Le fichier .Xauthority
est généré par le
programme xauth
. Il s'agit d'un système d'authentification pour les
applications graphiques. Cela permet d'éviter que d'autres personnes
d'envoient des images, des fenêtres sur ton écran - mais également
que des personnes puissent "voir" ce qu'il y a sur ton écran.
Le principe est de donner une clef d'identification, en hexadécimal avec un nombre de caractères pair.
Tu lances xauth
et tu fait :
add MaMachine:0 MIT-MAGIC-COOKIE-1 MonCode add MaMachine/unix:0 MIT-MAGIC-COOKIE-1 MonCode
Pour la machine, c'est en fait "hostname:NoDisplay
".
Un fois lancé, ton serveur X interdit toute connexion, sauf si l'application :
Tu peux désactiver le système pour certaines machines avec un
xhost +toto
par exemple.
Rq: certaines versions obligent à lancer le serveur X avec la commande
xinit -- -auth $HOME/.Xauthority.
Seul xdm
assure un contrôle de session X Window correct. La
directive DontZap
, placée dans la section ServerFlags
du
fichier de configuration de XFree86 limite aussi les possibilités de
gourance. Afin d'interdire aux malintentionnés d'utiliser les touches de
"basculement" des consoles virtuelles (Alt-F1, Alt-F2 ...) il suffit de
placer dans /etc/profile une ligne :
alias x='(startx >/dev/null &);clear;logout'Puis d'invoquer
x
en lieu et place de startx
.
La distribution Slackware contient certaines failles. Tu peux en consulter la liste à l'adresse suivante :
http://bach.cis.temple.edu/pub/linux/linux-security/
Linux est d'une manière générale très solide car toute faille, sitôt découverte, est immédiatement référencée et corrigée... C'est l'avantage des sources publics. Toutefois, certaines failles importantes existent dans les distributions et il est important de les corriger. Un document WEB propose une liste des problèmes :
http://bach.cis.temple.edu/pub/linux/linux-security/Linux-Security-FAQ/
Une solution pour éviter les connexions externes est d'utiliser TCP/Wrappers. Il est très fortement conseillé de le recompiler !
L'installation est assez intuitive. En bref, il te suffit
d'indiquer le nom des machines autorisées dans le fichier
/etc/hosts.allow
et les machines interdites dans
/etc/hosts.deny
. On peut permettre l'envoi de courrier
lorsqu'une machine tente de se connecter alors qu'elle est interdite
en mettant par exemple dans le fichier /etc/hosts.deny
:
wu.ftpd: ALL: twist = /usr/sbin/real-daemon-dir/safe_finger -l @%h | /bin/mail -s %d-%h root(Sur une seule ligne :-)).
Si tu veux plus de détail, tu peux lire le document suivant :
ftp.win.tue.nl:/pub/security/tcp_wrapper.ps.Z
.
En France, le serveur ftp.urec.fr
contient de nombreux
utilitaires relatifs à la sécurité informatique.
Deux listes de diffusion sont consacrées à la diffusion
d'informations liées à des problèmes de sécurité sous Linux :
linux-security@tarsier.cv.nrao.edu
et
linux-alert@tarsier.cv.nrao.edu
Next Chapter, Previous Chapter
Table of contents of this chapter, General table of contents
Top of the document, Beginning of this Chapter