Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux - Guide de securite - Mises � jour de s�curit�

Chapitre 3. Mises � jour de s�curit�

Lorsque des vuln�rabilit�s de s�curit� sont d�couvertes, les logiciels touch�s doivent �tre corrig�s afin de limiter les risques de s�curit� possibles. Si le logiciel fait partie d'un paquetage au sein d'une distribution Red Hat Enterprise Linux actuellement support�e, Red Hat, Inc. se doit de publier des paquetages mis � jour r�parant les br�ches de s�curit� d�s que possible. Souvent, l'annonce d'un exploit de s�curit� est accompagn� d'un correctif (ou de code source corrigeant le probl�me). Le correctif est alors appliqu� au paquetage de Red Hat Enterprise Linux, test� par l'�quipe d'assurance qualit� de Red Hat et �dit� en tant que mise � jour d'errata. Toutefois, si l'annonce n'inclut pas de correctif, un d�veloppeur de Red Hat travaillera avec la personne qui s'occupe du logiciel pour r�soudre le probl�me. Une fois le probl�me corrig�, le paquetage est test� et �dit� en tant que mise � jour d'errata.

Si une mise � jour d'errata est publi�e pour un logiciel utilis� sur votre syst�me, il est fortement recommand� que vous mettiez � jour les paquetages concern�s d�s que possible, afin de r�duire la p�riode pendant laquelle votre syst�me est potentiellement exploitable.

3.1. Mise � jour des paquetages

Lors de la mise � jour de logiciels sur votre syst�me, il est important de t�l�charger ces mises � jour � partir d'une source digne de confiance. Un pirate peut facilement reconstruire la version d'un paquetage avec le m�me num�ro de version que celui qui est suppos� corriger le probl�me, mais avec un exploit de s�curit� diff�rent et le publier sur l'internet. Dans une telle situation, l'utilisation de mesures de s�curit� consistant � v�rifier les fichiers avec le RPM original, ne d�tecteront pas l'exploit. Il est donc tr�s important de t�l�charger les RPM de sources dignes de confiance comme le site Red Hat, Inc., et de v�rifier la signature du paquetage afin de contr�ler son int�grit�.

Red Hat offre deux m�thodes pour obtenir des informations sur les mises � jour d'errata�:

  1. R�pertori�es et disponibles par t�l�chargement sur Red Hat Network

  2. R�pertori�es et sans liens sur le site Web d'errata de Red Hat

NoteRemarque
 

En commen�ant par la ligne de produits de Red Hat Enterprise Linux, les paquetages mis � jour peuvent uniquement �tre t�l�charg�s depuis Red Hat Network. Bien que le site Web d'errata de Red Hat contienne des informations � jour, il ne contient pas les paquetages actuels pr�ts � �tre t�l�charg�s.

3.1.1. Utilisation de Red Hat Network

Red Hat Network vous permet d'automatiser la plupart des processus de mises � jour. Il d�termine les paquetages RPM n�cessaires pour votre syst�me, les t�l�charge depuis un d�p�t s�curis�, v�rifie la signature RPM pour s'assurer qu'ils n'ont pas �t� modifi�s et les met � jour. L'installation de paquetages peut se produire imm�diatement ou peut �tre programm�e lors d'une certaine p�riode de temps.

Red Hat Network requiert un profil de syst�me pour chaque ordinateur devant �tre mis � jour. Le profil de syst�me contient des informations mat�rielles et logicielles sur le syst�me. Ces informations sont confidentielles et ne sont donn�es � personne d'autre. Elles sont seulement utilis�es pour d�terminer les mises � jour d'errata qui peuvent �tre appliqu�es � chaque syst�me. Sans elles, Red Hat Network ne peut pas d�terminer si un syst�me a besoin de mises � jour. Lorsqu'un errata de s�curit� (ou tout type d'errata) est publi�, Red Hat Network envoie un message �lectronique avec une description de l'errata ainsi qu'une liste des syst�mes affect�s. Pour appliquer la mise � jour, utilisez l'Agent de mise � jour Red Hat ou programmez la mise � jour du paquetage gr�ce au site Web https://rhn.redhat.com.

TuyauAstuce
 

Red Hat Enterprise Linux inclut l'Outil de notification d'alertes de Red Hat Network, une ic�ne de tableau de bord pratique qui affiche des alertes visibles lorsqu'une mise � jour pour un syst�me Red Hat Enterprise Linux existe. Reportez-vous � l'URL suivant pour de plus amples informations sur l'applet�: https://rhn.redhat.com/help/basic/applet.html

Pour en savoir plus sur les avantages de Red Hat Network, veuillez consulter le Guide de r�f�rence de Red Hat Network disponible � l'adresse suivante�: https://www.redhat.com/docs/manuals/RHNetwork/ ou rendez-vous sur le site https://rhn.redhat.com.

ImportantImportant
 

Avant d'installer tout errata de s�curit�, assurez-vous de bien lire toutes les instructions sp�ciales contenues dans le rapport d'errata et appliquez-les comme il l'est demand�. Reportez-vous � la Section 3.1.5 pour obtenir des instructions g�n�rales sur l'application des modifications r�sultant d'une mise � jour d'errata.

3.1.2. L'utilisation du site Web d'errata de Red Hat

Lorsque les rapports d'errata de s�curit� sont publi�s, ils se trouvent sur le site Web d'errata de Red Hat disponible � l'adresse https://www.redhat.com/security/. Depuis cette page, s�lectionnez le produit et la version s'appliquant � votre syst�me, puis choisissez security (s�curit�) en haut de la page pour n'afficher que les alertes de s�curit� de Red Hat Enterprise Linux. Si le synopsis de l'une des alertes d�crit un paquetage utilis� sur votre syst�me, cliquez sur le synopsis pour obtenir davantage d'informations.

La page de d�tails d�crit l'exploit de s�curit� et toutes autres instructions sp�ciales qui doivent �tre effectu�es en plus de la mise � jour pour r�parer le trou de s�curit�.

Pour t�l�charger le(s) paquetage(s) mis � jour, cliquez sur le lien pour vous connecter � Red Hat Network, cliquez sur le(s) nom(s) de paquetage et enregistrez-le(s) sur le disque dur. Il est fortement recommand� de cr�er un nouveau r�pertoire, comme /tmp/updates et d'y enregistrer tous les paquetages t�l�charg�s.

3.1.3. V�rification des paquetages sign�s

Tous les paquetages de Red Hat Enterprise Linux portent la signature de la cl� GPG de Red Hat, Inc.. GPG signifie GNU Privacy Guard, ou GnuPG, un paquetage de logiciel libre utilis� pour assurer l'authenticit� des fichiers distribu�s. Par exemple, une cl� priv�e (cl� secr�te) appartenant � Red Hat verrouille le paquetage alors que la cl� publique d�verrouille et v�rifie le paquetage. Si la cl� publique distribu�e par Red Hat ne correspond pas � la cl� priv�e durant la v�rification de RPM, il se peut que le paquetage ait �t� modifi�. Il n'est donc pas digne de confiance.

L'utilitaire RPM dans Red Hat Enterprise Linux essaie automatiquement de v�rifier la signature GPG d'un paquetage RPM avant de l'installer. Si la cl� GPG de Red Hat n'est pas install�e, installez la depuis un emplacement s�curis� et statique comme par exemple un CD-ROM d'installation Red Hat Enterprise Linux.

En supposant que le CD-ROM soit mont� sur /mnt/cdrom, utilisez la commande suivante pour l'importer dans le porte-cl�s (une base de donn�es de cl�s s�curis�es sur le syst�me)�:

rpm --import /mnt/cdrom/RPM-GPG-KEY

Pour afficher la liste de toutes les cl�s install�es pour la v�rification de RPM, ex�cutez la commande suivante�:

rpm -qa gpg-pubkey*

Pour la cl� de Red Hat, la sortie inclut les �l�ments suivants�:

gpg-pubkey-db42a60e-37ea5438

Pour afficher les d�tails d'une cl� sp�cifique, utilisez la commande rpm -qi suivie de la sortie de la commande pr�c�dente, comme dans l'exemple ci-apr�s�:

rpm -qi gpg-pubkey-db42a60e-37ea5438

Il est extr�mement important que vous v�rifiez la signature des fichiers RPM avant de les installer afin d'obtenir la garantie qu'ils n'ont pas �t� modifi�s par rapport � l'�dition Red Hat, Inc. des paquetages. Pour v�rifier l'ensemble des paquetages t�l�charg�s en une seule op�ration, ex�cutez la commande suivante �:

rpm -K /tmp/updates/*.rpm

Pour chaque paquetage, si la cl� GPG est bien v�rifi�e, la commande renvoie en sortie gpg OK. Si elle ne l'est pas, assurez-vous que vous utilisez la bonne cl� publique de Red Hat et que vous v�rifiez la source du contenu. Les paquetages qui ne passent pas les v�rifications GPG ne devraient pas �tre install�s. En effet, il est possible qu'ils aient �t� modifi�s par un tiers.

Apr�s la v�rification de la cl� GPG et le t�l�chargement de tous les paquetages associ�s au rapport d'errata, installez ces derniers depuis une invite du shell en �tant connect� en tant que super-utilisateur.

3.1.4. Installation de paquetages sign�s

Cette op�ration peut �tre effectu�e en toute s�curit� pour la plupart des paquetages (� l'exception des paquetages du noyau) en ex�cutant la commande suivante�:

rpm -Uvh /tmp/updates/*.rpm

Pour les paquetages du noyau, utilisez la commande suivante�:

rpm -ivh /tmp/updates/<kernel-package>

Remplacez <kernel-package> dans l'exemple pr�c�dent par le nom du RPM du noyau.

Une fois que l'ordinateur a �t� red�marr� en toute s�curit� en utilisant le nouveau noyau, il est possible de supprimer l'ancien � l'aide de la commande suivante�:

rpm -e <old-kernel-package>

Remplacez <old-kernel-package> dans l'exemple pr�c�dent par le nom du RPM de l'ancien noyau.

NoteRemarque
 

Vous n'avez pas besoin de supprimer l'ancien noyau. Le chargeur de d�marrage par d�faut, GRUB, permet d'installer de multiples noyaux, s�lectionn�s depuis un menu au d�marrage.

ImportantImportant
 

Avant d'installer tout errata de s�curit�, assurez-vous de bien lire toutes les instructions sp�ciales contenues dans le rapport d'errata et appliquez-les comme il l'est demand�. Reportez-vous � la Section 3.1.5 pour obtenir des instructions g�n�rales sur l'application des modifications r�sultant d'une mise � jour d'errata.

3.1.5. Application des changements

Apr�s le t�l�chargement et l'installation d'errata de s�curit� via Red Hat Network ou le site Web d'errata de Red Hat, il est important de ne plus utiliser les anciens logiciels et de n'utiliser que les nouveaux. La mani�re de proc�der d�pend du type des logiciels qui ont �t� mis � jour. La liste suivante �num�re de mani�re d�taill�e les cat�gories g�n�rales des logiciels et fournit des instructions quant � l'utilisation des versions mises � jour apr�s la mise � niveau d'un paquetage.

NoteRemarque
 

D'une mani�re g�n�rale, le red�marrage du syst�me est la mani�re la plus s�re de garantir que la nouvelle version d'un paquetage de logiciels est bien utilis�e�; n�anmoins, cette option n'est pas toujours offerte � l'administrateur syst�me.

Applications

Les applications de l'espace utilisateur repr�sentent tout programme pouvant �tre d�marr� par un utilisateur du syst�me. De mani�re g�n�rale, de telles applications sont utilis�es seulement lorsqu'un utilisateur, un script ou un utilitaire de t�ches automatis�es les lance et que l'op�ration ne dure pas longtemps.

Une fois qu'une application de l'espace utilisateur est mise � jour, arr�tez toute instance de l'application sur le syst�me et relancez le programme afin d'utiliser la version mise � jour.

Noyau

Le noyau est l'�l�ment logiciel de base du syst�me d'exploitation Red Hat Enterprise Linux. Il g�re l'acc�s � la m�moire, le processeur et les p�riph�riques ainsi que toutes les t�ches programm�es.

En raison de sa fonction centrale, le noyau ne peut pas �tre red�marr� sans arr�ter �galement l'ordinateur. Par cons�quent, une version mise � jour du noyau ne peut �tre utilis�e avant que le syst�me ne soit red�marr�.

Biblioth�ques partag�es

Les biblioth�ques partag�es sont des unit�s de code, comme glibc, qui sont utilis�es par un certain nombre d'applications et de services. �tant donn� que les applications utilisant une biblioth�que partag�e chargent le code lors de leur initialisation, il est n�cessaire d'arr�ter et de red�marrer toute application utilisant une biblioth�que mise � jour.

Afin de d�terminer les applications en cours d'ex�cution qui sont li�es � une biblioth�que particuli�re, utilisez la commande lsof, comme dans l'exemple suivant�:

lsof /usr/lib/libwrap.so*

Cette commande renvoie une liste de tous les programmes en cours d'ex�cution qui utilisent les enveloppeurs TCP pour le contr�le de l'acc�s des h�tes. Par cons�quent, tout programme faisant partie de la liste doit �tre arr�t� et red�marr� si le paquetage tcp_wrappers est mis � jour.

Services SysV

Les services SysV sont des programmes serveur persistants lanc�s lors du processus de d�marrage. Parmi des exemples de services sysV figurent sshd, vsftpd et xinetd.

Parce que ces programmes restent en m�moire tant que l'ordinateur est op�rationnel, chaque service SysV mis � jour doit �tre arr�t� et red�marr� apr�s la mise � niveau du paquetage. Pour ce faire, utilisez l'Outil de configuration des services ou connectez-vous dans un shell root et � l'invite ex�cutez la commande /sbin/service comme dans l'exemple ci-apr�s�:

/sbin/service <service-name> restart

Dans l'exemple pr�c�dent, remplacez <service-name> par le nom du service, tel que sshd.

Reportez-vous au chapitre intitul� Contr�le de l'acc�s aux services du Guide d'administration syst�me de Red Hat Enterprise Linux pour obtenir de plus amples informations sur l'Outil de configuration des services.

Services xinetd

Les services contr�l�s par le super-service xinetd tournent seulement lorsqu'une connexion active existe. Parmi des exemples de services contr�l�s par xinetd figurent Telnet, IMAP et POP3.

�tant donn� que de nouvelles instances de ces services sont lanc�es par xinetd lors de la r�ception de toute nouvelle requ�te, les connexions �tablies apr�s une mise � niveau sont trait�es par le logiciel mis � jour. Toutefois, s'il existe des connexions actives lors de la mise � niveau du service contr�l� par xinetd, ces derni�res seront trait�es par l'ancienne version du logiciel.

Pour arr�ter d'anciennes instances d'un service particulier contr�l� par xinetd, mettez � niveau le paquetage de ce service, puis arr�tez tous les processus actuellement en cours d'ex�cution. Pour d�terminer si le processus tourne, utilisez la commande ps, puis utilisez kill ou killall pour arr�ter les instances courantes du service.

Par exemple, si des paquetages imap d'errata de s�curit� sont publi�s, mettez � niveau les paquetages, puis, en tant que super-utilisateur, saisissez la commande suivante � une invite du shell�:

ps -aux | grep imap

Cette commande renvoie toutes les sessions IMAP actives. Des sessions individuelles peuvent alors �tre arr�t�es en ex�cutant la commande suivante�:

kill -9 <PID>

Dans l'exemple pr�c�dent, remplacez <PID> par le num�ro d'identification du processus (qui se trouve dans la deuxi�me colonne de la commande ps) correspondant � une session IMAP.

Pour mettre fin � toutes les sessions IMAP, ex�cutez la commande suivante�:

killall imapd

Reportez-vous au chapitre intitul� Enveloppeurs TCP et xinetd du Guide de r�f�rence de Red Hat Enterprise Linux pour obtenir des informations g�n�rales sur la commande xinetd.

 
 
  Published under the terms of the GNU General Public License Design by Interspire