Bonjour,
Quand on arrive sous GNU-Linux (et autre *nix) on pense souvent qu'on est au top de la protection (à cause des "pas de virus" et "code open-source très relu"). Très rapidement on se rend compte que c'est un système comme un autre mais on a la chance d'avoir des outils géniaux. Je voulais donc écrire un article sur le sujet mais je pense que pour collecter quelques avis le forum est un bon début, je vous invite donc à donner votre avis, partager vos astuces et logiciels concernant ce point.
L'avantage de GNUx réside en quelques points:
- La gestion des droits qui empêche aux logiciels installés par l'utilisateur de toucher aux fichiers système (sauf à abuser de sudo) et l'utilisation des dépôts officiels qui garantissent la qualité des logiciels
- La capacité de tout mettre à jour en une commande (par exemple aptitude sous Debian)
- Des logiciels de sauvegarde inclus ou disponibles
- Un pare-feu (IPtables en CLI)
- Intégration du chiffrement avec LUKS sur certaines distributions
Mais encore faut t'il configurer ce pare-feu, programmer des sauvegardes (sur un support externe) et les mises à jour automatique et faire attention avec ce qu'on lance (surtout en root). C'est les quatre recommandations de base mais il en manque peut être.
Concernant les outils j'utilise :
- Deja-Dup pour son integration avec Gnome - Duplicity semble accessible aussi (et multi-plateforme)
- un cache DNS local, mais je sais pas si on peut mettre ça dans le côté Sécurité.
- une clé USB bootable pour accèder aux données même si l'OS a un problème.
- un petit tcpdump (CLI)/wireshark/nmap(CLI) pour dépanner aux besoin
- LUKS sur une partition et disques externes, encfs (CLI) pour le chiffrement de document unitaire et Veracrypt
Mais pour le reste, est-ce que certain(e)s utilisent ClamAV ? Un anti-rootkit ? Une solution anti-rançongiciel? Un HIDS ? Une solution VPN (même un poste fixe) ? Un logiciel qui remonte les problème des logs ?
Y a t'il un logiciel de sécurité (ou script/confi/…) que vous trouvez essentiel ?
Est-ce que vous sauvegardez (via Git ou un autre outils) vos configurations système ou fichiers importants ? Quelles bonnes pratiques vous recommanderiez en plus des quatre de base ?
Merci de votre attention et de vos retours :)
# autres logiciels
Posté par eric gerbier (site web personnel) . Évalué à 4.
sur les machines "sensibles", j'ajoute au moins 2 composants:
- logcheck : qui permet de faire un tri dans les log et de remonter ce qui est anormal
- afick (http://afick.sourceforge.net/index.fr.html), un hids que j'ai écrit, et qui permet de détecter des modifications inattendues des fichiers
pour les sauvegardes, c'est rsnapshot ou rsync
[^] # Re: autres logiciels
Posté par mahikeulbody . Évalué à 1.
Des sauvegardes avec rsync ? Comment tu fais ?
(je parle de vraies sauvegardes, c'est-a-dire historisées, pas juste de copies sur un autre DD)
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 2. Dernière modification le 12 août 2017 à 16:01.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: autres logiciels
Posté par mahikeulbody . Évalué à 1.
Ah ok, ce n'est pas rsync mais un prog/script utilisant rsync. Comme Back in Time, par exemple.
[^] # Re: autres logiciels
Posté par eric gerbier (site web personnel) . Évalué à 1.
Pour mes sauvegardes avec rsync, il y a un volume lvm distant, avec des snapshot réguliers.
[^] # Re: autres logiciels
Posté par phoenix (site web personnel) . Évalué à 2.
Pour mes sauvegardes j'utilise backuppc. La dernière version est vraiment très performante.
[^] # Re: autres logiciels
Posté par JeffD . Évalué à 1.
Merci pour tes références.
Logcheck semble avoir son développement arrêté et on dirait que c'est logwatch qui le remplace :)
# firejail
Posté par chimrod (site web personnel) . Évalué à 6.
Sur les pc que j'ai eu l'occasion de voir passer entre mes mains, pour des voisins, famille, j'ai toujours installé firejail pour y lancer firefox.
L'application permet de lancer une autre application dans une sandbox, avec un paramétrage assez simple pour que ça ne soit pas trop contraignant pour l'utilisateur (dans le cas de firefox par exemple, seul le répertoire ~/Téléchargement est accessible en lecture/écriture, les autres fichiers du système ne sont pas visibles).
Ne sachant pas sur quels sites l'utilisateur va se rendre, ni a quelle fréquence je vais pouvoir mettre à jour le PC (quand ça n'est pas le mien), ça permet d'avoir une protection supplémentaire.
# Classic
Posté par erîc (site web personnel) . Évalué à 0. Dernière modification le 13 août 2017 à 20:35.
Monowall, un watchdog avec des timing agressifs pour éviter les deny of service de Loic et les remotes brute force de jack the ripper ! Et pour les toolkits qui farfouillent l'intégralité du domaine et ont accès à des fichiers senssibles et bien on anticipe avec un domaine victif verbeux (honey spot).
[^] # Re: Classic
Posté par JeffD . Évalué à 1.
Merci. Mais du coup il est installé sur une machine physique distincte du poste de travail ? C'est une bonne solution pour un réseau mais vous le conseilleriez pour juste un poste ? Et vu que le projet semble cloturé vous pensez migrer vers un autre outils ?
[^] # Re: Classic
Posté par erîc (site web personnel) . Évalué à 1.
Non on ne va partir, c'est pationnant les verrous numériques ;) En fait c'est pour un service de gestionnaire de wallpapers, selon le moment dans la journée il y a une rotation qui est effectuée et cela change pour tous les salariés. Il y a un serveur smb-fs qui assure le service réseau. Il n'y a pas de logs et on ne déclare rien à personne. Concernant la boite elle travail sur une base de textes juridiques avec une API ouverte et leur protection juridique tiens par exemple grâce à des concepts de droit ouvert qui ne sont pas appliqués à la lettre (heuresement) à part en temps de crise.
Pour ton poste cela dépend de ton hardware, a t il un GPU qui exploite OpenCl ?
# les depots officiels ne garantissent pas grand chose...
Posté par freem . Évalué à 2.
… surtout dans le cas des rolling releases, non?
[^] # Re: les depots officiels ne garantissent pas grand chose...
Posté par JeffD . Évalué à 1.
C'est vrai que venant de Debian je connais mal le principe des rolling-releases, si quelqu'un peut confirmer ton idée je m'enlèverais ce préjugé de la tête :)
# Autres outils
Posté par SalvadorDalek . Évalué à 2.
Personnellement, je rajouterais au moins
Pour la config, j'utilise saltstack qui me permet de gérer le cycle de vie de la configuration des serveurs et de gérer les descriptions d'état dans un git.
# La base
Posté par kna . Évalué à 4.
Ne pas suivre les tutoriels qui te font installer tous les anti-machins possibles sans rien comprendre. Commencer par le B.A.BA :
Ensuite, voir ce que tu peux ajouter en fonction :
* de ce que tu héberges (et des risques associés) : un simple blog au contenu public ? des données personnelles ? des sites e-commerce ou autres qui rapporte un peu de sous ? beaucoup de sous ? des secrets industriels ? ;
* de tes compétences ;
* du coût (pour un particulier, il y a des équipements qui coûtent un bras) ;
* des contraintes que tu veux/peux assumer (est-tu prêt à lire un tétrachiée de logs tous les matins, 365 jours/an ? ou juste un rapport automatique ?).
Et te reposer ces questions de temps en temps (au bout d'un an ou deux, tu hébergeras peut-être plus de choses, aura gagné en comptétences, aura plus/moins le temps de t'en occuper).
La sécurité n'est pas le but, elle est le chemin…
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.