Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
doc:systeme:securite [26/05/2013 01:13] captnfab [Les liens] |
doc:systeme:securite [15/08/2013 20:26] captnfab [Confidentialité des données] |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | ====== Sécurité ====== | + | ====== Sécuriser sa Debian ====== |
- | + | * Objet : Indications sur la manière de sécuriser une Debian | |
- | * Objet : Les liens vers les applications de sécurisation | + | |
* Niveau requis : DÉBUTANT AVISÉ | * Niveau requis : DÉBUTANT AVISÉ | ||
- | * Commentaires : //Tuto en liaison avec tout ce qui concerne « principalement » l'internet en fait.// :-) | + | * Commentaires : //La sécurité est un vaste domaine. Nous allons développer différents aspect de la sécurité ainsi que les différents moyens à mettre en œuvre pour les satisfaire.// :-) |
+ | |||
+ | ===== Vos objectifs ===== | ||
+ | |||
+ | Il n'existe pas de sécurité parfaite, mais une chose est sûre, c'est que plus on veut s'en rapprocher, et plus il faut y consacrer de temps, d'efforts et de litres de sueur. Si vous êtes responsable de la sécurisation d'une machine dans un cadre professionnel, il vous faut bien jauger le rapport temps à allouer / sécurité requise avant de vous lancer dans des opérations chronophages. Si vous faites cela à titre personnel, qu'est-ce qui relève de la paranoïa et qu'est-ce qui constitue le strict minimum ? | ||
+ | |||
+ | ===== Intégrité des données ===== | ||
+ | |||
+ | * À quoi servent les sauvegardes ? À récupérer des données qui auraient été effacées de votre ordinateur. | ||
+ | * À quoi servent ces données ? Cela dépend de chacun de vous, et en fonction de cela, les moyens à mettre en œuvre également. | ||
+ | |||
+ | Prenons quelques cas d'école et les solutions conseillées : | ||
+ | |||
+ | * J'ai peur de supprimer un fichier important ou de devoir reprendre une ancienne version de celui-ci. | ||
+ | * Dans ce cas, si vos fichiers sont légers (et principalement textuels) un système de suivi de version (VCS) comme [[manuel:git]], mercurial ou subversion semble le plus adapté. | ||
+ | * Si vos fichiers sont lourds, les VCS ne sont pas adaptés et des sauvegardes régulières (par exemple sur votre disque dur) sont nécessaires. | ||
+ | |||
+ | * J'ai peur que mon disque dur lâche. | ||
+ | * Si vos disques ne contiennent rien d'autres qu'une Debian configurée sans données personnelles (comme dans un cyber-café), alors enregistrez juste la configuration sur un autre disque. | ||
+ | * Sinon, en fonction de vos besoins, vous pouvez programmer une sauvegarde régulière sur un autre disque (chaque mois, chaque semaine, chaque jour, chaque heure, …) | ||
+ | * Si vous ne voulez vraiment rien perdre, mettez en place un [[http://fr.wikipedia.org/wiki/RAID_(informatique)|RAID]]-1,5 ou 6. | ||
+ | |||
+ | * J'ai peur de perdre tous mes disques dur en même temps (orage, vol, perte…) | ||
+ | * Dans ce cas, effectuez des sauvegarde sur un support externe | ||
+ | |||
+ | * J'ai peur de perdre mon disque de sauvegarde en même temps (cambriolage, incendie, inondation…) | ||
+ | * Dans ce cas, faites une sauvegarde sur un serveur situé ailleurs, via internet (OVH, Online, autres.) | ||
+ | |||
+ | * J'ai peur qu'une catastrophe d'ampleur mondiale efface mon disque dur (EMP naturel ou non) | ||
+ | * Dans ce cas, rangez une de vos sauvegardes externes dans une cage de Faraday, ou gravez vos données dans du marbre. | ||
+ | |||
+ | * J'ai peur qu'un astéroïde vienne s'écraser sur mes plaquettes de marbres | ||
+ | * Embarquez vos données dans un satellite du système solaire. | ||
+ | |||
+ | * J'ai peur que le soleil se transforme en supernova et détruise mes satellites. | ||
+ | * Oui, moi aussi. | ||
+ | |||
+ | |||
+ | ===== Confidentialité des données ===== | ||
+ | |||
+ | * Est-ce grave si quelqu'un d'autre arrive à accéder à vos données ? | ||
+ | * À quel prix voulez-vous l'empêcher ? | ||
+ | * Contre quel type d'attaque voulez-vous vous préparer ? | ||
+ | |||
+ | |||
+ | * J'ai peur que l'on vole mon disque dur / qu'on le récupère quand je le jette / que telle organisation secrète (d'état ou non) m'oblige à lui donner mon disque dur | ||
+ | * Chiffrez vos données avec cryptsetup / truecrypt | ||
+ | * Sachez que la loi peut vous obliger à donner les mots de passe protégeant vos archives (à moins que vous ne les ailliez oubliés…) | ||
+ | |||
+ | * J'ai peur que quelqu'un pirate mon ordinateur | ||
+ | * Limitez le nombre de services accessibles depuis l'extérieur, en coupant les serveurs et en mettant en place un [[:manual:firewall]]. | ||
+ | * Éliminez tout service avec authentification en clair (FTP, POP3, IMAP, webmail HTTP, login HTTP) | ||
+ | * Tenez-vous à jour des mises à jour de sécurité, voir le [[:manuel:apt|manuel apt]] | ||
+ | * Utilisez des mots de passe forts et différents, que ce soit sur votre ordinateur ou sur chacun des services web que vous utilisez. Un outil tel que [[:manuel:keepassx]] peut vous rendre service. | ||
+ | |||
+ | * J'ai encore peur (données très sensibles) | ||
+ | * Stockez vos données sur une machine qui n'est pas directement accessible depuis l'extérieur | ||
+ | * Ne gardez pas de copie en clair de vos données. | ||
+ | |||
+ | * J'ai toujours peur (données vitales) | ||
+ | * Ne connectez pas votre ordinateur à internet | ||
+ | **Attention, chiffrer votre disque dur et faire des sauvegardes en clair, c'est un peu idiot.** | ||
===== Gérer ses mots de passe ===== | ===== Gérer ses mots de passe ===== | ||
Ligne 31: | Ligne 91: | ||
Il existe différentes interfaces entre GPG et différents clients de courriel. | Il existe différentes interfaces entre GPG et différents clients de courriel. | ||
- | * [[manuel:enigmail | Enigmail]] est une extension pour [[logiciel:icedove]] / Thunderbird (existe aussi pour Windows) | + | * [[manuel:enigmail | Enigmail]] est une extension pour [[manuel:icedove]] / Thunderbird (existe aussi pour Windows) |
- | * [[logiciel:mutt | mutt]] est configurable pour utiliser directement GPG | + | * [[manuel:mutt | mutt]] est configurable pour utiliser directement GPG |
===== Mettre en place son pare-feu ===== | ===== Mettre en place son pare-feu ===== | ||
Ligne 66: | Ligne 126: | ||
* [[manuel:snort | Snort ]] Le programme snort est considéré comme sniffers, mais il a aussi la fonction de IDS ( Intrusion Detection System = détecteur d'intrusion ). | * [[manuel:snort | Snort ]] Le programme snort est considéré comme sniffers, mais il a aussi la fonction de IDS ( Intrusion Detection System = détecteur d'intrusion ). | ||
* [[manuel:serveur | Les serveurs - Installation et configuration]]. | * [[manuel:serveur | Les serveurs - Installation et configuration]]. | ||
+ | * [[manuel:apg]] Un générateur de mot de passe en ligne de commande, simple et efficace. | ||