Lynis : Default umask like 027 [AUTH-9328]

Article publié, le 23 Juillet 2017 et modifié le 10 Octobre 2020
Une minute de lecture

Cet article contient 188 mots.
Source brute de l'article :
Commit version : d58c6ca

Description

Mémo à-propos de la suggestion de Lynis : Default umask in /etc/init.d/rc could be more strict like 027 [ AUTH-9328 ]

En effet le Guide de Recommandations d’un Système GNU/Linux de l’ANSSI, au chapitre 6.1.5 Umask, nous rappelle à juste titre que :

la valeur 0022 est considérée très permissive,
que le umask système régit par le fichier /etc/init.d/rc doit être positionné sur 0027, ce qui fige les droits permissifs, tels que lecture autorisée pour l’utilisateur et son groupe, et modifiable uniquement par son créateur.

Il faut modérer le fait que pour toutes les distributions systemd, tels que sont maintenant la plupart des Debian, et Ubuntu, il faut modifier le masque système dans le propre fichier de configuration du service à configurer.

# sed -i -e "s#umask 022#umask 027#" /etc/init.d/rc

Tant qu’à faire, profitons-en pour modifier la valeur du umask utilisateurs qui doit être paramétré à 077 !

Pour les distributions systemd, c’est le fichier /etc/profile.
Pour les distributions non systemd, c’est le fichier /etc/login.defs.

Attention

ATTENTION : Il est impératif de vérifier à chaque mise-à-jour de version de distribution, car ces droits seront réinitialisés par défaut !