Il existe de nombreux didacticiels sur la configuration d'un nouveau serveur sécurisé.
Mais que se passe-t-il si je dois administrer un serveur que quelqu'un d'autre a configuré il y a quelque temps et que je ne connais pas encore bien sa configuration?
Existe-t-il un outil qui vérifie automatiquement les "suspects habituels" ou une liste de contrôle que je peux parcourir pour m'assurer qu'il n'y a pas de failles de sécurité évidentes? Existe-t-il des services Web qui vérifient à distance les vulnérabilités?
Je commencerais par les listes de contrôle «de référence» du Center for Internet Security . Il s'agit de listes de contrôle basées sur le consensus et compilées par des professionnels de la sécurité pour une variété de plateformes et de progiciels. Certains outils mentionnés par les listes de contrôle, ou autrement couramment recommandés, vous aideront dans votre recherche de problèmes de sécurité:
(tcpdump est installé sur de nombreux systèmes Linux par défaut, ou peut être facilement installé à partir d'un référentiel de packages, et possède une page de manuel complète)
S'il s'agit de l'entreprise pour laquelle vous travaillez, assurez-vous que l'analyse de sécurité est autorisée par la direction et que les analyses ne provoqueront pas de panne ou de stupidité d'application. Oui, un simple portscan peut causer des problèmes - portscan les anciennes imprimantes HP Laserjet et elles cracheront des tas de papier.
la source
Comme première vérification très rapide:
Courir
en tant que root. Cela vous montrera tous les services à l'écoute sur le réseau:
Cela pourrait vous montrer des choses que vous souhaitez arrêter immédiatement. Ensuite, vous pouvez continuer avec les solutions des autres réponses.
Pour les services qui doivent être exécutés, mais qui ne sont pas accessibles de l'extérieur (comme un serveur de base de données local), envisagez de modifier la configuration afin qu'elle n'écoute que sur localhost / 127.0.0.1. De cette façon, il n'est accessible qu'aux utilisateurs locaux.
la source
Je vérifierais Bastille-Linux sur http://www.bastille-unix.org/ , c'est un ensemble de scripts que vous pouvez exécuter et il vérifiera les paramètres système, les autorisations de fichiers, la configuration utilisateur, etc. Je l'ai utilisé une ou deux fois sur mes propres boîtes, et si trouve des problèmes sur les installations par défaut (principalement r_x sur les utilitaires rsh / rsync). Il sort en html / java + curses / texte plat.
la source
Quelle distribution?
Général:
la source
Une autre bonne première vérification consiste à exécuter le nom d' hôte nmap à partir d'un autre hôte sur le réseau. Cela donne une vue extérieure à ce que Netstat a montré sur l'hôte.
la source
Si vous êtes inquiet, je vous recommande de suivre les tutoriels que vous avez mentionnés et de reconstruire le serveur. Surtout si vous pensez que l'autre administrateur a peut-être laissé quelque chose de mal. En tant que nouvel administrateur, vous devez de toute façon savoir comment déployer le service qu'il exécute.
Assurez-vous simplement de tout sauvegarder en premier, vous pouvez créer une image de toutes les partitions pour vous assurer de bien faire les choses.
Si votre patron ne vous laisse pas, alors les recommandations de tout le monde me semblent bonnes :-)
la source
En plus de quelques-unes des très bonnes réponses ici, consultez http://www.sans.org/ . Ils ont de très bons documents si vous êtes prêt à faire une petite lecture pour mieux comprendre la "défense en profondeur".
Certains des prémisses très basiques:
la source
Essayez également chkrootkit , il vient dans le référentiel standard de la plupart des distributions et est de toute façon très facile à installer. Il vérifiera votre système pour de nombreuses vulnérabilités, rootkits et vers connus.
la source
Une chose que vous pouvez faire pour avoir une idée du système est de comparer le dossier / etc à une nouvelle installation (avec les mêmes mises à jour appliquées). Cela vous dira ce qui a changé afin que vous puissiez vous concentrer sur vos problèmes de sécurité.
la source
Pour développer ce que mas a dit, voici une simple commande find pour répertorier tous les fichiers setuid et setgid sur le système pour examen.
Bien sûr, comme d'autres l'ont dit, tout cela suppose que la machine ne dispose pas déjà d'un rootkit ...
la source
Chrootkit / rkhunter sont les longs fruits suspendus. Si vous avez installé un rootkit, tout ce qui est signalé sera compromis et donc pas beaucoup d'aide, alors veuillez les télécharger à partir d'une source connue, n'utilisez pas ceux déjà sur la boîte. Une autre bonne astuce consiste à installer un noyau que vous savez être bon (à partir de packages ou à lancer le vôtre). Vérifiez les portes dérobées (lsof -i et 0 uid comptes non root). L'inspection des règles de pare-feu peut généralement vous en dire beaucoup sur les habitudes des administrateurs précédents. Mettez un wirehark / snort dessus, essayez de repérer quelque chose d'inhabituel. Regardez où vont les journaux. Consultez tous les types de fichiers .profile / .bashrc pour toute commande inhabituelle. Recherchez dans .ssh / known_hosts tous les hôtes douteux.
la source