Mise à jour le 30 Juillet 2014
Lors de l’écriture du guide de durcissement d’un socle Linux, des amis QSA m’ont fait part d’un oubli de taille. « As tu pensé à stopper la liste des services inutiles sur ton OS ? »
Ma confiance envers le Firewall était largement exagéré et je ne répondais plus aux exigences PCI.
On appel ça la faute du débutant…
J’ai fait une check list qui répond à mes besoins mais qui pourra être utile à d’autres.
Arrêt des services inutiles sur les serveurs (Bluetooth, laptop, rsync dans mon cas…). On commence par installer le paquet suivant qui contient la commande chkconfig
#apt-get install chkconfig
Pour afficher la liste des services en cours sur votre serveur
Si vous n’utilisez pas IPv6, vous pouvez le désactiver dans /etc/sysctl.conf, il suffit de mettre un # devant chaque directive contenant net.ipv6.XXX
Maintenant on rentre dans le dur avec la commande chkconfig et on va faire le ménage en profondeur. Les colonnes sont explicites et les services situés entre le run level 2 à 5 sont lancés dès qu’ils sont positionnés en ON.
Petit mémo :
- chkconfig nomduservice off -> On stoppe le lancement automatique au boot.
- chkconfig postfix off -> Arrêt & désactivation du service postfix.
- chkconfig -l I grep postfix -> Le service est à OFF.
La prochaine fois, je consulte un QSA CISP 🙂
TIPS:
Petit bug sous Ubuntu 12.04 LTS.
# chkconfig -s rsync on /sbin/insserv: No such file or directory |
On rajoute un lien symbolique pour résoudre l’erreur:
# ln -s /usr/lib/insserv/insserv /sbin/insserv |