Forum général.général Apprendre les bases de la sécurité

Posté par  (site Web personnel) . Licence CC By‑SA.
Étiquettes : aucune
3
28
fév.
2019

J'aimerai lire des choses sur la sécurité, mais je n'y connais rien du coup bah je ne sais pas quoi. Si vous avez des liens je prends, des pdf, des ebooks, un sourire ou un ticket restau?

Si ça vous aide je peux décrire mon usage :

J'ai pu installer les trucs suivants chez moi
- serveur ssh pour me connecter à la tour depuis le laptop. Que par clé. Réservé au local. Interdit à Root.
- serveur caldav (radicale)
- serveur tiny tiny rss, par dessus un apache. J'ai inlcus un nom de domaine à 1 boule chez Gandhi, et un certif Let's Encrypt. Le client android Geekttrss marche magnifiquement.
- serveur samba pour que les fichiers sur la tour soient accessibles depuis laptop / ou android si wifi. Le Wifi a été limité aux appareils identifiés via adresse mac.
- je lance parfois kodi, je teste emby. Mais tout ça reste aussi sur le réseau local pour l'instant.
- serveur openvpn mais pour l'instant il n'y a pas d'utilité. L'idée serait depuis le vpn de pouvoir profiter du serveur samba ou du dlna.
- je vais ajouter ce soir un imapfilter pour mettre les SPAM dans le dossier SPAM. Mais je n'héberge pas mes mails.

J'ai donc quand même mis un peu de sécu, outrel les points déjà décrits (certif SSL, wifi limité par mac, ssh par clé, samba que local), un iptables bannit tout INPUT sauf ports autorisés - ceux nécessaires pour tous ces trucs, mais comme ça inclut les trucs en local ça en fait pas mal. Fail2ban vérifie les logs à apache et bannit quelques IP de temps en temps.

peut être qu'il serait bon que je comprenne en pratique ce qui se fait comme attaque , pour comprendre le pourquoi du comment de la défense.

  • # Guide

    Posté par  . Évalué à 2.

    Hello,

    Est-ce que https://guide.boum.org/ (tome 2, « En ligne ») semble une piste de lecture ?

    Matricule 23415

    • [^] # Re: Guide

      Posté par  (site Web personnel) . Évalué à 2.

      merci, je garde ce lien. Après c'est anonyme, et lorsque l'on part de peu de connaissances comme moi, on ne peut donc pas évaluer la qualité de l'instruction ;)

    • [^] # Re: Guide

      Posté par  . Évalué à 5.

      Est-ce que https://guide.boum.org/

      Certificat LetsEncrypt expiré le 2 mars 2019 :-D

  • # côté pirates

    Posté par  (site Web personnel) . Évalué à 2.

    Se placer du côté pirate, c'est pas mal pour apprendre. Il y a ça : https://www.alphorm.com/formations/categorie/securite

  • # En fait tu voulais plutôt parler d'indépendance numérique plutôt que de sécurité non ?

    Posté par  . Évalué à 3.

    Empiler des services ça n'est pas de la "sécurité".

    Déjà SAMBA = Nid à bug à dégager.

    Plus tu ouvres de services sur le net plus tu augmentes ta surfaces d'attaque.
    Sachant qu'une bonne partie sont probablement développés en PHP avec une base MySQL …

    La meilleur sécurité c'est ne rien ouvrir, ne rien diffuser à l'extérieur.

    • [^] # Re: En fait tu voulais plutôt parler d'indépendance numérique plutôt que de sécurité non ?

      Posté par  (site Web personnel) . Évalué à 4.

      SAMBA : il est fermé à l'extérieur. Mais bon si même en LAN il faut proscrire, je peux envisager SSHFS peut être. Il faut que je vois si je trouve un client android correct—déjà pour SMB ce fut la croix.

      Radicale (caldav) : là je pourrais imaginer limiter les synchros contacts/agenda quand je suis chez moi. J'y perdrai sans doute peu à l'usage.

      Resterait TTRSS, effectivement ouvert à l'extérieur. Mais ça j'y tiens. Si la meilleur sécurité c'est ce ne pas utiliser d'ordi je préfère prendre des risques.

  • # Pourquoi pas prendre ce bouquin ?

    Posté par  . Évalué à 2.

    peut être qu'il serait bon que je comprenne en pratique ce qui se fait comme attaque , pour comprendre le pourquoi du comment de la défense.

    Il y a Les Bases du Hacking de Patrick Engebretson (lien commercial) qui peut te servir d'une bonne intro à la conduite de tests d'intrusion.

    Cela t'aiderait à acquérir les bons réflexes pour évaluer les risques et prendre les bonnes mesures sur tes installations.

    • [^] # Re: Pourquoi pas prendre ce bouquin ?

      Posté par  . Évalué à 2.

      Tu connais ce livre ? Tu le recommandes ?

      Non parce que là je suis à deux doigts de l'achat compulsif :)

      En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

      • [^] # Re: Pourquoi pas prendre ce bouquin ?

        Posté par  . Évalué à 2.

        Pour l'avoir lu, oui, je le recommande :)

        Ça vaut le coup de l'acheter car il met l'essentiel des démarches d'un White Hat: du choix des outils à la bonne (et légale) manière de traiter avec ses clients intéressés par un audit de sécurité.

  • # Mozilla

    Posté par  . Évalué à 1.

    Mozilla : https://infosec.mozilla.org/

    Et pour les tunnels, en ce moment tout le monde regarde du côté de Wireguard

    Après tu peux partir dans des délire de cloisonnement : https://asylo.dev/

    Mais le plus important, c'est de retenir que le 100% sécurisé n'existe pas.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.