[résolu] Sécurisation pc perso...

naguam · 22-10-2016 21:55:52

Bonjour, j'ai installé macchanger et réussi a changer mon adresse mac, mais je ne comprend pas les scripts censés faire en sorte qu'elle change à chaques démarages...
Comment comment changer l'adresse MAC de la wifi et du eth0 à chaque démarage, (c'est une question de sécurité, après je m'occupe des ports et des firewalls....
C'est pour mon dell latitude.... que j'utilise pour mes déplacements.....

(ça c'est niveau adresse MAC)..

J'ai aucun ports en LISTEN....
En gros, je voudrais cloîtrer mon pc niveau connexion de l'extérieur a mon pc... mais que je puisse utiliser les clients (genre ssh,sftp....etc)

Dernière modification par naguam (03-11-2016 21:51:50)

naguam · 23-10-2016 11:11:45

J'ai oublié de dire, qu'après de fait la même chose avec mon serveur qui par le NAT/PAT, sert de réception au ssh extérieur quand je sort de chez moi... ce serveur sur lequel j'ai bien sûr changé le port ssh par default....
Il ya aussi mon serveur de stockage non-accessible de l'extérieur (car non-relié au NAT/PAT et pas mis en direct sur le réseau) qui garde le port ssh par default car je me sert du ssh pour m'y connecter en local... et les deux ports ouvertes nécessaires à samba...

(au départ, je voulais NTP mais chez moi, ma famille #parentsFrèresetsoeurs on windows "toutes versions de 98 à 10" plus des android et des mac sans oublié un iphone "et moi full-linux")

Dernière modification par naguam (23-10-2016 11:16:40)

naguam · 23-10-2016 11:19:02

En gros, pour sécuriser tout cela en gardant les accès aux ssh toutes machines confondues, (car à l,'extérieur comme à l'intérieur, j'utilise plusieurs machines)
Je me demande si je doit utiliser UFW ou iptables... j'ai aussi vu networkfilters.... pour cloîtrer littéralement mes machines. (qui sont plus ou moins accessibles de l'extérieur)

(erreur, c'est ou/et pas au sur l'image)

Sur le schéma, c'est la machine avec les connexions sens unique que je voudrais (#laprécisionsicétaitpasclair)

J'espère que ce que je viens d'exposer est clair...

Le tout, plus l'adresse MAC qui doit changer à chaque démarrage... (vopir post # 1)

Dernière modification par naguam (23-10-2016 11:32:31)

anonyme-6 · 23-10-2016 11:58:15

Bonjour,
Ce que tu cherches à faire est certainement très formateur, mais est-ce utile dans ton cas ?

Pour sécuriser ssh, une connexion par clé est un bon début. L'as-tu fait ou est-ce une connexion par nom d'utilisateur et mot de passe ?
D'autre part, est-ce que les machines concernées peuvent être nomades ou sont toujours connectées à Internet par une "box" et en IPV4 ?

naguam · 23-10-2016 12:02:29

Je cherche a apprendre et au passage, ce seras utile... car je compte beaucoup me servir de machines chez moi depuis l'extérieur....
Mes machines ne sont pas nomades, j'aimerais bien mais je ne sais pas comment les rendres nomades.... (et puis une machine nomade, niveau opérateur.....) #j'aiunelivebox et c'est du NAT/PAT ipV4 uniquement pour la redirection.

Il me demande une clef une seule fois, (yes/no) une fois.
Puis, a chaque fois, j'ai juste a taper

ssh -p <port> <login@ip>

Et après j'ai un password a taper et après c'est connecté...

ps: même si cela ne change pas grand chose, ma machine de stockage NAS-Maison qui n'est pas accessible depuis l'extérieur, a un RAID1.

Dernière modification par naguam (23-10-2016 12:06:15)

naguam · 23-10-2016 23:00:21

J'ai fini par trouver ce qu'il me faut, désolé d'avoir ouvert ce Topic..... Je recherche séparément mais c'est compliqué.... mais j'ai trop mal fait ce topic pour le continuer.....
Je me débrouille niveau firewall et adresse MAC tout seul....

kawer · 23-10-2016 23:15:35

Moins de service qui tourne, clé privé, firewall restrictif, clé en main

naguam · 23-10-2016 23:17:15

Ça je sais, mon stage 3ième chez bouygues telecom m'a illustré ce fait.

anonyme-6 · 24-10-2016 16:51:32

Voilà quelqu'un qui a bien exprimé le message que je voulais te faire passer.
https://debian-facile.org/viewtopic.php … 31#p197331

naguam · 24-10-2016 17:03:51

Je sais et je n'en est pas réelement besoin, je suis sous linux depuis un bout de temps et je n'est pas de problème non-plus, mais mais j'aime apprendre, savoir faire... dans le futur, je voudrais être informaticien (dev, réseau, et architecte système) et le fait de savoir me forme moi même...
Pour faire simple je n'en ai pas réellement besoin, mais j'aimerais le faire quand même pour savoir....

anonyme-6 · 24-10-2016 17:09:34

Alors bravo et bonne suite.
Mais tu pourrais peut-être poursuivre en établissant des connexions par clé à tes serveurs ssh.

naguam · 24-10-2016 20:06:18

Tu as entièrement raison pour la machine qui est en accès direct avec l'extérieur par les ports NAT/PAT de ma box... Or, je pense que pour le NAS RAID1 de stockage maison que j'ai contruit, comme il n'est visible qu'en local, je compte le garder en connection par password, c'est beaucoup plus simple...

Même qu'un jour j'aimerais bien testé l'autorisation d'accès ssh par carte à puce dans mon ordi... (pas par adresse MAC car je veux la faire changer à chaque démarrages) (Je précise que j'ai un dell latitude et qu'ils ont quasiment tous un lecteur de cartes a puces interne qui marche avec linux si on installe les bon packages... "j'ai testé"....

Dernière modification par naguam (24-10-2016 20:09:03)

kawer · 28-10-2016 02:21:52

Si tu veux être AdminSys, il te faudra maitriser SELinux et GLPI. (pour commencer)

Dernière modification par kawer (28-10-2016 02:23:55)

greenmerlin · 28-10-2016 08:46:41

Si tu veux être AdminSys, il te faudra maitriser SELinux et GLPI. (pour commencer)

et Surtout PAM et les Standards POSIX je dirait meme avant SELinux & co

https://debian-facile.org/doc:systeme:pam?s[]=pam

@+

naguam · 28-10-2016 10:37:44

Je suis totalement d'accord, mais comme il y a différent domaines que je veux faire et que j'ai le temps à ce niveau là car (âge signature) donc, là pour commencer, je commence la programmation en C avec le tutoriel openclassroom.
Je répare aussi des vieilles tour pour leur donner un seconde vie en Debian CLI (j'ai fait un jukebox avec MOC et un NAS pour quelqu'un avec ce type de machine)

numa · 28-10-2016 22:13:52

Salut,

Juste pour info, quel est l'intérêt de changer d'@mac à chaque démarrage ?

naguam · 28-10-2016 22:20:27

Le titre le la discutions illustre cette envie... (et non je ne pirate pas et ne suis pas banni de serveur)

Dernière modification par naguam (28-10-2016 22:20:51)

numa · 28-10-2016 22:37:08

J'ai bien lu le titre mais quelle est la plus-value en terme de sécurité ?

Tu es donc en Ip statique sur l'intégralité de ton réseau sinon ton DHCP attribue des Ip différentes à chaque démarrage.

Tu ne peux pas non plus faire de sécurisation par adresses Mac sur d'éventuels équipements actifs... tu ne peux pas figer tes tables arp... tu ne peux pas faire de filtrage par @Mac...

Par contre tu peux te connecter sur le wifi du voisin sans laisser transparaitre ta réelle mac ; mes comme c'est pas ton but, je me pause la question lol

naguam · 28-10-2016 23:08:29

Le fait de changer d'adresse mac, c'est que si un hacker detecte ton adresse mac, bah elle change. Et oui on peut filtrer les adresse map... Et mon réseau est en static pour faciliter le ssh (seul mes 2 portables sont en dhcp).
Et je passe par mon server pour internet avant d'aller à la box.

Dernière modification par naguam (28-10-2016 23:09:09)

numa · 28-10-2016 23:39:14

OK, puisque ton but est d'apprendre pourquoi pas mais à mon avis "côté white" ça n'a aucun intérêt.

naguam · 28-10-2016 23:57:40

Il est vrai que cela ne sert pas à grand chose dans mon cas... mais j'aime expérimenter (bidouiller et apprendre)

Anonyme-7 · 30-10-2016 23:36:32

naguam a écrit :

En gros, pour sécuriser tout cela en gardant les accès aux ssh toutes machines confondues, (car à l,'extérieur comme à l'intérieur, j'utilise plusieurs machines)
Je me demande si je doit utiliser UFW ou iptables... j'ai aussi vu networkfilters.... pour cloîtrer littéralement mes machines. (qui sont plus ou moins accessibles de l'extérieur)

http://i.imgur.com/585TqHP.png

(erreur, c'est ou/et pas au sur l'image)

Sur le schéma, c'est la machine avec les connexions sens unique que je voudrais (#laprécisionsicétaitpasclair)

J'espère que ce que je viens d'exposer est clair...

Le tout, plus l'adresse MAC qui doit changer à chaque démarrage... (vopir post # 1)

Salut.
UFW qui n'est qu'un front-end de Iptables, les deux ne permettent pas de cloîtrer sa machine sauf si tu fermes tout en IN et OUT. Dans ce cas, démonte tes interfaces (ifdown), ça revient au même et de manière beaucoup plus simple. Dans un protocole Tcp/Ip, il y a un serveur et un client, c'est le principe, on offre un service et qui dit service dit communication de paquets, c'est là que Iptables intervient, il filtre les paquets mais si tu veux que la communication se fasse, tu dois laisser passer un flux de donnée, donc la protection n'existe plus (par exemple le serveur de Debian facile en http). Tu peux filtrer les whois mais c'est aléatoire, Fail2Ban est bien plus efficace pour protéger un accès par authentification user/mdp.

Puisque tu cherchais à cloitrer, FreeBsd le permet simplement avec ses Jails mais sous Gnu/Linux, il existe une solution assez avoisinante, c'est chroot. Tu confines ton application dans un milieu restreint. Mais que tout ceci ne t'empêche pas de configurer SSH dans ton cas aux petits oignons (fichier conf, authentification par clé, désactiver les accès root directs), enfin tout le toutim.
Ton service SSH accessible à tout le monde sur Internet ne permet pas à n'importe qui de se connecter, à toi de le sécuriser SIMPLEMENT. Seuls les utilisateurs de ta machine le pourront et aucune autre personne si tu as bien pensée ta config.
Iptables permet surtout de séparer des réseaux dans de grandes infrastructures, il s'emploie sur des routeurs et passerelles, POUR FAIRE DE LA GESTION QOS... Ce n'est pas une prison, sinon, il ne sert plus à rien.
http://lea-linux.org/documentations/Lea … reseau-qos
https://www.freebsd.org/doc/fr/books/ha … jails.html
https://www.debian.org/doc/manuals/secu … nv.fr.html

Mais dans ton cas, une simple authentification par clé et une machine à jour suffit amplement.

Voilà pour mon avis. Retiens une chose, un pare-feu filtre mais ne sécurise rien ! On n'est pas sur Windows , oublie les mauvaises habitudes.

A+

Tito

Dernière modification par Anonyme-7 (30-10-2016 23:56:57)

naguam · 31-10-2016 00:36:13

Je n'utilise plus windows de puis l'âge de mes 10-11 ans, j'ai vécu plus de linux que de windows (accès ordi que depuis mes 8ans)
Quand je parlait sécuriser, c'était pour les intrusion et donc le filtrage.

Ceci-dit, tu m'apprend plein de chose que je vais expérimenter! merci beaucoup!

Anonyme-7 · 31-10-2016 10:37:54

C'est tout à ton honneur mais ne plus utiliser Windows ne veut pas dire abandonner les mauvaises habitudes induites par celui-ci.
Le filtrage que tu escomptes doit se faire au niveau configuration du logiciel, via les accès et les droits de celui-ci, pas par du filtrage de paquet réseau.
Un service, dans ton cas SSH est un processus en écoute, il est conçu pour offrir une connexion, c'est le fonctionnement normal. Tout comme Apache ou lighttpd offre un accès sur le port 80.
Je vois mal Debian facile mettre un pare-feu pour sécuriser ce service (http). Les visiteurs doivent y avoir accès. Au pire, il ferme le 80 http en sortie (OUT) mais à quoi bon ?
Si une vulnérabilité est présente dans le code PHP du forum ou tout autre, la personne mal-intentionnée fera une élévation de privilège par exemple alors que le seul port ouvert en entrant était le 80. Iptables ne sert à rien dans ce cas.

Non, travailles tes configurations logicielles et choisis la simplicité. À ton avis, pourquoi régulièrement, des grands groupes se font hackés avec à la clé le vol de données utilisateurs/mdp ? Ils n'utilisent pas des pare-feu ?

http://www.developpez.com/actu/105659/U … chercheur/

Bonne découverte

Dernière modification par Anonyme-7 (31-10-2016 10:38:49)

naguam · 31-10-2016 11:13:36

Bah je me renseigne sur le truc exactement.

Debian-facile

#1 22-10-2016 21:55:52

[résolu] Sécurisation pc perso...

#2 23-10-2016 11:11:45

Re : [résolu] Sécurisation pc perso...

#3 23-10-2016 11:19:02

Re : [résolu] Sécurisation pc perso...

#4 23-10-2016 11:58:15

Re : [résolu] Sécurisation pc perso...

#5 23-10-2016 12:02:29

Re : [résolu] Sécurisation pc perso...

#6 23-10-2016 23:00:21

Re : [résolu] Sécurisation pc perso...

#7 23-10-2016 23:15:35

Re : [résolu] Sécurisation pc perso...

#8 23-10-2016 23:17:15

Re : [résolu] Sécurisation pc perso...

#9 24-10-2016 16:51:32

Re : [résolu] Sécurisation pc perso...

#10 24-10-2016 17:03:51

Re : [résolu] Sécurisation pc perso...

#11 24-10-2016 17:09:34

Re : [résolu] Sécurisation pc perso...

#12 24-10-2016 20:06:18

Re : [résolu] Sécurisation pc perso...

#13 28-10-2016 02:21:52

Re : [résolu] Sécurisation pc perso...

#14 28-10-2016 08:46:41

Re : [résolu] Sécurisation pc perso...

#15 28-10-2016 10:37:44

Re : [résolu] Sécurisation pc perso...

#16 28-10-2016 22:13:52

Re : [résolu] Sécurisation pc perso...

#17 28-10-2016 22:20:27

Re : [résolu] Sécurisation pc perso...

#18 28-10-2016 22:37:08

Re : [résolu] Sécurisation pc perso...

#19 28-10-2016 23:08:29

Re : [résolu] Sécurisation pc perso...

#20 28-10-2016 23:39:14

Re : [résolu] Sécurisation pc perso...

#21 28-10-2016 23:57:40

Re : [résolu] Sécurisation pc perso...

#22 30-10-2016 23:36:32

Re : [résolu] Sécurisation pc perso...

#23 31-10-2016 00:36:13

Re : [résolu] Sécurisation pc perso...

#24 31-10-2016 10:37:54

Re : [résolu] Sécurisation pc perso...

#25 31-10-2016 11:13:36

Re : [résolu] Sécurisation pc perso...

Pied de page des forums