IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
logo

FAQ BSDConsultez toutes les FAQ

Nombre d'auteurs : 6, nombre de questions : 127, dernière mise à jour : 20 novembre 2007  Ajouter une question

 

Cette FAQ a été réalisée à partir des contributions des membres du forum Unix de developpez.com et de l'équipe de rédaction.

Organisation : cette FAQ se compose de deux grandes parties. Une première, Questions générales, qui regroupe toutes les questions qui trouvent une réponse, commune ou non, pour l'ensemble des systèmes BSD. La deuxième est découpée en autant de sous-parties qu'il y a de systèmes BSD soit parce que la question est spécialisée soit parce que la réponse est incomplète pour qu'elle concerne chacun de ces systèmes.

Participer : nous sommes perpétuellement à l'écoute de vos suggestions et corrections, aussi mineures soient-elles. N'hésitez pas à nous en faire part par l'intermédiaire de la discussion prévue à cet effet .

Note : l'exactitude des informations figurant dans la présente FAQ sont autant que possible vérifiée avant intégration. Cependant, nous ne pouvons garantir l'absence de toute erreur, c'est pourquoi les auteurs ne pourront en aucun cas être tenus pour responsables.

SommaireFreeBSDFreeBSD SystèmeSystème Sécurité (7)
précédent sommaire suivant
 

Vous pouvez fixer un mot de passe au menu de boot de FreeBSD en ajoutant la ligne suivante à /boot/loader.conf :

Code : Sélectionner tout
password=azerty
Ce mot de passe étant stocké en clair, il est recommandé de n'autoriser que son propriétaire (root) à le lire ou à y écrire :

Code linux : Sélectionner tout
chmod u=rw,go= /boot/loader.conf

Mis à jour le 1er août 2007 julp

Vous avez probablement remarqué qu'il est possible d'ouvrir une session sur votre système en utilisant le compte root. Ce n'est pas conseillé du fait que ce compte est autorisé à tout faire.

La solution, éditez le fichier /etc/ttys et repérez la section qui va de ttyv0 à ttyv8. Il suffit ensuite de changer le mot secure en insecure pour chacune de ces lignes.

Vous obtenez un affichage similaire à celui-ci :

Code linux : Sélectionner tout
1
2
3
4
5
6
7
8
9
10
ttyv0   "/usr/libexec/getty Pc"		cons25	on  insecure 
# Virtual terminals 
ttyv1   "/usr/libexec/getty Pc"		cons25	on  insecure 
ttyv2   "/usr/libexec/getty Pc"		cons25	on  insecure 
ttyv3   "/usr/libexec/getty Pc"		cons25	on  insecure 
ttyv4   "/usr/libexec/getty Pc"		cons25	on  insecure 
ttyv5   "/usr/libexec/getty Pc"		cons25	on  insecure 
ttyv6   "/usr/libexec/getty Pc"		cons25	on  insecure 
ttyv7   "/usr/libexec/getty Pc"		cons25	on  insecure 
ttyv8   "/usr/X11R6/bin/xdm -nodaemon"  xterm   off insecure
Vous pouvez apporter ces changements en utilisant la commande sed comme suit :

Code linux : Sélectionner tout
sed -i.old -e '35,44s/secure/insecure/' /etc/ttys
Pour tester, essayez de vous logguez en utilisant le compte root, vous devriez avoir le message :

Code : Sélectionner tout
Login incorrect

Mis à jour le 1er août 2007 Olivier Regnier

Le moyen le plus sûr est de s'orienter vers sudo. Il est disponible dans la catégorie security des ports. Voici un exemple de fichier /usr/local/etc/suoders vous permettant de définir la liste des utilisateurs pouvant utiliser les commandes d'extinction de la machine :

Code linux : Sélectionner tout
1
2
3
4
5
6
7
8
9
10
11
# Machines depuis lesquelles les commandes peuvent être effectuées 
Host_Alias      HALT_HOSTS = 127.0.0.1,192.168.0.0/32 
 
# Liste des utilisateurs 
User_Alias      HALT_USERS = oregnier,julp,gnux 
 
# Commandes 
Cmnd_Alias      HALT_CMD = /sbin/halt, /sbin/reboot, /sbin/shutdown 
 
# Extinction du PC (mot de passe non demandé) 
HALT_USERS HALT_HOSTS = NOPASSWD: HALT_CMD

Mis à jour le 1er août 2007 julp

Garder son système propre telle est ma devise. Voici une petite astuce pour nettoyer /tmp au démarrage de votre système.

Il suffit d'ajouter la ligne suivante à votre fichier /etc/rc.conf :

Code linux : Sélectionner tout
clear_tmp_enable="YES"
Voilà à chaque démarrage de votre machine, vous aurez un /tmp propre.

Mis à jour le 1er août 2007 Olivier Regnier

L'algorithme par défaut utilisé pour le chiffrement du mot de passe utilisateur est md5. Nous allons utiliser Blowfish, car il fournit la sécurité la plus élevée à une plus grande vitesse.

Pour ce faire, éditez /etc/login.conf et changez la ligne passwd_format afin qu'elle ressemble à ceci:

Code : Sélectionner tout
:passwd_format=blf:\
Ensuite, vous devez reconstruire la base de donnée avec la commande suivante:

Code linux : Sélectionner tout
cap_mkdb /etc/login.conf
Vous pouvez dès à présent changer le mot de passe de vos utilisateurs avec la commande :

Code linux : Sélectionner tout
passwd username
Pour vérifier que tous vos utilisateurs bénéficient du cryptage Blowfish, utilisez la commande:

Code linux : Sélectionner tout
more /etc/master.passwd
Tous les mots de passe de vos utilisateurs doivent commencer par $2.

La dernière étape consiste à configurer l'utilitaire adduser afin que chaque nouvel utilisateur créé utilise Blowfish.

Pour cela, éditez /etc/auth.conf et saisissez la ligne suivante :

Code : Sélectionner tout
crypt_default=blf

Mis à jour le 1er août 2007 Olivier Regnier

Tout comme sous Windows, on peut utiliser la combinaison de touches Ctrl+Alt+Suppr qui permet au système de redémarrer.

Si vous souhaitez désactiver cette fonctionnalité, il suffit d'ajouter cette option dans votre noyau :

Code : Sélectionner tout
options SC_DISABLE_REBOOT
Pour que la modification soit prise en compte, recompilez votre noyau et redémarrez votre système.

Mis à jour le 1er août 2007 Olivier Regnier

La découverte de failles de sécurité dans les ports est facilitée par l'utilisation d'un logiciel du nom de portaudit.

En effet, grâce à une base de données directement accessible par téléchargement, il liste les logiciels installés sur votre FreeBSD ayant au moins une faille de sécurité.

Pour débuter l'installation de portaudit, exécutez en root les commandes :

  • A partir des sources :

    Code linux : Sélectionner tout
    make -C /usr/ports/ports-mgmt/portaudit/ install clean
  • Ou via les paquetages précompilés :

    Code linux : Sélectionner tout
    pkg_add -r portaudit


Lors de la première utilisation, il est impératif de télécharger la base de données actualisée des vulnérabilités :

Code linux : Sélectionner tout
portaudit -Fd
Pour obtenir la liste des logiciels présents sur votre système ayant quelques vulnérabilités, saisissez :

Code linux : Sélectionner tout
portaudit -a

Mis à jour le 1er août 2007 Olivier Regnier

Proposer une nouvelle réponse sur la FAQ

Ce n'est pas l'endroit pour poser des questions, allez plutôt sur le forum de la rubrique pour ça


Réponse à la question

Liens sous la question
précédent sommaire suivant
 

Les sources présentées sur cette page sont libres de droits et vous pouvez les utiliser à votre convenance. Par contre, la page de présentation constitue une œuvre intellectuelle protégée par les droits d'auteur. Copyright © 2022 Developpez Developpez LLC. Tous droits réservés Developpez LLC. Aucune reproduction, même partielle, ne peut être faite de ce site et de l'ensemble de son contenu : textes, documents et images sans l'autorisation expresse de Developpez LLC. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts.