Ce cours très technique se concentre sur la sécurisation appropriée des machines exécutant les systèmes d’exploitation Linux.
Un large éventail de techniques usuelles de sécurité sont abordées, comme le filtrage de paquets, les politiques de mot de passe, la vérification de l’intégrité des systèmes de fichier.
Des techniques de sécurité avancées comme Kerberos et SELinux sont enseignés. Une attention particulière est donnée à la sécurisation des services réseau couramment déployés.
Détails du contenu
Section 1 : Concepts de Sécurité
Principes de sécurité de base
RHEL/FC Linux : Installation par défaut
RH Installer : Options de Pare-feu
RH: Pare-feu Post-Installation
SLES/SL : Installation par défaut
SLES/SL: Pare-feu
SLES/SL: Sécurité Fichier
Minimisation - Découverte
Découverte des services
Section 2 : Rechercher, Trouver et Tester les vulnérabilités
L’environnement de sécurité
Reconnaissance discrète
La base de données Whois
Interroger DNS
Découvrir les hôtes disponibles
Découvrir les applications disponibles
Reconnaissance avec SNMP
Découverte des services RPC
Enumérer les partages NFS
Nessus Insecurity Scanner
Installation de Nessus
Tester et identifier avec Nessus
Section 3 : Sécurité de mot de passe et PAM
Section 4 : Sécuriser Network Time Protocol (NTP)
L’importance du temps
Mesure du temps
Méthode de synchronisation
Evolution de NTP
Hiérarchie des serveurs de temps
Modes opératoires
Clients NTP
Configuration des Clients NTP
Configuration des serveurs NTP
Sécuriser NTP
Intégrité des packets NTP
Section 5, 6, 7 et 8 : Kerberos
Concepts Kerberos
Composants Kerberos
Implémenter Kerberos
Administrer et utiliser Kerberos
Section 9 : Sécuriser les systèmes de fichier
Options de montage de systèmes de fichier
Propriétés NFS
Options d’Export NFS
Authentification NFSv4 et GSSAPI
Implémenter NFSv4
Cryptage de fichier avec OpenSSL
Cryptage de fichier avec GPG
Cryptage de systèmes de fichier loopback
Section 10 : Tripwire
Détection d’intrusion d’hôte
Utiliser RPM comme un IDS
Histoire de Tripwire
Concepts Tripwire
Installation de Tripwire
Politiques Tripwire
Configuration de TripWire
Section 11 : Sécuriser Apache
Description d’Apache
RH : configuration par défaut
SUSE : configuration par défaut
Configurer les CGI
Désactiver les modules non utilisés
Délégation de configuration
Etendue de la configuration
ACL par adresses IP
Authentification utilisateurs HTTP
Modules d’authentification standard
Authentification HTTP Digest
Authentification via SQL
Authentification via Kerberos
En-têtes HTTP
Mesurer la bande passante HTTP
Section 12 : Sécuriser PostgreSQL
Description de PostgreSQL
Postgresql : configuration par défaut
Configurer SSL
Méthodes d’authentification
Authentifications avancées
Authentification basée sur Identd
Section 13 : Sécuriser les systèmes de messagerie
Description de SMTP
Implémentations de SMTP
Choisir un MTA
Considérations de sécurité
Description de Postfix
« Chrooter » Postfix
Connexions et relais
SMTP AUTH & StartTLS/SSL 9-10
Securiser Cyrus IMAP Config 11
Utiliser GSSAPI/Kerberos Authentification
Section 14 : Concepts SELinux
DAC vs. MAC
Résumé sur la sécurité traditionnelle UNIX
Buts de SELinux
Termes de SELinux
SELinux : architecture logique
Exemple de SELinux en action
Interfaçage avec SELinux
Commandes SELinux
Rôles SELinux
Utilitaires système modifiés
Section 15 : Politique SELinux
Revues des politiques SELinux
Choisir une politique
Fichiers de politique compilés
Fichiers de politique sources
Langage de Macro M4
File Context Files (*.fc)
Type Enforcement Files (*.te)
Booléens
Outils de politique graphiques
Analyse de politique
Personnalisation de politique
Résolution d’incidents SELinux
