Mandriva




msec : un outil à connaître

MsecunOutilAConnaitre/draksec.png

MandrivaLinux est bien connu pour être une distribution grand public. Pour réagir face à ceux qui pensent que "grand public" equivaut à "non-sécurisé", Mandriva a introduit msec.

Pourquoi msec ?

comment.png

Le but de cet outil est clair : ne pas gêner les utilisateurs qui préfèrent un système moins sécurisé mais plus simple d'utilisation et satisfaire les autres en leur permettant d'agir sur plusieurs paramètres de sécurité et de contrôler qu'ils n'ont pas été changés.

En combinant msec, urpmi, drakfirewall et mandi (dans la 2006), il est possible d'avoir ce qui se fait de mieux actuellement en matière de sécurité automatisée sous linux. Par automatisée, je veux dire sans surveillance constante de son système. Certains rajouteront prelude et un outil de sauvegarde, mais je ne connais pas bien le premier et n'ai pas encore trop testé d'outil de sauvegarde. Le mieux est que tous ces outils sont configurables simplement à partir du Centre de Contrôle Mandriva (drakconf).

Je parlerais cette fois-ci de msec et projette de faire d'autres articles à propos des autres outils plus tard.

Comment ça marche ?

Main.Images/administration.png

N'importe qui qui débute sous Linux se rend compte d'une chose rapidement : tous les paramètres de la machine sont de simples fichiers textes. Mais voilà : il y en a beaucoup et parfois disséminés un peu partout. Cela rend la tâche de sécurisation d'une machine linux assez complexe car il faut connaître la manière dont fonctionne tous les logiciels installés sur sa machine.

Heureusement, msec sait où sont les fichiers qui ont un impact négatif ou positif sur la sécurité de la machine et est capable de les modifier ou d'envoyer un rapport pour emmettre un message d'avertissement lorsqu'il rencontre un paramètre suspect.

Le niveau de sécurité

niveau_securite.png

La manière la plus basique d'utiliser msec est d'indiquer le niveau de sécurité voulu pour sa Machine : en lançant draksec en tant que root, on arrive sur une interface qui nous donne 6 choix de niveau de sécurité. Le niveau standard est à peu près le même niveau de sécurité que les autres distributions linux (après une installation par défaut). Même pour un débutant, je recommanderais néanmoins le niveau "élevé" : peu de restrictions sont rajoutées par rapport à "standard", mais certains paramètres de sécurité me semblent essentiels (comme le fait de devoir taper un mot de passe pour devenir root : à partir de 2006, cela ne sera pas obligatoire lorsque l'on est en niveau standard).

Le rapport de sécurité

rapport_securite.png

Le deuxième et troisième paramètre de cette interface indique l'utilisateur qui recevra le rapport quotidien de sécurité. Si vous voulez recevoir les rapports de sécurité, je conseille néanmoins de ne rien indiquer ici et de décocher la case. Dans ce cas, les rapports sont quand même générés et envoyés à root. Pour savoir comment lire ces mails, voir le mail local sous linux

Le reste de l'interface

Pour savoir ce que fait msec en détail, en fonction des niveaux de sécurité, reportez vous à la page de la base de connaissance sur msec. Vous pouvez modifier les paramètres un par un toujours grâce à la même interface (draksec) dans les différents onglets. Une chose à savoir lorsque l'on modifie ces paramètre, est que msec refusera de diminuer le niveau de sécurité par rapport au niveau de sécurité choisi. Par exemple, vous ne pourrez pas choisir le niveau de sécurité maximum et autoriser les pings : il vous faut utiliser un niveau de sécurité moindre et augmenter le niveau de sécurité de tous les autres paramètres sauf celui concernant le ping.

Petits problèmes avec msec

msec n'applique pas immédiatement vos modifications, mais les applique périodiquement toutes les heures. Pour le forcer à appliquer les changements immédiatement, lancer la commande "msec".

Vous pouvez d'ailleurs vous rendre compte d'une chose qui peut se révéler gênante : il se peut que vous changiez un paramètre dans un fichier de configuration de votre machine car cela résout un problème (par exemple, enlever toutes les machines dans /etc/hosts.deny). Cela semble marcher mais uniquement temporairement : une heure après, vous avez de nouveau le problème. Soupçonnez alors msec : c'est surement lui qui a remis le paramètre à la valeur initiale car le niveau de sécurité que vous avez demandé à msec n'est plus assuré. Pour résoudre ce problème, indiquez grâce à draksec ce que vous souhaitez pour ce paramètre. Ensuite lancez msec et vous pourrez donc vérifier si votre paramètre a bien été pris en compte par msec.

Blog Home

yoho - MsecunOutilAConnaitre
Version 1.56 last modified by yoho on 19/10/2005 at 18:34

Comments (14)

Diwann | 06.09.2005 at 02:49 PM
note : msec installe chkrootkit pour vérifier l'intégrité du système. Si vous vous préoccupez spécifiquement de cette problématique, il existe aussi rkhunter qui utilise des méthodes différentes.

(check des signatures des fichiers, vérification des permissions, test des rootkits principaux,...)

un bon complément de msec !

yoho | 06.09.2005 at 06:13 PM
Euh oui… désolé. J'étais tellement pris par msec que j'en ai oublié ce pourquoi j'avais écrit l'article ;)
Diwann | 07.09.2005 at 01:20 PM
et hop ! wiki page of the day ! content ?
yoho | 07.09.2005 at 01:51 PM
merci ;)
PhiX | 11.09.2005 at 04:20 PM
Merci pour cet article, tout d'abord. J'aurais cependant besoin d'une précision et je pense que je ne dois pas être le seul.

Dans mon /etc/postfix/aliases, la ligne "root:" est la suivante :

root: postfix

Comment dois-je modifier cette ligne pour que l'utilisateur phix recoive les mails ? comme ça :

root:phix postfix

ou comme ça :

root:phix, postfix ?

kozaki_mdk | 11.09.2005 at 06:06 PM
Excellent article car il éclaire un des parametres un tantinet obscurs lors de l'install de Mandriva (sauf initiés) :)

Le paragraphe sur l'envoi des alertes de sécurité manque de précisions par contre :

> éditer le fichier /etc/postfix/aliases, vous verrez une ligne qui commence par > "root:". Indiquer le nom des utilisateurs qui doivent recevoir le rapport de > sécurité séparés par des virgules. Ils recevront automatiquement les rapports > de sécurité et d'une manière plus générale, les mails envoyés à root et qui ne > doivent donc pas être ignorés (beaucoup de logiciels supposent que le mail de > root est lu par l'administrateur de la machine).

Comme PhiX, je me demande comment éditer ce fichier dans le détail.

  • Que mettre à la ligne :
postmaster: root
  • à la ligne indiquée dans l'article, on remplace "postfix" par le nom d'un utilisateur existant (si j'ai bien compris) :
# Person who should get root's mail.  This alias must exist.
  1. CHANGE THIS LINE to an account of a HUMAN
root:           [utilisateur_du_systeme]

Ensuite, un mot sur comment recevoir / lire ces mails (ou un lien) serait bienvenu (ex : Configuration de Thunderbird ou autre logiciel d'email pour recevoir les mails locaux) !

ps : Où est-ce qu'on apprécie les articles comme indiqué par Diwann

Diwann | 12.09.2005 at 10:57 AM
"ps : Où est-ce qu'on apprécie les articles comme indiqué par Diwann"

Bonne idée ! je crée de ce pas une page pour cela.
c'est fait. ici

yoho | 12.09.2005 at 11:46 PM
Il faut remplacer "postfix" par "phix". Autrement dit : 
root: phix
yoho | 12.09.2005 at 11:58 PM
Oui, je sais j'ai fais un peu court sur postfix parcequ'en fait, cela relève plus de l'administration de postfix que de msec. Postfix est assez complexe à manipuler et pas toujours très clair dans ses messages d'erreurs (c'est toujours mieux que sendmail, mais quand même).

Ceci dit, je suis en train d'améliorer un peu cette partie car j'ai eu plusieurs fois des questions sur cela donc c'est une bonne suggestion, merci, j'y travaille.

XWikiGuest | 14.09.2005 at 01:34 PM
Voilà, c'est fait : j'ai créé une entrée de blog rien que pour ça.
ChTy | 15.09.2005 at 12:13 AM
perso j'aurais plutôt créé une page wiki à part pour qu'elle soit bien visible. et j'aurais mis un simple lien dans mon blog :) non ?
yoho | 21.09.2005 at 03:42 AM
Bonne idée. J'y ai pensé après. Je ne sais pas où mettre cette page aussi : c'est une "astuce" ? un article de Base de Connaissance ?
yoho | 21.09.2005 at 03:45 AM
Euh… non pardon, pour cet article ce n'est pas une bonne idée du tout (je pensais que je commentais l'article sur le mail local) puisqu'il s'agit de la présentation d'un produit d'un point de vue personnel : je ne rentre pas dans les détails réellement et je donne une manière d'utiliser msec qui n'est certainement pas la manière officielle (décocher la case pour que root recoive les mails, etc...). Il existe la vraie page de MSEC : voir le lien qui se trouve dans ce blog.
yoho | 04.10.2005 at 12:37 PM
C'est moi anonymous :)

Attachments (4)

[img]
draksec.png 1.1
PostedBy: yoho on 06/09/2005 (3kb )
[img]
rapport_securite.png 1.1
PostedBy: yoho on 06/09/2005 (5kb )
[img]
niveau_securite.png 1.1
PostedBy: yoho on 06/09/2005 (3kb )
[img]
comment.png 1.1
PostedBy: yoho on 06/09/2005 (3kb )
 


Multilingualism

fr

RSS
RSS
Creator: yoho on 06/09/2005 at 07:23
(c) Mandriva 2007
1.1-SNAPSHOT.1715