Liste de contrôle de Sécurité

Editer en ligne

Voici une liste de contrôle des actions de sécurité à effectuer sur un système récemment installé ou existant.

Bien que cette liste ne soit pas une liste de contrôle de sécurité complète, elle peut servir de base pour la création d'une liste de contrôle de sécurité pour votre environnement.
  • Lors de l'installation d'un nouveau système, installez AIX à partir d'un support de base sécurisé. Exécutez les procédures suivantes lors de l'installation :
    • N'installez pas de logiciel de bureau, tel que CDE, GNOME ou KDE, sur les serveurs.
    • Installez les correctifs de sécurité requis et les correctifs de maintenance et de niveau de technologie recommandés. Consultez le site Web IBM System p eServer Support Fixeshttp://www.ibm.com/support/fixcentral pour obtenir les derniers bulletins de service, avis de sécurité et informations sur les correctifs.
    • Sauvegardez le système après l'installation initiale et conserva la sauvegarde du système dans un emplacement sécurisé.
  • Établissez des listes de contrôle d'accès pour les fichiers et répertoires restreints.
  • Désactivez les comptes d'utilisateur et les comptes système inutiles, tels que le démon, bin, sys, adm, lp et uucp. La suppression de comptes n'est pas recommandée car elle supprime les informations de compte, telles que les ID utilisateur et les noms d'utilisateur, qui peuvent toujours être associées à des données sur les sauvegardes du système. Si un utilisateur est créé avec un ID utilisateur précédemment supprimé et que la sauvegarde système est restaurée sur le système, le nouvel utilisateur peut avoir un accès inattendu au système restauré.
  • Consultez régulièrement les fichiers /etc/inetd.conf, /etc/inittab, /etc/rc.nfset /etc/rc.tcpip et supprimez tous les démons et services inutiles.
  • Vérifiez que les droits d'accès aux fichiers suivants sont correctement définis :
    
-rw-rw-r-- root     system  /etc/filesystems
-rw-rw-r-- root     system  /etc/hosts
-rw------- root     system  /etc/inittab
-rw-r--r-- root     system  /etc/vfs
-rw-r--r-- root     system  /etc/security/failedlogin
-rw-rw---- root     audit   /etc/security/audit/hosts
  • Désactivez le compte root pour pouvoir se connecter à distance. Le compte root doit pouvoir se connecter uniquement à partir de la console système.
  • Activez l'audit du système. Pour plus d'informations, voir Présentation de l'audit.
  • Activez une règle de contrôle de connexion. Pour plus d'informations, voir Contrôle de connexion.
  • Désactivez les droits utilisateur pour exécuter la commande xhost . Pour plus d'informations, voir Gestion des problèmes liés à X11 et CDE.
  • Empêchez les modifications non autorisées de la variable d'environnement PATH . Pour plus d'informations, voir Variable d'environnement PATH.
  • Désactivez telnet, rlogin et rsh. Pour plus d'informations, voir Sécurité TCP/IP.
  • Établir des contrôles de compte utilisateur. Pour plus d'informations, voir Contrôle du compte utilisateur.
  • Appliquer une règle de mot de passe stricte. Pour plus d'informations, voir Mots de passe.
  • Établir des quotas de disque pour les comptes utilisateur. Pour plus d'informations, voir Recovering from over-quota conditions.
  • N'autorisez que les comptes d'administration à utiliser la commande su. Surveillez les journaux de la commande su dans le fichier /var/adm/sulog .
  • Activez le verrouillage d'écran lors de l'utilisation de X-Windows.
  • Limitez l'accès aux commandes cron et at aux seuls comptes qui ont besoin d'y accéder.
  • Utilisez un alias pour la commande ls pour afficher les fichiers et les caractères masqués dans un nom de fichier.
  • Utilisez un alias pour la commande rm afin d'éviter la suppression accidentelle de fichiers du système.
  • Désactivez les services réseau inutiles. Pour plus d'informations, voir Services réseau.
  • Effectuez fréquemment des sauvegardes système et vérifiez l'intégrité des sauvegardes.
  • Abonnez-vous aux listes de distribution de courrier électronique liées à la sécurité.