View previous topic :: View next topic |
Author |
Message |
amroth Tux's lil' helper
Joined: 22 Apr 2008 Posts: 123
|
Posted: Thu Aug 28, 2008 4:56 pm Post subject: [sécurité coté client] les bonnes mesures |
|
|
Bonjour,
J'aimerais savoir comment vous gérez la sécurité de votre gentoo, plus particulièrement pour un pc personnel (non pour un serveur car j'en ai pas !), l'usage de ma gentoo étant : surf, programmation, chat .... puis toutes les autres applications qui peuvent servir (ma gentoo étant en train de remplacer totalement windows chez moi....j'ai flanqué vista par la fenetre....)!
Seulement sous windows, on parle de pare-feu, d'antivirus, anti-spyware....
Sous linux, un antivirus n'a pas l'air d'être indispensable, et selon la doc "il vaut mieux ne pas avoir de pare feu que d'un pare-feu mal configuré",
Quelles sont selon vous les bonnes mesures pour avoir une gentoo bien protégée ?
Merci !
Last edited by amroth on Fri Aug 29, 2008 9:13 am; edited 1 time in total |
|
Back to top |
|
|
bouleetbil Guru
Joined: 06 Jul 2004 Posts: 456 Location: Montpellier
|
|
Back to top |
|
|
amroth Tux's lil' helper
Joined: 22 Apr 2008 Posts: 123
|
Posted: Thu Aug 28, 2008 8:33 pm Post subject: |
|
|
Merci beaucoup!
J'ai deja commencé à regarder et il n'y a pas mal de lecture! Mais ca en vaut la peine ! |
|
Back to top |
|
|
El_Goretto Moderator
Joined: 29 May 2004 Posts: 3169 Location: Paris
|
Posted: Fri Aug 29, 2008 7:11 am Post subject: |
|
|
Le gros avantage avec Gentoo c'est aussi que tu n'as que ce que tu as demandé sur ton système.
Les tripotées de démon à la kikoolol qu'on retrouve dans des distros comme une Ubuntu, ben si tu ne les mets pas, c'est déjà çà de gagné...
Un firewall c'est bien, un quenelle et un système à jour c'est bien, et le strict minimum comme services en écoute sur ta machine, c'est encore mieux. Le principe c'est de diminuer la surface d'attaque en quelque sorte, because (s)it happens, donc ne pas uniquement se reposer sur son firewall (à supposer qu'il soit bien configuré, déjà).
Puis selectionner avec soin ses softs "clients" aussi c'est important. Par exemple, j'utilise flash (version adobe) sous linux, et c'est trèèèèèèèès mal. :/ Un jour, je regarderai les alternatives, un jour...
--
edit: spécifie "sécurité côté client" dans ton titre, ou quelque chose du genre, STP, car sinon ya fatalement un furieux qui va te proposer des trucs basés sur le projets Gentoo Hardened, et c'est plutôt pour des serveurs _________________ -TrueNAS & jails: µ-serv Gen8 E3-1260L, 16Go ECC + µ-serv N40L, 10Go ECC
-Réseau: APU2C4 (OpenWRT) + GS726Tv3 + 2x GS108Tv2 + Archer C5v1 (OpenWRT) |
|
Back to top |
|
|
yoyo Bodhisattva
Joined: 04 Mar 2003 Posts: 4273 Location: Lyon - France
|
Posted: Fri Aug 29, 2008 9:01 am Post subject: |
|
|
Bonjour,
Les bonnes mesures sont déjà de ne pas donner les droits root à tout le monde et de protéger les accès à certains dossiers pour les users : j'ai connu une personne qui pour supprimer des programmes (dans windows) allait effacer le dossier correspondant dans "Programs Files"; forcément à chaque reboot de sa machine il avait un paquet de fenêtres d'insultes indiquant que le programme était introuvable etc.
Enfin cette remarque est juste là pour illustrer qu'une bonne "formation" des utilisateurs est LE point essentiel quand on parle de sécurité sur un poste client amha (ne pas cliquer sur tous les liens qu'on reçois par mail par exemple est un bon début).
Ensuite, d'autres répondront (ont répondus) certainement mieux que moi : un minimum de ports ouverts avec un soft pour écouter derrière pour réduire les possibilités d'attaques. Un système mis à jour régulièrement aussi etc.
Par contre, l'argument "il vaut mieux ne pas avoir de pare feu que d'un pare-feu mal configuré" me parait injustifié. Le cryptage WPA et la restriction d'adresse mac restent perméables, il est donc inutile de les utiliser ?
En plus dans le sous-forum tu trouveras des fichiers de configuration du pare-feu iptables. Une bonne base pour commencer.
Personnellement, j'utilise un petit soft bien sympa développé par un ancien (qu'on ne voit plus d'ailleurs) : fail2ban. En gros il réduit (supprime) les risques d'attaques type "bruteforce" : selon la config choisie, il bannit t temps les ips n'ayant pas réussies à se connecter au bout de x tentative. Un peu comme les distributeurs de billets qui te grillent ta carte si tu oublie ton code plus de 3 fois. En général, les scripts "bruteforce" vont voir ailleurs s'ils prennent un "timeout".
[OFF] : El_Goretto wrote: | Par exemple, j'utilise flash (version adobe) sous linux, et c'est trèèèèèèèès mal. :/ Un jour, je regarderai les alternatives, un jour... | il y a un fil qui en parle justement dans le forum Gentoo on AMD64 : 64bit flash player exists.
[/OFF] _________________ La connaissance s'accroît quand on la partage.
JCB |
|
Back to top |
|
|
amroth Tux's lil' helper
Joined: 22 Apr 2008 Posts: 123
|
Posted: Fri Aug 29, 2008 9:37 am Post subject: |
|
|
Merci beaucoup pour vos réponses !
J'utilise aussi flash.... hum hum je vais rapidement jeter un cou d'oeil sur le lien,
Qu'est ce qu'un quenelle ? Je n'ai jamais entendu ce terme ....
Sinon , pour l'argument sur le pare feu , ca ne vient pas de moi c'est juste que dans la doc il est écrit :
Quote: | La plupart des gens pensent qu'un pare-feu est la réponse ultime aux problèmes de sécurité. Ils ont tort.
Dans la majorité des cas, avoir un pare-feu mal configuré présente plus de dangers de sécurité que de ne pas en avoir du tout. |
Oé bon, ne pas suivre la doc à la lettre ...
Mais je vais utiliser tous les liens et conseils que vous m'avez donné pour faire du mieux que je peux ! |
|
Back to top |
|
|
billiob Guru
Joined: 30 Dec 2004 Posts: 425 Location: Paris, France
|
Posted: Fri Aug 29, 2008 11:05 am Post subject: |
|
|
quenelle -> kernel, noyau
Bein sûr, comme les autres intervenants l'ont signalé, un système bien mis-à-jour, et juste le minimum des applications utiles installé dessus.
Ne pas oublier de faire des sauvegardes régulièrement. _________________ billiob |
|
Back to top |
|
|
apocryphe n00b
Joined: 03 Jul 2005 Posts: 59 Location: 78 - Pres de Saint Germain
|
Posted: Fri Aug 29, 2008 11:17 am Post subject: |
|
|
Moi en ce qui me concerne j'applique une seul règle draconienne pour la sécurité informatique: "sécuriser seulement si nécessaire"
la sécurité coute cher ( en prix, en temps, en personne compétente)...
selon ce concept / précepte , sur un poste client il n'y aucun besoin légitime de sécurité, donc tu peux tourner en full root si ca te chante (d'ailleur je peux te confirmer qu'il n'y a pas de souci à le faire... la peur instituée par les "biens pensants" qui pensent selon moi plutôt mal n'a pas lieu d'être...)
la sécurité ce n'est pas une idée technique mais conceptuelle !
après cela ne s'appel pu de la sécurité... mais plutôt de la curiosité intellectuel... _________________ Laptop Dell Inspiron 1520
Intel Core2Duo T7250 - GM965 - 4 Go 667MHz DDR2 - Nvidia 8400 GS (256MiB) - BCM4401- iwlwifi3945 - SD R5C822
~amd64 - GCC 4.4.1 - XFS ahci officiel 2.6.30.4 - Xorg 1.6.2 - kde 4.3 - Nvidia 190.18 - WSXGA+ (1680x1050) |
|
Back to top |
|
|
yoyo Bodhisattva
Joined: 04 Mar 2003 Posts: 4273 Location: Lyon - France
|
Posted: Fri Aug 29, 2008 12:31 pm Post subject: |
|
|
apocryphe wrote: | la sécurité coute cher ( en prix, en temps, en personne compétente)... | Globalement, pour des particuliers, je partage ton avis; mais amha un minimum d'efforts (de temps) permet d'éviter un maximum de risques (toutes les attaques par robots en particulier).
apocryphe wrote: | selon ce concept / précepte , sur un poste client il n'y aucun besoin légitime de sécurité, donc tu peux tourner en full root si ca te chante (d'ailleur je peux te confirmer qu'il n'y a pas de souci à le faire... la peur instituée par les "biens pensants" qui pensent selon moi plutôt mal n'a pas lieu d'être...) | Mais tu te places dans le cas d'un poste mono-utilisateur (ou avec quelques utilisateurs suffisamment "responsables").
Et quand bien même être "root" en permanence c'est comme jouer avec le feu : une mauvaise frappe et tu risques de détruire ton système. Par exemple un "rm -R ./" remplacé par un "rm -R /'. L'erreur est humaine, il est donc humain de chercher à minimiser sa portée.
Bien sûr, cette erreur peut-être faite après un "su -" mais personnellement quand je tape mon mot de passe "root" je fais davantage attention à ce que je vais faire (de même le fait d'avoir un prompt rouge) : ça ne sera pas du même ordre que de lancer firefox ou kino ...
Mes 0.02 cents,
Enjoy ! _________________ La connaissance s'accroît quand on la partage.
JCB |
|
Back to top |
|
|
skiidoo n00b
Joined: 10 Feb 2007 Posts: 35 Location: Paris, France
|
Posted: Sat Aug 30, 2008 12:10 pm Post subject: |
|
|
apocryphe wrote: | selon ce concept / précepte , sur un poste client il n'y aucun besoin légitime de sécurité, donc tu peux tourner en full root si ca te chante :) (d'ailleur je peux te confirmer qu'il n'y a pas de souci à le faire... la peur instituée par les "biens pensants" qui pensent selon moi plutôt mal n'a pas lieu d'être...) |
Ça c'est ce qu'il ne faut pas faire en terme de sécurité : ignorer un des principes de base des UNIX-like.
Ce n'est pas parce que il ne t'es rien arrivé (à toi|encore) que c'est un principe inutile...
Selon ton concept, il est préférable de remplacer sa politique de sécurité par une politique de sauvegarde, et tant pis si on fait n'importe quoi, vu que c'est un poste personnel les données ne sont pas importantes.
Comme le sous-entend yoyo, la sécurité ça ne se limite pas à la défense contre les actions malveillantes, ça englobe aussi la prévention de tout évènement fâcheux, et ceux-ci peuvent provenir d'un utilisateur bien intentionné et de confiance... |
|
Back to top |
|
|
amroth Tux's lil' helper
Joined: 22 Apr 2008 Posts: 123
|
Posted: Mon Sep 01, 2008 7:30 pm Post subject: |
|
|
Bonsoir,
Veuillez m'excuser de répondre aussi tard, mais les cours ayant repris, je n'ai plus beaucoup de temps.
Merci beaucoup à tous pour vos réponses, je vais m'occuper de tout ca le plus vite possible! |
|
Back to top |
|
|
lesourbe l33t
Joined: 24 Nov 2005 Posts: 710 Location: Champagne !
|
Posted: Wed Sep 03, 2008 2:33 pm Post subject: |
|
|
je pense qu'y'a un tas de paranos dans le coin, ... (d'ailleurs je les salue bien bas, mes confrères...)
un utilisateur unique derrière un routeur qui fait pas de trucs à risque ... il a pas besoin de conseils de sécurité. _________________ Is that a banhammer ?
LeSourbe, Member of EPowerforce. |
|
Back to top |
|
|
amroth Tux's lil' helper
Joined: 22 Apr 2008 Posts: 123
|
Posted: Wed Sep 03, 2008 6:05 pm Post subject: |
|
|
Bon je suis utilisateur unique, et je ne fais pas de trucs a risque.....
MAIS, comme disait apocryphe, cela est de la curiosité intellectuelle,
Et puis c'est quand même mieux de savoir comment sécuriser sa gentoo (au cas ou ...)
et puis d'utiliser des petits principes de base pour éviter des grosses bétises! |
|
Back to top |
|
|
skiidoo n00b
Joined: 10 Feb 2007 Posts: 35 Location: Paris, France
|
Posted: Wed Sep 03, 2008 7:31 pm Post subject: |
|
|
lesourbe wrote: | un utilisateur unique derrière un routeur qui fait pas de trucs à risque ... il a pas besoin de conseils de sécurité. |
Pas besoin de routeur ni même d'internet pour faire un rm -rf / ou n'importe quelle commande dangereuse, pour glisser un fichier là où il fallait pas parce que la souris a rippé, ou n'importe quoi d'autre qui sans être root aurait été refusé.
Les problèmes de sécurité ne viennent pas *que* de l'extérieur ni des autres, il y a un PEBKAC en chacun de nous. |
|
Back to top |
|
|
-KuRGaN- Veteran
Joined: 05 Dec 2004 Posts: 1142 Location: Besançon (25) [FRANCE]
|
Posted: Thu Sep 04, 2008 7:42 am Post subject: |
|
|
skiidoo wrote: | Les problèmes de sécurité ne viennent pas *que* de l'extérieur ni des autres, il y a un PEBKAC en chacun de nous. |
Ouai mais plus chez les "autres" quand même hein !!!
OK je sors _________________ Knight Gent00 Industries RiDeR !!!! |
|
Back to top |
|
|
lesourbe l33t
Joined: 24 Nov 2005 Posts: 710 Location: Champagne !
|
Posted: Thu Sep 04, 2008 12:04 pm Post subject: |
|
|
skiidoo wrote: | lesourbe wrote: | un utilisateur unique derrière un routeur qui fait pas de trucs à risque ... il a pas besoin de conseils de sécurité. |
Pas besoin de routeur ni même d'internet pour faire un rm -rf / ou n'importe quelle commande dangereuse, pour glisser un fichier là où il fallait pas parce que la souris a rippé, ou n'importe quoi d'autre qui sans être root aurait été refusé.
Les problèmes de sécurité ne viennent pas *que* de l'extérieur ni des autres, il y a un PEBKAC en chacun de nous. |
les outils de sécurité doivent répondre à un besoin de sécurité. Comprendre qu'il n'y a pas besoin de firewall là où, ben ... y'en a pas besoin est déjà un "pas" dans la compréhension de la "sécurité des systèmes informatiques". _________________ Is that a banhammer ?
LeSourbe, Member of EPowerforce. |
|
Back to top |
|
|
|