Page suivante Page précédente Table des matières
10. Sécurité
10.1 X Window : le fichier .Xauthority
Le fichier
.Xauthority
est généré par le programmexauth
. Il s'agit d'un système d'authentification pour les applications graphiques. Cela permet d'éviter que d'autres personnes envoient des images, des fenêtres sur votre écran - mais également que des personnes puissent "voir" ce qu'il y a sur votre écran.Le principe est de donner une clef d'identification, en hexadécimal avec un nombre pair de caractères.
Lancer
xauth
et faire :add MaMachine:0 MIT-MAGIC-COOKIE-1 MonCode add MaMachine/unix:0 MIT-MAGIC-COOKIE-1 MonCodePour la machine locale, c'est en fait "
hostname:NoDisplay
".Un fois lancé, le serveur X interdit toute connexion, sauf si l'application :
- est exécutée sur une machine référencée ;
- possède le code.
Vous pouvez désactiver le système pour certaines machines avec un
xhost +toto
par exemple.Rq: certaines versions obligent à lancer le serveur X avec la commande
xinit -- -auth $HOME/.Xauthority.
10.2 X Window : contrôle de la session
Seul
xdm
assure un contrôle de session X Window correct. La directiveDontZap
, placée dans la sectionServerFlags
du fichier de configuration de XFree86 limite aussi les possibilités de gourance.Si vous n'employez pas xdm : afin d'interdire aux malintentionnés d'utiliser les touches de "basculement" des consoles virtuelles (Alt-F1, Alt-F2 ...) il suffit de placer dans /etc/profile une ligne :
alias x='(startx >/dev/null &);clear;logout'Puis d'invoquerx
en lieu et place destartx
.
10.3 Problèmes de sécurité
La distribution Slackware contient certaines failles. Vous pouvez en consulter la liste à l'adresse suivante : http://bach.cis.temple.edu/pub/linux/linux-security/.
Linux est d'une manière générale très solide car toute faille, sitôt découverte, est immédiatement référencée et corrigée... C'est l'avantage des sources publiques. Toutefois, certaines failles importantes existent dans les distributions et il est important de les corriger. Un document WEB propose une liste des problèmes :
http://bach.cis.temple.edu/pub/linux/linux-security/Linux-Security-FAQ/
10.4 Protection de la machine contre l'extérieur
Une solution pour éviter les connexions externes est d'utiliser TCP/Wrappers. Il est très fortement conseillé de le recompiler !
L'installation est assez intuitive. En bref, il vous suffit d'indiquer le nom des machines autorisées dans le fichier
/etc/hosts.allow
et les machines interdites dans/etc/hosts.deny
. On peut permettre l'envoi de courrier lorsqu'une machine tente de se connecter alors qu'elle est interdite en mettant par exemple dans le fichier/etc/hosts.deny
:wu.ftpd: ALL: twist = /usr/sbin/real-daemon-dir/safe_finger -l @%h | /bin/mail -s %d-%h root(Sur une seule ligne :-)).Si vous voulez plus de détails, lisez le document suivant : ftp://ftp.win.tue.nl:/pub/security/tcp_wrapper.ps.Z.
10.5 Quelques pointeurs
En France, le serveur
ftp.urec.fr
contient de nombreux utilitaires relatifs à la sécurité informatique.Deux listes de diffusion internationales sont consacrées à la diffusion d'informations liées à des problèmes de sécurité sous Linux :
linux-security@tarsier.cv.nrao.edu
etlinux-alert@tarsier.cv.nrao.edu
10.6 Virus
Par définition, un système Unix n'a pas la même sensibilité aux virus qu'une machine sous MS-DOS. La seule chose qui puisse exister, ce sont des chevaux de Troie (modulo quelques autres cochonneries).
Il s'avère qu'un de ces engins est apparu : bliss. Pour voir si vous êtes touchés :
- verifiez l'existence d'un fichier
/tmp/.bliss
;- la liste des exécutables contaminés se trouve dans ce fichier et ils peuvent être récupérés en leur passant comme argument
--bliss-uninfect-files-please
.Un dernier conseil : lorsque vous le pouvez, recompilez les programmes que vous installez, et récupérez-les sur des sites sûrs (miroirs officiels). De cette manière, vous réduisez les risques.
10.7 Cops/Crack
Ces deux outils peuvent être trouvés sur le site ftp://ftp.lip6.fr/pub/unix/security et particulièrement utiles si votre machine est directement connecté à Internet. N'hésitez pas à vous en servir.
Page suivante Page précédente Table des matières