Msec
Un article de Wiki de la communauté Mandriva.
[modifier] Interface graphique
Avant toute explication vous aurez peut-être envie de jeter un coup d'œil à l'interface graphique de msec. Nous commencerons donc par cela. Ce qui ne doit surtout pas vous empêcher de lire ce qui viendra ensuite.
Msec permet de faire deux choses distinctes et c'est pourquoi il y a deux interfaces différentes :
- Pour modifier les paramètres systèmes et / ou le niveau de sécurité, utiliser
Draksec
- Pour modifier et forcer les permissions sur des répertoires ou des fichiers, utiliser
Drakperm
[modifier] Quel niveau de sécurité choisir ?
Historiquement, les niveaux de sécurité de msec avaient des noms significatifs. Pour le niveau 0, le nom était "Bienvenue aux pirates", pour le 1 c'était "Médiocre", le 2 "Faible", le 3 "Moyen", le 4 "Haut" et le 5 était "Paranoïaque". Ces noms allaient bien avec ce que faisait chaque niveau.
Comment déterminer le niveau qui vous convient ? Il y a évidemment une idée derrière chaque niveau, et vous devez déterminer la frontière entre sécurité et facilité d'utilisation pour vous-même. Ci-après des scénarios typiques pour chaque niveau de sécurité.
- Niveau 0 ou Bienvenue aux pirates. Ce niveau est le moins sécurisé de tous et doit être utilisé avec des précautions extrèmes. En fait, ce niveau n'est pas sélectionable via l'interface graphique draksec. Il rend votre système très facile d'utilisation, mais aux dépens de la sécurité. Vous devriez vous poser les questions suivantes, et si vous répondez 'oui' à l'une d'entre elle, vous ne devriez PAS utiliser ce niveau :
- Est-ce que ma machine est connectée à Internet ?
- Est-ce que ma machine est connectée à un autre ordinateur par un réseau ?
- Est-ce que cette machine sera utilisée par une autre personne que moi (intentionnellement ou pas) ?
- Il y a-t-il des données confidentielles dans cet ordinateur qui ne devraient être accessibles à personne d'autre ?
- Je ne connais pas très bien linux (et je suis capable de casser des choses si on me donne un accès administrateur) ?
- Niveau 1 ou Niveau très Faible. L'amélioration de la sécurité par rapport au niveau 0 est la protection des données par des noms et des mots de passe. Cela rend le système utilisable avec plusieurs utilisateurs locaux, mais PAS si le système est raccordé à l'internet ou à un réseau local (LAN).
- Niveau 2 ou Niveau standard. L'amélioration de la sécurité par rapport au niveau 1 est que msec réalise quelques contrôles de base. C'est le niveau approprié pour une machine utilisée par plusieurs utilisateurs et sur un réseau de confiance (LAN sécurisé par un firewall), mais pas l'internet ou un réseau inconnu. Ce niveau correspond plus ou moins au niveau de sécurité que l'on peut retrouver par défaut dans les autres distributions Linux ou les Unix.
- Niveau 3 ou Niveau élevé. C'est le niveau de sécurité minimum recommandé pour les ordinateurs connectés à internet. La plupart des contrôles de sécurité sont utilisés dans ce niveau, tel que la vérification des ports ouverts. Cependant, dans ce niveau, les ports ouverts sont laissés ouverts et leur accès est autorisé. Ce niveau n'est donc pas approprié aux systèmes qui proposent des services sur l'Internet (serveur web, ssh, ftp, ...) à moins que vous soyez derrière un pare-feu approprié. Ce niveau de sécurité offre une bonne base si vous voulez sécuriser votre système par vous-même en modifiant manuellement les fichiers de configuration des différents services, etc.
- Niveau 4 ou Niveau plus élevé. C'est le niveau de sécurité recommandé pour des serveurs réseau ou des systèmes connectés en permanence à Internet. Ce niveau autorise des connexions distantes à des serveurs pré-déterminés et toutes les connexions locales. Par défaut, certains services sont désactivés. Vous aurez donc à les activer manuellement en étant connecté sous une identité d'administrateur (ou root). De plus, les contrôles de sécurité que réalise msec sont plus poussés.
- Niveau 5 ou Niveau paranoïaque. C'est le plus haut niveau et il verrouille tout le système. Tous les contrôles de sécurité sont activés et l'administrateur doit activer les ports manuellement pour autoriser les services, et donner explicitement une autorisation à ces services.
[modifier] Modifier votre niveau de sécurité
Changer le niveau de sécurité de votre système Mandriva Linux est très simple, que ce soit en ligne de commande ou par l'interface graphique.
[modifier] En ligne de commande
En ligne de commande, la seule chose à faire est de lancer msec et lui dire quel niveau de sécurité utiliser. Cela peut être fait en exécutant en console, sous root :
où numero_de_niveau est le chiffre correspondant au nouveau niveau de sécurité souhaité. Par exemple pour passer au niveau 3 Elevé vous taperez :
Pour mémoire voici le tableau de correspondance entre les niveaux et leur numéro :
| msec 0 | Bienvenue aux pirates |
| msec 1 | Très Faible |
| msec 2 | Standard |
| msec 3 | Elevé |
| msec 4 | Plus élevé |
| msec 5 | Paranoïaque |
Vous pouvez aussi demander à msec d'afficher ce qu'il fait exactement lorsque vous changez le niveau de sécurité. Voici un exemple qui affiche les changements réalisés lors du passage au niveau 4 :
Vous pouvez recueillir ces informations dans un fichier pour les examiner ensuite tout à loisir :
Lorsque vous utilisez les deux commandes précédentes, les messages affichés à l'écran, ou redirigés vers le fichier de sortie, ne sont pas envoyés vers les journaux système ou vers le mail local, contrairement à ce qui est d'ordinaire le cas.
[modifier] Par l'interface graphique
Lancer l'outil 
Draksec et indiquer votre niveau de sécurité dans la liste déroulante, dans le premier onglet :
[modifier] Personnaliser le niveau de sécurité
Votre seule possibilité n'est pas uniquement de passer en bloc d'un niveau à un autre. Vous pouvez parfaitement aussi modifier une ou plusieurs options, sans changer de niveau. Vous vous créez ainsi une sorte de niveau de sécurité personnel.
Pour certaines options, vous ne pourrez qu'augmenter le niveau de sécurité et non le diminuer. Si vous voulez réellement diminuer la sécurité liée à cette option, vous devrez diminuer le niveau de sécurité global et augmenter le niveau de sécurité des autres options. Se reporter à msec pour savoir exactement quelle valeur à chaque option en fonction du niveau de sécurité
Pour modifier chaque option individuellement en mode graphique, parcourir les onglets de Draksec.
Vous pouvez également personnaliser vos choix en éditant les fichiers de configuration de msec.
[modifier] Que fait MSEC ?
Le tableau suivant illustre les différences fondamentales entre les 6 niveaux de sécurité disponibles. Une description sommaire en français de chaque fonctionnalité concernée peut être trouvée dans l'interface graphique en cliquant sur le bouton Aide. Une description un peu plus détaillée se trouve (en anglais) dans la page de manuel que l'on peut appeler à l'aide de la commmande man mseclib.
Pour la version 2008.1 (si vous possédez une autre version, utiliser le script media:msec_table.pl qui génère ce tableau automatiquement) :
| Liste d'actions/Niveau de Sécurité | Aucun (0) | Très Faible (1) | Standard (2) | Élevé (3) | Plus Élevé (4) | Paranoïaque (5) |
|---|---|---|---|---|---|---|
| CHECK_OPEN_PORT | no | no | no | yes | yes | yes |
| CHECK_PASSWD | no | no | no | yes | yes | yes |
| CHECK_PERMS | no | no | no | yes | yes | yes |
| CHECK_PROMISC | no | no | no | no | yes | yes |
| CHECK_SECURITY | no | yes | yes | yes | yes | yes |
| CHECK_SGID | no | no | yes | yes | yes | yes |
| CHECK_SHADOW | no | no | no | yes | yes | yes |
| CHECK_SUID_MD5 | no | no | yes | yes | yes | yes |
| CHECK_SUID_ROOT | no | no | yes | yes | yes | yes |
| CHECK_UNOWNED | no | no | no | no | yes | yes |
| CHECK_WRITABLE | no | no | yes | yes | yes | yes |
| CHKROOTKIT_CHECK | no | no | no | yes | yes | yes |
| MAIL_EMPTY_CONTENT | no | no | no | no | yes | yes |
| MAIL_WARN | no | no | no | yes | yes | yes |
| RPM_CHECK | no | no | no | yes | yes | yes |
| SYSLOG_WARN | no | no | yes | yes | yes | yes |
| TTY_WARN | no | no | no | no | yes | yes |
| accept_bogus_error_responses | yes | yes | yes | yes | no | no |
| accept_broadcasted_icmp_echo | yes | yes | yes | yes | no | no |
| accept_icmp_echo | yes | yes | yes | yes | no | no |
| allow_autologin | yes | yes | yes | no | no | no |
| allow_issues | ALL | ALL | ALL | LOCAL | LOCAL | NONE |
| allow_reboot | yes | yes | yes | yes | no | no |
| allow_remote_root_login | yes | yes | yes | yes | without_password | no |
| allow_root_login | yes | yes | yes | yes | no | no |
| allow_user_list | yes | yes | yes | yes | no | no |
| allow_x_connections | ALL | LOCAL | LOCAL | NONE | NONE | NONE |
| allow_xauth_from_root | 1 | 1 | 1 | 1 | 0 | 0 |
| allow_xserver_to_listen | yes | yes | yes | yes | no | no |
| authorize_services | ALL | ALL | ALL | ALL | LOCAL | NONE |
| enable_at_crontab | yes | yes | yes | yes | no | no |
| enable_console_log | no | no | no | yes | yes | yes |
| enable_dns_spoofing_protection | no | no | no | yes | yes | yes |
| enable_ip_spoofing_protection | no | no | no | yes | yes | yes |
| enable_log_strange_packets | no | no | no | yes | yes | yes |
| enable_msec_cron | yes | yes | yes | yes | yes | yes |
| enable_pam_root_from_wheel | yes | yes | yes | no | no | no |
| enable_pam_wheel_for_su | no | no | no | no | no | yes |
| enable_password | no | yes | yes | yes | yes | yes |
| enable_promisc_check | no | no | no | no | yes | yes |
| enable_security_check | no | yes | yes | yes | yes | yes |
| enable_sulogin | no | no | no | no | yes | yes |
| password_aging | 99999 | 99999 | 99999 | 99999 | 60 30 | 30 15 |
| password_history | 0 | 0 | 0 | 0 | 0 | 5 |
| password_length | 0 0 0 | 0 0 0 | 2 0 0 | 4 0 0 | 6 1 1 | 8 1 1 |
| set_root_umask | 022 | 022 | 022 | 022 | 022 | 077 |
| set_secure_level | 0 | 1 | 2 | 3 | 4 | 5 |
| set_shell_history_size | -1 | -1 | -1 | -1 | 10 | 10 |
| set_shell_timeout | 0 | 0 | 0 | 0 | 3600 | 900 |
| set_user_umask | 022 | 022 | 022 | 022 | 077 | 077 |
| set_win_parts_umask | 0 | 0 | 0 | None | None |
[modifier] Les entrailles de MSEC
[modifier] Les fichiers de configuration
Les choix présentés dans ce dernier tableau sont stockés dans les fichiers :
- /etc/sysconfig/msec
et
- /var/lib/msec/security.conf
Chaque fois que vous modifiez le niveau actif de sécurité de msec, ils sont réécrits avec les nouvelles valeurs par défaut.
Notez que l'ensemble de tous les choix par défaut que nous venons de décrire sont entreposés pour chacun des six niveaux de sécurité dans les six fichiers :
- /usr/share/msec/level.[0-6]
A cela s'ajoutent les permissions par défaut que chaque niveau associe à certains répertoires et qui seront évoquées plus bas et qui sont entreposées dans les fichiers :
- /usr/share/msec/perm.[0-6].
Le fichier /etc/sysconfig/msec est utilisé dans de nombreux scripts shell (il est par exemple appelé par le script /etc/profile.d/msec.sh, qui est lui-même appelé par /etc/bashrc et par /etc/profile, qui sont des fichiers de configuration du shell), tandis que les fichiers /var/lib/msec/security.conf et /etc/security/msec/security.conf sont utilisés dans le contrôle quotidien CHECK_SECURITY.
Il est aussi possible de personnaliser msec en créant un fichier /etc/security/msec/level.local. Voir là-dessus la section #Personnaliser MSEC en modifiant les fichiers de configuration
Vous trouverez ci-dessous une description plus détaillée des variables configurables.
[modifier] Variables configurables
Regardons de plus près ce que permet chaque variable de configuration (vous trouverez certaines de ces variables positionnées dans les fichiers de configuration mentionnés à la section précédente) :
- CHECK_OPEN_PORT : si positionnée, msec fait un rapport sur tout changement sur les ports ouverts sur votre système. Cela vous permet de pister si un serveur a été redémarré, ou si un nouveau serveur se met à écouter sur un port. Cela peut produire de fausses alertes si des serveurs sont automatiquement redémarrés par logrotate.
- CHECK_PASSWD : si positionnée, msec vérifie que tous les utilisateurs ont un mot de passe et que les mots de passe sont codés ('shadow'). Ceci est un contrôle d'intégrité sur le fichier /etc/passwd et décourage les mots de passe vides.
- CHECK_PERMS : si positionnée, msec vérifie les permissions de certains fichiers dans les répertoires personnels de chaque utilisateur et fait un rapport. msec ne cha:nge pas les permissions, mais liste les problèmes potentiels. Il contrôle :
- les fichiers dont le propriétaire devrait être l'utilisateur et qui ne devraient être accessibles qu'en lecture : .netrc .rhosts .shosts .Xauthority .gnupg/secring.gpg .pgp/secring.pgp .ssh/identity .ssh/id_dsa .ssh/id_rsa .ssh/random_seed
- les fichiers dont le propriétaire devrait être l'utilisateur et qui ne devraient pas être accessibles en écriture pour les autres utilisateurs : .bashrc .bash_profile .bash_login .bash_logout .cshrc .emacs .exrc .forward .klogin .login .logout .profile .tcshrc .fvwmrc .inputrc .kshrc .nexrc .screenrc .ssh .ssh/config .ssh/authorized_keys .ssh/environment .ssh/known_hosts .ssh/rc .twmrc .xsession .xinitrc .Xdefaults
- le répertoires personnel (racine) des utilisateurs : ce répertoire ne devrait pas être la propriété d'un autre utilisateur que le véritable propriétaire ou accessibles en écriture pour les autres utilisateurs
- CHECK_PROMISC : si positionnée, msec contrôle toutes les cartes Ethernet pour savoir si elles sont en mode _promiscuous_. Les cartes en mode _promiscuous_ peuvent intercepter tout paquet IP reçu, y compris ceux qui ne lui sont pas directement adressés. C'est en général le cas lorsqu'un logiciel de sniffage de paquets (packet sniffer) tourne sur votre machine. En même temps, cela peut aussi vouloir dire que vous avez le logiciel prelude qui tourne sur votre machine. Prelude est un IDS : logiciel de détection des intrusions.
- CHECK_SECURITY : si positionnée, msec exécute le script /usr/share/msec/security_check.sh en prenant en compte toutes les variables CHECK_* (dans la deuxième table ci-dessus). Plusieurs tests sont effectués et un message d'avertissement est inscrit dans le mail si besoin. Voici quelques tests effectués :
- vérification de l'absence de systèmes de fichier NFS exportés globalement (car alors il n'y a aucune restriction pour ceux qui voudraient les monter)
- vérification que l'option "nosuid" est bien positionnée pour les montages NFS
- vérification de l'absence du caractère "+" dans certains fichiers qui autorisent les hôtes à se connecter sans authentification préalable (les fichiers contrôlés sont /etc/hosts.equiv, /etc/shosts.equiv et /etc/hosts.lpd)
- vérification de l'absence de référence à des fichiers exécutables dans les fichiers /etc/aliases et /etc/postfix/aliases
- CHECK_SGID : si positionnée, msec compare la somme MD5 des fichiers qui ont le bit _sgid_ avec les valeurs précédemment calculées. Cela vous permet de savoir si un fichier avec le bit _sgid_ a été modifié, même si sa taille et son horodatage sont identiques, mais pas si le fichier est nouveau ou a été supprimé.
- CHECK_SHADOW : si positionnée, msec vérifie que tous les utilisateurs ont un mot de passe non vide. Ceci est un contrôle d'intégrité sur le fichier /etc/shadow
- CHECK_SUID_MD5 : si positionnée, msec compare la somme MD5 des fichiers qui ont le bit _suid_ avec les valeurs précédemment calculées. Cela vous permet de savoir si un fichier avec le bit _suid_ a été modifié, même si sa taille et son horodatage sont identiques, mais pas si le fichier est nouveau ou a été supprimé.
- CHECK_SUID_ROOT : si positionnée, msec vérifie et fait un rapport sur toute modification sur les fichiers qui ont le bit _suid_. Cela vous permet de savoir si un nouveau fichier avec le bit _suid_ apparaît dans le système ou si des fichiers ayant précédemment le bit _suid_ ont été supprimés.
- CHECK_UNOWNED : si positionnée, msec recherche les fichiers qui sont la propriété de uids et des gids non référencés dans /etc/passwd (c'est dire des utilisateurs inconnus). Si de tels fichiers sont trouvés, msec change automatiquement le propriétaire à "nobody/nobody".
- CHECK_WRITABLE : si positionnée, msec recherche et fait un rapport sur les fichiers accessibles en écriture par tous les utilisateurs.
- CHKROOTKIT_CHECK : si positionnée, msec recherche sur votre système les rootkits connus. Un rootkit est un programme qui permet d'exploiter des failles sous Unix/Linux afin de prendre le contrôle du compte root.
- MAIL_EMPTY_CONTENT : si positionnée, le rapport de sécurité sera envoyé même s'il est vide. Cela permet de contrôler que msec fonctionne correctement et qu'il n'a pas été compromis en vérifiant qu'on reçoit bien le mail chaque jour. En effet, un pirate ou un programme malicieux tentera sûrement de se débarrasser de msec.
- MAIL_USER : permet l'envoi du rapport quotidien à un utilisateur. Si cette variable n'est pas positionnée, l'email est envoyé à l'utilisateur root (et, on l'espère du moins, transmis finalement à un autre utilisateur puisque root ne devrait pas recevoir de mails : pour cela, éditer /etc/aliases). La valeur de cette variable correspond à ce que vous tapez dans la zone "Administrateur sécurité" de l'onglet "Options de base" de l'interface graphique.
- MAIL_WARN : si positionnée, msec envoie un email d'alerte à l'utilisateur spécifié dans la variable MAIL_USER. Le positionnement de cette variable s'obtient en cochant la case "Alertes de sécurité" dans l'onglet "Options de base" de l'interface graphique.
- PERM_LEVEL : est utilisé pour déterminer quel fichier utiliser pour rétablir les permissions, les propriétaires et les groupes. Si positionnée, msec utilise le fichier /usr/share/msec/perm.$PERM_LEVEL. Si non positionnée, msec utilise alors la variable SECURE_LEVEL (qui est votre niveau de sécurité courant). De plus, pour une configuration spécifique du système, le fichier /etc/security/msec/perm.local est aussi utilisé, s'il existe.
- RPM_CHECK : si positionnée, msec vérifie les paquetages qui ont changé depuis la veille (même les ré-installations du même paquetage). Il contrôle aussi si un fichier appartenant à un paquetage a été modifié.
- SYSLOG_WARN : si positionnée, msec écrit aussi son rapport dans syslog.
- TTY_WARN : si positionnée, msec écrit son rapport sur toutes les consoles ouvertes en ce moment par root.
Il est aussi possible de positionner la variable CHKROOTKIT_OPTION. Sa valeur sera passée en argument à chkrootkit lorsqu'il est lancé périodiquement par msec. Par exemple CHKROOTKIT_OPTION="-q" permet d'avoir un rapport plus condensé.
[modifier] Périodicité de l'application des choix de MSEC
Une dernière chose à noter : les choix sont appliqués toutes les heures, pour un maximum de protection.
[modifier] Journalisation des modifications
Chaque modification que réalise msec est journalisée par syslog dans /var/log/messages. Les changements effectués en ligne de commande ou dans l'interface graphique sont aussi enregistrés dans /var/log/explanations.
[modifier] Comment voir MSEC en action
Une façon simple de voir les modifications réalisées par msec sur votre système est d'utiliser la commande grep et de taper la ligne de commande suivante :
Notez que vous pouvez aussi être avisé de ce que fait msec par le mail local.
[modifier] Personnaliser MSEC en modifiant les fichiers de configuration
Comme nous l'avons vu plus haut dans cette page, vous pouvez utiliser l'interface draksec pour modifier les paramètres individuellement. Vous pouvez aussi créer le fichier /etc/security/msec/level.local avec vos personnalisations. Par exemple, vous pouvez avoir un fichier level.local qui ressemble à :
from mseclib import *
set_security_conf('MAIL_USER', 'vdanen')
set_security_conf('CHECK_PROMISC', 'no')
allow_reboot(1)
Pour avoir une liste des différentes commandes que vous pouvez utiliser dans le fichier level.local, lisez la page du manuel mseclib (man mseclib). Elle décrit toutes les fonctions que vous pouvez utiliser dans le fichier et à quoi chaque fonction sert.
La première ligne est obligatoire afin d'importer les fonctions utilisées ensuite (à vrai dire ceci ne semble plus être vrai dans les versions les plus récentes de msec). Les autres lignes de notre exemple demandent à msec d'envoyer tous les emails à l'utilisateur vdanen et de ne pas réaliser le contrôle de l'état "promiscuous" (le "mode espion") des interfaces (CHECK_PROMISC) quel que soit le niveau de sécurité défini. Elles indiquent aussi à msec qu'il doit autoriser les utilisateurs à redémarrer la machine sans se soucier du niveau de sécurité.
Au lieu de level.local, vous pouvez utiliser /etc/security/msec/security.conf qui propose un format plus facile à employer. Il n'est pas aussi souple que celui du fichier level.local, puisqu'il est utilisé pour positionner les variables shell qu'utilise msec, mais dans la plupart des cas c'est amplement suffisant.
Par exemple, vous pouvez utiliser ce qui suit dans le fichier security.conf :
MAIL_USER=vdanen CHECK_PROMISC=no
et ceci dans le fichier level.local :
from mseclib import * allow_reboot(1)
Si vous voulez modifier les permissions sur les fichiers ou répertoires contrôlés par msec, vous pouvez le faire par l'interface graphique de drakperm ou dans le fichier /etc/security/msec/perm.local. Chaque niveau de sécurité a son propre jeu de permission sur certains fichiers ou répertoires. Si vous voulez connaitre les valeurs par défaut pour chaque niveau, regardez les fichiers /usr/share/msec/perm.[0-6]. Ils contiennent le nom du fichier (ou du répertoire), l'utilisateur et le groupe à qui le fichier devrait appartenir, ainsi que le mode (en format numérique) appliqué. Par exemple, supposons que vous utilisiez le niveau 4 (Très élevé) mais que vous ne vouliez pas des permissions de msec pour le répertoire /boot qui est en mode 700 (-rwx------). Vous devez alors rajouter la ligne suivante à /etc/security/msec/perm.local (créer le fichier s'il n'existe pas déjà) :
/boot/ root.root 755
Ensuite, lancez la commande msec (simplement en tapant msec dans une console sous root), patientez un petit moment pour que msec vérifie tous les répertoires, puis vous verrez que les permissions du répertoire /boot auront changé pour devenir 755 (-rwxr-xr-x). Ainsi n'importe quel utilisateur pourra accéder à ce répertoire, sans pouvoir le modifier.
Il est aussi possible d'utiliser current pour remplacer le deuxième champ (username.group) : msec laissera alors inchangé le username et le groupe du fichier.
[modifier] Activation des services par défaut
msec a une nouvelle fonctionnalité qui ne permet l'activation que des services sûrs lors de l'installation. Ceci n'est valable que pour les niveaux 4 et 5. Fondamentalement, cela signifie que seulement certains services prédéfinis seront activés après l'installation des paquetages du serveur. Par exemple, si vous choisissez le niveau 4 et ensuite que vous installez proftpd, proftpd ne sera pas activé immédiatement. Typiquement, lorsqu'un serveur est installé, les scripts inclus dans le RPM activent le serveur ; donc, si vous ne voulez pas le lancer, vous devez l'arrêter. msec travaille différemment et n'activera que les services qui sont listés dans le fichier /etc/security/msec/server.4 pour le niveau 4 ou dans le fichier /etc/security/msec/server.5 pour le niveau 5. Il existe aussi des services qui sont automatiquement mis en route dans le niveau 5 et pas dans le niveau 4 : il s'agit des services qui protègent votre machine (par exemple iptables).
Ssh, par exemple est autorisé dans le niveau 4 mais pas dans le niveau 5. Cela ne veut pas dire que vous ne pouvez pas activer le service vous-même, cela empêche seulement qu'il soit activé automatiquement lors de l'installation, ce qui est une bonne méthode après tout.
Pour activer un service donné, faites simplement en tant que root :
chkconfig --add service
où "service" est le nom du service à activer (proftpd, httpd, etc.).
Si vous mettez à jour un paquetage, msec ne fera rien concernant l'activation du service. Cela veut dire que si vous avez déjà activé httpd, puis mettez à jour apache, vous n'aurez pas besoin de le réactiver.
[modifier] MSEC et mail local
msec adresse des messages quotidiens à root, pour pouvoir lire ces messages vous devez installer le mail local.
[modifier] Note finale...
Comme vous pouvez le voir, msec est un très bon point de départ pour sécuriser votre système. Il ne peut pas tout faire pour rendre votre système sûr, et il n'a pas été prévu pour cela. La sécurité d'un système demande toujours beaucoup d'attention de la part de l'administrateur du système. Mais msec constitue un bon début et vous laisse la possibilité d'aller plus loin dans la sécurisation. Il comporte certes aussi quelques lacunes en matière de sécurité variables selon le type de système que vous voulez utiliser : à vous de corriger ces défauts !
[modifier] Historique
Le paquetage Mandriva-Security, plus connu sous le nom de msec, a été l'un des paquetages de base dans Mandrakelinux dès son introduction dans la version 7.0. Depuis, msec a beaucoup évolué, il a en particulier été complètement réécrit en python pour la 8.2. Il était auparavant constitué d'un ensemble de scripts shell.
[modifier] Autres sources de documentation sur MSEC
- Les fichiers dans /usr/share/doc/msec-<version>
