Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
|
doc:systeme:securite [15/08/2013 21:37] captnfab [Sécuriser sa Debian] |
doc:systeme:securite [14/04/2015 18:23] milou [Sécuriser sa Debian] |
||
|---|---|---|---|
| Ligne 2: | Ligne 2: | ||
| * Objet : Indications sur la manière de sécuriser une Debian | * Objet : Indications sur la manière de sécuriser une Debian | ||
| - | * Niveau requis : DÉBUTANT AVISÉ | + | * Niveau requis :{{tag>débutant avisé}} |
| - | * Tags : {{tag>à-compléter}} | + | |
| * Commentaires : //La sécurité est un vaste domaine. Nous allons développer différents aspect de la sécurité ainsi que les différents moyens à mettre en œuvre pour les satisfaire.// :-) | * Commentaires : //La sécurité est un vaste domaine. Nous allons développer différents aspect de la sécurité ainsi que les différents moyens à mettre en œuvre pour les satisfaire.// :-) | ||
| - | * Suivi de la page sur le forum : [[http://debian-facile.org/viewtopic.php?id=2897|ici]] | + | * Débutant, à savoir : [[:doc:systeme:commandes:le_debianiste_qui_papillonne|Utiliser GNU/Linux en ligne de commande, tout commence là !]] :-) |
| + | * Suivi : {{tag>à-compléter}}{{tag>à-tester}} | ||
| + | * Création par [[user>smolski]] le 19/08/2010 | ||
| + | * Testé par .... le .... | ||
| + | * Commentaires sur le forum : [[http://debian-facile.org/viewtopic.php?id=2897|C'est ici]]((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) | ||
| + | |||
| + | |||
| + | |||
| + | |||
| + | ===== Dicton du jour ===== | ||
| + | |||
| + | > //“Just because you're paranoid doesn't mean they're not after you!”// | ||
| + | |||
| + | « //Ça n'est pas parce que vous êtes paranoïaques qu'ils ne sont pas tous après vous !// » | ||
| ===== Vos objectifs ===== | ===== Vos objectifs ===== | ||
| - | Il n'existe pas de sécurité parfaite, mais une chose est sûre, c'est que plus on veut s'en rapprocher, et plus il faut y consacrer de temps, d'argent, d'efforts et de litres de sueur. Si vous êtes responsable de la sécurisation d'une machine dans un cadre professionnel, il vous faut bien jauger le rapport temps à allouer / sécurité requise avant de vous lancer dans des opérations chronophages. Si vous faites cela à titre personnel, qu'est-ce qui relève de la paranoïa et qu'est-ce qui constitue le strict minimum ? | + | Il n'existe pas de sécurité parfaite, mais une chose est sûre, c'est que plus on veut s'en rapprocher, et plus il faut y consacrer de temps, d'argent, d'efforts et de litres de sueur. \\ |
| + | Si vous êtes responsable de la sécurisation d'une machine dans un cadre professionnel, il vous faut bien jauger le rapport temps à allouer / sécurité requise avant de vous lancer dans des opérations chronophages. \\ | ||
| + | Si vous faites cela à titre personnel, qu'est-ce qui relève de la paranoïa et qu'est-ce qui constitue le strict minimum ? | ||
| ===== Intégrité des données ===== | ===== Intégrité des données ===== | ||
| - | * À quoi servent les sauvegardes ? À récupérer des données qui auraient été effacées de votre ordinateur. | + | * //À quoi servent les sauvegardes ?// \\ À récupérer des données qui auraient été effacées de votre ordinateur. |
| - | * À quoi servent ces données ? Cela dépend de chacun de vous, et en fonction de cela, les moyens à mettre en œuvre également. | + | * //À quoi servent ces données ?// \\ Cela dépend de chacun de vous, et en fonction de cela, les moyens à mettre en œuvre également. |
| Prenons quelques cas d'école et les solutions conseillées : | Prenons quelques cas d'école et les solutions conseillées : | ||
| - | * J'ai peur de supprimer un fichier important ou de devoir reprendre une ancienne version de celui-ci. | + | * //J'ai peur de supprimer un fichier important ou de devoir reprendre une ancienne version de celui-ci.// \\ Si vos fichiers sont légers (et principalement textuels) un système de suivi de version (VCS) comme git, mercurial ou subversion semble le plus adapté. \\ Si vos fichiers sont lourds, les VCS ne sont pas adaptés et des sauvegardes régulières (par exemple sur votre disque dur) sont nécessaires. |
| - | * Dans ce cas, si vos fichiers sont légers (et principalement textuels) un système de suivi de version (VCS) comme [[manuel:git]], mercurial ou subversion semble le plus adapté. | + | |
| - | * Si vos fichiers sont lourds, les VCS ne sont pas adaptés et des sauvegardes régulières (par exemple sur votre disque dur) sont nécessaires. | + | |
| - | * J'ai peur que mon disque dur lâche. | + | * //J'ai peur que mon disque dur lâche.// \\ Si vos disques ne contiennent rien d'autres qu'une Debian configurée sans données personnelles (comme dans un cyber-café), alors enregistrez juste la configuration sur un autre disque. \\ Sinon, en fonction de vos besoins, vous pouvez programmer une sauvegarde régulière sur un autre disque (chaque mois, chaque semaine, chaque jour, chaque heure, …). \\ Si vous ne voulez vraiment rien perdre, mettez en place un [[http://fr.wikipedia.org/wiki/RAID_(informatique)|RAID]]-1,5 ou 6. |
| - | * Si vos disques ne contiennent rien d'autres qu'une Debian configurée sans données personnelles (comme dans un cyber-café), alors enregistrez juste la configuration sur un autre disque. | + | |
| - | * Sinon, en fonction de vos besoins, vous pouvez programmer une sauvegarde régulière sur un autre disque (chaque mois, chaque semaine, chaque jour, chaque heure, …) | + | |
| - | * Si vous ne voulez vraiment rien perdre, mettez en place un [[http://fr.wikipedia.org/wiki/RAID_(informatique)|RAID]]-1,5 ou 6. | + | |
| - | * J'ai peur de perdre tous mes disques dur en même temps (orage, vol, perte…) | + | * //J'ai peur de perdre tous mes disques durs en même temps (orage, vol, perte…). // \\ Dans ce cas, effectuez des sauvegardes sur un support externe |
| - | * Dans ce cas, effectuez des sauvegarde sur un support externe | + | |
| - | * J'ai peur de perdre mon disque de sauvegarde en même temps (cambriolage, incendie, inondation…) | + | * //J'ai peur de perdre mon disque de sauvegarde en même temps (cambriolage, incendie, inondation…).// \\ Dans ce cas, faites une sauvegarde via internet sur un serveur situé ailleurs (OVH, Online, autres...). |
| - | * Dans ce cas, faites une sauvegarde sur un serveur situé ailleurs, via internet (OVH, Online, autres.) | + | |
| - | * J'ai peur qu'une catastrophe d'ampleur mondiale efface mon disque dur (EMP naturel ou non) | + | * //J'ai peur qu'une catastrophe d'ampleur mondiale efface mon disque dur (EMP naturel ou non).// \\ Dans ce cas, rangez une de vos sauvegardes externes dans une cage de Faraday, ou gravez vos données dans du marbre. |
| - | * Dans ce cas, rangez une de vos sauvegardes externes dans une cage de Faraday, ou gravez vos données dans du marbre. | + | |
| - | * J'ai peur qu'un astéroïde vienne s'écraser sur mes plaquettes de marbres | + | * //J'ai peur qu'un astéroïde vienne s'écraser sur mes plaquettes de marbre.// \\ Embarquez vos données dans un satellite du système solaire. |
| - | * Embarquez vos données dans un satellite du système solaire. | + | |
| - | * J'ai peur que le soleil se transforme en supernova et détruise mes satellites. | + | * //J'ai peur que le soleil se transforme en supernova et détruise mes satellites.// \\ Oui, moi aussi... |
| - | * Oui, moi aussi. | + | |
| - | **Liens** : | + | |
| - | * [[manuel:sauvegarde| Sauvegarder, Restaurer, Archiver]] Vos données et votre système seront vite récupérés. | + | ==== Sauvegarder, restaurer, archiver ses données ==== |
| + | * [[:doc:systeme:sauvegarde| Sauvegarder, Restaurer, Archiver]] Vos données et votre système seront vite récupérés. | ||
| ===== Confidentialité des données ===== | ===== Confidentialité des données ===== | ||
| Ligne 56: | Ligne 61: | ||
| * J'ai peur que l'on vole mon disque dur / qu'on le récupère quand je le jette / que telle organisation secrète (d'état ou non) m'oblige à lui donner mon disque dur | * J'ai peur que l'on vole mon disque dur / qu'on le récupère quand je le jette / que telle organisation secrète (d'état ou non) m'oblige à lui donner mon disque dur | ||
| * Chiffrez vos données avec cryptsetup / truecrypt | * Chiffrez vos données avec cryptsetup / truecrypt | ||
| - | * Sachez que la loi peut vous obliger à donner les mots de passe protégeant vos archives (à moins que vous ne les ailliez oubliés…) | + | * Sachez que la loi peut vous obliger à donner les mots de passe protégeant vos archives (à moins que vous ne les ayiez oubliés…) |
| * J'ai peur que quelqu'un pirate mon ordinateur | * J'ai peur que quelqu'un pirate mon ordinateur | ||
| - | * Limitez le nombre de services accessibles depuis l'extérieur, en coupant les serveurs et en mettant en place un pare-feu (voir [[:manuel:iptables]] ou une autre de ses interfaces [[:manuel:ufw]]). | + | * Limitez le nombre de services accessibles depuis l'extérieur, en coupant les serveurs et en mettant en place un pare-feu (voir [[:doc:systeme:ufw]]). |
| * Éliminez tout service avec authentification en clair (FTP, POP3, IMAP, webmail HTTP, login HTTP) | * Éliminez tout service avec authentification en clair (FTP, POP3, IMAP, webmail HTTP, login HTTP) | ||
| - | * Tenez-vous à jour des mises à jour de sécurité, voir le [[:manuel:apt|manuel apt]] | + | * Tenez-vous à jour des mises à jour de sécurité, voir le [[:doc:systeme:apt|manuel apt]] |
| - | * Utilisez des mots de passe forts et différents, que ce soit sur votre ordinateur ou sur chacun des services web que vous utilisez. Un outil tel que [[:manuel:keepassx]] peut vous rendre service. | + | * Utilisez des mots de passe forts et différents, que ce soit sur votre ordinateur ou sur chacun des services web que vous utilisez. Un outil tel que [[:doc:systeme:keepassx]] peut vous rendre service. |
| <note info>Pour des raisons de sécurité, il est recommandé de ne jamais utiliser deux fois le même mot de passe. En effet, si un des comptes se trouve compromis, alors tous les comptes utilisant ce mot de passe le sont. | <note info>Pour des raisons de sécurité, il est recommandé de ne jamais utiliser deux fois le même mot de passe. En effet, si un des comptes se trouve compromis, alors tous les comptes utilisant ce mot de passe le sont. | ||
| Ligne 69: | Ligne 74: | ||
| Iceweasel / Firefox, Icedove / Thunderbird et d'autres logiciels proposent de mémoriser les mots de passe pour vous. Il est en règle général dangereux de confier la gestion des mots de passe à un logiciel chargé de faire autre chose. En particulier, des failles dans Firefox permettaient dans le passé de récupérer les mots de passe enregistrés. | Iceweasel / Firefox, Icedove / Thunderbird et d'autres logiciels proposent de mémoriser les mots de passe pour vous. Il est en règle général dangereux de confier la gestion des mots de passe à un logiciel chargé de faire autre chose. En particulier, des failles dans Firefox permettaient dans le passé de récupérer les mots de passe enregistrés. | ||
| - | Donc au lieu de cela, il est préférable d'utiliser un logiciel spécialisé, comme [[manuel:keepassx | Keepassx]] | + | Donc au lieu de cela, il est préférable d'utiliser un logiciel spécialisé, comme [[:doc:systeme:keepassx | Keepassx]] |
| </note> | </note> | ||
| Ligne 95: | Ligne 100: | ||
| Il existe différentes interfaces entre GPG et différents clients de courriel. | Il existe différentes interfaces entre GPG et différents clients de courriel. | ||
| - | * [[manuel:enigmail | Enigmail]] est une extension pour [[manuel:icedove]] / Thunderbird (existe aussi pour Windows) | + | * [[:doc:reseau:enigmail | Enigmail]] est une extension pour [[:doc:reseau:icedove]] / Thunderbird (existe aussi pour Windows) |
| - | * [[manuel:mutt | mutt]] est configurable pour utiliser directement GPG | + | * [[:doc:reseau:mutt | mutt]] est configurable pour utiliser directement GPG |
| </note> | </note> | ||
| Ligne 110: | Ligne 115: | ||
| Si les ordinateurs en réseau ne sont pas tous dans un même local mais sont reliés uniquement via Internet, il est alors intéressant de créer des canaux de communication sécurisés que l'on appelle des réseaux privés virtuels. | Si les ordinateurs en réseau ne sont pas tous dans un même local mais sont reliés uniquement via Internet, il est alors intéressant de créer des canaux de communication sécurisés que l'on appelle des réseaux privés virtuels. | ||
| - | * [[manuel:vpn]] | + | * [[:doc:reseau:vpn]] |
| **Attention, plus un réseau à de points d'entrée et plus il est exposé à un attaquant.** | **Attention, plus un réseau à de points d'entrée et plus il est exposé à un attaquant.** | ||
| Ligne 121: | Ligne 126: | ||
| Pour surveiller les attaques. | Pour surveiller les attaques. | ||
| - | * [[manuel:snort | Snort ]] Le programme snort est considéré comme sniffers, mais il a aussi la fonction de IDS ( Intrusion Detection System = détecteur d'intrusion ). | + | * [[:doc:reseau:snort | Snort ]] Le programme snort est considéré comme sniffers, mais il a aussi la fonction de IDS ( Intrusion Detection System = détecteur d'intrusion ). |
| * logcheck | * logcheck | ||
| Ligne 128: | Ligne 133: | ||
| Détecter une intrusion après coup par les traces qu'elle laisse. | Détecter une intrusion après coup par les traces qu'elle laisse. | ||
| - | * [[manuel:chkrootkit|Chkrootkit,détecter les traces d'une attaque et de rechercher la présence d'un rootkit ]] | + | * [[:doc:autres:chkrootkit|Chkrootkit,détecter les traces d'une attaque et de rechercher la présence d'un rootkit ]] |
| - | * [[manuel:rkhunter|Rkhunter]] Programme Unix qui permet de détecter les rootkits | + | * [[:doc:systeme:rkhunter|Rkhunter]] Programme Unix qui permet de détecter les rootkits |
| ===== Se protéger contre les attaques ===== | ===== Se protéger contre les attaques ===== | ||
| Ligne 139: | Ligne 144: | ||
| * Filtrer les mails reçus avant de les distribuer à vos utilisateurs windows avec un anti-virus | * Filtrer les mails reçus avant de les distribuer à vos utilisateurs windows avec un anti-virus | ||
| - | * [[logiciel:clamav|Clamav]]. Clamav - Un antivirus pour protéger les copains qui sont pas sous linux. Les pôv... | + | * [[:doc:systeme:clamav|Clamav]]. Clamav - Un antivirus pour protéger les copains qui sont pas sous linux. Les pôv... |
| + | |||
| + | ===== L'aspect humain ===== | ||
| + | |||
| + | Avoir un mot de passe solide, c'est bien. Mais si c'est pour le donner au premier site de phishing venu, ça n'est pas la peine. | ||
| + | |||
| + | C'est pourquoi il est très important d'éduquer tous les utilisateurs d'un serveur sur les risques de phishing et autres arnaques. | ||
| + | |||
| + | L'idée est la suivante, et c'est un cas d'école puisque c'est ce qui est arrivé à TheOnion : | ||
| + | - Je veux pénétrer un réseau, plutôt que de bruteforcer tous les mots de passes possibles, je vais simplement les demander aux utilisateurs. | ||
| + | - Je crée une page qui ressemble trait pour trait à la page de changement de mot de passe du service | ||
| + | - J'envoie un mail aux utilisateurs (mais pas au staff) leur demandant de changer leur mot de passe. Pour qu'ils ne se doutent de rien en voyant l'url, je la camoufle en html [url=http://url2/]http://url1[/url] où url2 est une adresse sur terrain apparemment neutre (google) redirigeant vers url3 où se trouve la fausse page de changement de mot de passe. | ||
| + | - Sur les x utilisateurs, il y en a un qui tombe dans le panneau et donne son mot de passe. | ||
| + | - Je crée ensuite une page qui ressemble à une page de connexion au compte | ||
| + | - J'envoie un lien au staff depuis le compte compromis indiquant « euh, faudrait revoir cet article » avec un lien pointant vers la fausse page de connexion au compte (protégé par la même astuce que tout à l'heure). | ||
| + | - Un des membres du staff croit que cette demande d'identifiants est légitime pour accéder à l'article cité. | ||
| + | - En fait non et je récupère les identifiants du membre du staff. | ||
| + | |||
| + | Autre astuce : | ||
| + | - Je fais une page de fishing pour un site à la noix où je sais que l'utilisateur à un compte | ||
| + | - Je teste le mot de passe donné sur ce site sur son compte mail principal | ||
| + | - Ça marche, j'ai son compte mail et donc virtuellement quasiment tous ses mots de passe… (coucou paypal, ebay et autres numéros de cartes pré-enregistrés) | ||
| + | **Attention, ces astuces ne sont pas là pour vous transformer en pirates du dimanche, mais pour vous montrer combien c'est facile et ça marche… Donc soyez prudents !** | ||
| ===== Liens divers ===== | ===== Liens divers ===== | ||
| - | * [[manuel:gnupg|Devenez parano et chiffrer tout avec GnuPG]] | + | * [[:doc:systeme:gnupg|Devenez parano et chiffrer tout avec GnuPG]] |
| - | * [[manuel:serveur | Les serveurs - Installation et configuration]]. | + | * [[:doc:systeme:apg]] Un générateur de mot de passe en ligne de commande, simple et efficace. |
| - | * [[manuel:apg]] Un générateur de mot de passe en ligne de commande, simple et efficace. | + | * [[:doc:systeme:cpm]] Un (autre) générateur de mot de passe en ligne de commande, simple et efficace. |
| - | * [[manuel:internet | Sécurité et Internet - le détail]] Préambule - Internet, les réseaux et la sécurisation. | + | * [[:atelier:chantier:virus | Virus - BOUH !]] |
| - | * [[manuel:virus | Virus - BOUH !]] | + | |
