Le but de ce document est de fournir quelques astuces pour sécuriser sa Débian.

Moins il y a de services qui fonctionnent, mois la machine est sensible aux attaques, et évidement, plus elle est performante. Vous ne gagnerez pas beaucoup en désactivant quelques services non utilisé, mais c’est toujours ca de gagné. Le fait d’avoir une installation propre rend l’administration plus agréable et plus efficace

Commencons déja par mettre à jours notre distribution. Pour plus de sécurité, si vous êtes vraiment très frileux, restez en “stable”, sinon vous pouvez passer sans trop de crainte en “unstable” afin d’avoir des mises à jours des packages plus régulieres pour vos applications.

# vi  /etc/apt/sources.list
deb http://debian-mirror.dedibox.fr/debian/ unstable main
deb-src http://debian-mirror.dedibox.fr/debian/ unstable main

deb http://security.debian.org/ stable/updates main

Nous gardons ici les mirroirs dédibox, pour bénéficier de la bonne bande passante Penser a executer # apt-get update si vous modifier le fichier: /etc/apt/sources.list

Pensez à ne jamais dire “oui/yes” lorsqu’on vous propose de passer un applicatif en suid.

Continuons par supprimer les services/packages non nécessaire:

# apt-get remove ppp
# apt-get remove portmap
# update-rc.d -f inetd remove
# update-rc.d -f ppp remove
# update-rc.d -f atd remove

Vous remarquerez que je n’utilise pas atd … cela n’engage que moi

Notons que la plupart des services fonctionnent de nos jours en standalone, donc sauf cas particulier de controle au niveau des connexions (que vous pouvez faire par exemple avec iptables la plupart du temps) inetd n’est pour moi plus nécessaire. On va tout de même le laisser installer, de toute manière il installera un autre super demon si on tente de le supprimer.

Petite touche personnelle, qui n’apporte rien à la sécurité, mais étant donné que c’est un dédié en location, rien ne sert d’avoir 25 consoles de disponibles, donc:

# vi /etc/inittab

et modifier les lignes suivantes:

1:2345:respawn:/sbin/getty 38400 tty1
#2:23:respawn:/sbin/getty 38400 tty2
#3:23:respawn:/sbin/getty 38400 tty3
#4:23:respawn:/sbin/getty 38400 tty4
#5:23:respawn:/sbin/getty 38400 tty5
#6:23:respawn:/sbin/getty 38400 tty6

Vous gagnerez un peu de mémoire, c’est toujours ca de fait.

Il faut bien évidement rebooter la machine pour que ce soit prit en compte.

Un des premiers reflexes à avoir avec SSH est de désactiver la connexion pour root. Cela se fait simplement, en modifiant /etc/ssh/sshd_config avec la ligne suivante suivante:

PermitRootLogin no

Si vous poussèdez plusieurs utilisateurs systèmes, mais pour des raisons obscures vous ne voulez pas qu’ils puissent se connecter via SSH, vous avez la possibilité via la directive AllowUsers de spécifier qui à le droit de se connecter en SSH. Il existe aussi la directive AllowGroups, pour appliquer cette restriction aux groupes d’utilisteurs.

AllowUsers toto

Vous pouvez de plus spécifier l’host, sous la forme user@host. SSH vérifira donc la provenance, ce qui permet de rajouter une sécurité simplémentaire.

A noter qu’il existe les directives DenyUsers et DenyGroups, pour faire l’inverse.

Je ne rentrerais pas dans les détails, ce n’est pas le but, mais voici quelques modifications que vous pouvez apporter à votre machine pour la sécuriser et la rendre plus stable.

Il existe bien d’autres valeurs à modifier/changer pour tweaker son systeme, cela n’est qu’un échantillon de ce qu’il est possible de faire avec sysctl.

Se protéger contre les Smurf Attack:

# echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

Ressources:

• http://www.cert.org/advisories/CA-1998-01.html
• http://en.wikipedia.org/wiki/Smurf attack
• http://www.networksorcery.com/enp/protocol/icmp/msg0.htm
• http://en.wikipedia.org/wiki/ICMP Echo Reply
• http://www.cert.org/tech tips/denial of service.html
• http://en.wikipedia.org/wiki/Denial of service

Eviter le source routing:

# echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route

Ressources:

• http://www.iss.net/security center/advice/Underground/Hacking/Methods/Technical/Source Routing/default.htm

Se protéger des attaques de type Syn Flood:

# echo "1" > /proc/sys/net/ipv4/tcp_syncookies
# echo "1024" > /proc/sys/net/ipv4/tcp_max_syn_backlog
# echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

Ressources:

• http://www.cert.org/advisories/CA-1996-21.html
• http://www.iss.net/security center/advice/Exploits/TCP/SYN flood/default.htm
• Documentation du kernel: Documentation/networking/ip-sysctl.txt

Désactivez l’autorisation des redirections ICMP:

# echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
# echo "0" > /proc/sys/net/ipv4/conf/all/secure_redirects

Eviter le log des paquets icmp erroné:

# echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

Active le logging des packets aux adresses sources falficiées ou non routable:

# echo "1" > /proc/sys/net/ipv4/conf/all/log_martians