Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[sécurité coté client] les bonnes mesures
View unanswered posts
View posts from last 24 hours

 
Reply to topic    Gentoo Forums Forum Index French
View previous topic :: View next topic  
Author Message
amroth
Tux's lil' helper
Tux's lil' helper


Joined: 22 Apr 2008
Posts: 123

PostPosted: Thu Aug 28, 2008 4:56 pm    Post subject: [sécurité coté client] les bonnes mesures Reply with quote

Bonjour,
J'aimerais savoir comment vous gérez la sécurité de votre gentoo, plus particulièrement pour un pc personnel (non pour un serveur car j'en ai pas !), l'usage de ma gentoo étant : surf, programmation, chat .... puis toutes les autres applications qui peuvent servir (ma gentoo étant en train de remplacer totalement windows chez moi....j'ai flanqué vista par la fenetre....)!
Seulement sous windows, on parle de pare-feu, d'antivirus, anti-spyware....
Sous linux, un antivirus n'a pas l'air d'être indispensable, et selon la doc "il vaut mieux ne pas avoir de pare feu que d'un pare-feu mal configuré",
Quelles sont selon vous les bonnes mesures pour avoir une gentoo bien protégée ?
Merci !


Last edited by amroth on Fri Aug 29, 2008 9:13 am; edited 1 time in total
Back to top
View user's profile Send private message
bouleetbil
Guru
Guru


Joined: 06 Jul 2004
Posts: 456
Location: Montpellier

PostPosted: Thu Aug 28, 2008 8:19 pm    Post subject: Reply with quote

salut,
https://forums.gentoo.org/viewtopic-t-278513-highlight-securite.html
et à l'époque j'avais envoyé ceci : https://forums.gentoo.org/viewtopic-t-439422-highlight-ssh.html

Sinon une petite recherche dans la section documentation devrait t'apporter pas mal de réponse :wink:
_________________
L'homme n'est pas fait pour travailler ça le fatigue.
LiveCD Gentoo : http://www.frogdev.info
Gentoo/Freebsd : http://www.frogdev.info/gentoo_freebsd.php
Back to top
View user's profile Send private message
amroth
Tux's lil' helper
Tux's lil' helper


Joined: 22 Apr 2008
Posts: 123

PostPosted: Thu Aug 28, 2008 8:33 pm    Post subject: Reply with quote

Merci beaucoup!
J'ai deja commencé à regarder et il n'y a pas mal de lecture! Mais ca en vaut la peine :) !
Back to top
View user's profile Send private message
El_Goretto
Moderator
Moderator


Joined: 29 May 2004
Posts: 3087
Location: Paris

PostPosted: Fri Aug 29, 2008 7:11 am    Post subject: Reply with quote

Le gros avantage avec Gentoo c'est aussi que tu n'as que ce que tu as demandé sur ton système.
Les tripotées de démon à la kikoolol qu'on retrouve dans des distros comme une Ubuntu, ben si tu ne les mets pas, c'est déjà çà de gagné...

Un firewall c'est bien, un quenelle et un système à jour c'est bien, et le strict minimum comme services en écoute sur ta machine, c'est encore mieux. Le principe c'est de diminuer la surface d'attaque en quelque sorte, because (s)it happens, donc ne pas uniquement se reposer sur son firewall (à supposer qu'il soit bien configuré, déjà).

Puis selectionner avec soin ses softs "clients" aussi c'est important. Par exemple, j'utilise flash (version adobe) sous linux, et c'est trèèèèèèèès mal. :/ Un jour, je regarderai les alternatives, un jour...

--
edit: spécifie "sécurité côté client" dans ton titre, ou quelque chose du genre, STP, car sinon ya fatalement un furieux qui va te proposer des trucs basés sur le projets Gentoo Hardened, et c'est plutôt pour des serveurs ;)
_________________
-Gentoo hardened [EoL]: µ-serv Gen8 G1610T, 8Go ECC ; NF9D-2700, 4Go
-FreeBSD 11/Vimage/Jails: DS61, i3 2100T, 16Go ; FreeNAS: µ-serv N40L, 8Go ECC
-Réseau: ERL-3 + ESL-24 + GS108Tv2
-NAS: RN312
Back to top
View user's profile Send private message
yoyo
Bodhisattva
Bodhisattva


Joined: 04 Mar 2003
Posts: 4273
Location: Lyon - France

PostPosted: Fri Aug 29, 2008 9:01 am    Post subject: Reply with quote

Bonjour,

Les bonnes mesures sont déjà de ne pas donner les droits root à tout le monde et de protéger les accès à certains dossiers pour les users : j'ai connu une personne qui pour supprimer des programmes (dans windows) allait effacer le dossier correspondant dans "Programs Files"; forcément à chaque reboot de sa machine il avait un paquet de fenêtres d'insultes indiquant que le programme était introuvable etc.
Enfin cette remarque est juste là pour illustrer qu'une bonne "formation" des utilisateurs est LE point essentiel quand on parle de sécurité sur un poste client amha (ne pas cliquer sur tous les liens qu'on reçois par mail par exemple est un bon début).

Ensuite, d'autres répondront (ont répondus) certainement mieux que moi : un minimum de ports ouverts avec un soft pour écouter derrière pour réduire les possibilités d'attaques. Un système mis à jour régulièrement aussi etc.
Par contre, l'argument "il vaut mieux ne pas avoir de pare feu que d'un pare-feu mal configuré" me parait injustifié. Le cryptage WPA et la restriction d'adresse mac restent perméables, il est donc inutile de les utiliser ?
En plus dans le sous-forum tu trouveras des fichiers de configuration du pare-feu iptables. Une bonne base pour commencer.

Personnellement, j'utilise un petit soft bien sympa développé par un ancien (qu'on ne voit plus d'ailleurs) : fail2ban. En gros il réduit (supprime) les risques d'attaques type "bruteforce" : selon la config choisie, il bannit t temps les ips n'ayant pas réussies à se connecter au bout de x tentative. Un peu comme les distributeurs de billets qui te grillent ta carte si tu oublie ton code plus de 3 fois. En général, les scripts "bruteforce" vont voir ailleurs s'ils prennent un "timeout".

[OFF] :
El_Goretto wrote:
Par exemple, j'utilise flash (version adobe) sous linux, et c'est trèèèèèèèès mal. :/ Un jour, je regarderai les alternatives, un jour...
il y a un fil qui en parle justement dans le forum Gentoo on AMD64 : 64bit flash player exists.
[/OFF]
_________________
La connaissance s'accroît quand on la partage.
JCB
Back to top
View user's profile Send private message
amroth
Tux's lil' helper
Tux's lil' helper


Joined: 22 Apr 2008
Posts: 123

PostPosted: Fri Aug 29, 2008 9:37 am    Post subject: Reply with quote

Merci beaucoup pour vos réponses !
J'utilise aussi flash.... hum hum je vais rapidement jeter un cou d'oeil sur le lien,
Qu'est ce qu'un quenelle ? Je n'ai jamais entendu ce terme ....
Sinon , pour l'argument sur le pare feu , ca ne vient pas de moi :) c'est juste que dans la doc il est écrit :
Quote:
La plupart des gens pensent qu'un pare-feu est la réponse ultime aux problèmes de sécurité. Ils ont tort.
Dans la majorité des cas, avoir un pare-feu mal configuré présente plus de dangers de sécurité que de ne pas en avoir du tout.

Oé bon, ne pas suivre la doc à la lettre ...
Mais je vais utiliser tous les liens et conseils que vous m'avez donné pour faire du mieux que je peux !
Back to top
View user's profile Send private message
billiob
Guru
Guru


Joined: 30 Dec 2004
Posts: 425
Location: Paris, France

PostPosted: Fri Aug 29, 2008 11:05 am    Post subject: Reply with quote

quenelle -> kernel, noyau

Bein sûr, comme les autres intervenants l'ont signalé, un système bien mis-à-jour, et juste le minimum des applications utiles installé dessus.
Ne pas oublier de faire des sauvegardes régulièrement.
_________________
billiob
Back to top
View user's profile Send private message
apocryphe
n00b
n00b


Joined: 03 Jul 2005
Posts: 59
Location: 78 - Pres de Saint Germain

PostPosted: Fri Aug 29, 2008 11:17 am    Post subject: Reply with quote

Moi en ce qui me concerne j'applique une seul règle draconienne pour la sécurité informatique: "sécuriser seulement si nécessaire"

la sécurité coute cher ( en prix, en temps, en personne compétente)...

selon ce concept / précepte , sur un poste client il n'y aucun besoin légitime de sécurité, donc tu peux tourner en full root si ca te chante :) (d'ailleur je peux te confirmer qu'il n'y a pas de souci à le faire... la peur instituée par les "biens pensants" qui pensent selon moi plutôt mal n'a pas lieu d'être...)

la sécurité ce n'est pas une idée technique mais conceptuelle !


après cela ne s'appel pu de la sécurité... mais plutôt de la curiosité intellectuel...
_________________
Laptop Dell Inspiron 1520
Intel Core2Duo T7250 - GM965 - 4 Go 667MHz DDR2 - Nvidia 8400 GS (256MiB) - BCM4401- iwlwifi3945 - SD R5C822
~amd64 - GCC 4.4.1 - XFS ahci officiel 2.6.30.4 - Xorg 1.6.2 - kde 4.3 - Nvidia 190.18 - WSXGA+ (1680x1050)
Back to top
View user's profile Send private message
yoyo
Bodhisattva
Bodhisattva


Joined: 04 Mar 2003
Posts: 4273
Location: Lyon - France

PostPosted: Fri Aug 29, 2008 12:31 pm    Post subject: Reply with quote

apocryphe wrote:
la sécurité coute cher ( en prix, en temps, en personne compétente)...
Globalement, pour des particuliers, je partage ton avis; mais amha un minimum d'efforts (de temps) permet d'éviter un maximum de risques (toutes les attaques par robots en particulier).

apocryphe wrote:
selon ce concept / précepte , sur un poste client il n'y aucun besoin légitime de sécurité, donc tu peux tourner en full root si ca te chante :) (d'ailleur je peux te confirmer qu'il n'y a pas de souci à le faire... la peur instituée par les "biens pensants" qui pensent selon moi plutôt mal n'a pas lieu d'être...)
Mais tu te places dans le cas d'un poste mono-utilisateur (ou avec quelques utilisateurs suffisamment "responsables").
Et quand bien même être "root" en permanence c'est comme jouer avec le feu : une mauvaise frappe et tu risques de détruire ton système. Par exemple un "rm -R ./" remplacé par un "rm -R /'. L'erreur est humaine, il est donc humain de chercher à minimiser sa portée. :wink:
Bien sûr, cette erreur peut-être faite après un "su -" mais personnellement quand je tape mon mot de passe "root" je fais davantage attention à ce que je vais faire (de même le fait d'avoir un prompt rouge) : ça ne sera pas du même ordre que de lancer firefox ou kino ...

Mes 0.02 cents,

Enjoy !
_________________
La connaissance s'accroît quand on la partage.
JCB
Back to top
View user's profile Send private message
skiidoo
n00b
n00b


Joined: 10 Feb 2007
Posts: 35
Location: Paris, France

PostPosted: Sat Aug 30, 2008 12:10 pm    Post subject: Reply with quote

apocryphe wrote:
selon ce concept / précepte , sur un poste client il n'y aucun besoin légitime de sécurité, donc tu peux tourner en full root si ca te chante :) (d'ailleur je peux te confirmer qu'il n'y a pas de souci à le faire... la peur instituée par les "biens pensants" qui pensent selon moi plutôt mal n'a pas lieu d'être...)


Ça c'est ce qu'il ne faut pas faire en terme de sécurité : ignorer un des principes de base des UNIX-like.

Ce n'est pas parce que il ne t'es rien arrivé (à toi|encore) que c'est un principe inutile...
Selon ton concept, il est préférable de remplacer sa politique de sécurité par une politique de sauvegarde, et tant pis si on fait n'importe quoi, vu que c'est un poste personnel les données ne sont pas importantes.

Comme le sous-entend yoyo, la sécurité ça ne se limite pas à la défense contre les actions malveillantes, ça englobe aussi la prévention de tout évènement fâcheux, et ceux-ci peuvent provenir d'un utilisateur bien intentionné et de confiance...
Back to top
View user's profile Send private message
amroth
Tux's lil' helper
Tux's lil' helper


Joined: 22 Apr 2008
Posts: 123

PostPosted: Mon Sep 01, 2008 7:30 pm    Post subject: Reply with quote

Bonsoir,
Veuillez m'excuser de répondre aussi tard, mais les cours ayant repris, je n'ai plus beaucoup de temps.
Merci beaucoup à tous pour vos réponses, je vais m'occuper de tout ca le plus vite possible!
Back to top
View user's profile Send private message
lesourbe
l33t
l33t


Joined: 24 Nov 2005
Posts: 710
Location: Champagne !

PostPosted: Wed Sep 03, 2008 2:33 pm    Post subject: Reply with quote

je pense qu'y'a un tas de paranos dans le coin, ... (d'ailleurs je les salue bien bas, mes confrères...)

un utilisateur unique derrière un routeur qui fait pas de trucs à risque ... il a pas besoin de conseils de sécurité.
_________________
Is that a banhammer ?
LeSourbe, Member of EPowerforce.
Back to top
View user's profile Send private message
amroth
Tux's lil' helper
Tux's lil' helper


Joined: 22 Apr 2008
Posts: 123

PostPosted: Wed Sep 03, 2008 6:05 pm    Post subject: Reply with quote

Bon je suis utilisateur unique, et je ne fais pas de trucs a risque.....
MAIS, comme disait apocryphe, cela est de la curiosité intellectuelle,
Et puis c'est quand même mieux de savoir comment sécuriser sa gentoo (au cas ou ...)
et puis d'utiliser des petits principes de base pour éviter des grosses bétises!
Back to top
View user's profile Send private message
skiidoo
n00b
n00b


Joined: 10 Feb 2007
Posts: 35
Location: Paris, France

PostPosted: Wed Sep 03, 2008 7:31 pm    Post subject: Reply with quote

lesourbe wrote:
un utilisateur unique derrière un routeur qui fait pas de trucs à risque ... il a pas besoin de conseils de sécurité.


Pas besoin de routeur ni même d'internet pour faire un rm -rf / ou n'importe quelle commande dangereuse, pour glisser un fichier là où il fallait pas parce que la souris a rippé, ou n'importe quoi d'autre qui sans être root aurait été refusé.

Les problèmes de sécurité ne viennent pas *que* de l'extérieur ni des autres, il y a un PEBKAC en chacun de nous.
Back to top
View user's profile Send private message
-KuRGaN-
Veteran
Veteran


Joined: 05 Dec 2004
Posts: 1142
Location: Besançon (25) [FRANCE]

PostPosted: Thu Sep 04, 2008 7:42 am    Post subject: Reply with quote

skiidoo wrote:
Les problèmes de sécurité ne viennent pas *que* de l'extérieur ni des autres, il y a un PEBKAC en chacun de nous.


Ouai mais plus chez les "autres" quand même hein !!!

OK je sors :lol:
_________________
Knight Gent00 Industries RiDeR !!!!
Back to top
View user's profile Send private message
lesourbe
l33t
l33t


Joined: 24 Nov 2005
Posts: 710
Location: Champagne !

PostPosted: Thu Sep 04, 2008 12:04 pm    Post subject: Reply with quote

skiidoo wrote:
lesourbe wrote:
un utilisateur unique derrière un routeur qui fait pas de trucs à risque ... il a pas besoin de conseils de sécurité.


Pas besoin de routeur ni même d'internet pour faire un rm -rf / ou n'importe quelle commande dangereuse, pour glisser un fichier là où il fallait pas parce que la souris a rippé, ou n'importe quoi d'autre qui sans être root aurait été refusé.

Les problèmes de sécurité ne viennent pas *que* de l'extérieur ni des autres, il y a un PEBKAC en chacun de nous.


les outils de sécurité doivent répondre à un besoin de sécurité. Comprendre qu'il n'y a pas besoin de firewall là où, ben ... y'en a pas besoin est déjà un "pas" dans la compréhension de la "sécurité des systèmes informatiques".
_________________
Is that a banhammer ?
LeSourbe, Member of EPowerforce.
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index French All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum