Linux

securiser sa debian

Bonjour,

Nous allons voir ici comment sécuriser une Debian (il existe plein de technique mais ici nous aborderons le minimum) :

Pour ne pas avoir 15 consoles de dispos et ce qui vous fera gagner un peu de mémoire :

et modifier les lignes suivantes:

Il faut bien évidement rebooter la machine pour que ce soit prit en compte.

sshd

Un des premiers reflexes à avoir avec SSH est de désactiver la connexion pour root. Cela se fait simplement, en modifiant /etc/ssh/sshd_config avec la ligne suivante suivante:

Si vous poussèdez plusieurs utilisateurs systèmes, mais pour des raisons obscures vous ne voulez pas qu’ils puissent se connecter via SSH, vous avez la possibilité via la directive AllowUsers de spécifier qui à le droit de se connecter en SSH. Il existe aussi la directive AllowGroups, pour appliquer cette restriction aux groupes d’utilisteurs.

Vous pouvez de plus spécifier l’host, sous la forme user@host. SSH vérifira donc la provenance, ce qui permet de rajouter une sécurité simplémentaire.

A noter qu’il existe les directives DenyUsers et DenyGroups, pour faire l’inverse.

Smurf Attack
Se protéger contre les Smurf Attack:

Ressources:

* http://www.cert.org/advisories/CA-1998-01.html
* http://en.wikipedia.org/wiki/Smurf attack
* http://www.networksorcery.com/enp/protocol/icmp/msg0.htm
* http://en.wikipedia.org/wiki/ICMP Echo Reply
* tips/denial of service.html
* http://en.wikipedia.org/wiki/Denial of service
Source routing
Eviter le source routing:

Ressources:

* http://www.iss.net/security center/advice/Underground/Hacking/Methods/Technical/Source Routing/default.htm

Syn Flood
Se protéger des attaques de type Syn Flood:

Ressources:

* http://www.cert.org/advisories/CA-1996-21.html
* http://www.iss.net/security center/advice/Exploits/TCP/SYN flood/default.htm
* Documentation du kernel: Documentation/networking/ip-sysctl.txt

Redirects
Désactivez l’autorisation des redirections ICMP:

Bad error messages
Éviterle log des paquets icmp erroné:

Log Martians
Active le logging des packets aux adresses sources falsifiées ou non routables:

Source :

 

Standard