Nouvelle check-list sécurité pour UNIX publiée par le CERT-CC et l'AusCERT
Date : 07 Juillet 2005
Le CERT-CC et l'AusCERT (Cert australien) ont publié conjointement ce mois-ci une nouvelle check-list de sécurité pour les plates-formes UNIX (cf. URL en fin d'article). Nous avons examiné celle-ci et vous en présentons les éléments les plus notables par rapport aux documents équivalents publiés jusqu'alors.
Cette check-list se veut universelle et cite de nombreuses variantes d'UNIX commerciaux (AIX, IRIX, HP-UX, Solaris, etc..) aussi bien que des Unix " gratuits " (type OpenBSD et Linux). Après une revue rapide, seul SCO (même pour les versions reprises par Caldera) nous semble absent. Il est clair cependant que la check-list ne couvre pas les spécificités de chaque OS (rien n'est dit par exemple sur " inetd.sec " de HP-UX ou sur " /etc/default " sur Solaris). Elle énonce donc des recommandations, sans donner le détail sur l'implémentation des règles pour chaque système d'exploitation.
On y retrouve bien sûr quelques domaines incontournables comme :
- la gestion des comptes (où PAM fait sont apparition),
- les droits et permissions des fichiers,
- la configuration des services réseau de base (par exemple " inetd.conf ").
On note surtout la forte présence des recommandations réseau (les premiers chapitres). Certains aspects nouveaux apparaissent ici, comme les recommandations :
- d'utiliser les fonctions de filtrage réseau (type Ipfilter, Iptable, Netscreen) au niveau serveur, en complément du filtrage fait en amont par les équipements réseau. Ces mesures sont en particulier proposées pour implémenter des protections locales contre les attaques DDOS (par exemple en refusant le broadcast IP et des adresses sources spoofées),
- d'utiliser des canaux chiffrés (par exemple via SSH) pour l'administration à distance,
- d'identifier les scans subis et de les signaler aux sites qui en sont à l'origine (qui sont souvent des machines déjà compromises).
L'aspect réseau est encore renforcé par une seconde partie qui examine la sécurisation des services principaux implémentés aujourd'hui par les serveurs UNIX :
- serveur DNS,
- serveur email,
- serveur Web,
- serveur FTP,
- serveur de fichiers.
Une dernière partie est consacrée aux spécificités des différents UNIX. Comme déjà mentionné, cette partie reste cependant succincte, et pour certains systèmes d'exploitation limitée à l'URL des pages sécurité du constructeur.
En annexe, on trouve enfin l'inévitable (et abondante) liste des outils permettant d'améliorer la sécurité des systèmes natifs. Là, de très anciens outils (Tiger, sudo, checkwtmp, etc…) côtoient des logiciels beaucoup plus récents (Nessus, Snort, Ethereal, etc…). On trouve aussi dans cette rubrique (et c'est plus étonnant) des produits commerciaux comme Tripwire ou ISS-RealSecure.
En résumé, cette nouvelle check-list est un document incontournable pour la sécurisation des systèmes UNIX. Elle pourra servir à définir les règles de sécurité applicables ou à contrôler l'exhaustivité des règles existantes.
Pour plus d'information :
"UNIX security checklist 2.0" http://www.cert.org/tech_tips/AUSCERT_checklist2.0.html