Semaine 1,2 et 3

A- Les menaces physiques potentielles liées à la sécurité physique du serveur.

Il s’agit des événements imprévisibles comme les pannes, les accidents ou encore les atteintes
intentionnelles sur les matériels. Par exemple :

– Dégâts des eaux (inondation, humidité) ;

– Feu (Accidentel ou criminel) ;

– Electricité (surtension, baisse de tension, coupure du courant) ;

– Température ambiante (dysfonctionnement de la climatisation) ;

– Intrusions physiques (circulation de personnes non autorisées dans les locaux, vol) ;

– Etc.

Voici des recommandations pour minimiser les risques physiques liés à la sécurité du serveur :

-Choisissez un lieu sûr pour l'hébergement du serveur.

-Installez des systèmes de détection et de prévention d'incendie, de régulation de la

température et de l'humidité.

-Utilisez des onduleurs et des groupes électrogènes pour éviter les pertes de données.

-Mettez en place un système de surveillance physique pour détecter les intrusions et les
accès non autorisés.

-Élaborez et testez régulièrement un plan de sauvegarde des données pour vous assurer de
pouvoir récupérer vos données en cas d'incident
B- Les menaces liées à la sécurité des systèmes d’exploitation générées par l’exploitation possible des
vulnérabilités et failles éventuellement présentes sur le système, notamment :

– Services inutilisés et ports ouverts ;

– Services sans correctifs ;

– Mauvaise gestion des privilèges et des accès aux ressources du système ;

– Mauvaise gestion des mots de passe ;

– Applications vulnérables ; – Etc.

Pour limiter les risques liés à notre server, nous allons le configurer selon les recommandations du
guide de la DGSSI.

1- Installation :
Le durcissement d’un serveur Linux commence dès la phase de l’installation du système.
Généralement, Il faut éviter de procéder à une installation par défaut. Il faut tout d’abord décider
quelle en sera l’utilisation (serveur Web, DNS, messagerie, etc.) avant de déterminer des règles à
mettre en place pour le sécuriser. Ci-après les principaux aspects à prendre en considération lors de
l’installation du système linux.

Partitionnement du disque : Le partitionnement est une étape clef de l’installation de

GNU/Linux et de la prise en compte des supports de stockage de données. Il est important de bien
choisir le partitionnement à adopter en vue d’obtenir un niveau de sécurité plus élevé.

La méthode de partitionnement varie en fonction de l’utilisation du serveur. Tout dépendra des

services à offrir par ce serveur, de l’espace disque disponible et des applicatifs nécessaires à son
fonctionnement. Généralement, il convient de procéder au partitionnement suivant :

– Les arborescences de répertoires modifiables par un utilisateur, telles que

/home, /tmp et /var/tmp, doivent être sur des partitions distinctes ;

– Toute partition qui peut fluctuer, par exemple /var (surtout /var/log) devrait être également sur
une partition distincte ;

– Toute partition qui peut contenir des installations des logiciels ne faisant pas partie de la
distribution (des applications tierces) devrait être sur une partition distincte (par exemple /opt) ;
– Le répertoire /boot qui contient les fichiers indispensables au démarrage peut être mis dans une
partition à part.

2- Elimination des services inutiles :

Identifier les processus : Pour afficher tous les processus qui tournent sur la machine en temps réel,
utiliser la commande :

#ps – aux

Identifier les ports réseaux utilisés : Afin d’identifier les différents ports ouverts, taper la commande :

#netstat -a

Identifier les services : Pour lister les services qui se lancent automatiquement avec le démarrage du
système, utiliser la commande :

#chkconfig –list

L’équivalent de cette commande sous Debian/Ubuntu est :

#sysv-rc-conf –list

Après l’installation, il convient d’identifier les services et les programmes installés pour désactiver
ceux qui sont inutiles :

Arrêter les services en exécution en utilisant la commande :

#service SERVICE stop

# systemctl disable SERVICE.service

Il est important de noter que les services inutiles varient en fonction de chaque serveur et de ses
besoins spécifiques. Cependant, voici quelques exemples de services couramment désactivés pour
des raisons de sécurité sur un serveur Debian 11 "Bullseye" :

Bluetooth - si vous n'utilisez pas de périphériques Bluetooth avec votre serveur, il est recommandé
de désactiver le service Bluetooth pour éviter les vulnérabilités de sécurité associées à cette
technologie.

Avahi-daemon - ce service fournit une découverte de service réseau pour les applications, mais il
peut également présenter des vulnérabilités de sécurité. Si vous n'avez pas besoin de ce service, il est
recommandé de le désactiver.

CUPS - CUPS est un système d'impression communément utilisé, mais si vous n'avez pas besoin de
fonctionnalités d'impression sur votre serveur, il est recommandé de désactiver ce service.

SNMP - SNMP (Simple Network Management Protocol) est un protocole de gestion de réseau qui
peut présenter des vulnérabilités de sécurité. Si vous n'utilisez pas ce service, il est recommandé de
le désactiver.

NTP - NTP (Network Time Protocol) est un protocole utilisé pour synchroniser l'horloge des systèmes
sur un réseau. Si vous n'utilisez pas ce service ou si vous utilisez une autre méthode de
synchronisation de l'horloge, il est recommandé de le désactiver.

Il est important de noter que la désactivation des services peut affecter le fonctionnement de votre
serveur si ces services sont nécessaires pour les applications en cours d'exécution. Par conséquent,
avant de procéder à la désactivation de tout service, il est recommandé de vérifier si ce service est
nécessaire et si sa désactivation ne causera aucun problème. Il est également recommandé de
sauvegarder vos données avant de procéder à la désactivation de tout service.

#Commande pour désactiver un service sous Debian 11

sudo systemctl disable NomDuService.service

#Commande pour activer un service sous Debian 11

sudo systemctl enable NomDuService.service

3- Patch et mise à niveau du système :

L’application régulière des mises à jour est l’une des actions importantes pour sécuriser le système.
L’administrateur du serveur doit compléter son installation en téléchargeant au fur et à mesure les
mises à jour les plus récentes de chacun des composants du système d’exploitation et de les
appliquer. Un retard dans l’application d’un correctif est très souvent à l’origine de la compromission
de la machine. De même il convient de s’assurer que les applications installées sur le système sont à
jour et de procéder à l’application des correctifs dans le cas échéant.
Pour mettre à jour les paquets :

sudo apt-get update

Nous allons automatiser la mise à jour avec cron

crontab -e pour éditer la table des tâches cron de votre utilisateur.

0 2 */5 * * apt update && apt upgrade -y

Cette ligne exécute les commandes apt update et apt upgrade toutes les 5 jours à 2h. L'option -y est
utilisée pour répondre automatiquement "oui" à toutes les questions de confirmation pendant la
mise à jour.

La tâche cron est maintenant planifiée pour s'exécuter automatiquement tous les 5 jours à 2h pour
mettre à jour notre système.

4- Configuration des paramètres réseaux :

Certains paramètres de la configuration réseau IP du système doivent être modifiés de manière à
renforcer sa robustesse vis-à-vis des attaques potentielles.

Comme c’est souvent le cas, les paramètres par défaut permettent de prendre nativement en charge
beaucoup de fonctionnalités. Pour une configuration appropriée des paramètres réseaux, il convient
de procéder comme suit :

Interface réseau : Il est fortement recommandé de désactiver toute interface réseau non utilisée.
Lorsque le serveur comporte plusieurs interfaces réseau, il est conseillé de spécialiser celles-ci pour
dissocier les différents types de flux métiers et les flux d’administration. Il convient alors d’imposer
que les services soient en écoute uniquement sur les interfaces adaptées.

IPv6 : Il est fortement recommandé de désactiver le support d’IPv6 s’il n’est pas encore utilisé. Ceci
peut être fait à partir du fichier /etc/sysctl.conf en ajoutant

Ces lignes en fin du fichier :

net.ipv6.conf.all.disable_ipv6=1

net.ipv6.conf.default.disable_ipv6=1

net.ipv6.conf.lo.disable_ipv6=1

Sécurisation du réseau pendant l’amorçage : Durant l’amorçage, le système

lit et applique des paramètres du KERNEL trouvés dans le fichier /etc/sysctl.conf.

Voici quelques paramètres à configurer au niveau du fichier /etc/sysctl.conf :

# Ignorer les broadcasts ICMP

(Il est recommandé d'ignorer les broadcasts ICMP car ils peuvent être utilisés pour effectuer des attaques de déni de service distribué
(DDoS). Les paquets ICMP (Internet Control Message Protocol) sont généralement utilisés pour les messages de contrôle et de diagnostic
sur le réseau, tels que les messages d'erreur et de notification. Les paquets ICMP de diffusion peuvent être utilisés pour inonder un réseau
avec des paquets inutiles et donc causer une congestion inutile et ralentir le réseau. En ignorant les broadcasts ICMP, on peut réduire le
risque d'attaques DDoS et améliorer les performances du réseau )
Net.ipv4.icmp.echo_ignore_broadcasts = 1

# Ignorer les erreurs ICMP erronées

(Ignorer les erreurs ICMP erronées est une mesure de sécurité recommandée pour réduire le risque d'attaques de type "Ping of Death" ou
"Smurf Attack". Ces attaques consistent à envoyer de faux paquets ICMP avec des informations erronées ou falsifiées, ce qui peut causer
des dommages au système cible.

En ignorant les erreurs ICMP erronées, le système ne répondra pas automatiquement aux paquets ICMP malformés, ce qui peut réduire le
risque d'attaques de type "Ping of Death" ou "Smurf Attack". Cependant, il est important de noter que cette mesure de sécurité ne doit pas
être considérée comme une protection absolue contre ces types d'attaques et doit être utilisée en combinaison avec d'autres mesures de
sécurité appropriées.)

Net.ipv4.icmp_ignore_bogus_error_responses = 1

# Ne pas accepter les redirections ICMP (empêche les attaques main in the

middle)

Net.ipv4.conf.all.accept_redirects = 0

# N’accepter les redirections ICMP que pour les passerelles de la liste des passerelles par

# défaut (activé par défaut)

Net.ipv4.conf.all.secure_redirects = 1

#Ne pas accepter les redirections ICMP (ce n’est pas un routeur)

Net.ipv4.conf.all.send_redirects = 0

# Ne pas faire suivre les paquets IP (ce n’est pas un routeur)

# Remarque : assurez-vous que /etc/network/options contient «

ip_forward=no »

Net.ipv4.conf.all.forwarding = 0

# Activer les TCP Syn Cookies : Remarque : assurez-vous que /etc/network/options contient

# « syncookies=yes »

Net.ipv4.tcp_syncookies = 1

# Enregistrer les paquets usurpés

Net.ipv4.conf.all.log_martians = 1

# Activer la vérification d’adresse source pour toutes les interfaces pour empêcher certaines
attaques par usurpation

# Remarque : assurez-vous que /etc/network/options contient « spoofprotect=yes »

Net.ipv4.conf.all.rp_filter = 1

# Ne pas accepter les paquets de routage source IP (ce n’est pas un routeur)

Net.ipv4.conf.all.accept_source_route = 0

# Désactiver les touches magiques (magic-sysrq key)

Kernel.sysrq =0

# Diminuer la valeur de temps par défaut de « tcp_fin_timeout connection »

Net.ipv4.tcp_fin_timeout = 15

# Diminuer la valeur de temps par défaut de « tcp_keepalive_ time connection

Net.ipv4.tcp_keepalive_time=1880

#Désactiver tcp_windows_scaling

Net.ipv4.tcp_windows_scaling=0

#Désactiver tcp_sack

Net.ipv4.tcp_sack=0

#Désactiver tcp_timestamps

Net.ipv4.tcp_timestamps=0

5- Mise en route du pare-feu UFW :

Un pare-feu est un logiciel ou un matériel qui contrôle et filtre le trafic réseau entre un ordinateur ou
un réseau et Internet, en fonction de règles de sécurité prédéfinies. Ses avantages comprennent la
protection contre les attaques malveillantes, la surveillance et le contrôle du trafic réseau, la
prévention des pertes de données et la garantie de la conformité réglementaire.

Nous allons utiliser le pare-feu UFW, UFW (Uncomplicated Firewall) est un outil de pare-feu simple et
facile à utiliser pour Linux, qui utilise une syntaxe simplifiée pour configurer les règles de pare-feu. Il
est souvent utilisé pour protéger les serveurs Web, les bases de données et les systèmes sensibles
contre les menaces de sécurité.

- Installer le pare-feu:

sudo apt-get update

sudo apt-get install ufw

-Vérifier l'état du pare-feu :

sudo ufw status

Autoriser le trafic pour les services que vous voulez utiliser. Par exemple, pour autoriser le trafic
entrant pour le serveur Web, exécutez la commande suivante :

sudo ufw allow http

Activer le pare-feu :

sudo ufw enable

Paramètres avancés :
Pour configurer le pare-feu de manière à bloquer tout trafic non autorisé, vous pouvez définir des
règles par défaut qui spécifient comment gérer le trafic entrant et sortant. Voici comment faire :

Éditez le fichier de configuration ufw :

sudo nano /etc/default/ufw

Recherchez les lignes suivantes et modifiez-les en conséquence :

DEFAULT_INPUT_POLICY="DROP"

DEFAULT_OUTPUT_POLICY="DROP"

Ces lignes définissent la politique par défaut pour le trafic entrant et sortant. En définissant la valeur
sur "DROP", tout trafic qui ne correspond pas à une règle autorisée sera automatiquement bloqué.

Enregistrez et fermez le fichier de configuration.

Définissez les règles de pare-feu spécifiques que vous voulez autoriser en utilisant la commande ufw.
Par exemple, si vous voulez autoriser le trafic entrant pour le serveur Web (port 80), vous pouvez
exécuter la commande suivante :

sudo ufw allow 80/tcp

Vous pouvez également autoriser des plages de ports spécifiques, des protocoles spécifiques, des
adresses IP, etc.

Une fois que vous avez défini toutes les règles de pare-feu nécessaires, activez le pare-feu en utilisant
la commande suivante :

sudo ufw enable

Après avoir suivi ces étapes, le pare-feu bloquera automatiquement tout trafic qui ne correspond pas
à une règle de pare-feu autorisée, en utilisant les politiques par défaut que vous avez définies. Vous
pouvez vérifier les règles de pare-feu en utilisant la commande

sudo ufw status verbose.

6- Gestion des comptes et des utilisateurs

Le super-utilisateur (root) : C’est le compte le plus important sur le système, son UID égal à 0. Ce
compte dispose des droits d’accès administratifs. Il est recommandé de désactiver le compte root
entièrement et d’ajouter des comptes d’administration nominatifs qui peuvent effectuer les tâches
d’administrations en utilisant la commande sudo suivie d’une authentification.

Pour des distributions comme Ubuntu/Debian l’accès direct au compte root est désactivé par défaut,
l’utilisateur devrait utiliser la commande sudo pour effectuer toute tâche administrative. Il convient à
cet effet de créer un autre compte et d’ajouter cet utilisateur au groupe sudo par la commande :
#usermod -G sudo Nom_du_compte.
Les comptes systèmes : On trouve sur le système une série de comptes génériques (par exemple :
bin, daemon, sync, apache, etc.). Les UIDs compris entre 1 et 499 sont généralement utilisés pour ces
comptes. Il convient de bloquer l’exécution du Shell à partir de ces comptes. Pour ce faire, il faut tout
d’abord lister les comptes avec leurs UIDs ainsi que leurs Shells.

Pour lister les comptes système avec leurs UID et leurs shells, Nous pouvons utiliser la commande cat
/etc/passwd. Cette commande affichera le contenu du fichier /etc/passwd, qui contient des
informations sur tous les utilisateurs du système, y compris les comptes système.

Pour filtrer les comptes système, nous pouvons examiner les UIDs des utilisateurs. Les UIDs compris
entre 1 et 499 sont généralement utilisés pour les comptes système. Nous pouvons utiliser la
commande awk pour filtrer les comptes avec des UIDs compris entre 1 et 499, et afficher
uniquement les noms d'utilisateur et les shells. Par exemple :

cat /etc/passwd | awk -F: '{if ($3 < 500) {print $1 " : " $7}}'

Cette commande affichera une liste des noms d'utilisateur et des shells correspondants pour tous les
comptes système. Notons que la commande awk utilise le délimiteur : pour diviser chaque ligne du
fichier /etc/passwd en champs séparés.

En ce qui concerne le blocage de l'exécution du shell à partir de ces comptes, nous pouvons modifier
les informations de l'utilisateur en utilisant la commande usermod. Par exemple, pour bloquer
l'exécution du shell pour l'utilisateur apache, nous pouvons exécuter la commande suivante :

sudo usermod -s /usr/sbin/nologin apache

Cette commande modifie le shell de l'utilisateur apache pour /usr/sbin/nologin, ce qui empêchera
l'utilisateur de se connecter avec une session interactive.
Sécurité des mots de passe :
Une bonne gestion des mots de passe permet un accès sécurisé au système. Le mot de passe ne doit
pas être vide et doit systématiquement respecter une politique de complexité. Sous Linux, le système
est configuré de manière à ce que l’algorithme MD5 et les mots de passe masqués soient utilisés. Il
est fortement recommandé de ne pas modifier ces paramètres. L’utilisation de l’option des mots de
passe masqués permet de stocker ces derniers dans le fichier /etc/shadow lisible uniquement par le
root, et non pas dans le fichier /etc/passwd accessible en lecture pour tous les utilisateurs. Pour fixer
le nombre minimum de caractères que le mot de passe doit contenir ainsi que la période de sa
validité.

Ajouter au fichier /etc/login.defs :

PASS_MIN_LEN 12 PASS_MAX_DAYS 90

Utilisation de l’algorithme SHA-512 pour le hachage : Lorsque cela est possible et pour certaines
distributions de linux, il convient de renforcer davantage la sécurité des mots de passe en utilisant le
SHA-512 au lieu de MD5. Pour ce faire ajouter au fichier /etc/login.defs : MD5_CRYPT_ENAB no
ENCRYPT_METHOD SHA512

Sécurité des mots de passe dans PAM : L’administrateur peut améliorer l’authentification des
utilisateurs sur le système par la configuration de PAM (Pluggable Authentication Modules). Le
module pam_cracklib permet d’accepter ou de rejeter un mot de passe si celui-ci se trouve dans un
dictionnaire (/usr/lib/cracklib.pwd). Il permet aussi de vérifier que le mot de passe n’est pas réutilisé.
Pour paramétrer ce module ajouter la ligne suivante dans le fichier :

/etc/pam.d/common-password

password required pam_cracklib.so retry=3 minlen=12 difok=3 lcredit=-1 ucredit=-2 dcredit=-2

ocredit=-1

retry : Le nombre de tentative ; minlen : La longueur imposée ; difok : Le nombre de caractères

existant dans l’ancien mot de passe et que l’on ne peut pas retrouver dans le nouveau ;

lcredit, ucredit, dcredit et ocredit correspondent respectivement au nombre de caractères

minuscules, majuscules, numériques et autres. La valeur négative signifie le nombre minimum de
caractère requit. La valeur positive en revanche signifie le nombre maximum de caractères.
L’activation du module PAM cracklib oblige les utilisateurs à utiliser des mots de passe forts
 7- Accès physique au système
La sécurité des accès physiques au système est une étape primordiale pour protéger la configuration
physique d’un serveur Linux.

La sécurité des accès physiques au système repose en premier lieu sur l’emplacement et
l’environnement physique où est installé le serveur. Cela permet d’empêcher l’accès non autorisé
ainsi que les dommages de tout genre pouvant affecter le serveur.

Les mesures suivantes permettent de contrôler les accès au système :

BIOS : C’est le premier programme qui s’exécute au démarrage du système, il permet le contrôle des
éléments matériels. Il convient de sécuriser l’accès au BIOS par un mot de passe afin d’empêcher
toute modification de ses paramètres (par exemple : changer la configuration du BIOS de manière à
démarrer à partir d’un CD-ROM ou une clé USB).
GRUB : Il est recommandé de protéger la configuration du chargeur de démarrage par un mot de
passe pour empêcher toute tentative de connexion avec le mode single ou bien le changement des
paramètres pendant le démarrage. Pour ce faire, ajouter une directive de mot de passe dans le
fichier de configuration du

GRUB :
Authentification pour le mode de récupération (single user) :
Pour activer l'authentification pour le mode de récupération (single user) sur Debian 11, vous
pouvez suivre les étapes suivantes :

Ouvrir le fichier /lib/systemd/system/recovery.target en utilisant un éditeur de texte avec

des privilèges d'administration. Par exemple :

sudo nano /lib/systemd/system/recovery.target

Ajouter la ligne suivante sous la section [Service] :

Authentication=1

Cela active l'authentification pour le mode de récupération.

Enregistrer et fermer le fichier.

Exécuter la commande suivante pour recharger la configuration systemd :

sudo systemctl daemon-reload

Désormais, lorsqu'un utilisateur tente de démarrer en mode de récupération, il sera invité à

saisir des informations d'authentification valides avant d'avoir accès à la console de
récupération.

Fermeture des sessions du Shell inactif :

Il est recommandé de fermer les sessions Shell au bout d’un certain temps d’inactivité. Par
exemple certains Shells Linux offrent la possibilité de définir la variable d’environnement
TMOUT qui permet de déconnecter automatiquement les utilisateurs après une période
d’inactivité. Afin d’éviter la modification de cette variable par les utilisateurs, il est d’usage de
la définir dans le fichier /etc/profile et de lui appliquer la restriction “ro”..
 if [ "EUID” = ”0”]||[”USER" = "root" ] ; then

TMOUT=900

else

TMOUT=3600

fi

readonly TMOUT

export TMOUT

Ce script permet de définir une variable d'environnement TMOUT en fonction de l'utilisateur

qui se connecte à la session Shell. Si l'utilisateur est root ou s'il a des privilèges équivalents,
alors le TMOUT est défini à 900 secondes (soit 15 minutes). Sinon, pour les autres
utilisateurs, le TMOUT est défini à 3600 secondes (soit 1 heure).

La variable TMOUT permet de spécifier le temps d'inactivité maximum autorisé avant que
l'utilisateur soit déconnecté de sa session Shell. La commande "readonly" permet de rendre
la variable TMOUT en lecture seule, empêchant toute modification ultérieure. Enfin, la
commande "export" permet de rendre la variable TMOUT disponible pour tous les processus
lancés à partir de la session Shell.

Verrouiller l’accès à la console :

Vlock (Virtual console lock program) est un programme qui permet de verrouiller le terminal
et de demander un mot de passe pour être débloqué. Le paquet Vlock est présent dans les
dépôts des principales distributions GNU/Linux. Pour l’installer utiliser la commande :

apt-get install vlock

Pour verrouiller la session courante, utiliser la commande :

vlock -c
L’effet de la combinaison CTR-ALT-DEL :
Dans la plupart des distributions linux l’utilisation de la combinaison ctrl-alt-del conduit au
redémarrage du système. Il convient de désactiver l’effet de cette option surtout pour les
serveurs de production. Pour ce faire, vous pouvez suivre les étapes suivantes :

Éditez le fichier /etc/systemd/logind.conf en tant que superutilisateur (sudo) :

sudo nano /etc/systemd/logind.conf

Trouvez la ligne #HandlePowerKey=poweroff et ajoutez la ligne suivante en dessous

HandlePowerKey=ignore

Enregistrez les modifications et quittez l'éditeur de texte.

Redémarrez le service systemd-logind pour prendre en compte les modifications :

sudo systemctl restart systemd-logind.service

Après avoir suivi ces étapes, la combinaison de touches Ctrl+Alt+Del ne redémarrera plus le
système.

Blocage du support USB

Il est recommandé de désactiver le support USB au niveau du serveur sauf en cas de besoin.
Pour cela, il est possible de modifier les paramètres du GRUB en ajoutant ‘nousb’ dans le
fichier de configuration du GRUB et en redémarrant le système par la suite :

sudo nano /etc/default/grub

Trouvez la ligne qui commence par “GRUB_CMDLINE_LINUX_DEFAULT” et ajoutez “nousb” à

la fin de la ligne. La ligne devrait ressembler à ceci :

GRUB_CMDLINE_LINUX_DEFAULT="quiet splash nousb"

Enregistrez le fichier et quittez l’éditeur de texte.

Mettez à jour grub en tapant la commande suivante dans le terminal :

sudo update-grub

Redémarrez votre ordinateur.

Droits d’accès au fichiers

les fichiers de configuration /etc/passwd, /etc/group, /etc/shadow et /etc/gshadow
contiennent des informations sensibles sur les utilisateurs et les mots de passe. Il est donc
important de veiller à ce que les droits d'accès à ces fichiers soient correctement configurés.
Les droits d'accès recommandés pour ces fichiers sont :

rw-r--r-- pour /etc/passwd et /etc/group

r-------- pour /etc/shadow et /etc/gshadow

 Pour vérifier les droits d'accès de ces fichiers, vous pouvez utiliser la commande ls -l. Par
exemple, pour vérifier les droits d'accès du fichier /etc/passwd, vous pouvez saisir la
commande suivante :

ls -l /etc/passwd

Si les droits d'accès ne sont pas correctement configurés, vous pouvez les modifier en
utilisant la commande chmod. Par exemple, pour configurer les droits d'accès recommandés
pour le fichier /etc/passwd, vous pouvez saisir la commande suivante :

sudo chmod 644 /etc/passwd

Il est important de noter que la modification des droits d'accès de ces fichiers peut avoir des
conséquences importantes sur le fonctionnement du système, et doit donc être effectuée
avec prudence.

Le droit de Sticky bit :

Le droit Sticky Bit (appelé aussi bit collant) est alloué à la catégorie "autres" d’un répertoire. Il
permet d’interdire à tout utilisateur (sauf le root) de supprimer un fichier dont il n’est pas le
propriétaire, quelque soient les droits du répertoire. Pour mettre en place cette option, il faut
tout d’abord lister les répertoires ayant le droit d’écriture mais pas le Sticky bit. Ensuite,
identifier les répertoires concernés et y ajouter le Sticky bit par la commande :

find / -type d -perm -2000 ! -perm -1000 -exec stat -c "%A %n" {} \;

chmod +t /fichier

Explications de la commande :

find / -type d: Recherche tous les répertoires à partir de la racine (/) du système.

-perm -2000: Recherche les répertoires ayant le droit d'écriture mais pas le droit sticky bit.

! -perm -1000: Exclut les répertoires ayant le droit sticky bit.

-exec stat -c "%A %n" {} \;: Exécute la commande stat pour afficher les permissions et le nom
du répertoire.

Cette commande listera tous les répertoires du système qui ont le droit d'écriture mais pas le
droit sticky bit. Assurez-vous de l'exécuter avec les privilèges de superutilisateur (sudo) pour
accéder à tous les répertoires du système.
Les fichiers avec droit d’écriture :
Il convient de limiter les droits d’écriture sur les fichiers au stricte nécessaire. Tout d’abord il
faut lister tous les fichiers ayant le droit d’écriture, puis enlever ce droit pour ceux dont le
besoin n’est pas justifié :

find / -type f -perm -o=w -exec ls -l {} \;

chmod o-w fichier

Les fichiers ayant le SUID et le GUID :

Le droit SUID permet d’allouer temporairement à un utilisateur les droits du propriétaire du
fichier, durant son exécution. De même, le droit GUID est similaire au droit SUID sauf qu’il
donne à un utilisateur les droits du groupe auquel appartient le propriétaire du fichier et non
pas les droits du propriétaire.

Il est fortement recommandé d’enlever ces droits sauf en cas de besoin majeur. Pour cela il
faut identifier les fichiers ayant le SUID et le GUID, puis appliquer la commande suivante sur
les fichiers trouvés :

find / \( -perm -4000 -o -perm -2000 \) -type f -print

chmod -s fichier

La valeur UMASK :
Le masque de protection de fichier permet de définir les droits par défaut de tout fichier
créé. Il convient de fixer la valeur de « UMASK » à 027. Ce qui signifie que tout fichier crée
aura comme droits : rwxr-x—
Accès à distance :