| Titre | FAQ Sécurité Serveur FR |
|---|---|
| Retour | Documentation |
| Langue | English |
Certaines informations ou liens peuvent être obsolètes. La mise à jour se fera progressivement, tout ceci étant tiré d'informations compilées des versions antérieures du SME server ( e-smith.org ) et 
SME-FR.
- Je pense avoir trouvé un bug. Que dois-je faire ?
- A quel point SME est-elle sécurisée ? Est-ce un pare-feu (firewall) ?
- "Leak Test" de www.grc.com m'a indiqué que le pare-feu de SME a été pénétré.
- Comment puis-je voir tous les paquets refusés ou filtés par le pare-feu de SME ?
- "Nessus" m'a indiqué plusieurs vulnérabilités détectées sur le port 25/smtp. Suis-je concerné ?
- SME est-il configuré pour bloquer le relaying de mails ?
- Comment se fait-il que SME échoue à des tests de relaying depuis certains sites Web ?
- Qu'en est-il des virus ? SME offre-t'il une protection contre les virus ?
- Windows 9x et la sécurité des mots de passe. Que puis-je faire ?
Avant tout, veuillez consulter la liste des bugs recencésici. Si le bug que vous avez constaté n'est pas encore listé, veuillez envoyer sa description détaillée à l'équipe de contribs.org .
Veuillez, en tout cas, ne pas annoncer un bug sur la liste de diffusion ou les forums tant que l'équipe de Contribs.org n'a pas confirmé ou infirmé l'existance de ce bug.
Oui. Depuis la version 4.1 de e-smith, un système de pare-feu complet a été implémenté. Des règles IPChains ont été développées pour offrir un certain niveau de filtrage au dessus de l'IP masquerading, pour des services qui sont uniquement accessibles depuis le réseau local interne. De plus, tous les services réseaux non indispensables ont été désactivés, les TCP wrappers sont autorisés et les applications serveur sont configurées pour ne communiquer qu'avec les machines sur le réseau local, le serveur de courrier sendmail a été remplacé par qmail pour accroitre les performances et la sécurité, et la possibilité de se loguer à distance a été désactivé.
Depuis la version 5.6, le pare-feu a été adapté a IPTables ( suite à l'évolution du Kernel )
Ce test de grc.com lance des tentatives de connexion vers l'extérieur depuis votre serveur et affiche un rapport indiquant les réussites de pénétration du firewall. Les règles de firewalling définies par SME autorisent toutes les connexions vers l'extérieur. Le serveur est tout de même toujours bien protégé du monde extérieur.
Par défaut, il n'y a pas de rapport sur les paquets refusés. Il existe trois niveaux de rapport pour ces paquets :
all - tous les paquets bloqués sont rapportés
most - tous les paquets bloqués sont rapportés, exceptés les paquets SMB et RIP
none - (option par défaut) aucun paquet bloqué n'est rapporté
Pour changer le type de rapport, il suffit de taper ces deux commandes :
/sbin/e-smith/db configuration setprop masq Logging most
/sbin/e-smith/signal-event remoteaccess-update
Dorénavant, les paquets bloqués seront indiqués dans le fichier de rapport système (/var/log/messages), et visibles dans le ' journal ' du server-manager.
Nous avons vérifié en détail plusieurs vulnérabilités recensées par Nessus dès qu'elles ont été rapportées. Nous avons constaté qu'il s'agissait en fait de fausses alertes.
Le serveur SMTP utilisé par SME est justement protégé contre les tentatives de dépassement de pile (buffer overflow) mentionnés dans les rapports de Nessus. De plus, le serveur SMTP fonctionne avec un compte d'utilisateur sans privilèges, dans un environnement restreint qui protège le système contre les tentatives de compromission.
Depuis la version 3.1 de e-smith, les tentatives de relaying de messages sont bloqués. Donc, si vous n'avez pas modifié la configuration, vous pourrez envoyer vos messages depuis votre réseau local vers le monde entier et recevoir des mails provenant de n'importe où et à destination de vos domaines locaux.
Les tests de relaying effectués par des sites Web ne testent en fait que la réception du courrier, pas son émission. L'agent de messagerie de SME semblera échouer à ce genre de test, mais ne retransmettra PAS le message. Les échecs à ces tests sont donc de fausses alertes. Ces messages seront soit retournés à l'expéditeur, soit transmis à l'administrateur, en fonction de votre configuration dans la page "Other email settings" dans le manager.
Vous pourrez trouver plus de détail sur le relaying et les tests de relaying dans ces sites :
http://www.faqts.com/knowledge-base/view.phtml/aid/1198/fid/206/lang/en
http://www.mail-abuse.net
http://www.abuse.net/relay.html
Le test de relaying de abuse.net effectue un test complet, en envoyant un message de test à votre serveur pour découvrir les relais ouverts. C'est le seul moyen efficace de détecter les relais ouverts.
Actuellement, non. Il existe cependant de nombreuses contributions permettant de protéger vos mails qui transitent par le serveur.
Quand un utilisateur se logue depuis une machine Windows 9x, son mot de passe est sauvegardé localement dans un fichier nommé "XXXX.pwl" (XXXX étant le nom de l'utilisateur). Cela représente un sérieux risque pour la sécurité, compte-tenu du faible niveau d'encryptage de ces fichiers qu'il est facile de casser. Que puis-je faire ?
Oui, les mots de passe en cache peuvent être désactivés.
Le but des fichiers PWL est de garder en cache des mots de passe. Par exemple, quand vous accèdez à une ressource nécessitant l'utilisation d'un mot de passe, tel qu'une connexion Internet, il vous est demandé si vous voulez "enregistrer" le mot de passe. Si vous choisissez d'enregistrer le mot de passe, il est alors mis en cache avec un identifiant de ressource dans le fichier PWL pour que l'utilisateur n'ait plus à fournir le mot de passe à l'avenir. Malgré l'intérêt que cela représente, il s'agit d'un important risque au niveau de la sécurité. Ces mots de passe peuvent facilement être retrouvés par une personne mal intentionnée, qui peut alors utiliser les mots de passe capturés pour compromettre la sécurité de votre réseau.
Pour toute information Microsoft
| Retour | Documentation FR |
|---|