Lynis : Default umask like 027 [AUTH-9328]

Article publié, le et modifié le
1 minute(s) de lecture

Cet article contient 188 mots.
Source brute de l'article : MD

Description

Mémo à-propos de la suggestion de Lynis : Default umask in /etc/init.d/rc could be more strict like 027 [ AUTH-9328 ]

En effet le Guide de Recommandations d’un Système GNU/Linux de l’ANSSI, au chapitre 6.1.5 Umask, nous rappelle à juste titre que :

  • la valeur 0022 est considérée très permissive,
  • que le umask système régit par le fichier /etc/init.d/rc doit être positionné sur 0027, ce qui fige les droits permissifs, tels que lecture autorisée pour l’utilisateur et son groupe, et modifiable uniquement par son créateur.

Il faut modérer le fait que pour toutes les distributions systemd, tels que sont maintenant la plupart des Debian, et Ubuntu, il faut modifier le masque système dans le propre fichier de configuration du service à configurer.

# sed -i -e "s#umask 022#umask 027#" /etc/init.d/rc

Tant qu’à faire, profitons-en pour modifier la valeur du umask utilisateurs qui doit être paramétré à 077 !

  • Pour les distributions systemd, c’est le fichier /etc/profile.
  • Pour les distributions non systemd, c’est le fichier /etc/login.defs.
Attention