logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 22-10-2016 20:55:52

naguam
Membre
Lieu : Quelque part
Distrib. : Plusieurs
Noyau : Ça dépend
(G)UI : La CLI il n'y a que ça de vrai!
Inscription : 13-06-2016

[résolu] Sécurisation pc perso...

Bonjour, j'ai installé macchanger et réussi a changer mon adresse mac, mais je ne comprend pas les scripts censés faire en sorte qu'elle change à chaques démarages...
Comment comment changer l'adresse MAC de la wifi et du eth0 à chaque démarage, (c'est une question de sécurité, après je m'occupe des ports et des firewalls....
C'est pour mon dell latitude.... que j'utilise pour mes déplacements.....

(ça c'est niveau adresse MAC)..

J'ai aucun ports en LISTEN....
En gros, je voudrais cloîtrer mon pc niveau connexion de l'extérieur a mon pc... mais que je puisse utiliser les clients (genre ssh,sftp....etc)

Dernière modification par naguam (03-11-2016 20:51:50)

Hors ligne

#2 23-10-2016 10:11:45

naguam
Membre
Lieu : Quelque part
Distrib. : Plusieurs
Noyau : Ça dépend
(G)UI : La CLI il n'y a que ça de vrai!
Inscription : 13-06-2016

Re : [résolu] Sécurisation pc perso...

J'ai oublié de dire, qu'après de fait la même chose avec mon serveur qui par le NAT/PAT, sert de réception au ssh extérieur quand je sort de chez moi... ce serveur sur lequel j'ai bien sûr changé le port ssh par default....
Il ya aussi mon serveur de stockage non-accessible de l'extérieur (car non-relié au NAT/PAT et pas mis en direct sur le réseau) qui garde le port ssh par default car je me sert du ssh pour m'y connecter en local... et les deux ports ouvertes nécessaires à samba...

(au départ, je voulais NTP mais chez moi, ma famille #parentsFrèresetsoeurs on windows "toutes versions de 98 à 10" plus des android et des mac sans oublié un iphone "et moi full-linux")

Dernière modification par naguam (23-10-2016 10:16:40)

Hors ligne

#3 23-10-2016 10:19:02

naguam
Membre
Lieu : Quelque part
Distrib. : Plusieurs
Noyau : Ça dépend
(G)UI : La CLI il n'y a que ça de vrai!
Inscription : 13-06-2016

Re : [résolu] Sécurisation pc perso...

En gros, pour sécuriser tout cela en gardant les accès aux ssh toutes machines confondues, (car à l,'extérieur comme à l'intérieur, j'utilise plusieurs machines)
Je me demande si je doit utiliser UFW ou iptables... j'ai aussi vu networkfilters....   pour cloîtrer littéralement mes machines. (qui sont plus ou moins accessibles de l'extérieur)

585TqHP.png

(erreur, c'est ou/et pas au sur l'image)

Sur le schéma, c'est la machine avec les connexions sens unique que je voudrais (#laprécisionsicétaitpasclair)

J'espère que ce que je viens d'exposer est clair...

Le tout, plus l'adresse MAC qui doit changer à chaque démarrage... (vopir post # 1)

Dernière modification par naguam (23-10-2016 10:32:31)

Hors ligne

#4 23-10-2016 10:58:15

anonyme-6
Invité

Re : [résolu] Sécurisation pc perso...

Bonjour,
Ce que tu cherches à faire est certainement très formateur, mais est-ce utile dans ton cas ?

Pour sécuriser ssh, une connexion par clé est un bon début. L'as-tu fait ou est-ce une connexion par nom d'utilisateur et mot de passe ?
D'autre part, est-ce que les machines concernées peuvent être nomades ou sont toujours connectées à Internet par une "box" et en IPV4 ?

#5 23-10-2016 11:02:29

naguam
Membre
Lieu : Quelque part
Distrib. : Plusieurs
Noyau : Ça dépend
(G)UI : La CLI il n'y a que ça de vrai!
Inscription : 13-06-2016

Re : [résolu] Sécurisation pc perso...

Je cherche a apprendre et au passage, ce seras utile... car je compte beaucoup me servir de machines chez moi depuis l'extérieur....
Mes machines ne sont pas nomades, j'aimerais bien mais je ne sais pas comment les rendres nomades....  (et puis une machine nomade, niveau opérateur.....) #j'aiunelivebox et c'est du NAT/PAT ipV4 uniquement pour la redirection.

Il me demande une clef une seule fois, (yes/no) une fois.
Puis, a chaque fois, j'ai juste a taper

ssh -p <port> <login@ip>


Et après j'ai un password a taper et après c'est connecté...

ps: même si cela ne change pas grand chose, ma machine de stockage NAS-Maison qui n'est pas accessible depuis l'extérieur, a un RAID1.

Dernière modification par naguam (23-10-2016 11:06:15)

Hors ligne

#6 23-10-2016 22:00:21

naguam
Membre
Lieu : Quelque part
Distrib. : Plusieurs
Noyau : Ça dépend
(G)UI : La CLI il n'y a que ça de vrai!
Inscription : 13-06-2016

Re : [résolu] Sécurisation pc perso...

J'ai fini par trouver ce qu'il me faut, désolé d'avoir ouvert ce Topic..... Je recherche séparément mais c'est compliqué.... mais j'ai trop mal fait ce topic pour le continuer.....
Je me débrouille niveau firewall et adresse MAC tout seul....

Hors ligne

#7 23-10-2016 22:15:35

kawer
Membre
Lieu : Earth
Distrib. : Debian Stable
Noyau : Current
(G)UI : Xfce
Inscription : 08-10-2013

Re : [résolu] Sécurisation pc perso...

Moins de service qui tourne, clé privé, firewall restrictif, clé en main yikes

Songez à ce que vous avez été, à ce que vous êtes, et à ce que vous serez un jour, et vous deviendrez humbles. Saint Vincent de Paul
La maladie la plus constante et la plus mortelle, mais aussi la plus méconnue de toute société, est l’indifférence. Abbé Pierre
Carpe diem, quam minimum credula postero. Horace

Hors ligne

#8 23-10-2016 22:17:15

naguam
Membre
Lieu : Quelque part
Distrib. : Plusieurs
Noyau : Ça dépend
(G)UI : La CLI il n'y a que ça de vrai!
Inscription : 13-06-2016

Re : [résolu] Sécurisation pc perso...

Ça je sais, mon stage 3ième chez bouygues telecom m'a illustré ce fait.

Hors ligne

#9 24-10-2016 15:51:32

anonyme-6
Invité

Re : [résolu] Sécurisation pc perso...

Voilà quelqu'un qui a bien exprimé le message que je voulais te faire passer.
https://debian-facile.org/viewtopic.php … 31#p197331

#10 24-10-2016 16:03:51

naguam
Membre
Lieu : Quelque part
Distrib. : Plusieurs
Noyau : Ça dépend
(G)UI : La CLI il n'y a que ça de vrai!
Inscription : 13-06-2016

Re : [résolu] Sécurisation pc perso...

Je sais et je n'en est pas réelement besoin, je suis sous linux depuis un bout de temps et je n'est pas de problème non-plus, mais mais j'aime apprendre, savoir faire... dans le futur, je voudrais être informaticien (dev, réseau, et architecte système) et le fait de savoir me forme moi même...
Pour faire simple je n'en ai pas réellement besoin, mais j'aimerais le faire quand même pour savoir....

Hors ligne

#11 24-10-2016 16:09:34

anonyme-6
Invité

Re : [résolu] Sécurisation pc perso...

Alors bravo et bonne suite.
Mais tu pourrais peut-être poursuivre en établissant des connexions par clé à tes serveurs ssh.

#12 24-10-2016 19:06:18

naguam
Membre
Lieu : Quelque part
Distrib. : Plusieurs
Noyau : Ça dépend
(G)UI : La CLI il n'y a que ça de vrai!
Inscription : 13-06-2016

Re : [résolu] Sécurisation pc perso...

Tu as entièrement raison pour la machine qui est en accès direct avec l'extérieur par les ports NAT/PAT de ma box... Or, je pense que pour le NAS RAID1 de stockage maison que j'ai contruit, comme il n'est visible qu'en local, je compte le garder en connection par password, c'est beaucoup plus simple...

Même qu'un jour j'aimerais bien testé l'autorisation d'accès ssh par carte à puce dans mon ordi... (pas par adresse MAC car je veux la faire changer à chaque démarrages)  (Je précise que j'ai un dell latitude et qu'ils ont quasiment tous un lecteur de cartes a puces interne qui marche avec linux si on installe les bon packages... "j'ai testé"....

Dernière modification par naguam (24-10-2016 19:09:03)

Hors ligne

#13 28-10-2016 01:21:52

kawer
Membre
Lieu : Earth
Distrib. : Debian Stable
Noyau : Current
(G)UI : Xfce
Inscription : 08-10-2013

Re : [résolu] Sécurisation pc perso...

Si tu veux être AdminSys, il te faudra maitriser SELinux et GLPI. (pour commencer)

Dernière modification par kawer (28-10-2016 01:23:55)


Songez à ce que vous avez été, à ce que vous êtes, et à ce que vous serez un jour, et vous deviendrez humbles. Saint Vincent de Paul
La maladie la plus constante et la plus mortelle, mais aussi la plus méconnue de toute société, est l’indifférence. Abbé Pierre
Carpe diem, quam minimum credula postero. Horace

Hors ligne

#14 28-10-2016 07:46:41

greenmerlin
Membre
Lieu : 127.0.0.1
Distrib. : Archlinux/TinycoreLinux(CorePure 64-6.4.1)/Jessie
Noyau : 4.2.2-1 / 4.4
(G)UI : wmaker
Inscription : 23-01-2016

Re : [résolu] Sécurisation pc perso...

Si tu veux être AdminSys, il te faudra maitriser SELinux et GLPI. (pour commencer)



et Surtout PAM et les Standards POSIX je dirait meme avant SELinux & co

https://debian-facile.org/doc:systeme:pam?s[]=pam

@+


" La plus importante et la plus négligée de toutes les conversations, c'est l'entretien avec soi-même. "
Chancelier Oxenstiern.

536920766f7573206172726976657220c3a0206c69726520c3a7612c20632765737420717565206e6f757320706172746167656f6e73206c6573206dc3aa6d65732063656e747265732064e28099696e74c3a972c3aa74732e

Hors ligne

#15 28-10-2016 09:37:44

naguam
Membre
Lieu : Quelque part
Distrib. : Plusieurs
Noyau : Ça dépend
(G)UI : La CLI il n'y a que ça de vrai!
Inscription : 13-06-2016

Re : [résolu] Sécurisation pc perso...

Je suis totalement d'accord, mais comme il y a différent domaines que je veux faire et que j'ai le temps à ce niveau là car (âge signature) donc, là pour commencer, je commence la programmation en C avec le tutoriel openclassroom.
Je répare aussi des vieilles tour pour leur donner un seconde vie en Debian CLI (j'ai fait un jukebox avec MOC et un NAS pour quelqu'un avec ce type de machine)

Hors ligne

#16 28-10-2016 21:13:52

numa
Membre
Distrib. : Debian 8 - Fedora
(G)UI : Gnome
Inscription : 27-10-2016

Re : [résolu] Sécurisation pc perso...

Salut,

Juste pour info, quel est l'intérêt de changer d'@mac à chaque démarrage ?

Hors ligne

#17 28-10-2016 21:20:27

naguam
Membre
Lieu : Quelque part
Distrib. : Plusieurs
Noyau : Ça dépend
(G)UI : La CLI il n'y a que ça de vrai!
Inscription : 13-06-2016

Re : [résolu] Sécurisation pc perso...

Le titre le la discutions illustre cette envie... (et non je ne pirate pas et ne suis pas banni de serveur)

Dernière modification par naguam (28-10-2016 21:20:51)

Hors ligne

#18 28-10-2016 21:37:08

numa
Membre
Distrib. : Debian 8 - Fedora
(G)UI : Gnome
Inscription : 27-10-2016

Re : [résolu] Sécurisation pc perso...

J'ai bien lu le titre mais quelle est la plus-value en terme de sécurité ?

Tu es donc en Ip statique sur l'intégralité de ton réseau sinon ton DHCP attribue des Ip différentes à chaque démarrage.

Tu ne peux pas non plus faire de sécurisation par adresses Mac sur d'éventuels équipements actifs... tu ne peux pas figer tes tables arp... tu ne peux pas faire de filtrage par @Mac...

Par contre tu peux te connecter sur le wifi du voisin sans laisser transparaitre ta réelle mac ; mes comme c'est pas ton but, je me pause la question lol

Hors ligne

#19 28-10-2016 22:08:29

naguam
Membre
Lieu : Quelque part
Distrib. : Plusieurs
Noyau : Ça dépend
(G)UI : La CLI il n'y a que ça de vrai!
Inscription : 13-06-2016

Re : [résolu] Sécurisation pc perso...

Le fait de changer d'adresse mac, c'est que si un hacker detecte ton adresse mac, bah elle change. Et oui on peut filtrer les adresse map... Et mon réseau est en static pour faciliter le ssh (seul mes 2 portables sont en dhcp).
Et je passe par mon server pour internet avant d'aller à la box.

Dernière modification par naguam (28-10-2016 22:09:09)

Hors ligne

#20 28-10-2016 22:39:14

numa
Membre
Distrib. : Debian 8 - Fedora
(G)UI : Gnome
Inscription : 27-10-2016

Re : [résolu] Sécurisation pc perso...

OK, puisque ton but est d'apprendre pourquoi pas mais à mon avis "côté white" ça n'a aucun intérêt.

Hors ligne

#21 28-10-2016 22:57:40

naguam
Membre
Lieu : Quelque part
Distrib. : Plusieurs
Noyau : Ça dépend
(G)UI : La CLI il n'y a que ça de vrai!
Inscription : 13-06-2016

Re : [résolu] Sécurisation pc perso...

Il est vrai que cela ne sert pas à grand chose dans mon cas... mais j'aime expérimenter (bidouiller et apprendre)

Hors ligne

#22 30-10-2016 22:36:32

Anonyme-7
Invité

Re : [résolu] Sécurisation pc perso...

naguam a écrit :

En gros, pour sécuriser tout cela en gardant les accès aux ssh toutes machines confondues, (car à l,'extérieur comme à l'intérieur, j'utilise plusieurs machines)
Je me demande si je doit utiliser UFW ou iptables... j'ai aussi vu networkfilters....   pour cloîtrer littéralement mes machines. (qui sont plus ou moins accessibles de l'extérieur)

http://i.imgur.com/585TqHP.png

(erreur, c'est ou/et pas au sur l'image)

Sur le schéma, c'est la machine avec les connexions sens unique que je voudrais (#laprécisionsicétaitpasclair)

J'espère que ce que je viens d'exposer est clair...

Le tout, plus l'adresse MAC qui doit changer à chaque démarrage... (vopir post # 1)



Salut.
UFW qui n'est qu'un front-end de Iptables, les deux ne permettent pas de cloîtrer sa machine sauf si tu fermes tout en IN et OUT. Dans ce cas, démonte tes interfaces (ifdown), ça revient au même et de manière beaucoup plus simple. Dans un protocole Tcp/Ip, il y a un serveur et un client, c'est le principe, on offre un service et qui dit service dit communication de paquets, c'est là que Iptables intervient, il filtre les paquets mais si tu veux que la communication se fasse, tu dois laisser passer un flux de donnée, donc la protection n'existe plus (par exemple le serveur de Debian facile en http). Tu peux filtrer les whois mais c'est aléatoire, Fail2Ban est bien plus efficace pour protéger un accès par authentification user/mdp.

Puisque tu cherchais à cloitrer, FreeBsd le permet simplement avec ses Jails mais sous Gnu/Linux, il existe une solution assez avoisinante, c'est chroot. Tu confines ton application dans un milieu restreint. Mais que tout ceci ne t'empêche pas de configurer SSH dans ton cas aux petits oignons (fichier conf, authentification par clé, désactiver les accès root directs), enfin tout le toutim.
Ton service SSH accessible à tout le monde sur Internet ne permet pas à n'importe qui de se connecter,  à toi de le sécuriser SIMPLEMENT. Seuls les utilisateurs de ta machine le pourront et aucune autre personne si tu as bien pensée ta config.
Iptables permet surtout de séparer des réseaux dans de grandes infrastructures, il s'emploie sur des routeurs et passerelles, POUR FAIRE DE LA GESTION QOS... Ce n'est pas une prison, sinon, il ne sert plus à rien.
http://lea-linux.org/documentations/Lea … reseau-qos
https://www.freebsd.org/doc/fr/books/ha … jails.html
https://www.debian.org/doc/manuals/secu … nv.fr.html

Mais dans ton cas, une simple authentification par clé et une machine à jour suffit amplement.

Voilà pour mon avis. Retiens une chose, un pare-feu filtre mais ne sécurise rien ! On n'est pas sur Windows peace_flag.gif, oublie les mauvaises habitudes.

A+

Tito

Dernière modification par Anonyme-7 (30-10-2016 22:56:57)

#23 30-10-2016 23:36:13

naguam
Membre
Lieu : Quelque part
Distrib. : Plusieurs
Noyau : Ça dépend
(G)UI : La CLI il n'y a que ça de vrai!
Inscription : 13-06-2016

Re : [résolu] Sécurisation pc perso...

Je n'utilise plus windows de puis l'âge de mes 10-11 ans, j'ai vécu plus de linux que de windows (accès ordi que depuis mes 8ans)
Quand je parlait sécuriser, c'était pour les intrusion et donc le filtrage.

Ceci-dit, tu m'apprend plein de chose que je vais expérimenter! merci beaucoup!

Hors ligne

#24 31-10-2016 09:37:54

Anonyme-7
Invité

Re : [résolu] Sécurisation pc perso...

C'est tout à ton honneur mais ne plus utiliser Windows ne veut pas dire abandonner les mauvaises habitudes induites par celui-ci.
Le filtrage que tu escomptes doit se faire au niveau configuration du logiciel, via les accès et les droits de celui-ci, pas par du filtrage de paquet réseau.
Un service, dans ton cas SSH est un processus en écoute, il est conçu pour offrir une connexion, c'est le fonctionnement normal. Tout comme Apache ou lighttpd offre un accès sur le port 80.
Je vois mal Debian facile mettre un pare-feu pour sécuriser ce service (http). Les visiteurs doivent y avoir accès. Au pire, il ferme le 80 http en sortie (OUT) mais à quoi bon ?
Si une vulnérabilité est présente dans le code PHP du forum ou tout autre, la personne mal-intentionnée fera une élévation de privilège par exemple alors que le seul port ouvert en entrant était le 80. Iptables ne sert à rien dans ce cas.

Non, travailles tes configurations logicielles et choisis la simplicité. À ton avis, pourquoi  régulièrement, des grands groupes se font hackés avec à la clé le vol de données utilisateurs/mdp ? Ils n'utilisent pas des pare-feu ?

http://www.developpez.com/actu/105659/U … chercheur/

Bonne découverte smile

Dernière modification par Anonyme-7 (31-10-2016 09:38:49)

#25 31-10-2016 10:13:36

naguam
Membre
Lieu : Quelque part
Distrib. : Plusieurs
Noyau : Ça dépend
(G)UI : La CLI il n'y a que ça de vrai!
Inscription : 13-06-2016

Re : [résolu] Sécurisation pc perso...

Bah je me renseigne sur le truc exactement.

Hors ligne

Pied de page des forums