| Chapitre
I.- Première partie : à faire sur chaque poste
V. Sécuriser /etc/passwd
1.
Les shadow password
Il
faut mettre en place les shadow password, comme ça tous les
mots de passe seront contenus dans un fichier distinct de
/etc/passwd, ce fichier /etc/shadow est
en lecture seule pour root (droit 400 proprio root). La plupart
du temps les shadow password sont installés par defaut.
pwconv
: permet d'activer les shadows password, ils sont activé
par défaut sur tous les nouveaux systèmes Linux.
Dans
le champ password de /etc/passwd (le deuxième) vous devriez
trouver un x, un fichier /etc/shadow a été créé
contenant les mots de passe crypté.
2.
comptes systèmes inutiles
Il
faut supprimer tous les comptes systèmes inutiles, car ce
sont autant de portes d'entrée pour les hackers.
| Comptes systèmes nécessaires |
|
root, bin, daemon, adm, |
|
|
lp |
si vous avez un système d'impression |
|
mail |
si serveur mail |
|
news |
si serveur de news |
|
uucp |
si on utilise UUCP |
|
nobody |
|
| Ceux-ci sont facultatifs: |
|
games,
gopher, halt, sync, shutdown, operator, demo, guest, visitor,
tutor |
|
|
ftp |
si serveur FTP anonyme |
|
lists, xfs |
|
3.
Mot de passe
Un
"bon" mot de passe a au moins 6 caractères, mélange
minuscules et majuscules, chiffres et caractères spéciaux.
Il ne doit pas être facilement déductible d'un dictionnaire.
Un truc mnémotechnique est de prendre une phrase que l'on
connaît bien et de prendre par exemple la première
lettre de chaque mot.
Changer
les mots de passe régulièrement (mots de passe difficiles).
Vérifier que les comptes anonymes (sys, uucp, bin, adm, lp,
...) ont "*" comme mot de passe.
La commande
suivante liste les fichiers qui appartiennent à personne
(en fait les fichiers dont l'UID du propriétaire n'est plus
dans /etc/passwd).
find / -nouser -o -nogroup –print (Linux
et Silicon Graphics)
Précédent
- Plan - Suivant
|
