Linux. Etude des distributions significatives du marché. Fournier Mickaël Abissa Informatique 23/04/2000 - 1 -

Linux Etude des distributions significatives du marché Fournier Mickaël Abissa Informatique 23/04/2000-1 -

SOMMAIRE I. Les distributions étudiées A) Caldera B) Debian C) Suse D) RedHat E) Mandrake F) Corel Linux II. La sécurité A) Caldera B) Debian C) Suse D) Mandrake E) La sécurité réseau III. IV. Les virus SSH (SECURITY SHELL) A) Présentation B) Installation C) Utilisation V. Nessus VI. Applications A) Bureautique et progiciels B) Graphisme C) Réseau D) Internet - 2 -

L'ensemble des informations de ce document a pour but de présenter de manière la plus objective possible les différentes caractéristiques de distributions professionnelles Linux actuellement sur le marché. Ces distributions constituent celles qui présentent le plus d'intérêt pour la société Abissa Informatique. Les distributions étudiées sont les suivantes : Caldera, Debian, Suse, Red Hat, Mandrake et Corel Linux. L'aboutissement de cette étude est de choisir la distribution la plus adaptée à l'utilisation que pourrait être amenée à en faire Abissa Informatique et de la tester en grandeur nature en l'installant. Ce système d'exploitation Linux sur une configuration matérielle de type serveur devra offrir la possibilité d'être introduit dans un environnement de travail composé de serveurs Novell Netware et Microsoft NT, ainsi que de stations de travail sous Windows (95/NT). Il pourra également faire l'objet de la mise en oeuvre d'un outil spécifique à Linux tel que SAMBA, APACHE ou un outil de sécurité. L'analyse a été articulée autour de trois axes : - Les avantages et les difficultés posés par chacune des distributions. - Des tableaux récapitulatifs des caractéristiques. - La sécurité proposée. I. LES DISTRIBUTIONS ETUDIEES A. Caldera : La plus récente des distributions proposée par Caldera, est plutôt réservée à une utilisation dans le cadre d'une entreprise. Cette distribution propose une installation graphique et repose sur le paquetage RPM (RedHat Package Manager) qui simplifie la procédure d'ajout de software utilities. On peut déjà dire que cette distribution est proche en terme de qualité avec la distribution RedHat. Les principaux points positifs, au delà de l'ensemble des services qu'elle fournit, sont la possibilité de préparer l'installation d'openlinux à partir de Windows (ce point n'est pas négligeable dans la mesure où la première installation de Linux n'est pas forcément évidente même si les installations sont de plus en plus graphiques : ainsi le nouvel utilisateur partant d'un système qu'il connaît sera sans doute moins réticent à se lancer dans ce nouveau système d'exploitation). En effet, deux choix sont alors possibles lors de l'installation : - soit Windows utilise tout le disque - soit une partition Linux existe déjà La possibilité de modifier les partitions du système pendant l'installation semble également un point intéressant. Le noyau est configuré pour une utilisation réseau : en effet IPX, SMB, IP et NFS sont configurés à l'installation. Dans un souci de faciliter l'installation, il est également à remarquer que l'outil de configuration Lizard propre à la distribution Caldera permet une installation automatique des matériels et de leurs pilotes. Le principal point négatif de cette distribution est sans doute la lenteur et la faiblesse de la sécurité dans les services NFS (Network File System). - 3 -

B. Debian : Debian propose une distribution freeware développée par un ensemble de volontaires passionnés. Il n'utilise pour l'instant que le noyau Linux, mais des travaux sont en cours pour fournir Debian avec d'autres noyaux, en particulier Hurd (Le GNU Hurd est le projet qui remplace le projet GNU basé sur le noyau Unix. Hurd est un ensemble de serveurs qui tourne sur un micronoyau Mach pour implémenter des systèmes de fichiers, des protocoles réseaux et d'autres éléments qui sont actuellement implémentés par un noyau Unix ou des noyaux similaires tel que Linux). Debian propose un package similaire à RPM. La configuration par défaut est agréable et propose un bon niveau de sécurité. L'outil "apt-get" facilite beaucoup la mise à jour en ligne qui, il faut en être conscient, reste tout à fait accessible dans les autres distributions. Incontestablement, Debian possède le plus riche ensemble de paquetages et le mieux conçu (2250 paquetages). Il est à remarquer que cette version a une très bonne organisation de l'arborescence fic hier. Cette distribution possède également des zones plus sombres. Par exemple, les scripts d'installation des paquetages (.deb) posent de nombreuses questions souvent déroutantes pour les utilisateurs débutants. De plus, la mise à jour des distributions est moins fréquente. Mais il est à remarquer que cette fréquence moins importante est essentiellement due à un souci de stabilité de la version délivrée. A la décharge de Debian, un manque de softwares populaires commerciaux est aussi à noter. De plus, dans la mesure où les drivers sont développés par l'ensemble des passionnés qui participent à l'évolution de la distribution et que les sources ne sont pas laissées libres par les fabricants, il est difficile de développer les logiciels pilotes : ainsi un nombre certain de hardwares n'est pas supporté. La distribution de Debian semble plus destinée ou adaptée à des administrateurs de système. C. Suse : La distribution Suse semble s'adresser aux utilisateurs européens possédant une connaissance moyenne d'unix. Il s'agit de la distribution la plus populaire aux yeux des utilisateurs européens. Les packages RPM proposés sont compréhensibles et ne soulèvent pas d'ambiguïté lors de l'installation. Le bon outil de configuration YAST permet une installation et une administration accessible à tous. On a la possibilité de tout régler en mode console depuis un seul outil de configuration. De plus, l'installation est encore simplifiée grâce à la reconnaissance automatique du matériel (fonction "autoprobe") et le chargement automatique des modules ("logiciels pilotes"). Suse possède également une bonne qualité de package. La modification de la taille des partitions pendant l'installation peut-être précieuse pour les utilisateurs peu avertis et pour avoir effectué l'installation de la distribution de Suse 6.4, je peux affirmer que cette opération est assez instinctive : aucune expérience de ce genre de manipulation n'est véritablement indispensable. - 4 -

Le nouveau système de fichiers ReiserFS qui enregistre toutes les modifications intervenues dans la structure des données du système de fichiers permet de restaurer le système de fichiers en quelques secondes après un plantage ou un arrêt brutal. La sauvegarde de la configuration et des packages installés sur un disque pour une éventuelle reprise de l'installation est possible. Une sauvegarde sur disquette des paquetages installés est proposée afin de vous éviter de refaire le choix de chacun des paquetages à toute nouvelle installation : cette remarque est également valable pour les autres distributions. YAST2 qui constitue l'outil graphique d'installation permet de configurer en cours de processus d'installation le réseau et l'accès Internet. Suse offre également une suite d'outils de sécurité incluant notamment un proxy serveur et un firewall (une liste des différents services proposés par cette distribution sera proposée dans les tableaux comparatifs qui vont suivre). Suse propose grâce au paquetage "marsnve" une émulation complète d'un serveur Novell. Il s'agit d'un support pour les services de fichiers, d'impression, de routage et le mode bindery. Le noyau doit être configuré selon les instructions contenues dans le fichier usr/doc/packages/marsnwe/install. Avec "ncpfs", il est possible d'avoir accès aux services en mode bindery de Netware, ce qui signifie que l'on peut tirer parti de tous les services offerts par les serveurs Netware 3. Ce paquetage "ncpfs" inclut également deux petits utilitaires qui permettent d'imprimer depuis une machine Linux sur une imprimante reliée à un serveur d'impression Novell. Les services de répertoire Netware (NDS) de Netware 4 ne peuvent malheureusement pas être utilisés du fait que Novell ne met les informations nécessaires à disposition qu'en échange d'un accord de non-divulgation. Pour avoir accès avec "ncpfs" aux services de Netware, il faut donc activer l'émulation bindery sur les serveurs correspondants. Il n'est possible d'utiliser les services NDS de Netware 4 qu'avec le client Caldera inclus dans l'édition standard de Caldera. Cette distribution est peut-être le meilleur choix pour un utilisateur intermédiaire qui recherche un peu de sécurité. Quelques points un peu moins élogieux : Cette distribution Suse est plutôt gourmande en espace disque comme beaucoup d'autres d'ailleurs. Applixware qui est installé par défaut est plutôt encombrant. Dans le même ordre d'idée, Suse dispose de certains outils spécifiques à la distribution qui font doublon avec les outils standards. A la différence de Debian, l'organisation de la hiérarchie des fichiers est un peu exotique: de ce fait des divergences dans les chemins d'installation par défaut de certains paquetages peut entraîner des complications lors d'utilisation de script d'installation prévu pour des arborescences plus classiques. La configuration de sendmail, le serveur de mails, reste une opération délicate car complexe de part l'abondance des options offertes. D. RedHat : La distribution RedHat vise un marché dominé par Microsoft. Elle doit son succès notamment à son installation graphique qui propose tout au long de la procédure des aides en ligne (les aides en ligne sont des choses qui se généralisent sur les dernières versions de chaque distribution). RedHat est plutôt réservée à un utilisateur de niveau moyen maîtrisant la langue anglaise. - 5 -

Ils furent des précurseurs au niveau de l'installation puisqu'ils ont été les premiers à intégrer des packages dès l'installation : chose que maintenant toutes les distributions proposent. RPM (RedHat Package Manager) permet de simplifier la procédure d'ajout de software utilities. Redhat propose une évolution rapide de ses distributions car elle est maintenue par une équipe de professionnels. Ils proposent de nombreux paquets (rpm) et un outil d'installation riche. Sur Internet, Redhat est sans doute la distribution pour laquelle la recherche de paquetage ou de tout autre outil est la plus facile. Les programmes sont installés déjà configurés pour l'utilisation standard ceci dans le but de simplifier les réglages pour les débutants et de laisser les utilisateurs avertis libres de configurer. D'une manière générale, beaucoup d'outils graphiques sont proposés pour la configuration. On peut également dire que RedHat se focalise plus sur les possibilités serveur de Linux. Le paquetage "mars-nwe" offre la possibilité d'avoir l'émulation d'un serveur de fichiers et d'impression compatible Netware. Il permet d'utiliser une machine Linux comme un serveur de fichiers et d'impression pour les clients Netware en utilisant l'ensemble des protocoles IPX natifs de Netware. Par contre, il est préférable d'installer les updates officiels dans un souci de stabilité optimum. En conclusion, on peut dire que RedHat est accessible pour les néophytes mais qu'elle peut également convenir aux administrateurs réseaux qui veulent un système solide avec de larges possibilités (options). E. Mandrake : Au départ, Mandrake n'était qu'une amélioration de la dernière version de RedHat. Mais depuis la version 6.0, elle est une distribution à part entière. Cette distribution est optimisée pour les processeurs Intel Pentium. Puisque Mandrake conserve sa compatibilité avec RedHat, on peut utiliser toutes les applications empaquetées dans Redhat. "Supermount" élimine le fastidieux processus de montage/démontage et les icônes du cdrom et de la disquette sont vraiment pratiques. Le programme d'installation reconnaît vraiment beaucoup de matériels mais il est à remarquer que les matériels trop spécifiques ne sont pas supportés. Le choix du bureau (KDE, Gnome, WindowMaker...) seulement à l'utilisation et non plus lors de l'installation est une bonne chose dans la mesure où il est difficile de savoir si un environnement graphique va vous convenir avant de l'avoir utilisé. RpmDrake qui est le gestionnaire de paquetage permet d'installer facilement et rapidement de nouvelles applications : il fournit des informations intéressantes telles que le numéro de la version, la taille et une rapide description de chaque logiciel. - 6 -

Mandrake permet d'utiliser Windows sous Linux grâce à Linux4Win. On ne change pas la physionomie du disque et on fait cohabiter les deux OS sur la même partition, même s'il faut le reconnaître ce type d'installation ralentit Linux : ceci peut notamment permettre d'accéder à un outil proposé par Windows et qui n'a pas encore d'équivalent sous Linux. Une nouvelle importante concernant la version 7.0 puisque le 10 avril 2000, Mandrake société française, a conclu un partenariat d'envergure avec IBM Global Services. L'objectif commun des deux firmes est bien entendu de proposer aux entreprises une solution adaptée autour d'un système d'exploitation fiable et performant. La firme américaine proposera donc, à travers son offre "Point Service Linux" une assistance technique pour la version Linux Mandrake 7.0. Cette association donne une nouvelle valeur à cette start-up Linux. A la différence de la plupart des autres distributions, Mandrake ne fonctionne plus avec les 386. De plus, bien que le nombre des paquetages soit important, il est peu aisé de choisir les paquetages et les services à installer en fonction de ses besoins. F. Corel Linux : Corel a développé récemment une distribution Linux : Corel Linux OS. Pour mener à bien leur projet, Corel s'est associé à Cygnus Solution, à KDE Project et à Debian. Corel propose une distribution basée sur celle développée par Debian : elle correspond à la dernière venue dans le monde Linux et est sans doute la plus prometteuse. Trois versions sont disponibles : - Download - Standard - Deluxe Contenu des possibilités de chacune d'entre elles, seule la version Deluxe est constituée d'éléments en nombre suffisants pour soulever un intérêt. Il est à remarquer que cette distribution a une large compatibilité qui permet d'importer et d'exporter des fichiers Microsoft Word et Microsoft Excel : cette caractéristique pourrait séduire ceux qui maîtrisent l'outil proposé par Microsoft. De plus, Corel Linux montre une bonne capacité d'intégration au réseau puisque la configuration réseau tout comme l'ensemble de la configuration est aussi facile que sous Windows. En l'état actuel des choses, on peut dire que cette distribution vise plutôt les postes bureautiques et par conséquent se porte plus vers le marché grand public. Corel est aussi en train de développer un projet GraphOn Bridges qui permettra aux utilisateurs de Corel Linux d'accéder depuis leur PC à des applications installées sur un serveur Windows NT distant : sa sortie est prévue à la fin du premier semestre 2000. - 7 -

Caldera Debian Suse Version Open Linux 2.3 2.1 (slink) 6,4 Packages RPM DEB RPM Environnement graphique KDE GNOME KDE, GNOME... Installation graphique oui (Lizard) oui oui (YAST2) Facilité d'installation bonne moyenne bonne Facilité de configuration Variété et qualité des packages Cohabitation avec autres OS bonne peu satisfaisante bonne bonne très bonne bonne stable stable instable Multiprocesseur oui oui oui Star Office Star Office Tex et LaTex (texte) Applications Windows Tools & Commercial package Gimp Star Office Linux Office Suite 99 WordPerfect 8 Dowload BRU (Backup utility) Edition X paint (images) Processeur Pentium oui oui oui Outil de configuration - - - Outil de partition Partition Magic (intégré) - - Netscape oui oui oui Serveur DHCP oui oui oui Serveur WEB Apache Apache Apache Serveur DNS oui oui oui - 8 -

Caldera Debian Suse oui oui oui Serveur FTP (échange client/serveur possible aussi à travers le navigateur WEB) Client FTP Client FTP Serveur de fichiers et d'impression pour le réseau Windows SAMBA SAMBA SAMBA (aussi dans un réseau apple grâce à netatalk) Utilisation d'outils Netware possibilité d'inclure un client NETWARE (serveur NDS possible également) - émulateur d'un serveur Netware complet grâce au paquetage marsnwe Serveur de terminaux oui - - Serveur dans un réseau hétérogène oui sûrement oui Services NFS oui sur un réseau local, déconseillé sur Internet ou dans un environnement peu sécurisé client NFS oui mais aussi SMB (Win 95/98) et NCP (Novell, Netware) Serveur de mail sendmail: configuration difficile sendmail: configuration difficile sendmail: configuration difficile processeur Intel pentium processeur Intel pentium RAM 32MB requis (128 max) disque dur minimum : 500MB partition swap recommandée=ram swap = 128 MB (max) disque dur: Système requis mini : 170 MB standard : 650 MB complète : 1.3 GB Home : 840 MB fonctionne également avec les processeurs Spark. Alpha, M68K, POWERPC, UltraSpark processeur Intel pentium (et compatibles) à partir du 386 Network : 250 MB Webserver : 200 MB - 9 -

RedHat Mandrake Corel Linux Version 6,1 7 Deluxe Packages RPM RPM DEB? Environnement graphique GNOME, KDE... GNOME, KDE... KDE Installation graphique oui oui (DRAKX) oui Facilité d'installation bonne bonne bonne Facilité de configuration Variété et qualité des packages Cohabitation avec autres OS satisfaisante (choix package dur) bonne bonne satisfaisante bonne bonne stable stable stable Multiprocesseur oui oui oui Applications Star Office Gimp Adobe Acrobate Reader Star Office Gimp Corel WordPerfect 8 BRU (Backup utility) Adobe Acrobate Reader Instant Messenger Processeur Pentium oui oui oui Outil de configuration Linuxconf DrakConf - Outil de partition - DiskDrake - Netscape oui oui oui Serveur DHCP oui oui oui Serveur WEB Apache Apache Apache Serveur DNS oui oui oui - 10 -

RedHat Mandrake Corel Linux Serveur FTP oui oui oui Serveur de fichiers et d'impression pour le réseau Windows Samba Samba Samba Utilisation d'outils Netware mars-nwe est un clone de serveur netware - - Serveur de terminaux - - - Serveur dans un réseau hétérogène oui oui oui Services NFS oui oui oui Serveur de mail sendmail sendmail (installé par défaut) oui Système requis processeur Intel pentium P 166 swap recommandée (128 MB max) processeur Intel pentium partition swap recommandée=ram processeur Intel pentium 24 MB de RAM nécessaire (128 MB max) (64 MB recommandée) fonctionne également avec les processeurs Alpha et Sparc installation complète = 1.2 GB 500 MB de disque dur minimum - 11 -

II. LA SECURITE A. Caldera : Les règles de sécurité sont basées sur trois éléments principaux au niveau du réseau : - Le service demandé. - L'adresse IP du client effectuant la requête. - Le nom du domaine du client effectuant la requête. L'utilisation d'empaqueteur (wrapper) TCP est utilisée pour gérer la plupart des services réseaux. La configuration par défaut est raisonnablement sécurisée : pourtant, il est conseillé de vérifier les fichiers de configuration avant l'utilisation des services FTP sur un système Linux relié à Internet. B. Debian : La position de Debian par rapport à la sécurité est la suivante : dans la mesure où ils estiment que la sécurité par le secret ne fonctionne pas, ils préfèrent laisser un libre accès au problème, ce qui permet d'obtenir plus rapidement des solutions. C. Suse : En plus, d'un serveur Web Apache et d'un serveur de mails, Suse propose également un serveur Proxy "squid" qui permet de tenir localement à disposition les documents fréquemment demandés. Suse offre aussi un support pour IP-Masquerade (problème des adresses IP insuffisantes en nombre) : en effet une machine routeur se chargera alors de la répartition correcte du trafic réseau. La mise en place d'un firewall pourra permettre de protéger le réseau contre les visiteurs indésirables. (Cette remarque est valable pour l'ensemble des distributions). Le filtre intégré dans le noyau permet de s'adapter de façon flexible aux critères locaux. Il est possible d'imposer des limites aussi bien au trafic IP sortant qu'au trafic IP entrant. Suse propose sur son site officiel dans le menu "Security Announcements" une liste des trous de sécurité concernant la distribution et notamment les paquetages utilisés: ainsi ils tiennent à informer leurs utilisateurs et leurs conseillent de mettre à jour au plus vite la version qu'ils utilisent. D. Mandrake : Dès l'installation, différents niveaux de sécurité sont proposés. Grâce à un nouveau concept, Mandrake 7.0 permet de régler et de vérifier toutes les permissions sur les fichiers et les applications installées dans le système Linux et ceci en fonction de son utilisation. Par exemple, si c'est un serveur sécurisé, il ne faudra pas s'attendre à trouver "supermount" ou "telnet" activé dans le système. - 12 -

E. La sécurité réseau : Il y a un bon nombre d'outils et de packages qui permettent de mettre en place une sécurité réseau (SATAN, ISS, Tripwire, ipchains...), et de plus en plus, ils sont fournis dans les distributions Linux. Mais avant de mettre un système Linux sur un réseau, la première chose à faire est de vérifier les services actifs sur la machine et de conserver essentiellement ceux qui sont indispensables à l'utilisation qui va en être faite. Les services qui ne sont pas utilisés doivent être désactivés afin de limiter les possibilités d'intrusion sur des services offrant certainement des trous de sécurité. Il existent plusieurs moyens de désactiver ces services sous Linux. Un d'entre eux est de visualiser le fichier /etc/inetd.conf. Les services répertoriés dans ce fichier peuvent être désactivés par l'intermédiaire d'un "#" placé au début de la ligne concernant le service. On peut également mettre en commentaire ces services dans le fichier /etc/services ce qui signifie que les clients locaux vont être incapables d'utiliser les services désactivés. Si un d'entre eux désire tout de même utiliser par exemple le service FTP, il doit faire son propre client et utiliser le port commun FTP. Dans le même ordre d'idée, il est à remarquer que des services comme "telnet", "mail" (avec pop3) et "identd" sont également des services à surveiller. La vérification des informations du DNS semble aussi une chose intéressante. Ainsi si un host non autorisé vient se connecter au réseau, il peut être reconnu puisqu'il ne correspondra pas à une entrée dans le fichier DNS. Plusieurs services peuvent être configurés pour ne pas accepter d'hosts qui n'ont pas d'entrée DNS valides. En ce qui concerne NFS (Network File System) il est sans doute judicieux de limiter les fichiers partagés à ceux qui sont vraiment utiles plutôt que de partager l'ensemble du répertoire root ce qui constituerait une large porte ouverte en cas d'intrusion non désirée dans le système. Un des outils indéniables pour la sécurité réseau est le firewall. Son travail est basé sur trois axes : le contrôle, la sécurité et la vigilance. Le firewall permet d'autoriser certains types de trafic. Par exemple, l'entête d'un paquet contient l'adresse de destination du paquet, et vous pouvez ainsi éviter que des paquets aillent vers un certain endroit du réseau extérieur. Dire au filtre des paquets de ne pas autoriser la circulation de paquets provenant ou allant vers certains sites peut permettre de résoudre certains problèmes (il y a cependant de meilleurs moyens pour y parvenir). Lorsqu une machine Linux est le seul rempart entre le chaos de l'internet et un réseau propre et bien ordonné, il est utile de savoir qu'on peut restreindre ce qui vient sonner à notre porte. Par exemple, on peut autoriser tout ce qui sort de notre réseau, mais on peut aussi s'inquiéter du fort connu 'Ping of Death' pouvant provenir d'intrus extérieurs. Comme autre exemple, on peut interdire aux personnes extérieures de se connecter en "telnet" sur notre machine Linux, même si tous les comptes ont des mots de passe; peut-être désire-t-on (comme la plupart des gens) être un simple observateur sur l'internet, et non un serveur (de bonne volonté ou non), simplement en ne laissant personne se connecter, le filtrage de paquets rejetant tous les paquets entrants utilisés pour créer des connexions. Parfois, une machine mal configurée du réseau local décidera d'envoyer des paquets au monde extérieur. Il est alors sympathique de pouvoir spécifier au filtre de paquets de nous informer si quelque chose d'anormal se produit; on pourra éventuellement y faire quelque chose, ou bien laisser libre cours à la simple curiosité. - 13 -

III. LES VIRUS Les virus sont des programmes qui possèdent la faculté de créer les répliques d'eux-mêmes dans d'autres programmes. Leurs effets sont néfastes : messages intempestifs, ralentissement, pertes de données... Ces réplications se font avec discrétion et à l'insu des utilisateurs. Certains d'entre eux se cachent. Leur code actif est crypté et ne se décrypte qu'au moment de leur exécution. Il y a plusieurs origines possibles. Il n'est pas impossible que ce soit un code obtenu par hasard. Mais ce n'est certainement pas le cas des virus très sophistiqués. Ils peuvent résulter également de jeux stupides. Un employé licencié, ou mal considéré dans une entreprise, un client mécontent ou un concurrent, ce sont des raisons qui peuvent motiver une envie de nuire. Ces agissements illicites, proches de la névrose, sont sûrement plus fréquents que les précédents. Les virus s'infiltrent dans les logiciels. Ils se cachent dans leur corps. Ils peuvent se cacher dans le BIOS, dans le système d'exploitation ou dans les programmes appartenant à l'utilisateur. Pour se répliquer, il faut qu'ils écrivent dans les programmes. La meilleure parade n'est pas de mettre des anti-virus, mais de rechercher les mesures à mettre en place afin d'empêcher leur introduction et leur propagation. Le système constitue la cible de choix. Les noms des fichiers et leurs structures sont connus d'avance. Tous les fichiers système doivent être impérativement protégés en écriture. Seul l'administrateur peut les modifier. Ce type de protection n'existe pas avec DOS, Windows 3, 95, 98. Chaque programme peut modifier les fichiers système. Par contre, Windows NT et tous les Unix (dont Linux) utilisent cette protection. Pour les Unix, certains programmes ont des droits d'administrateur (root) quand ils sont lancés. Leur présence est nécessaire mais leur utilisation est strictement limitée à quelques opérations bien connues. La protection est encore meilleure avec tous les OS libres (dont Linux) car leurs sources sont publiques. A cause du développement des réseaux, la sécurité des machines Unix a été particulièrement soignée. Ceci a été facilité par sa structure très rigoureuse. Maintenant, la sécurité des machines Unix est devenue la meilleure. Il ne faut pas oublier que tous les protocoles de l'internet sont nés sous Unix. Un programme ne doit écrire en mémoire que dans les zones qui lui sont allouées par le système. On assure ainsi un cloisonnement étanche des processus. Les communications entre processus, lorsqu'elles sont nécessaires, ne peuvent se faire qu'au travers de mécanismes très précis et rigoureux. Aucune exception n'est tolérable. Les processeurs actuels effectuent en permanence la vérification de l'autorisation d'accéder aux adresses en mémoire. Tous les Unix utilisent depuis toujours ce mode d'adressage et les protections décrites ci-dessus sont toujours actives. Les Windows ont la mauvaise idée de désactiver ce mode. Utiliser des logiciels libres, c'est la meilleure garantie. On reçoit des sources, on les vérifie, les compile et on les utilise sans crainte. En toute rigueur, un système n'est vraiment sûr que si on en possède toutes les sources. Ainsi, tous les programmes sensibles des Unix libres ont été lus, relus et examinés pas des milliers de personnes qui y ont recherché toutes les failles possibles. Aucun système propriétaire n'a reçu autant d'attention. Tout logiciel propriétaire est intrinsèquement un trou de sécurité potentiel, surtout si ce logiciel est le système d'exploitation. En résumé, les premiers virus ont été créés sur Unix. Puis la sécurité des systèmes Unix a été de mieux en mieux maîtrisée et elle est maintenant proche de la perfection. Tous les types d'attaques possibles ont été testés. Trouver un nouveau trou de sécurité dans une machine Unix devient un exploit car le fait devient rare et la parade est disponible rapidement. Un virus utilise les trous de sécurité. Les systèmes Unix ne leur offrent aucun passage, au contraire, ils leur opposent des barrières multiples, et chacune d'entre elles serait suffisante à empêcher leur passage. Les virus ne sont pas une fatalité, leur présence révèle la sécurité déficiente d'un système. On peut dire en quelques mots qu'avec Linux, on empêche les virus d'entrer alors qu'avec Microsoft il faut acheter un antivirus pour les enlever. - 14 -

Il n'y a pas de "virus" qui parvienne à se répliquer de manière suffisamment efficace sous Linux. Par contre, il existe ce que l'on appelle les "worms" (vers) dont certains sont particulièrement ingénieux. Un worm tire partie d'une faille de sécurité pour s'installer sur un système relié à Internet et infecter d'autres systèmes depuis ce site. Souvent inoffensif pour rester le plus furtif possible, le worm peut offrir le contrôle de la machine à un pirate distant ou être programmé pour détruire les données d'un serveur à une date donnée, comme un virus. Et des worms conçus pour Linux, il en existe un certain nombre. Au début ils attaquaient les news ou le mail, puis ça a été BIND (service DNS), Samba, on peut penser que PostgreSQL, les serveurs de fax, les serveurs d'impression Internet feront partie des prochaines cibles. Comment lutter : faire en sorte que les processus services renoncent à leur privilège super-utilisateur dès l'ouverture du port de connexion. C'est le cas de Sendmail, d'inn, éventuellement de BIND. C'est plus problématique avec NFS, Samba, telnetd ou sshd. Il faut donc fermer tous les services auxquels on ne fait pas confiance, ou filtrer les connexions avec ipchains ou tcpd. Maintenant pourquoi un virus n'est pas viable sous Linux (ou UNIX) : - protection des fichiers système. Un utilisateur ne peut pas modifier un fichier système. C'est également le cas de NT. - protection mémoire entre utilisateurs. Un utilisateur ne peut en aucun cas accéder à l'espace mémoire d'un autre utilisateur (mais éventuellement une application peut demander à partager explicitement une zone de mémoire). C'est théoriquement le cas de NT, bien que cela soit plus difficilement vérifiable. - protection mémoire entre processus. Pour un même utilisateur, un processus ne peut pas accéder à l'espace mémoire d'un autre processus. C'est une option sous NT : par défaut les processus partagent le même espace mémoire. Un système comme Windows9x ou MacOS ne prévoit aucune de ces protections. Et pourquoi les worms UNIX se diffusent : ils attaquent des processus privilégiés, qui ont accès à toutes les ressources système. - 15 -

IV. SSH (SECURITY SHELL) A. Présentation Secure Shell (SSH) est un programme utilisé pour se connecter à travers un réseau, exécuter des commandes sur la machine distante, et déplacer les fichiers d une machine vers une autre. Il permet une authentification forte et des communications sécurisées à travers les réseaux non sécurisés (comme Internet) Il est entendu qu il est le remplaçant futur des "r-commandes" et de "telnet". De plus, SSH fournit des connections sécurisées pour Xwindow et sécurise le transfert des connections TCP. SSH protège de : - IP spoofing, c est à dire quand quelqu un de l extérieur envoie des paquets qui prétendent venir d une autre machine, qui elle est autorisée à se connecter. SSH vous protège également contre un spoofer de votre réseau local, qui prétend être votre routeur pour l extérieur. - IP source routing, c est à dire quand quelqu un prétend qu un paquet IP vient d une autre machine qui elle est autorisée à se connecter. - DNS spoofing, où l attaquant contrefait les réponses sur les serveurs de nom. - L interception de mot de passe en clair et autres données quand elles sont transférées vers des hôtes intermédiaires. - Les attaques basées sur l écoute de l authentification X et le vol de connexion au serveur Xwindow. En d autres termes, SSH ne permet jamais de partager un réseau. Si quelqu un d hostile est arrivé sur votre réseau, il peut seulement forcer SSH à se déconnecter, mais ne peut décrypter ou détourner le trafic, ou intercepter la connexion. B. Installation Pour les sources sous Unix, voir ftp://ftp.cs.hut.fi/pub/ssh tar zxvf ssh tar.gz cd ssh make make install SSH existe en deux versions. A chacune ses avantages : SSH2 est plus récent et donc forcément plus sécurisé. Il n existe pas de clients Windows pour le protocole SSH2. Il n existe pas de client/serveur FTP pour SSH1. C. Utilisation Aucune configuration du client ou du serveur n'est nécessaire pour une utilisation par défaut : elle n est pas belle la vie? Il ne vous reste plus qu'à mettre un commentaire dans /etc/inetd.conf devant tous les protocoles devenus inutiles : login, shell, r-commandes, ftp si SSH2,... Serveur : Pour démarrer le serveur, lancer /usr/local/bin/sshd Client : Sous Unix : /usr/local/bin/ssh <host> Remarque : Le DNS n est PAS un protocole sécurisé. Utilisez donc de préférence l adresse IP de l host que vous voulez joindre. Références : Le site de ssh : http://www.ssh.org FAQ : http://www.ssh.org/faq.html - 16 -

V. NESSUS Nessus est un outil intéressant qui contribue à détecter les attaques et les dysfonctionnements. Il fournit à la communauté Internet un outil puissant, libre et accessible pour la sécurité. Il s'agit d'un software qui audite le réseau et détermine si des intrusions ont lieu. En fait, il teste la configuration et donne les erreurs qui peuvent être à l'origine d'intrusion et qui constitue des trous de sécurité (il ne les résout pas mais suggère souvent une manipulation pour remédier à la faiblesse constatée). Par exemple, il informe que le "telnet" est un service dangereux qui peut être surveillé. Ainsi, chacun peut avoir les données qui passe entre le client et le serveur : ça inclut les logins et les passwords. Sur une démonstration proposée sur le site, la liste des vulnérabilités trouvées par l'outil Nessus est aussi diverse qu'elle aborde des points comme : - les firewalls - FTP - NIS - RPC - SMTP Pour plus d'informations, veuillez consulter : http://www.nessus.org Une solution pour remédier aux problèmes importés par des services comme "telnet" est peut-être d'utiliser un autre produit libre comme OpenSSH qui encrypte tout le trafic sur des services comme "telnet", "rlogin", "ftp" et d'autres programmes dont les passwords sont transmis à travers Internet sans cryptage. Pour plus d'informations, veuillez consulter : http://www.openssh.com D'une manière plus générale, je crois qu'on ne peut lister et spécifier de manière précise les trous de sécurité Linux. Après des recherches diverses concernant le sujet, je peux dire que des vulnérabilités existent dans le système. Elles touchent divers éléments fondamentaux tels que FTP, BIND, RPC, FTP, SMTP et d'autres encore et au risque de me répéter des listes et des remarques concernant les trous de sécurité sont largement accessibles sur le net. Il existe également des outils libres qui doivent vous permettre de sécuriser votre système mais sachez également que ces outils si bien conçus qu'ils soient, comportent également pour certains d'entre eux des failles. L'avantage de Linux dans son approche est qu'il permet de trouver plutôt facilement des informations sur les vulnérabilités qu'il présente et surtout sur la manière d'y faire face notamment grâce aux listes qui proposent souvent la solution s'il s'agit d'un problème "classique" ou grâce à la mise à jour du système qui dans sa version suivante aura fait face au problème rencontré ultérieurement. - 17 -

VI. APPLICATIONS L'ensemble des informations regroupées dans les tableaux vus précédemment est à titre informatif. En ce qui concerne les applications disponibles sur chacune des distributions étudiées, il est bon de prendre conscience que nombre d'entre elles, même si elles ne figurent pas dans la distribution en question, sont téléchargeables. Je vous propose quelques sites permettant de télécharger des applications disponibles sur Linux. A. Bureautique et progiciels : - Star Office qui comprend un traitement de textes, un tableur, un logiciel de présentation, une base de données, un éditeur HTML, un lecteur de mail et un agenda est téléchargeable gratuitement. Rappelons que Star Office offre la possibilité d'importer des documents de la version Office 97. http://www.sun.fr/produits-solutions/logiciels/staroffice/index.html - Corel Linux Word Perfect 8 est le traitement de texte proposé par Corel. Il est téléchargeable gratuitement en attendant WordPerfectOffice 2000 (suite bureautique) et CorelDraw 9. http://linux.corel.com/fr/products/wp8.html - Applixware est un produit proposant des services semblables à ceux de StarOffice. Il est développé par la société Applix et est téléchargeable. http://www.appplix.com/applixware/linux/main.cfm B. Graphisme : - Gimp est sans doute la plus célèbre application graphique sous Linux : elle permet de créer, modifier et retoucher des images. http://www.gimp.org C. Réseau : - Samba qui est en quelque sorte un émulateur de serveur Windows est téléchargeable sur http://fr.samba.org/samba/samba.html Il permet en autre de partager certaines ressources, disques et imprimantes entre machines Linux et PC sous Windows. - Tripwire est un logiciel de sécurité qui détecte les intrusions. Il est disponible sur de nombreuses platesformes, mais seule la version sous Linux est gratuite. http://www.tripwiresecurity.com/ D. Internet : - Apache est certainement le plus célèbre serveur Web du marché. Aujourd'hui plus de la moitié des sites Internet sont abrités par ce projet Open Source. Il est téléchargeable : http://www.apache.org Des documents sur l'installation, la mise à jour et la configuration du serveur sont à disposition. Les développeurs trouvent aussi des modules Perl et PHP qui permettent d'étendre les fonctionnalités d'apache pour en faire un serveur de pages Web dynamiques. - Sendmail est l'un des serveurs de messagerie les plus évolués sous Linux. Produit Open Source, il est téléchargeable gratuitement sur : http://www.sendmail.org Des informations nécessaires à la compilation, à la configuration et à la sécurisation sont également disponibles. - 18 -

- Squid est un proxy cache très efficace. http://squid.nlanr.net/ Ce site propose une documentation complète sur l'installation et la configuration de Squid, mais aussi sur l'ajout de nouvelles fonctionnalités et sur l'optimisation de ce proxy cache. - 19 -