Академический Документы
Профессиональный Документы
Культура Документы
cron
system config X
X11
cups
nis
ldap
ACL (symbole +)
# semodule -i /usr/share/selinux/refpolicy-targeted/apache.pp
ajout policy pour apache
# getsebool -a
allow_ftpd_anon_write --> off
# setsebool –P allow_ftpd_anon_write 1
activer le booléen permettant utilisateurs anonymes de créer des fichiers via FTP
ps -Z
L'option -Z permet d'afficher le contexte de sécurité en plus des informations habituelles
affichées avec ps.
ls -Z
L'option -Z permet d'afficher les droits classique et le contexte de sécurité des fichiers.
id -Z
Affiche le contexte de sécurité de l'utilisateur courant.
newrole
Permet de changer de rôle et/ou de type
sestatus
Affiche les informations d'état de SELinux (actif, mode de fonctionnement, etc)
semodule
Permet de gérer les modules de sécurité, les "policy package".
fixfiles
Permet de vérifier et de restaurer les labels du système de fichier
restorecon
Permet de restaurer les labels d'une partie du système de fichier
chcon
Permet de spécifier manuellement les informations de sécurité des fichiers
getenforce
Retourne le mode de fonctionnement courant de SELinux (permissive, enforcing).
setenforce
Change le mode de fonctionnement de SELinux
semanage
Permet de configurer les règles actives pour personnaliser certains paramètres de sécurités
getsebool
Retourne la liste des booléens utilisables pour personnaliser la sécurité des services.
setsebool
Permet de fixer la valeur des booléens utilisé pour personnaliser la sécurité des services
audit2allow
Utiliser les logs des permissions refusées pour écrire des politiques de sécurité appropriées
et ne plus générer ces erreurs.
checkmodule et semodule_package
Ces deux commandes sont utilisées pour compiler des règles de sécurité pour faire un
"policy package" qui est ensuite chargé avec semodule.
MEMO LINUX RHCE SERE 8
nfs
#system-config-nfs outil config nfs
#service nfs status visualiser si le service nfs est bien démarré
automounter
#service autofs status visualiser si le service autofs est bien démarré
snapshots LVM
network
# ethtool eth0 parametre vitesse et duplex
# ethtool –s eth0 autoneg off speed 100 duplex full parametrage de la carte
pour rendre permanant : /etc/sysconfig/network-scripts/ifcfg-eth0
ETHTOOL_OPTS :
ETHTOOL_OPTS= «autoneg off speed 100 duplex full”
ipv6
# vi /etc/sysconfig/network-scripts/ifcfg-eth0
IPV6INIT=yes
IPV6ADDR=2001 :db8 :100 :0 ::1/64
IPV6ADDR_SECONDARIES=2001 :db8 :100 :0 :1::1/64 2001 :db8 :100 :0 :2::1/64
# ping6
# traceroute6
pam
# /etc/pam.d/ fichiers de conf PAM des services (Pluggable Authentication Modules)
# cat /etc/pam.d/crond
Auth : Authentification Account : Gestion de compt Session : Gestion de session Password : Gestion des Mdp
binding : Si le module réussit et qu'aucun module précédent de la chaîne n'a échoué, la chaîne s'interrompt immédiatement et
la requête est autorisée. Si le module échoue le reste de la chaîne est exécuté, mais la requête est rejetée au final.
Required : Si le module réussit, le reste de la chaîne est exécuté, et la requête est autorisée si aucun des autres modules
n'échoue. Si le module échoue, le reste de la chaîne est exécuté, mais au final la requête est rejetée.
Requisite : Si le module réussit le reste de la chaîne est exécuté, et la requête est autorisée sauf si d'autres modules échoués.
Si le module échoue la chaîne est immédiatement terminée et la requête est rejetée.
Sufficient : Si le module réussit et qu'aucun des modules précédent n'a échoué la chaîne est immédiatement terminée et la
requête est allouée. Si le module échoue il est ignore et le reste de la chaîne est exécuté.
Optional : Le module est exécuté mais le résultat est ignoré. Si tout les modules de la chaîne sont marqués optional, toutes les
requêtes seront toujours acceptées.
includedir /etc/xinetd.d repertoire contenant les conf des services geres par xinetd
no_access = 10.0.1.0/24
access_times = 09:45-16:15 Acces Control
only_from = 10.0.1.67
bind = 123.123.123.123
redirect = 10.0.1.13 21 23 bind and redirect Options, redirection vers second NIC int
tcp_wrappers
# /etc/host.deny fichier de conf tcp_wrappers
exemple /etc/host.allow
in.telnetd : .astech.fr, 194.206.124.2, 194.208.175. EXCEPT diable.astech.fr
in.fingerd : LOCAL
ALL - Correspond à chaque client lié à ce service précis ou même chaque service utilisant le contrôle d'accès.applicable aux démons.
LOCAL - Correspond à tous les hôtes sans le symbole " ."
KNOWN - Correspond à tous les hôtes dont le nom d'hôte, l'adresse hôte ou l'utilisateur est connu.
UNKNOWN - Correspond à tous les hôtes dont le nom d'hôte, l'adresse hôte ou l'utilisateur est inconnu.
PARANOID - Correspond à tout hôte dont le nom ne correspond pas à l'adresse d'hôte.
Fichiers type :
# hosts.allow
ALL : LOCAL
in.ftpd : 192.168.0.,10.194.168.0/255.255.255.0, 192.168.1.1
in.telnetd : .iut.u-clermont1.fr
#hosts.deny
ALL:ALL
Table NAT
Chaîne PREROUTING.
Translation d'adresse de destination. Simulation serveur WEB sur le port 80 hébergé par un hôte du
réseau privé, sur le port 8080.
Chaîne POSTROUTING.
Translation d'adresse de la source, comme du masquage d'adresse, méthode classique pour connecter
un réseau privé comme client de l'Internet, avec une seule adresse IP publique.
Chaîne OUTPUT.
Modifier la destination de paquets générés localement
Table MANGLE
Marquage des paquets entrants (PREROUTING) et générés localement (OUTPUT). Le marquage de
paquets va permettre un traitement des paquets marqués dans les tables de routage avec IPROUTE 2.
ACCEPT
Les paquets qui satisfont aux critères sont acceptés, ils continuent leur chemin dans la pile,
DROP
Les paquets qui satisfont aux critères sont rejetés, on les oublie, on n'envoie même pas de message
ICMP . Un trou noir, quoi.
LOG
Cible particulière qui permet de tracer au moyen de syslog les paquets qui satisfont aux critères.
# system-config-httpd
# /etc/httpd/conf/httpd.conf fichier de conf principal de Httpd
Directive Description
ServerTokens Specifies the response code at the bottom of error pages; if you're interested,
see what happens when you change the values between OS, Prod, Major,
Minor, Min, and Full.
ServerRoot Sets the default directory; other directives are subdirectorie (/etc/httpd/ .
PidFile Names the file with the Process ID (and locks the service).
Timeout Limits access time for both sent and received messages.
KeepAlive Supports persistent connections.
KeepAliveTimeout Sets a time limit, in seconds, before a connection is closed.
StartServers Adds child Apache processes; normally set to 8, which means 9 Apache
processes run upon startup.
MaxSpareServers Specifies a maximum number of idle child servers; always at least +1 greater
than MinSpareServers.
MaxClients Limits the number of simultaneous requests; other requests to the server just
have to wait.
http://www.linux-kheops.com/doc/redhat72/rhl-rg-fr-7.2/s1-apache-config.html#S2-APACHE-OPTIONS
http://apache.developpez.com/faq/?page=fichiers_htaccess#interdire_listing
# /etc/httpd/conf/httpd.conf
<Directory "/var/www/html">
Options FollowSymLinks Supprimer Indexes
AllowOverride None
Order allow,deny
Allow from all
</Directory>
# /var/www/html/test/.htaccess
Options –Indexes
# /etc/httpd/conf/httpd.conf
<Directory "/var/www/html">
Options FollowSymLinks
AllowOverride AuthConfig
Order allow,deny
Allow from all
</Directory>
# /var/www/html/test/.htaccess
AuthUserFile "/tmp/sec/.htpwd"
AuthName Authentification
AuthType Basic
Require valid-user
# /etc/httpd/conf/httpd.conf
<Directory "/var/www/html">
Options FollowSymLinks
AllowOverride none
Order allow,deny Acces est refusé par défaut
Allow from 20.10.0.0/24
</Directory>
vftp
# yum install vsftpd
# setsebool –P ftp_home_dir 1
# getsebool –a
# vi /etc/vsftpd/vsftpd.conf
anonymous_enable=YES
local_enable=YES
write_enable=YES
local_umask=022
chroot_list_enable=YES
connect_from_port_20=YES
tcp_wrappers=YES utilisation /etc/hosts.allow et /etc/hosts.deny
pam_service_name=YES
samba
# setsebool –P samba_enable_home_dirs 1
# vi /etc/samba/smb.conf
[global]
workgroup = DOCS
netbios name = DOCS_SRV
security = user share pour activer acces anonyme avec guest only = Yes sous [data]
printcap name = cups
disable spools = Yes
show add printer wizard = No
printing = cups
[data]
comment = Data
path = /data
force user = docsbot
force group = users
guest ok = Yes
[printers] [printers]
comment = All Printers comment = Fred’s Printer
path = /var/spool/samba valid users = fred
printer admin = john, ed, @admins path = /home/fred
create mask = 0600 printer = freds_printer
guest ok = Yes public = no
printable = Yes writable = no
use client driver = Yes printable = yes
browseable = Yes
named
# /etc/nsswitch.conf ordre de recherche « files,dns »
# /etc/hosts fichier dns local
# /etc/resolv.conf adresse des serveurs DNS
# setsebool –P named_write_master_zones 1
# system-config-bind
options {
listen-on port 53 { 127.0.0.1; 192.168.2.222; };
// listen-on-v6 port 53 { ::1; };
directory "/var/named"; emplacement des fichiers data (/var/named/chroot si bind-chroot installé)
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
query-source port 53;
// query-source-v6 port 53;
allow-query { localhost; 192.168.0.0/24; }; plage autorisée a accecer au serveur DNS
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
view localhost_resolver {
match-clients { localhost; };
match-destinations { localhost; };
recursion yes;
include "/etc/named.rfc1912.zones";
};
Zone “example.org” IN {
type slave;
file “slave/example.com.org";
Masters {
192.168.30.5
};
};
dovecot
# /etc/dovecot.conf reception Pop ou Imap
# /usr/share/doc/dovecot-versionnum/exemples/mkcert.sh
Script a executer pour Secure Certificat
sendmail
# /etc/mail/sendmail.mc
dnl DAEMON_OPTIONS(`Port=smtp,Addr=127.0.0.1, Name=MTA') dnl
FEATURE(`accept_unresolvable_domains')dnl
# /etc/mail/access
192.168.0.30 RELAY
# make –C /etc/mail/
dhcpd
# /etc/dhcpd.conf
subnet 192.168.0.0 netmask 255.255.255.0
option routers
# /etc/X11/xorg.conf
Option « DontVTSwitch » « on » empeche Ctrl-Alt-FX
Option « DontZap » « on » empeche Ctrl-Alt-Bck
# /etc/X11/prefdm
# Run preferred X display manager
preferred=kdm ou gdm
# /etc/sysconfig/desktop
# export DISPLAY=localhost:0.0