Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
|
doc:systeme:securite [15/08/2013 20:26] captnfab [Confidentialité des données] |
doc:systeme:securite [15/08/2013 20:59] captnfab |
||
|---|---|---|---|
| Ligne 40: | Ligne 40: | ||
| * Oui, moi aussi. | * Oui, moi aussi. | ||
| + | **Liens** : | ||
| + | * [[manuel:sauvegarde| Sauvegarder, Restaurer, Archiver]] Vos données et votre système seront vite récupérés. | ||
| ===== Confidentialité des données ===== | ===== Confidentialité des données ===== | ||
| + | |||
| + | ==== Données présentes sur votre ordinateur ==== | ||
| * Est-ce grave si quelqu'un d'autre arrive à accéder à vos données ? | * Est-ce grave si quelqu'un d'autre arrive à accéder à vos données ? | ||
| Ligne 53: | Ligne 57: | ||
| * J'ai peur que quelqu'un pirate mon ordinateur | * J'ai peur que quelqu'un pirate mon ordinateur | ||
| - | * Limitez le nombre de services accessibles depuis l'extérieur, en coupant les serveurs et en mettant en place un [[:manual:firewall]]. | + | * Limitez le nombre de services accessibles depuis l'extérieur, en coupant les serveurs et en mettant en place un pare-feu (voir [[:manuel:iptables]] ou une autre de ses interfaces [[:manuel:ufw]]). |
| * Éliminez tout service avec authentification en clair (FTP, POP3, IMAP, webmail HTTP, login HTTP) | * Éliminez tout service avec authentification en clair (FTP, POP3, IMAP, webmail HTTP, login HTTP) | ||
| * Tenez-vous à jour des mises à jour de sécurité, voir le [[:manuel:apt|manuel apt]] | * Tenez-vous à jour des mises à jour de sécurité, voir le [[:manuel:apt|manuel apt]] | ||
| * Utilisez des mots de passe forts et différents, que ce soit sur votre ordinateur ou sur chacun des services web que vous utilisez. Un outil tel que [[:manuel:keepassx]] peut vous rendre service. | * Utilisez des mots de passe forts et différents, que ce soit sur votre ordinateur ou sur chacun des services web que vous utilisez. Un outil tel que [[:manuel:keepassx]] peut vous rendre service. | ||
| + | <note info>Pour des raisons de sécurité, il est recommandé de ne jamais utiliser deux fois le même mot de passe. En effet, si un des comptes se trouve compromis, alors tous les comptes utilisant ce mot de passe le sont. | ||
| + | |||
| + | Comme il est difficile de se souvenir de 100 mots de passe forts complètement différents, il existe des logiciels pour faire cela. | ||
| + | |||
| + | Iceweasel / Firefox, Icedove / Thunderbird et d'autres logiciels proposent de mémoriser les mots de passe pour vous. Il est en règle général dangereux de confier la gestion des mots de passe à un logiciel chargé de faire autre chose. En particulier, des failles dans Firefox permettaient dans le passé de récupérer les mots de passe enregistrés. | ||
| + | |||
| + | Donc au lieu de cela, il est préférable d'utiliser un logiciel spécialisé, comme [[manuel:keepassx | Keepassx]] | ||
| + | </note> | ||
| * J'ai encore peur (données très sensibles) | * J'ai encore peur (données très sensibles) | ||
| Ligne 66: | Ligne 78: | ||
| **Attention, chiffrer votre disque dur et faire des sauvegardes en clair, c'est un peu idiot.** | **Attention, chiffrer votre disque dur et faire des sauvegardes en clair, c'est un peu idiot.** | ||
| - | ===== Gérer ses mots de passe ===== | ||
| - | Pour des raisons de sécurité, il est recommandé de ne jamais utiliser deux fois le même mot de passe. En effet, si un des comptes se trouve compromis, alors tous les comptes utilisant ce mot de passe le sont. | + | ==== Données échangées ==== |
| + | Le protocole SMTP et tel que les données sont en général envoyées en clair entre les différents serveurs. Cela fait d'ailleurs le bonheur de Google et des FAI et autres personnes mal intentionnées qui prennent beaucoup de soin à lire attentivement chacun de vos emails (via des scripts, pas avec des petits lutins sans papier exploités dans la cave) afin de faire des études statistiques anonymes sur vous, vos habitudes, vos produits achetés, la difficulté de vos mots de passe, etc. | ||
| - | Comme il est difficile de se souvenir de 100 mots de passe forts complètement différents, il existe des logiciels pour faire cela. | + | Vous en aurez déduit que quand un site vous envoi votre mot de passe par mail, vous êtes bon pour le changé, un ou deux robots l'ont déjà lu. |
| - | + | ||
| - | Iceweasel / Firefox, Icedove / Thunderbird et d'autres logiciels proposent de mémoriser les mots de passe pour vous. Il est en règle général dangereux de confier la gestion des mots de passe à un logiciel chargé de faire autre chose. En particulier, des failles dans Firefox permettaient dans le passé de récupérer les mots de passe enregistrés. | + | |
| - | + | ||
| - | Donc au lieu de cela, il est préférable d'utiliser un logiciel spécialisé, comme KeePassX. | + | |
| - | + | ||
| - | * [[manuel:keepassx | keepassx]] | + | |
| - | + | ||
| - | ===== Chiffrer et signer son courriel ===== | + | |
| - | + | ||
| - | Il faut savoir que très souvent, les courriels circulent en clair d'un serveur SMTP à l'autre, voire entre votre client de messagerie et votre SMTP. | + | |
| - | Il est alors possible pour certains individus mal intentionnés (comme votre fournisseur d'accès par exemple) de les intercepter et de les lire (ce que fait GMail par exemple). | + | |
| - | Les messages sont ensuite stockés sur le serveur mail hébergeant la boîte mail du destinataire. Serveur qui peut être piraté, ou être administré par une personne mal intentionnée (Google, etc.) | + | Une autre des faiblesses de SMTP fait qu'il n'y a pas d'authentification (ou plutôt, peu, et pas toujours utilisée). Une des solutions pour palier à ces deux défauts est le chiffrement et la signature de son courrier via un outil tel GPG. |
| - | Pour vous protéger de tout cela, vous pouvez envoyer des messages chiffrés (personne à part votre destinataire ne peut les déchiffrer) ou/et signés (votre destinataire peut vérifier que vous seul avez pu l'envoyer). | + | <note info>**Authenticité, identité et confidentialité** |
| + | Pour vous protéger de tout cela, vous pouvez envoyer des messages chiffrés (personne à part votre destinataire ne peut les déchiffrer) ou/et signés (votre destinataire peut vérifier que vous seul avez pu l'envoyer et l'avez envoyé tel quel). | ||
| Un des systèmes permettant de réaliser ce chiffrement est GPG. | Un des systèmes permettant de réaliser ce chiffrement est GPG. | ||
| Ligne 93: | Ligne 95: | ||
| * [[manuel:enigmail | Enigmail]] est une extension pour [[manuel:icedove]] / Thunderbird (existe aussi pour Windows) | * [[manuel:enigmail | Enigmail]] est une extension pour [[manuel:icedove]] / Thunderbird (existe aussi pour Windows) | ||
| * [[manuel:mutt | mutt]] est configurable pour utiliser directement GPG | * [[manuel:mutt | mutt]] est configurable pour utiliser directement GPG | ||
| - | ===== Mettre en place son pare-feu ===== | + | </note> |
| - | ==== Avec iptables ==== | + | **Attention,** |
| + | * **si vous chiffrez vos mails mais donnez la clé de chiffrement à votre hébergeur (et que vous n'êtes pas votre propre hébergeur)** | ||
| + | * **si vous chiffrez vos mails mais ne protégez pas votre boîte mail par un mot de passe fort et unique** | ||
| + | * **si vous envoyez par un biais non chiffré le mot de passe de votre boîte mail** | ||
| + | **dans ce cas vous faites les choses de travers et votre chiffrement était un peu inutile.** | ||
| - | * [[ manuel:iptables | Configurer son pare-feu iptables ]] | + | ==== Communications entre différents ordinateurs reliés par internet ==== |
| + | Lorsque plusieurs ordinateurs sont en réseau à l'intérieur d'une infrastructure, vous pouvez supposer que personne de l'extérieur ne pourra venir écouter ce qui se passe sur le réseau depuis l'intérieur, à moins qu'il trouve une brèche dans une des passerelles de ce réseau vers internet. | ||
| - | ==== Avec ufw ==== | + | Si les ordinateurs en réseau ne sont pas tous dans un même local mais sont reliés uniquement via Internet, il est alors intéressant de créer des canaux de communication sécurisés que l'on appelle des réseaux privés virtuels. |
| - | * [[manuel:ufw | Ufw]] Configurer votre pare-feu simplement | + | * [[manuel:vpn]] |
| - | ===== vpn ===== | + | **Attention, plus un réseau à de points d'entrée et plus il est exposé à un attaquant.** |
| + | ===== Détection d'intrusion ===== | ||
| - | * [[manuel:vpn]] | + | Comment savoir si votre machine subit des attaques, a été piraté ou même s'il y a encore une backdoor dessus ? |
| - | ===== Chkrootkit ===== | + | ==== IDS : Systèmes de détection d'intrusion ==== |
| - | * [[manuel:chkrootkit|Chkrootkit,détecter les traces d'une attaque et de rechercher la présence d'un rootkit ]] | + | Pour surveiller les attaques. |
| + | * [[manuel:snort | Snort ]] Le programme snort est considéré comme sniffers, mais il a aussi la fonction de IDS ( Intrusion Detection System = détecteur d'intrusion ). | ||
| + | * logcheck | ||
| - | ===== RkHunter ===== | + | ==== Recherche heuristique de rootkits ==== |
| + | Détecter une intrusion après coup par les traces qu'elle laisse. | ||
| + | |||
| + | * [[manuel:chkrootkit|Chkrootkit,détecter les traces d'une attaque et de rechercher la présence d'un rootkit ]] | ||
| * [[manuel:rkhunter|Rkhunter]] Programme Unix qui permet de détecter les rootkits | * [[manuel:rkhunter|Rkhunter]] Programme Unix qui permet de détecter les rootkits | ||
| + | ===== Se protéger contre les attaques ===== | ||
| - | ===== Les liens ===== | + | * Configurer son firewall pour se protéger des attaques (D)DoS |
| + | * Configurer son firewall pour bannir automatiquement les machines tentant une attaque par bruteforce | ||
| + | * Configurer son firewall pour bannir automatiquement les machines tentant une scan des ports | ||
| + | * Configurer son firewall pour cacher les ports ouverts par port-knocking | ||
| + | |||
| + | * Filtrer les mails reçus avant de les distribuer à vos utilisateurs windows avec un anti-virus | ||
| + | * [[logiciel:clamav|Clamav]]. Clamav - Un antivirus pour protéger les copains qui sont pas sous linux. Les pôv... | ||
| + | |||
| + | ===== Liens divers ===== | ||
| - | |||
| - | * [[logiciel:clamav|Clamav]]. Clamav - Un antivirus pour protéger les copains qui sont pas sous linux. Les pôv... | ||
| * [[manuel:gnupg|Devenez parano et chiffrer tout avec GnuPG]] | * [[manuel:gnupg|Devenez parano et chiffrer tout avec GnuPG]] | ||
| - | * [[manuel:sauvegarde| Sauvegarder, Restaurer, Archiver]] Vos données et votre système seront vite récupérés. | ||
| - | * [[manuel:KeepassX]] Un petit programme libre qui retient tous vos mots de passes pour vous. //En cours de création..// | ||
| - | * [[manuel:snort | Snort ]] Le programme snort est considéré comme sniffers, mais il a aussi la fonction de IDS ( Intrusion Detection System = détecteur d'intrusion ). | ||
| * [[manuel:serveur | Les serveurs - Installation et configuration]]. | * [[manuel:serveur | Les serveurs - Installation et configuration]]. | ||
| * [[manuel:apg]] Un générateur de mot de passe en ligne de commande, simple et efficace. | * [[manuel:apg]] Un générateur de mot de passe en ligne de commande, simple et efficace. | ||
| - | |||
| - | |||
| - | |||
| - | ===== Internet ===== | ||
| - | |||
| - | Compléments indispensables: | ||
| - | |||
| * [[manuel:internet | Sécurité et Internet - le détail]] Préambule - Internet, les réseaux et la sécurisation. | * [[manuel:internet | Sécurité et Internet - le détail]] Préambule - Internet, les réseaux et la sécurisation. | ||
| * [[manuel:virus | Virus - BOUH !]] | * [[manuel:virus | Virus - BOUH !]] | ||
