logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).


L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT → ODT PDF Export

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
doc:systeme:securite [14/04/2015 18:32]
milou [Sécuriser sa Debian]
doc:systeme:securite [07/09/2023 14:55] (Version actuelle)
mazkagaz [Liens divers]
Ligne 2: Ligne 2:
  
   * Objet : Indications sur la manière de sécuriser une Debian   * Objet : Indications sur la manière de sécuriser une Debian
-  * Suivi : {{tag>​à-compléter}}{{tag>​à-tester}}+  * Suivi : {{tag>​à-compléter}}
     * Création par [[user>​smolski]] le 19/​08/​2010 ​     * Création par [[user>​smolski]] le 19/​08/​2010 ​
-    * Testé par .... le ....+    * Testé par [[user>​Ir0nsh007er]] ​le 9/08/2015
   * Commentaires sur le forum : [[http://​debian-facile.org/​viewtopic.php?​id=2897 |C'est ici]]((N'​hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !))   * Commentaires sur le forum : [[http://​debian-facile.org/​viewtopic.php?​id=2897 |C'est ici]]((N'​hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !))
  
Ligne 63: Ligne 63:
  
   * J'ai peur que quelqu'​un pirate mon ordinateur   * J'ai peur que quelqu'​un pirate mon ordinateur
-    * Limitez le nombre de services accessibles depuis l'​extérieur,​ en coupant les serveurs et en mettant en place un pare-feu (voir [[:​doc:​systeme:​ufw]]).+    * Limitez le nombre de services accessibles depuis l'​extérieur,​ en coupant les serveurs et en mettant en place un pare-feu (voir [[:​doc:​systeme:​ufw]] et [[:​doc:​reseau:​iptables]]).
     * Éliminez tout service avec authentification en clair (FTP, POP3, IMAP, webmail HTTP, login HTTP)     * Éliminez tout service avec authentification en clair (FTP, POP3, IMAP, webmail HTTP, login HTTP)
     * Tenez-vous à jour des mises à jour de sécurité, voir le [[:​doc:​systeme:​apt|manuel apt]]     * Tenez-vous à jour des mises à jour de sécurité, voir le [[:​doc:​systeme:​apt|manuel apt]]
-    * Utilisez des mots de passe forts et différents, ​que ce soit sur votre ordinateur ​ou sur chacun des services web que vous utilisez. Un outil tel que [[:​doc:​systeme:​keepassx]] ​peut vous rendre service.+    * Utilisez des mots de passe forts et différents,​ sur votre ordinateur ​pour les sessions utilisateurs et la session root avec l'aide de [[doc:​securite:​passwd:​libpam-pwquality|Sécurité passwd - libpam-pwquality]] voire aussi en plus sur chacun des services web que vous utilisez ​avec un outil tel que [[:​doc:​systeme:​keepassx]].
 <note info>​Pour des raisons de sécurité, il est recommandé de ne jamais utiliser deux fois le même mot de passe. En effet, si un des comptes se trouve compromis, alors tous les comptes utilisant ce mot de passe le sont. <note info>​Pour des raisons de sécurité, il est recommandé de ne jamais utiliser deux fois le même mot de passe. En effet, si un des comptes se trouve compromis, alors tous les comptes utilisant ce mot de passe le sont.
  
 Comme il est difficile de se souvenir de 100 mots de passe forts complètement différents,​ il existe des logiciels pour faire cela. Comme il est difficile de se souvenir de 100 mots de passe forts complètement différents,​ il existe des logiciels pour faire cela.
  
-Iceweasel / Firefox, Icedove / Thunderbird et d'​autres logiciels proposent de mémoriser les mots de passe pour vous. Il est en règle général dangereux de confier la gestion des mots de passe à un logiciel chargé de faire autre chose. En particulier,​ des failles dans Firefox permettaient dans le passé de récupérer les mots de passe enregistrés.+Firefox, Icedove / Thunderbird et d'​autres logiciels proposent de mémoriser les mots de passe pour vous. Il est en règle général dangereux de confier la gestion des mots de passe à un logiciel chargé de faire autre chose. En particulier,​ des failles dans Firefox permettaient dans le passé de récupérer les mots de passe enregistrés.
  
 Donc au lieu de cela, il est préférable d'​utiliser un logiciel spécialisé,​ comme [[:​doc:​systeme:​keepassx | Keepassx]] Donc au lieu de cela, il est préférable d'​utiliser un logiciel spécialisé,​ comme [[:​doc:​systeme:​keepassx | Keepassx]]
Ligne 115: Ligne 115:
  
   * [[:​doc:​reseau:​vpn]]   * [[:​doc:​reseau:​vpn]]
 +
 +À noter : le protocole [[:​doc:​reseau:​ssh|ssh]] permet des échanges sécurisés,​ en particulier le partage de fichiers avec [[:​doc:​reseau:​ssh:​sshfs|sshfs]].
  
 **Attention,​ plus un réseau à de points d'​entrée et plus il est exposé à un attaquant.** **Attention,​ plus un réseau à de points d'​entrée et plus il est exposé à un attaquant.**
Ligne 125: Ligne 127:
 Pour surveiller les attaques. Pour surveiller les attaques.
  
-  * [[:​doc:​reseau:​snort | Snort  ]] Le programme snort est considéré comme sniffers, mais il a aussi la fonction de IDS ( Intrusion Detection System = détecteur d'​intrusion ).+  * [[:​doc:​reseau:​snort | Snort]] Le programme snort est considéré comme sniffers, mais il a aussi la fonction de IDS ( Intrusion Detection System = détecteur d'​intrusion ).
   * logcheck   * logcheck
  
Ligne 132: Ligne 134:
 Détecter une intrusion après coup par les traces qu'​elle laisse. Détecter une intrusion après coup par les traces qu'​elle laisse.
  
-  * [[:​doc:​autres:​chkrootkit|Chkrootkit,détecter les traces d'une attaque et de rechercher la présence d'un rootkit ​]] +  * [[:​doc:​autres:​chkrootkit | Chkrootkit]]. Il permet de détecter les traces d'une attaque et de rechercher la présence d'un rootkit. 
-  * [[:​doc:​systeme:​rkhunter|Rkhunter]] ​Programme Unix qui permet de détecter ​les rootkits+  * [[:​doc:​systeme:​rkhunter | Rkhunter]]. Il permet de détecter ​la présence de rootkits, portes dérobées et exploits.
  
 ===== Se protéger contre les attaques ===== ===== Se protéger contre les attaques =====
  
-  * Configurer son firewall ​pour se protéger des attaques (D)DoS +  * Configurer son pare-feu ​pour se protéger des attaques (D)DoS 
-  * Configurer son firewall ​pour bannir automatiquement les machines tentant une attaque par bruteforce +  * Configurer son pare-feu ​pour bannir automatiquement les machines tentant une attaque par bruteforce 
-  * Configurer son firewall ​pour bannir automatiquement les machines tentant ​une scan des ports +  * Configurer son pare-feu ​pour bannir automatiquement les machines tentant ​un scan des ports 
-  * Configurer son firewall ​pour cacher les ports ouverts par port-knocking+  * Configurer son pare-feu ​pour cacher les ports ouverts par port-knocking 
 +  * Filtrer les mails reçus, avant de les distribuer à vos utilisateurs de Windows, avec un antivirus
  
-  ​Filtrer les mails reçus avant de les distribuer à vos utilisateurs windows avec un anti-virus +==== Quelques moyens ==== 
-    * [[:​doc:​systeme:​clamav|Clamav]]. Clamav - Un antivirus pour protéger les copains qui sont pas sous linux. Les pôv...+ 
 +  ​[[:​doc:​reseau:​iptables | iptables]], une interface permettant ​de configurer le filtrage des paquets par le noyau Linux 
 +  * [[:​doc:​systeme:​ufw | ufw]], ​un pare-feu pour configurer simplement les règles iptables, et son interface graphique [[https://​packages.debian.org/​fr/​jessie/​gufw | gufw]] 
 +  * [[https://​wiki.debian.org/​HowTo/​shorewall | shorewall]],​ le configurateur de pare-feu et passerelle 
 +  ​* [[:​doc:​systeme:​clamav | Clamav]], un antivirus pour protéger les copains qui sont pas sous Linux. Les pôv...
  
 ===== L'​aspect humain ===== ===== L'​aspect humain =====
Ligne 167: Ligne 174:
  
 **Attention,​ ces astuces ne sont pas là pour vous transformer en pirates du dimanche, mais pour vous montrer combien c'est facile et ça marche… Donc soyez prudents !** **Attention,​ ces astuces ne sont pas là pour vous transformer en pirates du dimanche, mais pour vous montrer combien c'est facile et ça marche… Donc soyez prudents !**
-===== Liens divers ===== 
  
-  ​* [[:​doc:​systeme:​gnupg|Devenez parano et chiffrer tout avec GnuPG]] +===== Gestion des services ===== 
-  * [[:​doc:​systeme:​apg]] Un générateur de mot de passe en ligne de commande, simple et efficace. + 
-  * [[:​doc:​systeme:​cpm]] Un (autre) générateur de mot de passe en ligne de commande, simple et efficace. +Un utilisateur système sans mot de passe (au sens « pas de mot de passe valide », pas au sens « avec un mot de passe vide »), n'est pas une surface d'​attaque. 
-  * [[:​atelier:​chantier:​virus | Virus BOUH !]]+ 
 +<note important>​La surface d'​attaque,​ c'est le service qui tourne, et en particulier le service qui écoute sur un port.</​note>​ 
 +Tu peux lister les processus en train d'​écouter sur un port via 
 +<code root 
 +>ss -pltn</​code>​ 
 +Pour chacun d'eux, tu peux consulter [[doc:​systeme:​man|la page man]] si elle existe, pour avoir une idée du rôle du programme. 
 + 
 +Exemple : 
 +<code user>man rpcbind</​code>​ 
 +savoir d'où il provient avec [[doc:​systeme:​apt:​dpkg|dpkg]] : 
 +<code user>​dpkg -S rpcbind</​code>​ 
 +Et une fois que tu as repéré le paquet, avoir plus d'info sur la fonction générale du paquet avec [[doc:​systeme:​apt:​apt#​trouver-des-informations-sur-un-paquet|show]] : 
 +<code user>apt show rpcbind</​code>​ 
 +Si tu ne comprends pas à quoi sert le paquet, ou que tu n'es pas sûr d'en avoir besoin, tu peux faire semblant de l'​enlever en ajoutant dans la commande de suppression [[doc:​systeme:​apt:​apt#​supprimer-un-paquet|remove]] l'​option ''​ -s'' ​ ainsi : 
 +<code user>apt -s remove rpcbind</​code>​ 
 +Et là, tu regardes les paquets qu'il veut t'​enlever. 
 +  - Si ce sont des paquets dont tu n'as pas besoin, alors tu peux y aller sans trop de risque en enlevant tout ça. 
 +  - À l'​inverse,​ si c'est un paquet vital qui s'en va, ça veut dire que le service en question est important pour celui-ci et donc pour ton utilisation. 
 + 
 +==== Lien vers le Forum ==== 
 + 
 +https://​debian-facile.org/​viewtopic.php?​pid=313960#​p313960 
 +===== Liens divers ===== 
 +  * [[doc:​systeme:​securite:​les-malwares | Les malwares - Généralités]] 
 +  * [[doc:​systeme:​securite:​les-logiciels-malveillants-sous-linux | Les logiciels malveillants sous Linux]] 
 +  ​* [[:​doc:​systeme:​gnupg | Devenez parano et chiffrer tout avec GnuPG]] 
 +  * [[:​doc:​systeme:​apg ​| Apg, un générateur de mot de passe en ligne de commande, simple et efficace]] 
 +  * [[:​doc:​systeme:​cpm ​| Cpm, un (autre) générateur de mot de passe en ligne de commande, simple et efficace]] 
 +  * [[:​atelier:​chantier:​virus | Les virus Bouh !]] 
 +  * [[https://​www.privacytools.io/​ | Outils et règles de sécurité]],​ sur privacytools.io (anglais) 
 +  * [[:​doc:​systeme:​ctparental | Contrôle parental : la sécurité, c'est aussi protéger les plus jeunes du world "​wild"​ web ]]
doc/systeme/securite.1429029136.txt.gz · Dernière modification: 14/04/2015 18:32 par milou

Pied de page des forums

Propulsé par FluxBB