NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux - Guide de securite - Mises � jour de s�curit�
Lorsque des vuln�rabilit�s de s�curit� sont d�couvertes, les logiciels touch�s doivent �tre corrig�s afin de limiter les risques de s�curit� possibles. Si le logiciel fait partie d'un paquetage au sein d'une distribution Red Hat Enterprise Linux actuellement support�e, Red Hat, Inc. se doit de publier des paquetages mis � jour r�parant les br�ches de s�curit� d�s que possible. Souvent, l'annonce d'un exploit de s�curit� est accompagn� d'un correctif (ou de code source corrigeant le probl�me). Le correctif est alors appliqu� au paquetage de Red Hat Enterprise Linux, test� par l'�quipe d'assurance qualit� de Red Hat et �dit� en tant que mise � jour d'errata. Toutefois, si l'annonce n'inclut pas de correctif, un d�veloppeur de Red Hat travaillera avec la personne qui s'occupe du logiciel pour r�soudre le probl�me. Une fois le probl�me corrig�, le paquetage est test� et �dit� en tant que mise � jour d'errata.
Si une mise � jour d'errata est publi�e pour un logiciel utilis� sur votre syst�me, il est fortement recommand� que vous mettiez � jour les paquetages concern�s d�s que possible, afin de r�duire la p�riode pendant laquelle votre syst�me est potentiellement exploitable.
3.1. Mise � jour des paquetages
Lors de la mise � jour de logiciels sur votre syst�me, il est important de t�l�charger ces mises � jour � partir d'une source digne de confiance. Un pirate peut facilement reconstruire la version d'un paquetage avec le m�me num�ro de version que celui qui est suppos� corriger le probl�me, mais avec un exploit de s�curit� diff�rent et le publier sur l'internet. Dans une telle situation, l'utilisation de mesures de s�curit� consistant � v�rifier les fichiers avec le RPM original, ne d�tecteront pas l'exploit. Il est donc tr�s important de t�l�charger les RPM de sources dignes de confiance comme le site Red Hat, Inc., et de v�rifier la signature du paquetage afin de contr�ler son int�grit�.
Red Hat offre deux m�thodes pour obtenir des informations sur les mises � jour d'errata�:
R�pertori�es et disponibles par t�l�chargement sur Red Hat Network
R�pertori�es et sans liens sur le site Web d'errata de Red Hat
Remarque
En commen�ant par la ligne de produits de Red Hat Enterprise Linux, les paquetages mis � jour peuvent uniquement �tre t�l�charg�s depuis Red Hat Network. Bien que le site Web d'errata de Red Hat contienne des informations � jour, il ne contient pas les paquetages actuels pr�ts � �tre t�l�charg�s.
3.1.1. Utilisation de Red Hat Network
Red Hat Network vous permet d'automatiser la plupart des processus de mises � jour. Il d�termine les paquetages RPM n�cessaires pour votre syst�me, les t�l�charge depuis un d�p�t s�curis�, v�rifie la signature RPM pour s'assurer qu'ils n'ont pas �t� modifi�s et les met � jour. L'installation de paquetages peut se produire imm�diatement ou peut �tre programm�e lors d'une certaine p�riode de temps.
Red Hat Network requiert un profil de syst�me pour chaque ordinateur devant �tre mis � jour. Le profil de syst�me contient des informations mat�rielles et logicielles sur le syst�me. Ces informations sont confidentielles et ne sont donn�es � personne d'autre. Elles sont seulement utilis�es pour d�terminer les mises � jour d'errata qui peuvent �tre appliqu�es � chaque syst�me. Sans elles, Red Hat Network ne peut pas d�terminer si un syst�me a besoin de mises � jour. Lorsqu'un errata de s�curit� (ou tout type d'errata) est publi�, Red Hat Network envoie un message �lectronique avec une description de l'errata ainsi qu'une liste des syst�mes affect�s. Pour appliquer la mise � jour, utilisez l'Agent de mise � jour Red Hat ou programmez la mise � jour du paquetage gr�ce au site Web https://rhn.redhat.com.
Astuce
Red Hat Enterprise Linux inclut l'Outil de notification d'alertes de Red Hat Network, une ic�ne de tableau de bord pratique qui affiche des alertes visibles lorsqu'une mise � jour pour un syst�me Red Hat Enterprise Linux existe. Reportez-vous � l'URL suivant pour de plus amples informations sur l'applet�: https://rhn.redhat.com/help/basic/applet.html
Avant d'installer tout errata de s�curit�, assurez-vous de bien lire toutes les instructions sp�ciales contenues dans le rapport d'errata et appliquez-les comme il l'est demand�. Reportez-vous � la Section 3.1.5 pour obtenir des instructions g�n�rales sur l'application des modifications r�sultant d'une mise � jour d'errata.
3.1.2. L'utilisation du site Web d'errata de Red Hat
Lorsque les rapports d'errata de s�curit� sont publi�s, ils se trouvent sur le site Web d'errata de Red Hat disponible � l'adresse https://www.redhat.com/security/. Depuis cette page, s�lectionnez le produit et la version s'appliquant � votre syst�me, puis choisissez security (s�curit�) en haut de la page pour n'afficher que les alertes de s�curit� de Red Hat Enterprise Linux. Si le synopsis de l'une des alertes d�crit un paquetage utilis� sur votre syst�me, cliquez sur le synopsis pour obtenir davantage d'informations.
La page de d�tails d�crit l'exploit de s�curit� et toutes autres instructions sp�ciales qui doivent �tre effectu�es en plus de la mise � jour pour r�parer le trou de s�curit�.
Pour t�l�charger le(s) paquetage(s) mis � jour, cliquez sur le lien pour vous connecter � Red Hat Network, cliquez sur le(s) nom(s) de paquetage et enregistrez-le(s) sur le disque dur. Il est fortement recommand� de cr�er un nouveau r�pertoire, comme /tmp/updates et d'y enregistrer tous les paquetages t�l�charg�s.
3.1.3. V�rification des paquetages sign�s
Tous les paquetages de Red Hat Enterprise Linux portent la signature de la cl� GPG de Red Hat, Inc.. GPG signifie GNU Privacy Guard, ou GnuPG, un paquetage de logiciel libre utilis� pour assurer l'authenticit� des fichiers distribu�s. Par exemple, une cl� priv�e (cl� secr�te) appartenant � Red Hat verrouille le paquetage alors que la cl� publique d�verrouille et v�rifie le paquetage. Si la cl� publique distribu�e par Red Hat ne correspond pas � la cl� priv�e durant la v�rification de RPM, il se peut que le paquetage ait �t� modifi�. Il n'est donc pas digne de confiance.
L'utilitaire RPM dans Red Hat Enterprise Linux essaie automatiquement de v�rifier la signature GPG d'un paquetage RPM avant de l'installer. Si la cl� GPG de Red Hat n'est pas install�e, installez la depuis un emplacement s�curis� et statique comme par exemple un CD-ROM d'installation Red Hat Enterprise Linux.
En supposant que le CD-ROM soit mont� sur /mnt/cdrom, utilisez la commande suivante pour l'importer dans le porte-cl�s (une base de donn�es de cl�s s�curis�es sur le syst�me)�:
rpm --import /mnt/cdrom/RPM-GPG-KEY
Pour afficher la liste de toutes les cl�s install�es pour la v�rification de RPM, ex�cutez la commande suivante�:
rpm -qa gpg-pubkey*
Pour la cl� de Red Hat, la sortie inclut les �l�ments suivants�:
gpg-pubkey-db42a60e-37ea5438
Pour afficher les d�tails d'une cl� sp�cifique, utilisez la commande rpm -qi suivie de la sortie de la commande pr�c�dente, comme dans l'exemple ci-apr�s�:
rpm -qi gpg-pubkey-db42a60e-37ea5438
Il est extr�mement important que vous v�rifiez la signature des fichiers RPM avant de les installer afin d'obtenir la garantie qu'ils n'ont pas �t� modifi�s par rapport � l'�dition Red Hat, Inc. des paquetages. Pour v�rifier l'ensemble des paquetages t�l�charg�s en une seule op�ration, ex�cutez la commande suivante �:
rpm -K /tmp/updates/*.rpm
Pour chaque paquetage, si la cl� GPG est bien v�rifi�e, la commande renvoie en sortie gpg OK. Si elle ne l'est pas, assurez-vous que vous utilisez la bonne cl� publique de Red Hat et que vous v�rifiez la source du contenu. Les paquetages qui ne passent pas les v�rifications GPG ne devraient pas �tre install�s. En effet, il est possible qu'ils aient �t� modifi�s par un tiers.
Apr�s la v�rification de la cl� GPG et le t�l�chargement de tous les paquetages associ�s au rapport d'errata, installez ces derniers depuis une invite du shell en �tant connect� en tant que super-utilisateur.
3.1.4. Installation de paquetages sign�s
Cette op�ration peut �tre effectu�e en toute s�curit� pour la plupart des paquetages (� l'exception des paquetages du noyau) en ex�cutant la commande suivante�:
rpm -Uvh /tmp/updates/*.rpm
Pour les paquetages du noyau, utilisez la commande suivante�:
rpm -ivh /tmp/updates/<kernel-package>
Remplacez <kernel-package> dans l'exemple pr�c�dent par le nom du RPM du noyau.
Une fois que l'ordinateur a �t� red�marr� en toute s�curit� en utilisant le nouveau noyau, il est possible de supprimer l'ancien � l'aide de la commande suivante�:
rpm -e <old-kernel-package>
Remplacez <old-kernel-package> dans l'exemple pr�c�dent par le nom du RPM de l'ancien noyau.
Remarque
Vous n'avez pas besoin de supprimer l'ancien noyau. Le chargeur de d�marrage par d�faut, GRUB, permet d'installer de multiples noyaux, s�lectionn�s depuis un menu au d�marrage.
Important
Avant d'installer tout errata de s�curit�, assurez-vous de bien lire toutes les instructions sp�ciales contenues dans le rapport d'errata et appliquez-les comme il l'est demand�. Reportez-vous � la Section 3.1.5 pour obtenir des instructions g�n�rales sur l'application des modifications r�sultant d'une mise � jour d'errata.
3.1.5. Application des changements
Apr�s le t�l�chargement et l'installation d'errata de s�curit� via Red Hat Network ou le site Web d'errata de Red Hat, il est important de ne plus utiliser les anciens logiciels et de n'utiliser que les nouveaux. La mani�re de proc�der d�pend du type des logiciels qui ont �t� mis � jour. La liste suivante �num�re de mani�re d�taill�e les cat�gories g�n�rales des logiciels et fournit des instructions quant � l'utilisation des versions mises � jour apr�s la mise � niveau d'un paquetage.
Remarque
D'une mani�re g�n�rale, le red�marrage du syst�me est la mani�re la plus s�re de garantir que la nouvelle version d'un paquetage de logiciels est bien utilis�e�; n�anmoins, cette option n'est pas toujours offerte � l'administrateur syst�me.
Applications
Les applications de l'espace utilisateur repr�sentent tout programme pouvant �tre d�marr� par un utilisateur du syst�me. De mani�re g�n�rale, de telles applications sont utilis�es seulement lorsqu'un utilisateur, un script ou un utilitaire de t�ches automatis�es les lance et que l'op�ration ne dure pas longtemps.
Une fois qu'une application de l'espace utilisateur est mise � jour, arr�tez toute instance de l'application sur le syst�me et relancez le programme afin d'utiliser la version mise � jour.
Noyau
Le noyau est l'�l�ment logiciel de base du syst�me d'exploitation Red Hat Enterprise Linux. Il g�re l'acc�s � la m�moire, le processeur et les p�riph�riques ainsi que toutes les t�ches programm�es.
En raison de sa fonction centrale, le noyau ne peut pas �tre red�marr� sans arr�ter �galement l'ordinateur. Par cons�quent, une version mise � jour du noyau ne peut �tre utilis�e avant que le syst�me ne soit red�marr�.
Biblioth�ques partag�es
Les biblioth�ques partag�es sont des unit�s de code, comme glibc, qui sont utilis�es par un certain nombre d'applications et de services. �tant donn� que les applications utilisant une biblioth�que partag�e chargent le code lors de leur initialisation, il est n�cessaire d'arr�ter et de red�marrer toute application utilisant une biblioth�que mise � jour.
Afin de d�terminer les applications en cours d'ex�cution qui sont li�es � une biblioth�que particuli�re, utilisez la commande lsof, comme dans l'exemple suivant�:
lsof /usr/lib/libwrap.so*
Cette commande renvoie une liste de tous les programmes en cours d'ex�cution qui utilisent les enveloppeurs TCP pour le contr�le de l'acc�s des h�tes. Par cons�quent, tout programme faisant partie de la liste doit �tre arr�t� et red�marr� si le paquetage tcp_wrappers est mis � jour.
Services SysV
Les services SysV sont des programmes serveur persistants lanc�s lors du processus de d�marrage. Parmi des exemples de services sysV figurent sshd, vsftpd et xinetd.
Parce que ces programmes restent en m�moire tant que l'ordinateur est op�rationnel, chaque service SysV mis � jour doit �tre arr�t� et red�marr� apr�s la mise � niveau du paquetage. Pour ce faire, utilisez l'Outil de configuration des services ou connectez-vous dans un shell root et � l'invite ex�cutez la commande /sbin/service comme dans l'exemple ci-apr�s�:
/sbin/service <service-name> restart
Dans l'exemple pr�c�dent, remplacez <service-name> par le nom du service, tel que sshd.
Reportez-vous au chapitre intitul� Contr�le de l'acc�s aux services du Guide d'administration syst�me de Red Hat Enterprise Linux pour obtenir de plus amples informations sur l'Outil de configuration des services.
Services xinetd
Les services contr�l�s par le super-service xinetd tournent seulement lorsqu'une connexion active existe. Parmi des exemples de services contr�l�s par xinetd figurent Telnet, IMAP et POP3.
�tant donn� que de nouvelles instances de ces services sont lanc�es par xinetd lors de la r�ception de toute nouvelle requ�te, les connexions �tablies apr�s une mise � niveau sont trait�es par le logiciel mis � jour. Toutefois, s'il existe des connexions actives lors de la mise � niveau du service contr�l� par xinetd, ces derni�res seront trait�es par l'ancienne version du logiciel.
Pour arr�ter d'anciennes instances d'un service particulier contr�l� par xinetd, mettez � niveau le paquetage de ce service, puis arr�tez tous les processus actuellement en cours d'ex�cution. Pour d�terminer si le processus tourne, utilisez la commande ps, puis utilisez kill ou killall pour arr�ter les instances courantes du service.
Par exemple, si des paquetages imap d'errata de s�curit� sont publi�s, mettez � niveau les paquetages, puis, en tant que super-utilisateur, saisissez la commande suivante � une invite du shell�:
ps -aux | grep imap
Cette commande renvoie toutes les sessions IMAP actives. Des sessions individuelles peuvent alors �tre arr�t�es en ex�cutant la commande suivante�:
kill -9 <PID>
Dans l'exemple pr�c�dent, remplacez <PID> par le num�ro d'identification du processus (qui se trouve dans la deuxi�me colonne de la commande ps) correspondant � une session IMAP.
Pour mettre fin � toutes les sessions IMAP, ex�cutez la commande suivante�:
killall imapd
Reportez-vous au chapitre intitul� Enveloppeurs TCP et xinetd du Guide de r�f�rence de Red Hat Enterprise Linux pour obtenir des informations g�n�rales sur la commande xinetd.