Serveur : Administration à distance et sécurité (Webmin, OpenSSH)

Administration à distance et sécurité (Webmin, OpenSSH)

Administration à distance
Sécurité
Cryptographie
Authentification
Législation
Documentation

Administration à distance

Telnet

Dans un environnement interne, Telnet est un outil utile, surtout si vous devez visualiser des données dans un système mixte NT-UN*X. Mais si vous utilisez Telnet hors d'un environnement sécurisé, la sécurité est menacée, car l'application transmet les mots de passe, les noms d'utilisateurs et d'autres données en clair. Si vous devez utilisez Telnet dans un environnement ouvert, chiffrez vos données sensibles.

Finger

Cet utilitaire qui existe à la fois pour NT et UN*X, procure des informations sur les utilisateurs d'un système. Il suffit aux pirates de donner un prénom ou un nom et l'utilitaire renvoie les noms de logon des utilisateurs avec les noms et les prénoms correspondants. S'ils donnent une adresse e-mail, l'utilitaire renvoie des informations sur le profil de l'utilisateur (par exemple son nom complet) et spécifie s'il est connecté à ce moment-là. Une fois que les pirates ont une liste de noms d'utilisateurs, la tâche de découvertes systèmatique des mots de passe devient un jeu. C'est à cause de ces problèmes de sécurité qu'il faut éviter d'utiliser cet utilitaire.

(r)command

Plusieurs utilitaires r-command (comme rcp, rlogin et rsh) de la version Berkeley d'UN*X sont utiles mais posent beaucoup de problèmes de sécurité. Un renifleur peut capturer sans mal des informations r-command, puisque les utilitaires transmettent toutes les informations, y conpris le noms d'utilisateurs et les mots de passe en clair. Beaucoup d'éditeurs proposent des utilitaires r-command en freeware, mais nous vous recommandons d'éviter de les utiliser dans votre réseau.
Si vous devez utiliser des utilitaires r-command, chiffrez vos données sensibles. Il est possible de faire appel à S-HTTP (Secure HTTP) ou SSL (Secure Sockets Layer) pour chiffrer les mots de passe et les données à la fois avec NT et UN*X. N'utilisez pas HTTP car c'est un protocole non chiffré qui n'évite pas les renifleurs ou l'espionnage.

Linuxconf

http://www.solucorp.qc.ca/linuxconf
Linuxconf 1.16r10 - 10 décembre 1999
Linuxconf is a sophisticated administrative tool. It is both an activator and a configurator. It can manage users, mail, crontab, network, file systems, samba, dns, disk quotas, dhcpd and uucp. It has some unique features like configuration versioning and multiple machine management. It supports multiples languages (French,German,Italian,...) and can be administred from ncurses(text), web or X user interface.
Changes: Start of the 1.15 series, mrtg module enhanced, binary compatibility for modules improved, timeout added at boot time for modules. updated or new translations (Swedish, Slovak, French, Czech, Spanish and Chinese) as well as a file handle leak fixed (related to ip aliases).

Webmin 0.70 5 mars 1999
Webmin is a web-based interface for system administration for Un*x. Using any browser that supports tables and forms, you can setup user accounts, internet services, DNS, file sharing and so on.
Changes: Added Majordomo list manager module, added ISC DHCP server module, added network configuration module for Solaris and Redhat, added option in setup.sh to have Webmin start at boot time, improved file manager error handling, added FreeBSD 3.0 support, added limited support for IRIX 6.2 and OSF/1 4.0 as well as major ACL checking improvements for Webmin users.

Sécurité

Normalement, Windows NT et UN*X reposent sur TCP/IP comme protocole réseau de base. C'est pourquoi il est relativement facile de connecter des ordinateurs NT et UN*X entre eux et à l'Internet. En revanche, les deux OS sont enclins aux mêmes faiblesses, inhérentes à TCP/IP. Il peut se produire des atteintes potentielles à la sécurité en cas d'utilisation d'outils et d'utilitaires basés sur TCP/IP, tels que FTP, TFTP (Trivial File Transfer Protocol), DNS, les utilitaires distants (r)command, Telnet, finger et NFS.

SSH 2.0.12 et SSF 5 février 1999
SSH (Secure Shell) is a program to log into another computer over a network, to execute commands in a remote machine, and to move files from one machine to another. It provides strong authentication and secure communications over insecure channels. It is intended as a replacement for rlogin, rsh, rcp, and rdist.
Changes: Hit the changelog link for a detailed list of changes. Version 2.0.12 also includes a new FAQ.
Attention ! Les lois en vigueur en France (même les décrets de début 1998) interdisent l'utilisation de SSH. Sans commentaire.
SSF a été concu pour palier ce manque de sécurité par l'utilisation d'une clé de codage limité à 40 bits.
Depuis le 19 janvier 1999, le Premier Ministre Lionel Jospin autorise tous procédé de cryptage.

OpenSSH 2.5.1 19 février 2001
Créer les clés de l'hôte :
ssh-keygen -t rsa1 -f /etc/ssh/ssh_host_key -C "Commentaires" -N ""
ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key -C "Commentaires" -N ""
ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key -C "Commentaires" -N ""
Créer ses clés personnelles :
$ ssh-keygen -b 1024 -t rsa1 -C "Commentaires" -N "phrase_de_passe"
$ ssh-keygen -b 1024 -t dsa -C "Commentaires" -N "phrase_de_passe"

fsh 0.3 15 février 1999
fsh is a tool for establishing an ssh tunnel for remote execution of commands without requiring an ssh authentication on every connection. Once the tunnel is established, remote commands can be executed almost instantaneously. This makes systems such as remote cvs over ssh much faster.
Changes: fshd is now started automatically by fsh. fsh understands the "-l user" flag, so you no longer have to have the same username on the local and remote system.

MindTerm 0.98 3 février 1999
MindTerm is a complete ssh-client in pure java. It can be used either as a standalone java-application or as a java- applet. The source-code is freely available (GPL). Three packages of importance are provided, terminal, ssh, and security. The terminal package is a rather complete vt102/xterm-terminal. The ssh-package contains the ssh- protocol and also "drop-in" socket replacements to use ssh- tunnels transparently from a java application/applet. It also contains functionality to realize a ssh-server. Finally the security package contains RSA, DES, 3DES, RC4 and Blowfish ciphers.
Changes: Some bug-fixes and new features, see CHANGES for details.

nmap 2.06 9 février 1999
Nmap is a utility for exploration or security auditing of large networks, although it works fine for single hosts. It supports ping scanning, many port scanning techniques, and TCP/IP fingerprinting. Nmap also offers flexible target and port specification, decoy scanning, determination of TCP sequence predictability characteristics, reverse-identd scanning, and output to machine parseable or human readable log files.
Changes: Many many enhancements. See webpage for details.

Cheops 0.59 5 janvier 1999
Cheops is a network "swiss army knife". It's "network neighborhood" done right (or gone out of control, depending on your perspective). It's a combination of a variety of network tools to provide system adminstrators and users with a simple interface to managing and accessing their networks. Cheops aims to do for the network what the file manager did for the filesystem.
Changes: This version includes plugin monitor support, and monitors are included for FTP, SMTP, HTTP, PING, and DNS. A generalized event logger logs to a file, an event window, and optionally sends e-mail. Gnome support is enhanced, but Gnome is not required to run it.
Note: This version is not compatible with very recent gtk's (1.1.9 ) and I am actively seeking developers to help me resolve the issues that make it unstable. GTK 1.0.6 is recommended for this release.

KSniffer 0.1.4 6 février 1999
KSniffer is a network statistics collector. It supports most TCP/IP protocols, (TCP, IP, UDP, ICMP, ARP, RARP as well as minimal IPX). Ksniffer reports on traffic in bytes or packets, activity (kbits/sec, kbytes/sec, packets/sec), as well as by protocol (http, irc, etc). (Based on iptraf v1.4.2 by Gerard Paul Java)
Changes: Added port filtering feature to monitor ports above 1024, such as IRC (6667) and half-life (27015). Also added documentation for the Help menu. Fixed some bugs.

SATAN SATAN 1.1.1
Security Administrator's Tool for Analysing Networks est un outil de test de la sécurité de votre système.

TripWire de Visual Computing Corp
Logiciel de détection des intrusions pour UN*X et systèmes d'exploitations dérivés.
Tiger et COPS en sont d'autres. Ce site Web en donne une liste.

SAINT Released (ver 1.3.6) 1 février 1999
SAINT (Security Administrator's Integrated Network Tool) is a security assesment tool based on SATAN. Features include scanning through a firewall, updated security checks from CERT & CIAC bulletins, 4 levels of severity (red, yellow, brown, & green) and a feature rich HTML interface.
Changes: Fixed boot.c for Solaris 7, added SARA modules for IMAP performance and SSH vulnerability check. Fixed Microsoft false alrm on ftp dirs, improved tcp wrapper detection.

Cryptographie

3DES

Blowfish

DES

Data Encryption Standard

Algorythme de codage symétrique (la même clé est utilisé pour le codage et le décodage).
Utilise des clés de 56 bits.

IDEA

International Data Encryption Algorithmus

Algorythme de codage symétrique (la même clé est utilisé pour le codage et le décodage).
Utilise des clés de 128 bits.

OpenPGP (PGP/GPG)

Pretty Good Privavy crée par Phil Zimmermann.

C'est une interface conviviale qui associe RSA, IDEA et MD5 pour le codage complet des messages.

Algorythme de codage asymétrique (une clé différente est utilisé pour le codage et le décodage).
Utilise des clés de taille variable à volonté allant jusqu'à 2048 bits.

GnuPG

http://www.gnupg.org/
GnuPG est un remplacement complet et gratuit de PGP. N'utilisant ni l'IDEA ou le RSA, il peut être utilisé sans aucune restriction d'aucun type. GnuPG est une application RFC2440 (OpenPGP).
GnuPG 1.0.3 -- , 1650ko (.tar.gz)

Fonctionnalités

Remplacement complet de PGP.
N'utilise aucun algorithme breveté.
GPLed, source écrit sans aucune base.
Peut être utilisé comme un programme filtre.
Implémentation totalement OpenPGP.
Meilleure fonctionnalité que PGP et des améliorations de sécurité.
Déchiffre et vérifie les messages PGP 5.x
Permet l'utilisation d'ElGamal (signature et chiffrement), DSA, 3DES, Blowfish, Twofish, CAST5, MD5, SHA-1, RIPE-MD-160 et TIGER.
Implémentation facile de nouveaux algorithmes par l'utilisation de modules d'extension.
L'identifiant de l'utilisateur est créé dans un format standard.
Permet l'utilisation d'une date d'expiration de clef.
Plusieurs langues disponibles: anglais, français, allemand, italien, polonais, portugais (Brésilien), russe et espagnol.
Système d'aide en ligne.
Récepteurs anonymes de message optionnels.
Permet l'utilisation de serveurs de clefs HKP (wwwkeys.pgp.net)
et beaucoup d'autres choses....

RFC2222 Simple Authentication and Security Layer (SASL). J. Myers. October 1997. (Format: TXT=35010 bytes) (Status: STANDARDS TRACK)
Disponible à : ftp://ftp.imag.fr/pub/archive/IETF/rfc/rfc2222.txt
RFC2828 Internet Security Glossary. R. Shirey. May 2000. (Format: TXT=489292 bytes) (Status: Informational)
Disponible à : ftp://ftp.imag.fr/pub/archive/IETF/rfc/rfc2828.txt
RFC2831 Using Digest Authentication as a SASL Mechanism. P. Leach, C. Newman. May 2000. (Format: TXT=58124 bytes) (Status: STANDARDS TRACK)
Disponible à : ftp://ftp.imag.fr/pub/archive/IETF/rfc/rfc2831.txt

FAQ non officielle et politiquement incorrecte de fr;comp.securite
Disponible à : http://michel.arboi.free.fr/secu/FAQNOPI/


Christophe Merlet redfox@redfoxcenter.org	©Tous droits réservés 19 juillet 2001