Forum Linux.général La sécurité sous Linux: partagez vos conseils, astuces et outils

Posté par . Licence CC by-sa
5
11
août
2017

Bonjour,

Quand on arrive sous GNU-Linux (et autre *nix) on pense souvent qu'on est au top de la protection (à cause des "pas de virus" et "code open-source très relu"). Très rapidement on se rend compte que c'est un système comme un autre mais on a la chance d'avoir des outils géniaux. Je voulais donc écrire un article sur le sujet mais je pense que pour collecter quelques avis le forum est un bon début, je vous invite donc à donner votre avis, partager vos astuces et logiciels concernant ce point.

L'avantage de GNUx réside en quelques points:
- La gestion des droits qui empêche aux logiciels installés par l'utilisateur de toucher aux fichiers système (sauf à abuser de sudo) et l'utilisation des dépôts officiels qui garantissent la qualité des logiciels
- La capacité de tout mettre à jour en une commande (par exemple aptitude sous Debian)
- Des logiciels de sauvegarde inclus ou disponibles
- Un pare-feu (IPtables en CLI)
- Intégration du chiffrement avec LUKS sur certaines distributions

Mais encore faut t'il configurer ce pare-feu, programmer des sauvegardes (sur un support externe) et les mises à jour automatique et faire attention avec ce qu'on lance (surtout en root). C'est les quatre recommandations de base mais il en manque peut être.

Concernant les outils j'utilise :
- Deja-Dup pour son integration avec Gnome - Duplicity semble accessible aussi (et multi-plateforme)
- un cache DNS local, mais je sais pas si on peut mettre ça dans le côté Sécurité.
- une clé USB bootable pour accèder aux données même si l'OS a un problème.
- un petit tcpdump (CLI)/wireshark/nmap(CLI) pour dépanner aux besoin
- LUKS sur une partition et disques externes, encfs (CLI) pour le chiffrement de document unitaire et Veracrypt

Mais pour le reste, est-ce que certain(e)s utilisent ClamAV ? Un anti-rootkit ? Une solution anti-rançongiciel? Un HIDS ? Une solution VPN (même un poste fixe) ? Un logiciel qui remonte les problème des logs ?
Y a t'il un logiciel de sécurité (ou script/confi/…) que vous trouvez essentiel ?

Est-ce que vous sauvegardez (via Git ou un autre outils) vos configurations système ou fichiers importants ? Quelles bonnes pratiques vous recommanderiez en plus des quatre de base ?

Merci de votre attention et de vos retours :)

  • # autres logiciels

    Posté par (page perso) . Évalué à 4 (+3/-0).

    sur les machines "sensibles", j'ajoute au moins 2 composants:
    - logcheck : qui permet de faire un tri dans les log et de remonter ce qui est anormal
    - afick (http://afick.sourceforge.net/index.fr.html), un hids que j'ai écrit, et qui permet de détecter des modifications inattendues des fichiers

    pour les sauvegardes, c'est rsnapshot ou rsync

  • # firejail

    Posté par (page perso) . Évalué à 6 (+4/-0).

    Sur les pc que j'ai eu l'occasion de voir passer entre mes mains, pour des voisins, famille, j'ai toujours installé firejail pour y lancer firefox.

    L'application permet de lancer une autre application dans une sandbox, avec un paramétrage assez simple pour que ça ne soit pas trop contraignant pour l'utilisateur (dans le cas de firefox par exemple, seul le répertoire ~/Téléchargement est accessible en lecture/écriture, les autres fichiers du système ne sont pas visibles).

    Ne sachant pas sur quels sites l'utilisateur va se rendre, ni a quelle fréquence je vais pouvoir mettre à jour le PC (quand ça n'est pas le mien), ça permet d'avoir une protection supplémentaire.

  • # Classic

    Posté par (page perso) . Évalué à 0 (+0/-1). Dernière modification le 13/08/17 à 20:35.

    Monowall, un watchdog avec des timing agressifs pour éviter les deny of service de Loic et les remotes brute force de jack the ripper ! Et pour les toolkits qui farfouillent l'intégralité du domaine et ont accès à des fichiers senssibles et bien on anticipe avec un domaine victif verbeux (honey spot).

    • [^] # Re: Classic

      Posté par . Évalué à 1 (+0/-0).

      Merci. Mais du coup il est installé sur une machine physique distincte du poste de travail ? C'est une bonne solution pour un réseau mais vous le conseilleriez pour juste un poste ? Et vu que le projet semble cloturé vous pensez migrer vers un autre outils ?

      • [^] # Re: Classic

        Posté par (page perso) . Évalué à 1 (+0/-0).

        Non on ne va partir, c'est pationnant les verrous numériques ;) En fait c'est pour un service de gestionnaire de wallpapers, selon le moment dans la journée il y a une rotation qui est effectuée et cela change pour tous les salariés. Il y a un serveur smb-fs qui assure le service réseau. Il n'y a pas de logs et on ne déclare rien à personne. Concernant la boite elle travail sur une base de textes juridiques avec une API ouverte et leur protection juridique tiens par exemple grâce à des concepts de droit ouvert qui ne sont pas appliqués à la lettre (heuresement) à part en temps de crise.

        Pour ton poste cela dépend de ton hardware, a t il un GPU qui exploite OpenCl ?

  • # les depots officiels ne garantissent pas grand chose...

    Posté par . Évalué à 2 (+0/-0).

    … surtout dans le cas des rolling releases, non?

  • # Autres outils

    Posté par . Évalué à 2 (+1/-0).

    Personnellement, je rajouterais au moins

    • Mettre en place les Capabilities au lieu du setuid root (meilleure granularité sur les privilèges)
    • Activer SELinux au minimum en targetted/enforcing, à fortiori si on parle d'un serveur.
    • faire la chasse aux logiciels écoutant sur le réseau et tournant comme root

    Pour la config, j'utilise saltstack qui me permet de gérer le cycle de vie de la configuration des serveurs et de gérer les descriptions d'état dans un git.

  • # La base

    Posté par . Évalué à 4 (+2/-0).

    Ne pas suivre les tutoriels qui te font installer tous les anti-machins possibles sans rien comprendre. Commencer par le B.A.BA :

    • faire des mises à jour de sécurité régulières sur tous les softs utilisés
    • utiliser des mots de passe forts, ou mieux de l'authentification par clé
    • faire des backups, mais des vrais (automatiques, réguliers, monitorés, sur site distant, sur machine dédiée inaccessible par les machines backupées, avec tests de restauration réguliers)
    • limiter les services qui tournent, s'assurer qu'ils tournent avec des users non privilégiés qui n'ont pas accès aux données des autres services.
    • un firewall, en cas de fail sur le point précédent, c'est pas pour ce que ça coûte.

    Ensuite, voir ce que tu peux ajouter en fonction :
    * de ce que tu héberges (et des risques associés) : un simple blog au contenu public ? des données personnelles ? des sites e-commerce ou autres qui rapporte un peu de sous ? beaucoup de sous ? des secrets industriels ? ;
    * de tes compétences ;
    * du coût (pour un particulier, il y a des équipements qui coûtent un bras) ;
    * des contraintes que tu veux/peux assumer (est-tu prêt à lire un tétrachiée de logs tous les matins, 365 jours/an ? ou juste un rapport automatique ?).

    Et te reposer ces questions de temps en temps (au bout d'un an ou deux, tu hébergeras peut-être plus de choses, aura gagné en comptétences, aura plus/moins le temps de t'en occuper).
    La sécurité n'est pas le but, elle est le chemin…

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.