4.5. Services réseau disponibles

Alors que l'accès des utilisateurs aux contrôles administratifs est un point important pour les administrateurs système au sein d'une société, savoir quels services réseau sont actifs, a une importance vitale pour les personnes installant ou utilisant un système Linux.

De nombreux services sous Red Hat Enterprise Linux se comportent comme des serveurs réseau. Si un service réseau est exécuté sur un ordinateur, une application serveur nommée daemon est en attente de connexions sur un ou plusieurs ports réseau. Chacun de ces serveurs devrait être considéré comme une source potentielle d'agression.

4.5.1. Dangers pour les services

Les services réseau peuvent poser de nombreux risques pour les systèmes Linux. Ci-dessous figure une liste de certains problèmes importants :

Afin de limiter les possibilités d'attaques sur le réseau, tout service non-utilisé devrait être désactivé.

4.5.2. Identification et configuration de services

Afin d'accroître la sécurité, la plupart des services réseau installés avec Red Hat Enterprise Linux sont désactivés par défaut. Il existe néanmoins des exceptions notables :

Lors de la décision relative à la désactivation ou non de ces services, il est préférable d'utiliser le bon sens et un certain degré de précaution. Par exemple, si vous ne possédez pas d'imprimante, ne laissez pas cupsd en cours d'exécution. Il en est de même pour portmap. Si vous ne montez pas de volumes NFS ou utilisez NIS (le service ypbind), portmap devrait être désactivé.

Red Hat Enterprise Linux est vendu avec trois programmes conçus pour activer et désactiver des services, à savoir l'Outil de configuration des services (redhat-config-services), ntsysv et chkconfig. Pour de plus amples informations sur l'utilisation de ces outils, consultez le chapitre intitulé Contrôle de l'accès aux services du Guide d'administration système de Red Hat Enterprise Linux.

Figure 4-3. Outil de configuration des services

Si vous n'êtes pas certain du but d'un certain service, l'Outil de configuration des services illustré dans la Figure 4-3 peut être utile, car il dispose d'un champ de description.

Néanmoins, il n'est pas suffisant de vérifier et identifier quels services réseau sont disponibles et prêts à être lancés au démarrage. De bons administrateurs système devraient également vérifier quels ports sont ouverts et en attente de requêtes. Consultez la Section 5.8 pour obtenir de plus amples informations sur le sujet.

4.5.3. Services non-sécurisés

Tout service réseau est potentiellement vulnérable au niveau sécurité. Telle est la raison pour laquelle la désactivation de services non-utilisés est une mesure de protection importante. Les différentes exploitations de services sont identifiées et corrigées régulièrement . Il est donc important de mettre à jour régulièrement les paquetages associés à tout service réseau. Consultez le Chapitre 3 pour obtenir de plus amples informations sur le sujet.

Certains protocoles réseau sont par nature plus vulnérables au niveau sécurité que d'autres. Dans cette situation figurent également tous les services effectuant les opérations suivantes :

Parmi les services non-sécurisés par nature figurent :

Il est recommandé d'éviter tous les programmes de connexion à distance et de shell (rlogin, rsh et telnet) au profit de SSH (consultez la Section 4.7 pour obtenir de plus amples informations sur sshd).

FTP, en tant que shells distants, n'est pas par nature dangereux au niveau de la sécurité du système, mais les serveurs FTP doivent être méticuleusement configurés et surveillés afin d'éviter tout problème. Consultez la Section 5.6 pour obtenir de plus amples informations sur la sécurisation de serveurs FTP.

Parmi les services devant être implémentés avec précaution et devant se trouver derrière un pare-feu figurent :

Le Chapitre 5 contient de plus amples informations sur la sécurisation de services réseau.

La section suivante examine les outils disponibles pour mettre en place un pare-feu élémentaire..