| View previous topic :: View next topic |
| Author |
Message |
geekounet
Bodhisattva
Joined: 11 Oct 2004
Posts: 3772
Location: Wellington, Aotearoa
|
 Posted: Sun Jul 01, 2007 6:20 pm Post subject: [DOW] La sécurité informatique : comment la gérez-vous ? |
 |
|
Bonjour à tous !
Comme prévu, voici donc le grand retour des DOW  On part donc sur la base de 2 semaines par débat, ce qui semble un bon compromis, et on verra bien ce que ça donne.
Pour débuter cette nouvelle série, nous allons donc aborder le sujet de la sécurité informatique, pour reprendre une idée d'Anigel . À quel point vous en souciez-vous ? Comment la gérez-vous sous Gentoo ? Comment protégez-vous votre réseau ? Avez-vous des méthodes et astuces pour mettre en place tout ça ? Quels conseils pouvez-vous donner à ceux qui n'y connaissent pas grand chose ?
La parole est à vous 
Last edited by geekounet on Wed Jul 18, 2007 10:19 pm; edited 1 time in total |
|
| Back to top |
|
 |
Temet
Advocate
Joined: 14 Mar 2006
Posts: 2586
Location: 92
|
| Posted: Sun Jul 01, 2007 6:47 pm Post subject: |
|
|
Perso, j'ai fait un grand bon en arrière 
Depuis que j'ai déménagé et que j'ai une Freebox HD avec le wifi et tout le bordel, j'ai passé ma Freebox en routeur pour faire causer les deux PCs... et vu que Firestarter a été hardmaské dans portage, et que j'ai jamais eu le courage de me faire chier à me familiariser avec la syntaxe imbuvable et rébarbative au possible de iptables, bah euh ... j'ai plus de firewall.
Chez moi, c'est open-slip.
PS : bon on est pas tous parano de la sécu hein ^^ |
|
| Back to top |
|
|
bi3l
Apprentice
Joined: 06 Feb 2003
Posts: 268
Location: France
|
| Posted: Sun Jul 01, 2007 6:59 pm Post subject: |
|
|
Pareil que Temet, je ne suis pas un acharné de la sécurité. J'ai configuré ma freebox en mode routeur, j'ai fermé tous les ports en entrée sauf ssh et mldonkey et j'ai configuré des baux dhcp permanents sur une plage d'adresse limitée à 3. J'ai aussi un compte en scponly pour les potes. C'est tout.
Last edited by bi3l on Sun Jul 01, 2007 7:03 pm; edited 1 time in total |
|
| Back to top |
|
|
Madjes
n00b
Joined: 14 May 2007
Posts: 47
|
| Posted: Sun Jul 01, 2007 7:00 pm Post subject: |
|
|
Moi qui avait peur  comme Temet, j'ai juste ma bobox. Ni antivirus, ni firewall
_________________
Checking users... one lamer detected !! |
|
| Back to top |
|
|
Desintegr
l33t
Joined: 25 Mar 2004
Posts: 863
Location: France - Orléans
|
| Posted: Sun Jul 01, 2007 7:16 pm Post subject: |
|
|
Merci geekounet pour le retour des DOW ! 
Personnellement, je ne fais pas particulièrement attention à la sécurité de mon ordinateur.
Mais j'ai déjà eu quelques tentatives de piratages sur ma machine via mon serveur SSH.
Voici donc quelques petits conseils personnels sur l'utilisation d'un serveur SSH.
Ce sont uniquement des conseils pour améliorer la sécurité d'un serveur personnel. Il ne s'agit en aucun cas d'une protection ultime.
Le serveur SSH est un élément plutôt important car il permet de faire de très nombreuses choses (shell distant, tunnel, transfert de fichiers, etc.) Mais c'est aussi un élément qui peut être très dangereux s'il n'est pas correctement configuré.
Voici ce que j'ai déjà eu dans les logs de mon serveur :
| Code: | sshd[19341]: Invalid user webmaster from 210.21.94.153
sshd[19346]: Invalid user oracle from 210.21.94.153
sshd[19348]: Invalid user library from 210.21.94.153
sshd[19350]: Invalid user info from 210.21.94.153
sshd[19355]: Invalid user shell from 210.21.94.153 |
Il s'agit d'une attaque très fréquente de type « brute force » sur mon serveur SSH. Le pirate a essayé de forcer l'accès en utilisant de nombreux logins différents qui peuvent être souvent utilisés (oracle, shell dans l'exemple) sur des serveurs.
Ce genre d'attaque est assez fréquent car il est plutôt simple à mettre en place pour le pirate.
Voici donc quelques conseils afin d'éviter les attaques de ce type :
1) Ne jamais laisser le serveur SSH écouter sur le port 22
Il faut donc régler le serveur pour qu'il écoute sur un autre port, de préférence supérieur à 10000.
Bien souvent, les personnes qui attaquent les serveurs SSH se contentent uniquement de scanner le port 22, le port par défaut d'un serveur SSH.
Par exemple, vous pouvez mettre dans le fichier de configuration du serveur (/etc/ssh/sshd_config) :
Ceci a pour effet de faire écouter le serveur sur le port 10022 au lieu du port 22.
2) Ne jamais permettre un accès direct à l'utilisateur « root »
Laisser l'accès au root par le SSH est très dangereux !
Le pirate doit trouver uniquement le mot de passe root pour avoir un accès total à la machine !
Il faut donc ajouter dans la configuration :
Il faut donc toujours utiliser un utilisateur normal pour se connecter au serveur, puis ensuite utiliser la commande su pour obtenir l'accès root.
Sur Gentoo, seuls les utilisateurs appartenant au groupe wheel sont autorisés à devenir root en utilisant la commande su.
3) Autoriser l'accès uniquement aux personnes qui ont réelement besoin d'un accès SSH
Il faut ajouter dans la configuration :
D'autres options intéressantes permettent d'augmenter encore la sécurité :
| Code: | MaxAuthTries 0
MaxStartups 1
LoginGraceTime 30 |
MaxAuthTries 0 configure le serveur pour autoriser qu'un seul essai de mot de passe. À la moindre erreur, la personne est déconnectée.
MaxStartups 1 permet d'avoir qu'une seule connexion à la fois au serveur pour la tentative d'authentification.
LoginGraceTime 30s déconnecte la personne au bout de 30 secondes s'il elle n'est pas authentifiée.
Ces trois options permettent de ralentir considérablement les attaques « brute force » et décourage ainsi très rapidement les pirates.
Depuis que j'ai ajouté ces options dans la configuration de mon serveur, je n'ai jamais eu de nouvelles attaques de ce type.
Il faut savoir qu'il existe également d'autres solutions pour sécuriser un serveur SSH mais je n'en parlerais pas, tout simplement parce que je ne les ai jamais testées :
- l'authentification par clef
- le port knocking
- des outils comme fail2ban
Voilà, je suis ouvert à toute remarque et question .
_________________
Gentoo ~AMD64
Hoc Volo, Sic Jubeo !
Mon wiki : http://desintegr.free.fr |
|
| Back to top |
|
|
Temet
Advocate
Joined: 14 Mar 2006
Posts: 2586
Location: 92
|
| Posted: Sun Jul 01, 2007 7:37 pm Post subject: |
|
|
Oui, c'est vrai... quand j'ai vu que mon serveur ssh plaisait ... j'ai un peu changé l'approche.
Déjà, le login en root était interdit depuis le début (faut pas déconner non plus ^^)
Maintenant, c'est via clé cryptée seulement! Bon, évidemment, si je devais me logguer de n'importe quel PC, je ferais autrement (genre failban)... mais en l'occurence, mon portable perso et mon portable du taf ayant la clé, ça me suffit. Et bonne chance pour casser la clé de je-ne-sais-combien-de-bits longue comme le bras de la justice (et tout le monde sait que la justice a le bras long). |
|
| Back to top |
|
|
Bapt
Veteran
Joined: 14 Apr 2003
Posts: 1152
Location: Paris
|
| Posted: Sun Jul 01, 2007 7:44 pm Post subject: |
|
|
moi en ce qui me concerne, openwrt pour le wifi (avec shorewall), mes serveurs freebsd ont leur propres règles PF, un routeur OpenBSD devant les postes non wifi, avec du PF, la sécu je ne la gère jamais au niveau de mes linux parce que je ne peut pas blairer la syntaxe iptables, mais quand je n'ai pas le choix (openwrt) je met shorewall juste pour la syntaxe.
quand au règles, pour les postes, tout ouvert en sortie, mais tout fermer en entrée avec des règles de nat au besoin, au cas par cas. pour mes serveurs, tout fermé en entrée et sortie les ports sont ouverts au cas par cas au besoin.
Et pour les ssh je les laisse sur le port 22, et quelques règles PF bien placée viennent vite à bout du brute force.
Sinon un antivirus (clamav) juste pour mon serveur mail. |
|
| Back to top |
|
|
davidou2a
Guru
Joined: 15 Dec 2006
Posts: 574
Location: Ajaccio
|
| Posted: Sun Jul 01, 2007 7:45 pm Post subject: |
|
|
Tres bon sujet ce DOW
Pour ma part j'ai assez subi les rigueures draconiennes de la sécurité informatique strict quand j etais dans les transmissions de l'armée de terre avant de reprendre mes études... donc chez moi je me suis pas trop fait chier... Livebox un peu sécurisée et une passerelle (hote de defiance) avec Smoothwall... le reste des PC est sans firewall mais avec anti-virus, excepté ma machine qui a une solution IPTABLES et pas d antivirus 
_________________
L'enfer je connais, il s'appelle Windows... |
|
| Back to top |
|
|
bi3l
Apprentice
Joined: 06 Feb 2003
Posts: 268
Location: France
|
| Posted: Sun Jul 01, 2007 7:45 pm Post subject: |
|
|
| J'ai egalement pensé à la clée cryptée, mais ça me posait des problèmes avec mon scponly et j'ai eu la flemme de mettre vsftp. J'ai donc laissé l'accès par mots de passe et j'ai ajouté un AllowUsers et un AllowGroups. Bien sûr, root n'a pas le droit de se loguer en ssh. Je vais ptet bien changer le port, un de ces quatre. |
|
| Back to top |
|
|
DidgeriDude
Guru
Joined: 30 Jan 2005
Posts: 349
|
| Posted: Sun Jul 01, 2007 8:16 pm Post subject: |
|
|
Bounjour à tous.
Perso, pas de firewall ni antivirus sur aucune de mes machines !! Mais c'est une passerelle sous OpenBSD avec Packet Filter qui est connectée à Internet. Tout fermé en entrée sauf SSH et la Mule et Counter et Bitorrent (NAT), tout ouvert en sortie.
SSH tourne sur mon PC. J'ai utilisé pendant quelques temps un port exotique et tout allait bien, excepté qu'à mon travail, ils ont bloqué tout plein de ports et j'ai dû revenir à du port 22 et là les attaques par brute force, c'est toutes les semaines !
Je suis donc passé à l'identification par clé.
@Bapt: je veux bien savoir quel type de règles tu utilises pour bloquer les attaques brute force avec PF... (pas envie d'utiliser fail2ban)
PS : Bon sujet pour relancer kes DO(2)W !! |
|
| Back to top |
|
|
babykart
Guru
Joined: 08 Oct 2004
Posts: 415
|
| Posted: Sun Jul 01, 2007 8:57 pm Post subject: |
|
|
de mon côté la sécurité, je la vois par un mot de passe assez costaud mais pas trop chiant à tapper (enfin pour moi), mon petit script netfilter-rules + fail2ban, des mises à jour régulières de mes systèmes, j'évite de laisser un accés directe à root...
j'utilise aussi l'authentification ssh par clé: trés pratique pour ne pas avoir à taper le mot de passe...
enfin, une fois que tout cela est installé, je dois dire que je ne me soucis pas plus que ça de la sécurité, si ce n'est 2/3 règles de base: éviter d'ouvrir un port qui ne sert à rien, éviter les mots de passe bâteaux (toto, titi, tata, test, admin...), toujours se rappeler que le net c'est quand même la jungle...
et pour conclure, d'une manière générale, lorsque l'on est dérrière une passerelle NAT, les risques sont passablement limités, la sécurité est véritablement importante lorsque l'on est en public...
au fait c'est quoi un anti-virus? j'ai oublié ce que ce truc voulait dire depuis que j'ai quitté windows...
_________________
>> Gentoo-FR <<
----- |
|
| Back to top |
|
|
namevac
n00b
Joined: 30 Jun 2007
Posts: 1
Location: angers
|
| Posted: Sun Jul 01, 2007 9:40 pm Post subject: sécuriser ses machines |
|
|
Salut à tous,
J'ai actuellement un serveur sous gentoo et j'ai mis en place une politique de sécurité qui -loin d'être parfaite-, me permet déjà de protéger la machine de l'essentiel des attaques.
La première étape pour sécuriser sa machine, est, l'utilisation minimale des services, afin de réduire les possibles failles de sécurité pouvant atteindre la machine.
Autrement, je vais les classer par service, (je me limiterais aux plus connus d'entre eux) :
#############################################
1) SSH
Alors, pour résumer, nous sommes plusieurs à acceder au serveur par ssh et chacun possède sa propre politique de sécurité.
Cas global :
| Code: | | /etc/ssh/sshd_config |
# n'autoriser que le protocole 2, ça parrait evident pour certains, mais peut etre pas pour tous
# je prefere limiter l'ecoute du service à la seule adresse interessante
| Code: | | ListenAddress ipwan |
# fixer une limite aux tentatives de log des utilisateurs à 20 secondes
# biensur, interdire à root de se log, comme ça si la machine est compromise par un bruteforce, il reste une chance de limiter la casse, à condition de ne pas avoir sudo d'installé avec user dans le grp wheel =)
# limiter le nombre de tentatives de mot de pass par login, un user aguérit n'a rarement besoin de plus de 6 tentatives pour se log à sa machine :>
J'ai aussi installé fail2ban pour eviter que les bots ne polluent mes logs par leurs tentatives infructueuses : ban 30 min / 6 auth infructeux
Je n'ai pas restreint mes acces par ip/tranche ip car nous ne choisissons pas toujours nos connections, et que l'on est jamais à l'abris d'une panne d'internet
Cas particulier
Comme indiqué plus haut, chacun de nos users dispose de sa propre politique de sécurité, et openSSH permet désormais d'appliquer une politique personnelle en sus de la politique globale de sécurité. J'ai pour ma part opté pour l'auth par clé + passphrase, c'est possible en ajoutant :
Match User MONUSER
PasswordAuthentication no
PubkeyAuthentication yes
dans :
| Code: | | /etc/ssh/sshd_config |
#############################################
2) Kernel
Pas grand chose à dire, si ce n'est que je patch les miens avec grsecurity +pam pour "activer la randomisation de la zone mémoire utilisée par mes applications"
et support de netfilter + arptables pour eviter le Man In The Midle =)
#############################################
3) Apache + php en module (cgi etant moins performant et plus lourd à mettre en place)
1) j'ai d'abord désactivé certains modules dans
| Code: | | /etc/apache2/apache2/apache2-builtin-mods |
Cette liste correspond à mes besoins et ne doit pas etre appliquée à la lettre (d'ailleurs il se peut que j'ai fait des erreurs sans meme m'en rendre compte)
http://rafb.net/p/hDGvmI15.html
2) j'ai configuré apache
pour qu'il n'écoute que sur l'ip wan (le serveur n'etant pas dans un lan)
pour l'empecher de dévoiler la version d'apache + os + modules
Il faut que la variable soit sur :
Sauf si vous utilisez mod_security d'apache, auquel cas il faut avoir la valeur :
Pour permettre à Mod_security de personnaliser le tag laissé par apache :>
Signature du serveur à Off
| Code: | | ServerSignature Off |
3) j'ai activé le controle des uid par php et cagé les vhost dans apache
Cas général
| Code: | | /etc/php/apache2-php5/php.ini |
| Code: | | safe_mode_gid = Off |
# suppréssion des fonctions les plus dangereuses pour le serveur et useless pour une utilisation correcte de php (dans le cadre d'hebergement de sites web simples)
| Code: | | disable_functions = exec,passthru,popen,proc_open,shell_exec,system |
# on connait notre machine, et on ne veut pas l'exposer à n'importe qui
| Code: | | display_errors = off |
| Code: | | register_globals = Off |
J'ai modifié le vhost pour simplifier les tâches de maintenance, en séparant les differents vhost par users
Donc, 00_default_vhost.conf ne concerne "que" le catchall du serveur (répertoire par defaut), tous les autres vhost etant dans un sous répertoire nommé "vhost"
Ces fichiers sont placés dans un sous répertoire pour m'assurer qu'ils seront lus, APRES 00_defaut_vhost, qui contient la fameuse variable "NameServer", critique pour la compréhension des vhost... (je suis assez clair ?)
Tous ces fichiers sont "cagés" pour éviter de remonter aux répertoires parents ou aux autres sites en cas d'intrusion sur l'un d'entre eux :
| Code: | | /etc/apache2/vhosts.d/00_default_vhost.conf |
possède donc cette ligne à la fin :
| Code: | | Include /etc/apache2/vhosts.d/vhost/*.conf |
| Code: | #SafeMode START
<IfModule mod_php5.c>
php_admin_value open_basedir "/foo/bar/www/:/tmp/"
</IfModule>
#SafeMode END |
Suggestion de présentation de vos vhost :
http://rafb.net/p/dcGH6C30.html
3) j'ai ensuite incorporé le mod_security d'apache (avec emerge grsecurity + patch avec les dernieres mises à jours de http://www.modsecurity.org/ ( http://www.modsecurity.org/download/modsecurity-core-rules_2.1-1.4b2.tar.gz )
Je vous laisse le soin de lire la doc pour apprendre à vous en servir.
#############################################
4) Mysql
1) Il faut désactiver l'écoute de mysql sur le réseau en décommentant
et en commentant
| Code: | | #bind-address = 127.0.0.1 |
2) Bien utiliser des utilisateurs et des bases différent(e)s pour chaque site/pannel avec des droits réstreints pour chacun d'entre eux à la seule base qui leur est donnée de controler.
#############################################
5) Serveur FTP - Proftpd
J'utilise Proftpd, il me convient parfaitement, apres quelques légères modifications telles que :
/etc/proftpd/proftpd.conf
Ne pas indiquer la version du serveur FTP, on peut désactiver l'ident, mais certains clients auront du mal à se connecter, il existe une parade qui consiste à tronquer l'ident
| Code: | | ServerIdent On "Bienvenue sur ce serveur FTP" |
J'ai forcé proftpd à n'ecouter que sur une seule interface réseau
| Code: | | DefaultAddress monIPwan |
Nombre maximum de clients ayant le même login
| Code: | | MaxClientsPerHost 5 |
Pour ne pas donner d'info sur le serveur
Permet de creer des utilisateurs virtuels plus facilement.
| Code: | | RequireValidShell off |
Eviter le DoS
Empecher les utilisateurs de pouvoir remonter l'arborescence au dessus de leur home respectifs
#############################################
6) Firewall
D'abord, est-ce qu'un firewall est utile sous linux ?
Je pense personnelement que oui, car il permet, une fois bien configuré, de limiter les dégats causés par une intrusion par vers/exploit en empechant la machine inféctée d'ouvrir un servir sur un port et de se connecter à un réseau de botnet.
Il permet aussi, de ban des ip / plages d'ip de certains botnets (acces ssh par exemple, en combinaison avec fail2ban)
Iptables est un très bon firewall, n'en déplaise à Geekounet
Il reste quand meme très compliqué à mettre en place, j'ai enfin trouvé les bonnes options pour le mien qui lui permettent de communiquer avec l'exterieur !
Il est cependant très logique !
Je mets à disposition le mien, qui est sujet à toute critique pour m'aider à l'améliorer, et pour permettre à certains de s'en inspirer
http://rafb.net/p/wsxvwn58.html
#############################################
7) Fail2ban, On peut ajouter le support d'apache et des vhost dans fail2ban, pour drop les malins qui tentent de bruteforce des répertoires protégés par htaccess par exemple, proftpd, & co.
/etc/fail2ban/jail.conf
http://rafb.net/p/4Ph1Xg44.html
http://rafb.net/p/QlMXbm85.html
#############################################
Voila, j'ai du oublier quelques points mais je réediterai au besoin |
|
| Back to top |
|
|
Bapt
Veteran
Joined: 14 Apr 2003
Posts: 1152
Location: Paris
|
| Posted: Sun Jul 01, 2007 11:14 pm Post subject: |
|
|
| DidgeriDude wrote: | | @Bapt: je veux bien savoir quel type de règles tu utilises pour bloquer les attaques brute force avec PF... (pas envie d'utiliser fail2ban) |
Pour rester gentoo, ça peut servir aux utilisateurs de gentoo/freebsd, donc voila :
| Code: | table <ssh-bruteforce> persist
block in quick from <ssh-bruteforce>
pass in quick on axe0 inet proto tcp to port ssh keep state ( max-src-conn-rate 2/10, overload <ssh-bruteforce> flush global ) |
Soit : on crée un table : ssh-bruteforce
on bloque toutes les ips de cette table.
autorisation des connexion sur le port ssh, mais si il y a plus de 2 tentatives en 10s, on rajoute l'ip dans la table ssh-bruteforce et on détruit les connexions existantes.
Sources : http://wiki.gcu.info/doku.php?id=bsd:pf_et_bruteforce&s=ssh |
|
| Back to top |
|
|
titoucha
Advocate
Joined: 21 Jul 2005
Posts: 2374
Location: Genève
|
| Posted: Mon Jul 02, 2007 2:51 am Post subject: |
|
|
Pour ma part la sécurité se fait tout au niveau de mon routeur qui tourne avec un firmware tomato, c'est lui qui fait firewall et surtout la gestion du wifi.
Je n'ai aucun serveur qui tourne pour être vu de l'extérieur donc j'ai tout fermé en entrée et tout autorisé en sortie sur mon firewall.
Je suis plus attentif à la gestion de la sécurité de mon wifi, car c'est souvent par là que les intrusions se font, pour ça j'utilise trois techniques, le filtrage par adresse MAC, la gestion de la puissance (c'est un point souvent oublié) pour ne couvrir que la surface de mon réseau et une clef WEP, je ne peux malheureusement pas mettre du WAP car j'ai un poste de radio web qui ne le permet pas.
PS: je n'utilise pas iptable, car comme plusieurs je trouve ça imbuvable.
_________________
Assurez-vous que le titre de votre message soit conforme aux conventions de ce forum (paragraphe 3/3 : Comment poster sur le forum ??) |
|
| Back to top |
|
|
nico_calais
l33t
Joined: 09 Jun 2005
Posts: 628
Location: Saint Julien en Genevois
|
| Posted: Mon Jul 02, 2007 7:17 am Post subject: |
|
|
En ce qui me concerne, le premier pas vers la sécurité a été de refuser de mettre la neuf box gracieusement offerte...
La sécurité commence par la mise à jour régulière de notre gentoo et son système nous facilite grandemen la tâche. Je fais ça une fois par semaine.
J'utilise des mots de passe assez complexes pour éviter de me faire bruteforcer des services dispo de l'exterieur comme ssh (allié avec fail2ban mais c'est pas une raison).
Ce qui fait office de firewall, c'est le routeur/modem olitec dont j'ai peu confiance, mais pour le moment j'ai peu eu de soucis.
J'ai aussi un réseau wi-fi crypté en WPA. C'est un peu mon maillon faible je pense.
Pour l'avenir proche, j'aimerai mettre à la retraite le olitec. Utiliser la neuf box en tant que modem uniquement et laisser mon serveur gérer ma première ligne de défense. Bon soyons honnetes...J'ai très peu d'experience en firewalls et c'est aussi pour ça que je veux le faire :p
Y a des chances pour qu'il y ait cassage de dents, mais bon, si je peux pas me casser les dents sur mon propre réseau perso, où puis je le faire ?
Je pense aussi mettre e place un snort + gestion web de ce dernier (base).
Tout ça, ce sera possible le moment où j'arriverai à faire fonctionner ma carte netgear FA511 en pcmcia sur ce maudit PC  ...mais ceci est une autre histoire.
_________________
"Unix IS user friendly... It's just selective about who its friends are." Tollef Fog Heen tollef@add.no |
|
| Back to top |
|
|
kwenspc
Advocate
Joined: 21 Sep 2003
Posts: 4954
|
| Posted: Mon Jul 02, 2007 7:53 am Post subject: |
|
|
AAAAH enfin un DOW!
Je n'applique de règles de sécurité que sur les serveurs (le mien, au taf...). Sur les autres machines (fin les miennes en l'occurrence) je ne gère rien de spécial.
Pour ssh j'applique aussi les règles de bases énumérées plus haut. Sur les serveurs de prod j'utilise en plus une clé RSA insérée dans une SmartCard (avec accès limité par password).
Il y a moyen de cacher la version du serveur ssh mais faut modifier le code source (quoique depuis ils ont peut-être ajouté l'option? ça fait un poil de temps que je me suis pas mis à jour sur le sujet).
Pour le noyau: version hardened. (inclus les patchs GrSec et PaX).
- Pas de support LKM
- Optimisation pour serveur (clock, pas de préemption forcée) mais en évitant toute option "d'optimisation" instable ou risquée (ex: pas d'option pour réduire la taille du kernel)
- Optimisation du support matériel: en fait là j'enlève tout support non utile. Ça dégraisse le kernel et évite d'avoir du code inutile (et qui pourrait être utilisé à mauvais escient).
- Applications des règles de bases PaX etc... c'est le minimum.
Gestion des droits:
- Limiter au strict nécessaire les accès aux utilisateurs et surtout j'évite qu'ils puissent "lire" partout. (simple modifs chown, chmod etc... chaque user faisant partie de son propre groupe)
- Eviter que certains progs puissent être lancés par l'utilisateur lambda (wget, ftp... si ils sont installés)
Sinon
- Tout répertoire à taille variable -> en partoche (genre /tmp, /var...).
- Assignation de quotas (sur l'espace disque, mémoire, nombre de processus etc...)
Et sinon pour certains processus à risque: dans un chroot. C'est pas aussi propre que jail sous bsd mais ça fait son affaire la plupart du temps.
Firewall: Linux-netfilter at home et sinon OpenBSD-pf at work.
Monitoring:
- at home: que dalle
- at work: ça dépend. (centralisation des logs, nagios, cacti (bof) et certains trucs fait main)
_________________
membre officieux du SAV Ati GEntoo |
|
| Back to top |
|
|
zyprexa
Apprentice
Joined: 26 Dec 2004
Posts: 180
|
| Posted: Mon Jul 02, 2007 9:55 am Post subject: |
|
|
Je crois que kwenspc est en tête ^^.
Pour ma part :
- serveurs critiques sur machines virtuelles openvz (mule, sshd, ftp etc)
- sshd : port par défaut modifié + protection par port-knocking
- iptables aux petits oignons + fw routeur
- un oeil permanent sur les principaux logs avec un conky sur le bureau
- mots de passe tordus
- vpn sur la connexion wifi avec le portable
J'avais également trifouillé l'umask, mais ca m'a un peu gonflé si bien que je l'ai remis comme avant.
_________________
enjoy |
|
| Back to top |
|
|
kwenspc
Advocate
Joined: 21 Sep 2003
Posts: 4954
|
| Posted: Mon Jul 02, 2007 10:18 am Post subject: |
|
|
| zyprexa wrote: | Je crois que kwenspc est en tête ^^.
|
Pas chez moi en tout cas, on serveur personnel est tout ce qu'il y a de plus basique (pour te dire: je ne log même pas!). Sans parler que je ne maitrise pas du tout netfilter ce qui me donne de drôle de comportements parfois. 
Pour ce qui est des serveurs de prod ce que j'ai énuméré est le minimum, sans parler des configs à faire pour apache qui ont déjà été dites avant. On dit souvent que "linux en serveur c'est sécurisé" tout ça... mais avec une config non-retouchée c'est une vrai passoire, (notamment les config ubuntarlg... à peine installé, 2j plus tard hop des scripts kiddies déjà sur la place!) surtout lorsqu'on utilise des softs à risque (si pas maitrisé) comme apache
_________________
membre officieux du SAV Ati GEntoo |
|
| Back to top |
|
|
kopp
Advocate
Joined: 09 Apr 2004
Posts: 2885
Location: Grenoble, France
|
| Posted: Mon Jul 02, 2007 10:41 am Post subject: |
|
|
Perso, c'est vraiment limite. A la maison, j'ai un modem/routeur qui fait firewall, avec les entrées fermées sauf celles qui m'intéressent (ssh et ftp en gros), les sorties sont ouvertes il me semble. De toutes façon, je suis en ip dynamique, pas de serveurs dessus, pas trop de soucis. J'ai un fail2ban derrière, au cas où.
Là, mon pc est branché en direct donc j'ai iptables + fail2ban et voilà. j'avoue ne pas être un gourou.... J'ai quand même viré le RootLogin de ssh hein
Sinon, OpenBSD est réputée bien pour la sécurité vu que tout est désactivé et secure par défaut. Par contre faut pas mal bidouiller après... |
|
| Back to top |
|
|
CryoGen
Veteran
Joined: 11 Feb 2004
Posts: 1426
Location: Bamako - Mali - Afrique
|
| Posted: Mon Jul 02, 2007 10:52 am Post subject: |
|
|
Avant je me connectais à internet via mon serveur, j'avais donc un iptables qui par défaut bloquait tout et j'ouvrai/redirigeai les ports seulon mes besoins
Maintenant j'ai une livebox, j'ai donc virer mon iptables , tout est géré par là.
Par contre je n'ai toujours pas configurer les accès à mon serveur ssh et apache depuis l'exterieur, j'ai pas le temps de les sécuriser convenablement, et je ne préfère pas tenter le diable
_________________
- CryoGen` on #gentoofr@irc.freenode.net
- ~amd64 / KDE4
- I'm the bone of my sword... |
|
| Back to top |
|
|
guilc
Bodhisattva
Joined: 15 Nov 2003
Posts: 3326
Location: Paris - France
|
| Posted: Mon Jul 02, 2007 11:06 am Post subject: |
|
|
Aller on se lance
Alors pour ma part, ma tête de réseau est une machine Gentoo qui me sert de passerelle/routeur/serveur. La liaison au Net est assurée via un modem simple (bridge et pppoe depuis la Gentoo), point de *Box. Autre avantage de ne pas utiliser un modem-routeur au milieu : ça me permet d'exploiter pleinement ma connectivité IPv6, chose impossible avec un routeur basique (à ma connaissance, y a que chez cisco qu'on peut faire ça)
Configuration de la passerelle :
- kernel grsecurity avec un support minimal (pas de support des modules, le moins de drivers possibles, bref, kernel au pain sec)
- règles RBAC (vive la prise de tête).
- le minimum d'applications installées, portage n'est utilisable que dans un rôle privilégié.
- des règles iptables assez longues, avec mise en place d'astuces diverses pour limiter les floodings de connexions, les poisonning ICMP, etc...
- Tous les échanges entre les machines passent par un VPN. La connexion sans passer par le VPN ne mène a rien (seul le port de connexion VPN est ouvert sur le réseau physique). Toutes mes clés VPN sont gérées par une mini-PKI maison qui réside sur une clé USB sur un FS crypté (par dm-crypt).
- ssh bien sur non accessible directement en root, et authentification par clés. C'est le seul point d'accès donnant potentiellement accès à un shell. Changer le port ne sert a rien a mon avis : ça ne dissuade que l'automate qui tente du bruteforce bête et méchant (chose sans risque si on sait choisir ses mots de passe et/ou on n'utilise que des clés), un vrai pirate qui veut vraiment rentrer ne sera pas plus bloqué. Pas de port knocking non plus : trop risqué en cas de besoin d'accès à la machine.
- Toutes les connexions web passent par un proxy-cache qui joue le rôle de filtre.
- Tous les mails sont stockés sur le serveur, et sont sévèrement filtrés : anti-spam, antivirus, greylisting.
- Les serveurs sont chrootés quand ils peuvent l'être (postfix, bind9 pour l'essentiel)
Sur toutes les machines de mon réseau, règles iptables strictes, même sur ma machine desktop.
Toutes les partitions swap sont chiffrées pour éviter les lecture de mots de passe en clair sur la partition (sisi, c'est assez marrant de décrouvrir dans la swap des bouts de /etc/shadow avec les pass en clair dedans)
Bien sûr, pas de wifi, c'est une techno qui est un énorme point faible pour la sécurité des réseaux, même en WPA. Je reste fidèle a mes bon vieux RJ45
Vous avez dit un brin parano ? ben heu.... oui
_________________
Merci de respecter les règles du forum.
Mon site perso : https://www.xwing.info
Mon PORTDIR_OVERLAY : https://gentoo.xwing.info ou layman -a xwing |
|
| Back to top |
|
|
Temet
Advocate
Joined: 14 Mar 2006
Posts: 2586
Location: 92
|
| Posted: Mon Jul 02, 2007 11:18 am Post subject: |
|
|
 |
|
| Back to top |
|
|
Madjes
n00b
Joined: 14 May 2007
Posts: 47
|
| Posted: Mon Jul 02, 2007 11:28 am Post subject: |
|
|
Personne a parlé de la sécurité dans le noyau, il y en a pourtant des options dedans.
Elles sont inefficaces ou celles par défault suffisent ?
_________________
Checking users... one lamer detected !! |
|
| Back to top |
|
|
kwenspc
Advocate
Joined: 21 Sep 2003
Posts: 4954
|
| Posted: Mon Jul 02, 2007 11:31 am Post subject: |
|
|
| kopp wrote: |
Sinon, OpenBSD est réputée bien pour la sécurité vu que tout est désactivé |
Surtout qu'il y a quasiment rien d'installé dessus de base (apache, php, mysql tout ça...)
De base une distribution Linux arrive peu sécurisée (configuration très/trop souple). C'est pas génial, je préfère nettement le principe de tout fermer et de relâcher petit à petit (comme pour OpenBSD) plutôt que d'avoir à trouver ce qui est ouvert et à le cloisonner, le fermer ou le balancer aux oubliettes. C'est sans doute pour ça aussi que j'aime bien Gentoo: de base il y a rien du tout! Et on ajoute petit à petit ce que l'on souhaite, pas à pas.
C'est d'ailleurs marrant ces "réputations" à propos de la sécurité, auprès des entreprises surtout. Par exemple pour Linux c'est flagrant: "Linux c'est secure, Linux c'est optimisé, Linux c'est le bien"... Mais au moment de l'installer sur des serveurs ils font tout de travers! Ils installent la version desktop (bah oui, mettre à jour le serveur c'est tellement mieux au travers d'une interface graphique), n'étudient pas du tout le partitionnement (et allez: les 300Go en une partoche!) alors pensez donc pour le reste (droits, config personnalisée des softs ...) ! Ils ne passent jamais par la case boucler tout ça. Et du coup leur bouzin ça vaut moins qu'un windows 2000 server mis à jour et configurer aux petits oignons.
Tout ça est souvent dû à un amalgame entre "free=gratuit, opensource=secure" donc par défaut: pas besoin d'investir un kopek (donc pas d'admin) et donc aussi: pas de (re)configuration aux ptits oignons. Résultat: grosse déception et retour à des produits proprios.
_________________
membre officieux du SAV Ati GEntoo |
|
| Back to top |
|
|
kwenspc
Advocate
Joined: 21 Sep 2003
Posts: 4954
|
| Posted: Mon Jul 02, 2007 12:13 pm Post subject: |
|
|
| Madjes wrote: | Personne a parlé de la sécurité dans le noyau, il y en a pourtant des options dedans.
Elles sont inefficaces ou celles par défault suffisent ? |
Regardes mon post au dessus et celui de guilc. Généralement: les options par défaut suffisent pour un desktop, par pour un serveur (à mon goût en tout cas). Pour un serveur il faut passer par les patch GrSec/PaX et voir même les patchs RSBAC (t'es fou guilc ^^)
_________________
membre officieux du SAV Ati GEntoo |
|
| Back to top |
|
|
|
|
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
|
|
French
