slaxemulator@4
|
32
|
slaxemulator@67
|
33 Le fichier //busybox.conf// configure les //applets// et leurs droits respectifs. Sur le LiveCD de SliTaz les commandes //su//, //passwd//, //loadkmap//, //mount//, //reboot// et //halt//, peuvent être lancées par tous les utilisateurs. Le propriétaire et le groupe des commandes est root (//* = ssx root.root//). Le fichier ///etc/busybox.conf// n'est lisible que par //root// : il a les droits 600. À noter que la commande //passwd// ne fonctionne pas bien si elle n'est pas ssx, les utilisateurs du système ne pouvant pas changer leur propre mot de passe.
|
slaxemulator@4
|
34
|
slaxemulator@4
|
35 ===== Serveur SSH =====
|
slaxemulator@4
|
36
|
slaxemulator@51
|
37 Ce petit texte au sujet de la sécurité est un complément à la page titrée [[fr:handbook:ssh|SHell sécurisé (SSH)]]. Sur SliTaz, le serveur SSH Dropbear n'est pas lancé par défaut, il faut l'ajouter à la variable //RUN_DAEMON// du fichier de configuration ///etc/rcS.conf// pour qu'il se lance à chaque démarrage du système. Ou lancer le serveur manuellement :
|
slaxemulator@4
|
38
|
slaxemulator@4
|
39 <code> # /etc/init.d/dropbear start </code>
|
slaxemulator@4
|
40
|
slaxemulator@51
|
41 Par défaut dropbear est lancé avec les options :
|
slaxemulator@4
|
42
|
slaxemulator@51
|
43 <file>
|
slaxemulator@4
|
44 -w Disallow root logins.
|
slaxemulator@4
|
45 -g Disallow logins for root password.
|
slaxemulator@51
|
46 </file>
|
slaxemulator@4
|
47
|
slaxemulator@51
|
48 Vous pouvez ajouter de nouvelles options en éditant le fichier de configuration des démons : ///etc/daemons.conf//. Pour connaître toutes les options possibles, vous pouvez taper : //dropbear -h//.
|
slaxemulator@4
|
49
|
slaxemulator@4
|
50 ===== Pscan - Scanneur de ports =====
|
slaxemulator@4
|
51
|
slaxemulator@67
|
52 Pscan est un petit utilitaire du projet Busybox qui scanne les ports de votre machine. Vous pouvez utiliser //pscan// pour scanner l'hôte local ou un hôte à distance en utilisant le nom ou l'adresse IP de la machine. Pscan teste tous les ports entre 1 et 1024 par défaut et liste ceux qui sont ouverts, leur protocole et périphérique associé (ex.: ssh, www, etc):
|
slaxemulator@4
|
53
|
slaxemulator@51
|
54 <code> $ pscan localhost </code> |