Administration de la sécurité Linux d'entreprise (LN4990)

1. Concepts de sécurité

2. Numérisation, sondage et cartographie des vulnérabilités

• L'environnement de sécurité
• Reconnaissance furtive
• La base de données WHOIS
• Interroger le DNS
• Découverte des hôtes
• Découvrir les services accessibles
• Reconnaissance avec SNMP
• Découverte des services RPC
• Énumération des partages NFS
• Analyseur d'insécurité Nessus
• Configuration d'OpenVAS

3. Sécurité par mot de passe et PAM

• Mots de passe UNIX
• Vieillissement du mot de passe
• Audit des mots de passe
• Présentation de PAM
• Types de modules PAM
• Ordre de traitement PAM
• Instructions de contrôle PAM
• Modules PAM
• pam_unix
• pam_cracklib.so
• pam_pwcheck.so
• pam_env.so
• pam_xauth.so
• pam_tally2.so
• pam_wheel.so
• pam_limits.so
• pam_nologin.so
• pam_deny.so
• pam_warn.so
• pam_securetty.so
• pam_time.so
• pam_access.so
• pam_listfile.so
• pam_lastlog.so
• pam_console.so

4. Protocole de temps de réseau sécurisé (NTP)

• L'importance du temps
• Horloge matérielle et système
• Mesures de temps
• Termes et définitions NTP
• Méthodes de synchronisation
• Évolution du NTP
• Hiérarchie des serveurs de temps
• Modes de fonctionnement
• Clients NTP
• Configuration des clients NTP
• Configuration des serveurs NTP
• Sécurisation NTP
• Intégrité des paquets NTP
• Commandes NTP utiles

5. Concepts et composants Kerberos

• Problèmes de sécurité courants
• Prolifération de compte
• La solution Kerberos
• Historique de Kerberos
• Implémentations Kerberos
• Concepts Kerberos
• Principaux Kerberos
• Sauvegardes Kerberos
• Composants Kerberos
• Processus d'authentification
• Types d'identification
• Se connecter
• Gagner des privilèges
• Utilisation des privilèges
• Composants Kerberos et KDC
• Examen des services Kerberos
• Clients kerberisés
• Démons du serveur KDC
• Fichiers de configuration
• Présentation des utilitaires

6. Implémentation de Kerberos

• Planifier la topologie et la mise en œuvre
• Logiciel client Kerberos 5
• Logiciel serveur Kerberos 5
• Synchroniser les horloges
• Créer un KDC maître
• Configuration du KDC maître
• Journalisation KDC
• Valeurs par défaut du domaine Kerberos
• Spécifier [domaines]
• Spécification de [domaine_domaine]
• Autoriser l'accès administratif
• Créer des bases de données KDC
• Créer des administrateurs
• Installer des clés pour les services
• Démarrer les services
• Ajouter des principaux d'hôte
• Ajouter des principaux de service communs
• Configurer les KDC esclaves
• Créer des principaux pour les esclaves
• Définir les esclaves comme KDC
• Copier la configuration sur les esclaves
• Installer les principaux sur les esclaves
• Créer Stash sur les esclaves
• Démarrer les démons esclaves
• Configuration des clients
• Installez krb5.conf sur les clients
• Configuration PAM des clients
• Installer les clés d'hôte client

7. Administration et utilisation de Kerberos

• Tâches administratives
• Tableaux clés
• Gestion des keytabs
• Directeurs généraux
• Affichage des principaux
• Ajouter, supprimer et modifier des principaux
• Politique principale
• Objectifs généraux pour les utilisateurs
• Connexion à Kerberos
• Types de billets
• Affichage des billets
• Suppression de billets
• Mots de passe
• Modification des mots de passe
• Donner l'accès aux autres
• Utilisation de services Kerberos
• FTP Kerberisé
• Activation des services Kerberos
• OpenSSH et Kerberos

8. Sécurisation du système de fichiers

• Options de montage du système de fichiers
• Propriétés NFS
• Option d'exportation NFS
• Authentification NFSv4 et GSSAPI
• Implémentation de NFSv4
• Implémentation de Kerberos avec NFS
• GPG - GNU Privacy Guard
• Cryptage de fichiers avec OpenSSL
• Cryptage de fichiers avec encfs
• Configuration de clé unifiée Linux (LUKS)

9. AIDE

• Systèmes de détection d'intrusion sur l'hôte
• Présentation de l'AIDE
• Aide à l'installation
• Politiques AIDE
• Section du chapitre sur l'utilisation de l'AIDE

10. Responsabilité avec l'audit du noyau

• Responsabilité et audit
• Audit de session simple
• Comptabilité de processus simple et historique des commandes
• Audit au niveau du noyau
• Configuration du démon d'audit
• Contrôle du système d'audit du noyau
• Création de règles d'audit
• Recherche de journaux d'audit
• Génération de rapports de journal d'audit
• Analyse du journal d'audit

11. SELinux

• DAC contre MAC
• Lacunes de la sécurité Unix traditionnelle
• AppArmor
• Objectifs SELinux
• Évolution de SELinux
• Modes SELinux
• La collecte d'informations
• Système de fichiers virtuel SELinux
• Contextes SELinux
• Gestion des contextes
• La politique SELinux
• Choisir une politique SELinux
• Disposition de la politique
• Réglage et adaptation de la politique
• Booléens
• Domaines permissifs
• Gestion des contextes de fichiers
• Gestion des contextes de port
• Outils de politique SELinux
• Politique d'examen
• Dépannage de SELinux

12. Sécuriser Apache

• Présentation d'Apache
• httpd.conf - Paramètres du serveur
• Configuration de CGI
• Désactiver les modules inutiles
• Administration déléguée
• Contrôles d'accès Apache (mod_access)
• Authentification utilisateur HTTP
• Modules d'authentification standard
• Authentification HTTP Digest
• Authentification via SQL
• Authentification via LDAP
• Authentification via Kerberos
• Nettoyage des en-têtes HTTP
• Mesure de la bande HTTP

13. Sécuriser PostgreSQL

• Présentation de PostgreSQL
• Configuration par défaut de PostgreSQL
• Configuration de SSL
• Principes de base de l'authentification client
• Authentification avancée
• Authentification basée sur l'identité

*La littérature fournie est en langue anglaise.