Fedora-Fr

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Sécurisation optimale de l'accés root. Comment faire?

freebird

Tout un chacun doit savoir qu'un accés physique a une station réduit la qualité de sécurité a l'égard des données.

J'ai déja testé quelques routines avec des anciennes versions de Fedora ou Mandrake, pour ne pas donner
trop de détails (bien que ce ne soit pas un secret) , en passant par Grub (mode mono) , ou boot Knoppix, je n'ai plus
retesté ces possibilités sur les nouvelles versions, mais je vais devoir m'y affairer bientot, pour des raisons évidentes.

J'aimerai savoir si quelqu'un aurait une proposition de configuration la plus optimale possible, en vue de limiter
le plus de type d'intrusion possible (en gardant a l'esprit que la station doit rester utilisable ... on m'a déja annoncé "ote le lecteur disque...." , ote le bouton reset ...restons
censé svp).

J'espères que ce post aboutira et me permettra de limiter mes
recherches a venir.

a bientot.

Temet

Hum, je me rappelle des tours cadenacées avec un accès au bios protégé... tu t'affranchis des "problèmes" dus aux live cd.
Pour le reste, je laisse la place aux connaisseurs.

herrib

J'aimerai savoir si quelqu'un aurait une proposition de configuration la plus optimale possible, en vue de limiter
le plus de type d'intrusion possible (en gardant a l'esprit que la station doit rester utilisable ... on m'a déja annoncé "ote le lecteur disque...." , ote le bouton reset ...restons
censé svp).

Quelle est la destination de la station? La réponse commande directement les solutions à mettre en oeuvre.

Station réseau: supprimer les lecteurs de disque/disquette, périphériques de stockage et mettre en place un boot réseau.

Station de travail: introduire un mot de passe BIOS, crypter le disque (en sorte qu'un accès vis un CD live ne rendra rien ...), protéger le chargeur (mot de passe pour Grub mais on peut contourner ...) etc ...

La question est peut-être un peu générale n'est-elle pas?

remi

Il est impossible de bloquer quelqu'un qui a accès au hard, cependant il est possible d'améliorer un peu les choses :

BIOS :
- désactiver le démarrage sur autre chose que le HD
- désactiver l'USB
- protégé pau un mote de passe la config

BOITIER :
- fermer à clé (c'est si simple de faire une RAZ du BIOS)

GRUB :
- le protéger par mot de passe (cf grub-md5-crypt)

Voila, quelques pistes.

A+

freebird

Oui je n'ai pas donné beaucoup de détails sur la configuration des stations il est vrai.

A savoir que l'accés physique aux serveurs sera quasi-impossible.
En revanche les stations utilisateurs devront être le plus protégées possibles, tout en préservant la capacité pratique
d'un pc traditionnel, familial, a savoir utilisation de périphériques divers (usb, parallele, série, cdrom, dvdrom,lecteur zip, et floppy).

C'est pourquoi l'option de cryptage pour limiter l'effet d'un CD live comme le disait herrib, me parait être une idée trés intérréssante.

Maintenant il me faut résoudre un problème majeur qui est le contournement de GRUB. Un mot de passe limiterait le champs d'action mais j'aimerait trouver une protection supplémentaire.

Pour être franc, il faudrait même que moi, Administrateur, je ne puisse être capable de prendre l'accés root si j'en oubliai le mot de passe. C'est un peu l'objectif à atteindre.

Peut on rendre actif l'affichage de grub par une combinaison
de touches autre que "appuyer sur Enter pour accéder au chargeur" ? Cela pourrait constituer un bon point de départ.

Je limite l'accés au chargeur donc, je limite l'édition,et par la même occasion l'accés mono-utilisateur.

Je prends bonnes notes de toutes vos remarques, la moindre petite idée peut déboucher sur une solution, j'en suis convaincu.

Merci de votre participation, passée et future je l'espères.

A bientot.

celmir

je suggère

* désactivation de tous les périphériques bootables dans le bios sauf le idsuqe dur et mot de passe pour la modification du bios (même si on peut facilement passer outre).
* on verrouille ou on enleve le lecteur de disquette et le lecteur de cederom. On verouille le boitier.

* un mot de passe pour grub

* désactivation du mode interactif au démarrage.
(mettre no pour la variable prompt dans /etc/sysconfig/init)

* désactivation du mode 'single user'
on ajoute dans /etc/inittab sous la ligne "id:3:initdefault:" ou "id:5:initdefault:" (je ne sais plus)
~~:S:wait:/sbin/sulogin
on met en commentaire la ligne suivante
ca::ctrlaltdel:/sbin/shutdown -t3 -r now

freebird

J'ai imprimé la réponse, et vais mettre en application ces méthodes sur un poste de travail "test".

Ensuite je vais mettre la machine a l'épreuve, avec l'aide d'une tierce personne qui ne connaitra pas les moyens mis en
oeuvre, mais dont la faculté a les trouver n'est plus a mettre en doute 🙂

[color=000099]1)[/color]Pour l'instant les données ne sont pas cryptées

[color=000099]2)[/color] Seul le disque dur est pris en compte lors du boot

[color=000099]3)[/color] Bios protégée par mot de passe

[color=000099]4)[/color] Grub est protégé par un mot de passe

[color=000099]5)[/color] Le mode interactif est désactivé au démarrage avec " no pour la variable prompt dans /etc/sysconfig/init "

[color=000099]6)[/color] Désactivation du mode single-user

Voici un condensé de toutes vos participations, je garde le cryptage du disque pour plus tard, si vraiment cela s'averait nécéssaire.

Je vous ferai un petit retour d'expérience dés que possible.

Merci pour votre aide.

herrib

[color=000099]2)[/color] Seul le disque dur est pris en compte lors du boot
[color=000099]3)[/color] Bios protégée par mot de passe

On forcer
[color=000099]4)[/color] Grub est protégé par un mot de passe

[color=000099]5)[/color] Le mode interactif est désactivé au démarrage avec " no pour la variable prompt dans /etc/sysconfig/init "

[color=000099]6)[/color] Désactivation du mode single-user

Voici un condensé de toutes vos participations, je garde le cryptage du disque pour plus tard, si vraiment cela s'averait nécéssaire.

Je vous ferai un petit retour d'expérience dés que possible.

Merci pour votre aide.[/quote]

herrib

[color=000099]1)[/color]Pour l'instant les données ne sont pas cryptées
[color=000099]2)[/color] Seul le disque dur est pris en compte lors du boot
[color=000099]3)[/color] Bios protégée par mot de passe

On forcera donc le boot par le DD. Il faut supprimer les autres possibilités de boot notamment depuis un CD qui permettrait d'activer le mode rescue par exemple.

[color=000099]4)[/color] Grub est protégé par un mot de passe

Plusieurs niveaux sont possibles (voir le tutorial Grub). Il s'agit surtout d'interdire la modification des modalités de lancement de Grub, notamment en passant en mode interactif.

[color=000099]5)[/color] Le mode interactif est désactivé au démarrage avec " no pour la variable prompt dans /etc/sysconfig/init "

Quel intérêt? interdire le lancement de certains services à l'initialisation? notamment le firewall. Mais si l'intrusion est physiquement possible, quel en serait l'intérêt? Cela n'exclut pas cette démarche mais sa finalité m'échappe ...

[color=000099]6)[/color] Désactivation du mode single-user

Hummm. Le runlevel 1 peut être effectivement inhibé.

Pour être complet, il faudrait aussi chrooter l'environnement utilisateur.

celmir

l'intérêt de désactiver le mode interactif : dans ce mode on peut désactiver certains services comme syslogd et après éventuellment exécuter des opérations illégales sans qu'elles soient logguées.
j'y pense il faudrait aussi désactiver l'accès console via les ttys

freebird

le pc est entre les mains de mon béta-testeur ( 🙂 ) je vous en dirai plus dans quelques temps.