Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 23-10-2016 15:03:04

Tito
Membre
Distrib. : Jessie 64 (100% free, of course)
Noyau : 3.16.0-4
(G)UI : TTY + XFCE Thunar de temps en temps
Inscription : 13-10-2016

Navré... Je suis !

Je lis trop souvent sur des forums d’échange concernant les distributions Gnu/Linux la question suivante: Dois-je installer un pare-feu ? Cela sous-entend pour ma sécurité sur ma machine de bureau...
L’illusion de construire un mur pour se sentir en sécurité est tentante, il est vrai mais réfléchissons un instant. Qu’est-ce qu’un pare-feu ? C’est avant tout un logiciel qui filtre les paquetsréseau. Si vous estimez que construire un mur est utile et que vous ouvrez une porte dans ce mur pour que votre machine accède à un service, qu’il soit http, ssh, ftp, imap, le confinement n’est plus. Un rootkit, virus aura tôt fait d’utiliser la première porte ouverte, peu importe le numéro de port ! Efficacité ? Zéro ! Débrancher sa machine d'Internet est beaucoup plus simple et logique.
Votre machine de bureau, sous Gnu/Linux, ne dispose pas de processus en écoute par défaut. Donc si un paquet arrive, soit il est traité par le service en écoute, soit il est détruit. Tout ceci est géré par le kernel et est le fonctionnement normale!
Si votre machine de bureau devient un serveur, dans ce cas, et pour les raisons évoquées avant, il est beaucoup plus utile de configurer les accès, droits, privilèges aux utilisateurs qui accèderont à votre service. Votre distribution sait le faire.Admettons que vous souhaitiez installer Iptables pour protéger votre accès ssh. Vous réalisez un filtrage d’ip pensant être sécuriser. Grosse erreur. Il est souhaitable de configurer son accès par une clé chiffrée ou de protéger son identification avec Fail2ban. Bien sur, le ficher de conf de fail2ban doit être aux petits oignons, pas d'acces root etc etc.

Un pare feu est utile mais il ne sécurise rien. Comme dit avant, il filtre les paquets pour les traiter. Je vois donc son utilité dans une machine qui fait office de router, passerelle...

Votre sécurité dépend des logiciels que vous avez installé (libre ou proprio). Apprendre à n’installer que le stricte nécessaire est bien plus important qu’une règle Iptables, vous réduisez le nombre de vulnérabilités potentielles. De même, apprendre à configurer le logiciel l’est tout autant! Vous pouvez par exemple configurer Apache pour qu'il n'écoute que sur votre réseau local.  Un anti-virus est inutile sous Gnu/Linux pour une raison toute simple. La séparation des droits et l’utilisation de logiciel libre qui permet de voir le code source et offre la possibilité de reboucher les failles de sécurités le jour même. Un script téléchargé sur Internet ne s'exécutera jamais de lui-même tant que vous ne lui donnerez pas les droits d'exécution...!
Un anti-virus, un pare-feu ne protège pas des vulnérabilités, seules les mises à jour le garantissent. Je ne m’interesse pas à mes contacts à propos de leur sécurité informatique, elle n’est pas de ma responsabilité. Ils utilisent un système sensible à contracter les cochonneries, ils ont le choix de perdurer avec ce système ou d’en changer, ce n’est pas mon affaire.

Mon sentiment qui reflète ma modeste connaissance est issue de mon utilisation de Gnu/Linux sur ces cinq dernières années. Ubuntu, Debian pour ne citer que quelques distributions viennent de plus en plus populaire, elles attirent un nombre utilisateur croissant qui provient du monde privateur avec son cortège de crasse ignorance soigneusement entretenue par des peurs et croyances à des fins de contrôles et de bénéfices. Toutes mes machines, y compris mon serveur home n’ont pas de pare-feu, pas d’anti-virus depuis de nombreuse années et on un accès sur Internet via un simple modem (/!\ Pas de routeur /!\), résultat à ce jour= tout fonctionne sans encombre.
Mais derrière cet écho-système personnel, je suis un administrateur dans le sens ou tout est configuré par mes soins, sans fioriture car la véritable sécurité se compose sur la simplicité et la compréhension de ce que l’on fait, cela ne repose pas sur des impressions. Or, les nouveaux utilisateurs venus de Windows passent à côté de cet enseignement en restant ancrés dans l’esprit du logiciel privateur. C’est dommage, car Gnu/Linux est véritablement libérateur, c’est l’une de ses missions premières selon RMS, j’abonde dans ce sens également. Mettre Iptables et utiliser Skype, du Javascript qui est un langage orienté client, exécuter n'importe quoi me pose un sérieux problème personnellement !

M’enfin, ainsi va le monde numérique mais le PEBKAC a encore de beaux jours devant lui.
Merci de m’avoir lu smile

Tito!

Dernière modification par Tito (23-10-2016 15:30:19)

Hors ligne

#2 24-10-2016 13:29:16

deuchdeb
Moderato ma non troppo
Lieu : Pays de Cocagne
Distrib. : Jessie 8 + backports
Noyau : linux-image-3.16
(G)UI : KDE4.14 - Mate
Inscription : 13-01-2010

Re : Navré... Je suis !

Tito a écrit :

Toutes mes machines, y compris mon serveur home n’ont pas de pare-feu, pas d’anti-virus depuis de nombreuse années et on un accès sur Internet via un simple modem (/!\ Pas de routeur /!\), résultat à ce jour= tout fonctionne sans encombre



Un petit tuto pour comprendre comment fais? big_smile

Merci pour ces quelques lignes très intéressantes. smile

Hors ligne

#3 24-10-2016 16:50:25

trentanel
Membre
Lieu : Comtat Venaissin
Distrib. : Raspbian jessie
(G)UI : xfce
Inscription : 17-09-2016

Re : Navré... Je suis !

Un petit tuto pour comprendre comment fais?

Bonjour,
Si j'ai bien compris le texte de tito, cela ne relève pas d'un tuto smile

C'est plutôt un état d'esprit, et je le partage. C'était le sens de ma réponse sur ce sujet.

Hors ligne

#4 25-10-2016 14:06:51

deuchdeb
Moderato ma non troppo
Lieu : Pays de Cocagne
Distrib. : Jessie 8 + backports
Noyau : linux-image-3.16
(G)UI : KDE4.14 - Mate
Inscription : 13-01-2010

Re : Navré... Je suis !

trentanel a écrit :

C'est plutôt un état d'esprit



Tout à fait d'accord , mais à un moment donné , il a bien fallu le mettre en œuvre.

Hors ligne

#5 25-10-2016 22:03:36

Tito
Membre
Distrib. : Jessie 64 (100% free, of course)
Noyau : 3.16.0-4
(G)UI : TTY + XFCE Thunar de temps en temps
Inscription : 13-10-2016

Re : Navré... Je suis !

Salut,
Oui, c'est bien état d'esprit wink.
A+

Dernière modification par Tito (25-10-2016 22:08:52)

Hors ligne

Pied de page des forums