Si on veut un document plus complet et dédié à linux, on peut aller voir http://www.debian.org/doc/manuals/securing-debian-howto/(...) (c'est applicable à toutes les distributions, à part quelques détails qui changent). Ca explique fort bien les différentes choses à faire pour sécuriser une machine.
Exactemement, on va pas s'amuser à recompiler la kernelle si aucun trou de sécurité n'est bouché, ou si ça n'améliore pas la stabilité. If it works, don't fix it !
(rien à voir : pour redémarrer gentiment apache, mieux vaut un "apachectl graceful" qu'un méchant kill, graceful teste la config et ne tue pas apache si la nouvelle conf est mauvaise, d'où moins de downtime...)
Si linux c'était aussi merdique que ça, wired ne ferait pas une page première page avec le mot "linux". Encore de la soupe de journaleux, une seule chose à faire, c'est >/dev/null
La configuration par défaut d'apache sur debian est sécurisée.
Même lorsqu'un trou de sécurité est découvert sur un quelconque démon, il est très rare qu'il soit exploitable sur debian _avec la configuration par défaut_.
C'est pourquoi, en tant qu'admin fainéant, j'utilise la debian.
Le problème est qu'un magazine doit couvrir un maximum du lectorat
Non, ce genre de magazine s'appelle voici ou vsd, c'est pas ce que j'attends d'un magazine spécialisé.
Ce n'est pas un remote hole, car il faut toujours s'authentifier. C'est juste la restriction par IP qui ne marche pas correctement, pas le système d'authentification...
Il y a quelques jours dans la bugtraq, quelqu'un a décrit un autre problème de sécurité :
ssh dispose d'un système de restriction de commandes (par exemple on peut limiter un utilisateur à faire un "ssh user@host ls"), mais lorsque la machine dispose d'un serveur sftp, cette restriction peut etre bypassée.
Donc méfiance pour ceux qui utilisent sftp...
Faudrait faire un sondage pour ou contre les parisiens :
1 Les parisiens, je suis contre.
2 Les parisiens, je suis pour (je suis parigot quoi).
3 Les parisiennes, je suis contre (tout contre).
4 Je suis contre tout le monde sauf les bretons.
Grace à wmcoincoin ma productivité à été augmentée de 247.6%, je ne perds plus de temps avec le bouton "reload", et étant moins stressé ma qualité de vie s'en est trouvée grandement améliorée, ma femme est épanouie, alors nos voisins sont contents, leurs collègues sont moins stressés, donc leur famille aussi, et la France va mieux.
Merci wmcoincoin d'apporter le bonheur aux quatre COINs de notre pays !
Mais il gère les XP le wmcoincoin. Faut juste mettre mettre le cookie session_id dans la variable http.cookie de ~/.wmcoincoin/options. Le mieux serait de demander à M. Flanders ce qu'il en pense.
"block in ..." est une règle, tandis que "iptables..." est une commande, ce n'est pas du tout la meme souplesse. Je préfère un bon fichier de config à un script plus ou moins branlant. Faudrait faire un sondage pour savoir ce que la majorité préfère...
La syntaxe d'Ipf est très largement plus compréhensible que celle d'IPTables, et dans le cadre de la configuration d'un firewall, c'est un point non négligeable, car la simplicité de la mise en oeuvre réduit sérieusement les risques d'erreurs, chose primordialement pour un élément de sécurité comme un firewall.
(et puis en plus iptables n'est pas supérieur à ipf en ce qui concerne le filtrage ip, cf les bugs "de jeunesse" d'IPtables http://www.securityfocus.com/bid/2602(...) ).
[^] # Re: c'est vraiment les principales ...
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche top20 des erreurs. Évalué à 10.
[^] # Re: Et a coté
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Linux plus fort que les « mauvais » Unix. Évalué à 3.
Les moyens énormes, c'est moi. Et pourtant, je ne suis pas bien gros !
[^] # Re: GRRR
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Linux plus fort que les « mauvais » Unix. Évalué à 10.
Cet avis est bien évidemment totalement subjectif :-)
# GRRR
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Linux plus fort que les « mauvais » Unix. Évalué à 10.
Si le jdn parlait uniquement de ce qu'ils connaissent, ça nous ferait des vacances.
[^] # Re: 50% microsoft... a prendre avec des pincettes
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Etudes Netcraft et Security Space. Évalué à 4.
(rien à voir : pour redémarrer gentiment apache, mieux vaut un "apachectl graceful" qu'un méchant kill, graceful teste la config et ne tue pas apache si la nouvelle conf est mauvaise, d'où moins de downtime...)
# Taxons les cerveaux
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Taxe sur les supports numériques : ce n'est pas fini. Évalué à 10.
Et celà ne va pas gêner Catherine Tasca et ses acolytes, car ils seront exonérés de cette taxe.
# Tout est dans le titre
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Linux under attack ?. Évalué à 9.
[^] # Re: Tu travailles chez MDK ou quoi ?
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche donations à Mandrake. Évalué à 1.
[^] # Re: Mon Passage prefere
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Microsoft est faché. Évalué à 4.
Même lorsqu'un trou de sécurité est découvert sur un quelconque démon, il est très rare qu'il soit exploitable sur debian _avec la configuration par défaut_.
C'est pourquoi, en tant qu'admin fainéant, j'utilise la debian.
[^] # Re: Jeu
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Photos de la bouffe LinuxFr. Évalué à -1.
[^] # Re: On veut des noms !
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Photos de la bouffe LinuxFr. Évalué à 5.
[^] # Re: léger, léger...
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche LOGIN: #88 : OpenBSD 2.9. Évalué à 6.
Non, ce genre de magazine s'appelle voici ou vsd, c'est pas ce que j'attends d'un magazine spécialisé.
[^] # Re: 4 years...
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Faille dans OpenSSH 2.5.x et 2.9.x. Évalué à 8.
# Y'a aussi un autre trou
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Faille dans OpenSSH 2.5.x et 2.9.x. Évalué à 10.
ssh dispose d'un système de restriction de commandes (par exemple on peut limiter un utilisateur à faire un "ssh user@host ls"), mais lorsque la machine dispose d'un serveur sftp, cette restriction peut etre bypassée.
Donc méfiance pour ceux qui utilisent sftp...
[^] # Re: une fois de plus ....
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Linux dans l'Ordinateur Individuel. Évalué à 0.
1 Les parisiens, je suis contre.
2 Les parisiens, je suis pour (je suis parigot quoi).
3 Les parisiennes, je suis contre (tout contre).
4 Je suis contre tout le monde sauf les bretons.
[^] # Re: Autant relancer le débat tout de suite car il m'intéresse
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Linux dans l'Ordinateur Individuel. Évalué à -1.
(ah ça faisait longtemps tiens)
# Cette news est fausse !
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche un pirate falsifie une info de Yahoo. Évalué à 2.
# Merci !
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche wmcoincoin est là. Évalué à 10.
Merci wmcoincoin d'apporter le bonheur aux quatre COINs de notre pays !
[^] # rm -rf ..
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Un script pour récupérer son XP. Évalué à -1.
[^] # Re: OUais
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Un script pour récupérer son XP. Évalué à 3.
[^] # Re: Portage Linux?
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Le OpenBSD Packet Filter HOWTO est sorti. Évalué à 5.
[^] # Re: Et alors?
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Gartner Group recommande de lacher IIS !. Évalué à 6.
Un bon admin ne fait rien.
[^] # Re: Portage Linux?
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Le OpenBSD Packet Filter HOWTO est sorti. Évalué à 10.
(et puis en plus iptables n'est pas supérieur à ipf en ce qui concerne le filtrage ip, cf les bugs "de jeunesse" d'IPtables http://www.securityfocus.com/bid/2602(...) ).
[^] # Re: Bonjour, je viens foutre la merde
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Le OpenBSD Packet Filter HOWTO est sorti. Évalué à 2.
Procmail envoie ça directement à Dave Null.
[^] # Re: sauvons la bande passante
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Sortie du Noyau 2.4.10. Évalué à 10.