JoVal - Sécurité Linux

Accueil


	Unix - Linux



	Processus linux Commandes linux Debian Sécuriser un poste linux Conseils aux users


	Windows



	Processus Windows Commandes Windows


	Réseau



	Le réseau Adm des commutateurs HP Les ports


	- Sécurité Unix - Linux -11 -

Chapitre II. Deuxième partie : vérifications à faire régulièrement

I. Mise à jour

Surveiller régulièrement la parution des patchs corrigeant les trous de sécurité.

II. Vérifier les fichiers de log

Historique des logins (et des su) de root. Ces traces sont stockées dans des fichiers tels que messages* ou sulog ou loginlog sous /usr/adm ou /var/adm. Vous pouvez ajouter l'affichage du contenu de ces fichiers dans votre .login (ou l'equivalent).

	Fichier de log à éditer
Silicon Graphics	/var/adm/SYSLOG	last –f /var/adm/wtmp	last –f /var/adm/wtmpx (log remote host)
Linux	less /var/log/messages less /var/log/secure (RedHat) less /var/log/daemon.log (Debian)	last –f /var/log/wtmp (log et logout des utilisateurs)	last –f /var/log/wtmpx (log remote host)
HP	/var/adm/syslog/syslog.log	last (log et logout des utilisateurs, fichier /var/adm/wtmp)	lastb (bad login, fichier /var/adm/btmp)
Digital	/usr/var/adm/messages /usr/var/adm/syslog.dated/…	last (log et logout des utilisateurs, fichier /var/adm/wtmp)

last|more : liste des derniers logins

(Ce n'est pas fiable à 100%, car les intrus éditent des fichiers d'"accounting" afin de cacher leur activité.)

III. Contrôle régulier des fichiers sensibles

Vérifier les protections et appartenance des fichiers "/" et "/etc"

Contrôle de la date de certains fichiers
ls -l /etc/passwd /etc/group contrôle de la date de dernière modification de fichiers sensibles

Rechercher dans le système des fichiers ayant un setiud. Les pirates laissent souvent des copies de /bin/sh

Commande unix : find / -user root -perm -4000 -print

Tester les binaires du système pour voir s'ils ont été modifiés (login, su, telnet, netstat, ifconfig, ls, find, du, sync, et autres fichiers visés par inetd.conf

Examiner tous les fichiers lancés par cron et at

Sous /dev, l'accès au directory doit être 755. Le super utilisateur "root" doit être le propriétaire de tous les fichiers, exceptes les fichiers relatifs aux terminaux actuellement login.

Vérifiez que le directory /lost+found possède l'accès 700.

Vérifiez que l'exécutable chroot (sous /usr/bin ou /usr/etc) possède l'accès 700

Vérifier que les fichiers .profile, .cshrc, .login ... sous la racine ne sont pas accessibles en écriture a tous.

Vérifier qu'il n'y a pas de fichier étrange dont le nom commence par un "." sous /tmp et /usr/tmp.

Vérifier que les fichiers lancés par cron pour root ne présentent aucune anomalie (dans /usr/var/spool/cron/crontabs/root ou ...)

Vérifier qu’il n'y a pas pléthore de fichiers avec l'accès w à "other" dans l'ensemble de votre système, avec la commande : find / -type f -perm -2 -exec ls -al {} \; (le point virgule fait parti de la commande)

Précédent - Plan - Suivant


	Accès Privé



	identifiant : mot de passe :


	Administration



	gestion tables

Calendrier

<< Juin 2025 >>

Lun Mar Mer Jeu Ven Sam Dim

26 27 28 29 30 31 01
02 03 04 05 06 07 08
09 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 01 02 03 04 05 06

Mise à jour :

9/11/03 nous contacter