Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
|
doc:systeme:securite [22/09/2013 11:15] 127.0.0.1 modification externe |
doc:systeme:securite [22/10/2015 14:17] paskal [Se protéger contre les attaques] |
||
|---|---|---|---|
| Ligne 2: | Ligne 2: | ||
| * Objet : Indications sur la manière de sécuriser une Debian | * Objet : Indications sur la manière de sécuriser une Debian | ||
| - | * Niveau requis : DÉBUTANT AVISÉ | + | * Suivi : {{tag>à-compléter}} |
| - | * Tags : {{tag>à-compléter}} | + | * Création par [[user>smolski]] le 19/08/2010 |
| - | * Commentaires : //La sécurité est un vaste domaine. Nous allons développer différents aspect de la sécurité ainsi que les différents moyens à mettre en œuvre pour les satisfaire.// :-) | + | * Testé par [[user>Ir0nsh007er]] le 9/08/2015 |
| - | * Suivi de la page sur le forum : [[http://debian-facile.org/viewtopic.php?id=2897|ici]] | + | * Commentaires sur le forum : [[http://debian-facile.org/viewtopic.php?id=2897 |C'est ici]]((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) |
| + | |||
| + | |||
| + | |||
| + | |||
| ===== Dicton du jour ===== | ===== Dicton du jour ===== | ||
| Ligne 26: | Ligne 31: | ||
| Prenons quelques cas d'école et les solutions conseillées : | Prenons quelques cas d'école et les solutions conseillées : | ||
| - | * //J'ai peur de supprimer un fichier important ou de devoir reprendre une ancienne version de celui-ci.// \\ Si vos fichiers sont légers (et principalement textuels) un système de suivi de version (VCS) comme [[manuel:git]], mercurial ou subversion semble le plus adapté. \\ Si vos fichiers sont lourds, les VCS ne sont pas adaptés et des sauvegardes régulières (par exemple sur votre disque dur) sont nécessaires. | + | * //J'ai peur de supprimer un fichier important ou de devoir reprendre une ancienne version de celui-ci.// \\ Si vos fichiers sont légers (et principalement textuels) un système de suivi de version (VCS) comme git, mercurial ou subversion semble le plus adapté. \\ Si vos fichiers sont lourds, les VCS ne sont pas adaptés et des sauvegardes régulières (par exemple sur votre disque dur) sont nécessaires. |
| * //J'ai peur que mon disque dur lâche.// \\ Si vos disques ne contiennent rien d'autres qu'une Debian configurée sans données personnelles (comme dans un cyber-café), alors enregistrez juste la configuration sur un autre disque. \\ Sinon, en fonction de vos besoins, vous pouvez programmer une sauvegarde régulière sur un autre disque (chaque mois, chaque semaine, chaque jour, chaque heure, …). \\ Si vous ne voulez vraiment rien perdre, mettez en place un [[http://fr.wikipedia.org/wiki/RAID_(informatique)|RAID]]-1,5 ou 6. | * //J'ai peur que mon disque dur lâche.// \\ Si vos disques ne contiennent rien d'autres qu'une Debian configurée sans données personnelles (comme dans un cyber-café), alors enregistrez juste la configuration sur un autre disque. \\ Sinon, en fonction de vos besoins, vous pouvez programmer une sauvegarde régulière sur un autre disque (chaque mois, chaque semaine, chaque jour, chaque heure, …). \\ Si vous ne voulez vraiment rien perdre, mettez en place un [[http://fr.wikipedia.org/wiki/RAID_(informatique)|RAID]]-1,5 ou 6. | ||
| Ligne 40: | Ligne 45: | ||
| * //J'ai peur que le soleil se transforme en supernova et détruise mes satellites.// \\ Oui, moi aussi... | * //J'ai peur que le soleil se transforme en supernova et détruise mes satellites.// \\ Oui, moi aussi... | ||
| - | **Liens** : | + | |
| - | * [[manuel:sauvegarde| Sauvegarder, Restaurer, Archiver]] Vos données et votre système seront vite récupérés. | + | ==== Sauvegarder, restaurer, archiver ses données ==== |
| + | * [[:doc:systeme:sauvegarde| Sauvegarder, Restaurer, Archiver]] Vos données et votre système seront vite récupérés. | ||
| ===== Confidentialité des données ===== | ===== Confidentialité des données ===== | ||
| Ligne 54: | Ligne 60: | ||
| * J'ai peur que l'on vole mon disque dur / qu'on le récupère quand je le jette / que telle organisation secrète (d'état ou non) m'oblige à lui donner mon disque dur | * J'ai peur que l'on vole mon disque dur / qu'on le récupère quand je le jette / que telle organisation secrète (d'état ou non) m'oblige à lui donner mon disque dur | ||
| * Chiffrez vos données avec cryptsetup / truecrypt | * Chiffrez vos données avec cryptsetup / truecrypt | ||
| - | * Sachez que la loi peut vous obliger à donner les mots de passe protégeant vos archives (à moins que vous ne les ailliez oubliés…) | + | * Sachez que la loi peut vous obliger à donner les mots de passe protégeant vos archives (à moins que vous ne les ayiez oubliés…) |
| * J'ai peur que quelqu'un pirate mon ordinateur | * J'ai peur que quelqu'un pirate mon ordinateur | ||
| - | * Limitez le nombre de services accessibles depuis l'extérieur, en coupant les serveurs et en mettant en place un pare-feu (voir [[:doc:systeme:ufw]]). | + | * Limitez le nombre de services accessibles depuis l'extérieur, en coupant les serveurs et en mettant en place un pare-feu (voir [[:doc:systeme:ufw]] et [[:doc:reseau:iptables]]). |
| * Éliminez tout service avec authentification en clair (FTP, POP3, IMAP, webmail HTTP, login HTTP) | * Éliminez tout service avec authentification en clair (FTP, POP3, IMAP, webmail HTTP, login HTTP) | ||
| * Tenez-vous à jour des mises à jour de sécurité, voir le [[:doc:systeme:apt|manuel apt]] | * Tenez-vous à jour des mises à jour de sécurité, voir le [[:doc:systeme:apt|manuel apt]] | ||
| Ligne 108: | Ligne 114: | ||
| Si les ordinateurs en réseau ne sont pas tous dans un même local mais sont reliés uniquement via Internet, il est alors intéressant de créer des canaux de communication sécurisés que l'on appelle des réseaux privés virtuels. | Si les ordinateurs en réseau ne sont pas tous dans un même local mais sont reliés uniquement via Internet, il est alors intéressant de créer des canaux de communication sécurisés que l'on appelle des réseaux privés virtuels. | ||
| - | * [[manuel:vpn]] | + | * [[:doc:reseau:vpn]] |
| + | |||
| + | À noter : le protocole [[:doc:reseau:ssh|ssh]] permet des échanges sécurisés, en particulier le partage de fichiers avec [[:doc:reseau:ssh:sshfs|sshfs]]. | ||
| **Attention, plus un réseau à de points d'entrée et plus il est exposé à un attaquant.** | **Attention, plus un réseau à de points d'entrée et plus il est exposé à un attaquant.** | ||
| Ligne 119: | Ligne 127: | ||
| Pour surveiller les attaques. | Pour surveiller les attaques. | ||
| - | * [[:doc:reseau:snort | Snort ]] Le programme snort est considéré comme sniffers, mais il a aussi la fonction de IDS ( Intrusion Detection System = détecteur d'intrusion ). | + | * [[:doc:reseau:snort | Snort]] Le programme snort est considéré comme sniffers, mais il a aussi la fonction de IDS ( Intrusion Detection System = détecteur d'intrusion ). |
| * logcheck | * logcheck | ||
| Ligne 126: | Ligne 134: | ||
| Détecter une intrusion après coup par les traces qu'elle laisse. | Détecter une intrusion après coup par les traces qu'elle laisse. | ||
| - | * [[:doc:autres:chkrootkit|Chkrootkit,détecter les traces d'une attaque et de rechercher la présence d'un rootkit ]] | + | * [[:doc:autres:chkrootkit | Chkrootkit]]. Il permet de détecter les traces d'une attaque et de rechercher la présence d'un rootkit. |
| - | * [[:doc:systeme:rkhunter|Rkhunter]] Programme Unix qui permet de détecter les rootkits | + | * [[:doc:systeme:rkhunter | Rkhunter]]. Il permet de détecter la présence de rootkits, portes dérobées et exploits. |
| ===== Se protéger contre les attaques ===== | ===== Se protéger contre les attaques ===== | ||
| - | * Configurer son firewall pour se protéger des attaques (D)DoS | + | * Configurer son pare-feu pour se protéger des attaques (D)DoS |
| - | * Configurer son firewall pour bannir automatiquement les machines tentant une attaque par bruteforce | + | * Configurer son pare-feu pour bannir automatiquement les machines tentant une attaque par bruteforce |
| - | * Configurer son firewall pour bannir automatiquement les machines tentant une scan des ports | + | * Configurer son pare-feu pour bannir automatiquement les machines tentant un scan des ports |
| - | * Configurer son firewall pour cacher les ports ouverts par port-knocking | + | * Configurer son pare-feu pour cacher les ports ouverts par port-knocking |
| + | * Filtrer les mails reçus, avant de les distribuer à vos utilisateurs de Windows, avec un antivirus | ||
| - | * Filtrer les mails reçus avant de les distribuer à vos utilisateurs windows avec un anti-virus | + | ==== Quelques moyens ==== |
| - | * [[:doc:systeme:clamav|Clamav]]. Clamav - Un antivirus pour protéger les copains qui sont pas sous linux. Les pôv... | + | |
| + | * [[:doc:reseau:iptables | iptables]], une interface permettant de configurer le filtrage des paquets par le noyau Linux | ||
| + | * [[:doc:systeme:ufw | ufw]], un pare-feu pour configurer simplement les règles iptables, et son interface graphique [[https://packages.debian.org/fr/jessie/gufw | gufw]] | ||
| + | * [[https://wiki.debian.org/HowTo/shorewall | shorewall]], le configurateur de pare-feu et passerelle | ||
| + | * [[:doc:systeme:clamav | Clamav]], un antivirus pour protéger les copains qui sont pas sous Linux. Les pôv... | ||
| ===== L'aspect humain ===== | ===== L'aspect humain ===== | ||
| Ligne 162: | Ligne 175: | ||
| **Attention, ces astuces ne sont pas là pour vous transformer en pirates du dimanche, mais pour vous montrer combien c'est facile et ça marche… Donc soyez prudents !** | **Attention, ces astuces ne sont pas là pour vous transformer en pirates du dimanche, mais pour vous montrer combien c'est facile et ça marche… Donc soyez prudents !** | ||
| ===== Liens divers ===== | ===== Liens divers ===== | ||
| - | + | * [[doc:systeme:securite:les-malwares | Les malwares - Généralités]] | |
| - | * [[:doc:systeme:gnupg|Devenez parano et chiffrer tout avec GnuPG]] | + | * [[doc:systeme:securite:les-logiciels-malveillants-sous-linux | Les logiciels malveillants sous Linux]] |
| - | * [[manuel:serveur | Les serveurs - Installation et configuration]]. | + | * [[:doc:systeme:gnupg | Devenez parano et chiffrer tout avec GnuPG]] |
| - | * [[:doc:systeme:apg]] Un générateur de mot de passe en ligne de commande, simple et efficace. | + | * [[:doc:systeme:apg | Apg, un générateur de mot de passe en ligne de commande, simple et efficace]] |
| - | * [[manuel:internet | Sécurité et Internet - le détail]] Préambule - Internet, les réseaux et la sécurisation. | + | * [[:doc:systeme:cpm | Cpm, un (autre) générateur de mot de passe en ligne de commande, simple et efficace]] |
| - | * [[manuel:virus | Virus - BOUH !]] | + | * [[:atelier:chantier:virus | Les virus - Bouh !]] |
| + | * [[https://www.privacytools.io/ | Outils et règles de sécurité]], sur privacytools.io (anglais) | ||
