Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[DOW] La sécurité informatique : comment la gérez-vous ?
View unanswered posts
View posts from last 24 hours

Goto page Previous  1, 2, 3, 4, 5  Next  
Reply to topic    Gentoo Forums Forum Index French
View previous topic :: View next topic  
Author Message
polytan
Guru
Guru


Joined: 29 Jul 2004
Posts: 370
Location: Cambridge - UK

PostPosted: Mon Jul 09, 2007 6:00 am    Post subject: Reply with quote

Je suis d'accord avec toi, mais as-tu pensé à n'utiliser que jabber et passer par des serveurs passerelle pour les autres protocols ?

Je n'ai pas encore fait le pas personnellement, je crois qu'avec pidgin ca ne marche pas encore super bien :/
_________________
Wait & See

-=( Polytan )=-
Back to top
View user's profile Send private message
geekounet
Bodhisattva
Bodhisattva


Joined: 11 Oct 2004
Posts: 3772

PostPosted: Mon Jul 09, 2007 6:51 am    Post subject: Reply with quote

polytan wrote:
Je suis d'accord avec toi, mais as-tu pensé à n'utiliser que jabber et passer par des serveurs passerelle pour les autres protocols ?

Oui, je l'ai fait pendant quelques mois, mais ça plantait trop :?

EDIT:
polytan wrote:
Je n'ai pas encore fait le pas personnellement, je crois qu'avec pidgin ca ne marche pas encore super bien :/

Ya que Psi et Gajim qui savent gérer les transports ;)
Back to top
View user's profile Send private message
nico_calais
l33t
l33t


Joined: 09 Jun 2005
Posts: 628
Location: Saint Julien en Genevois

PostPosted: Mon Jul 09, 2007 9:38 am    Post subject: Reply with quote

Bon bah moi, j'ai du boulot perso dans ce domaine actuellement. J'ai completement revu mon réseau ce week-end.

Attention ! Ma topologie risque de choquer les téléspectateurs les plus sensibles..biiiiippp... :mrgreen:


En tête de ligne, j'ai ma cretin box qui est en mode bridge. Elle agit donc comme un simple modem ethernet. Néanmoins, elle reste accessible au 192.168.1.1. J'ai aussi désactivé le wifi de la boite.
Un ordi sous freebsd est le "coeur" de ce réseau. Il fait office de...point d'accès. L'histoire serait trop longue pour vous dire pourquoi j'en suis arrivé là...mais allons, histoire de s'enfoncer, je suis en ...wep 128... :oops: .
Ma carte wifi supporte le master mode sous freebsd (et non sous linux, d'où en partie la migration) mais ne supporte pas le wpa. Bref....si j'avais un prof de sécu à l'heure actuelle, je me ferai sûrement frapper.

Pour pallier à ça, j'ai donc mis en place un firewall aussi bien restrictif de l'exterieur que de l'interieur. J'ajoute que c'est la première fois que je met en place un firewall. Ayant toujours eu des routeurs/modems, j'en ai jamais eu besoin. Et c'est en partie pour ça que j'ai 'ailleurs tout cassé ce week-end :wink: . J'ajoute que j'ai utilisé fwbuilder pour construire mes règles et j'utilise PF comme firewall.

Tout est bloqué par défaut.

Règles de l'exterieur :

Le ssh du freebsd n'est accessible que du taf (addresse IP fixe) via le port 443 (Restrictions firewall du taf).

Règles de l'interieur :

J'ai 2 portables qui sont donc naturellement tous les 2 connectés en wifi via addresse IP fixe.
Le macbook a l'autorisation de se connecter en ssh sur le serveur.
Le PC sous windows a l'autoisation de se connecter sur le port 26000 et à l'addresse IP du serveur de Eve Online (Un on jeu).
Les 2 postes ont accès au web (ports 80 et 443).

Si d'autres postes viennent à se connecter sur le réseau, ils n'auront donc accès à rien.




Il ne me reste plus qu'un truc qui me gêne. C'est que si jamais quelqu'un craque ma clé wep, peut sniffer mon traffic. ici y aura que l'http principlement mais bon...Alors je me suis rappellé que ipv6 integrait nativement l'ipsec.
Alors je me dis bêtement que si je peux utiliser l'ipv6 dans mon lan, j'aurai plus ce problème et que donc, si un mec me crak ma clé, d'une part, il n'aura aucune donnée en clair et d'autre part, il n'aura accès à rien.



Heu...bah voilà..
_________________
"Unix IS user friendly... It's just selective about who its friends are." — Tollef Fog Heen tollef@add.no
Back to top
View user's profile Send private message
polytan
Guru
Guru


Joined: 29 Jul 2004
Posts: 370
Location: Cambridge - UK

PostPosted: Mon Jul 09, 2007 11:09 am    Post subject: Reply with quote

Je ne sais pas comment on met en place un réseau privé IPv6.

J'imagine que ca ne doit pas être bcp plus dur qu'un en IPv4...
_________________
Wait & See

-=( Polytan )=-
Back to top
View user's profile Send private message
kwenspc
Advocate
Advocate


Joined: 21 Sep 2003
Posts: 4954

PostPosted: Thu Jul 12, 2007 7:38 am    Post subject: Reply with quote

Grosse question:

La sécurité passe aussi par les logs: leur enregistrements et leur analyse.

Pour ma part c'est syslog-ng mais je le trouve finalement pas si génial. Je m'explique: pour les logs courants (auth.log, dameon.log ...) ça va, mais dès qu'on entre dans les logs un peu plus "exotiques" genre mysql, apache, et mêmes des soft "mal fait" (softs clients...) on se retrouve avec une foultitude de fichiers logs mais non pris en charge directement par syslog-ng (et aucun autre d'ailleurs), tout ça parce que "c'est tellement plus mieux d'ouvrir un fichier dans /var/log et d'y écrire comme un porcs les logs" :?
Une bidouille récupérée sur ce forum même m'a permis de récupéré ces logs "exotiques" via la simple construction d'un pipe. On creer le fichier log en tant que fichier pipe (mkfifo) et on fait en sorte que l'appli écrit dans ce pipe tandis que syslog-ng récupère le tout.
Problème: ça va pour 2-3 fichiers, mais ça devient super chiant quand on a des grappes de serveurs avec tout un tas de softs différents, des tonnes de fichiers logs à la noix. Sans parler du fait que syslog-ng ne sait pas de lui même retrouver le nom du service donc faut mettre ne place des filtre pour pouvoir ensuite bien enregistrer es fichiers là où il faut sur le serveur de log (oui je log tout sur un serveur à haute capacité de données, bien redondant et tout)

Bref: c'est pas la joie. Je me suis pas encore pris par la main pour aller voir d'autre solutions après...

Côté analyse pour le moment ça reste très basique, pour ce qui est des logs "normaux" (auth, dameon...) j'utilise phpsyslog-ng mais le gros défaut c'est que ça duplique les logs vu qu'il les enregistre dans une bdd mysql (d'ailleurs il rame à mort mysql dès lors qu'on arrive à une bdd bien énorme fin bref, j'aurais préféré du postgre). Et les autres fichiers sont tous bien uniques en leur genre (format différents etc...) bicoze soft clients inside. Pas la joie non plus. :| (en même temps je suis pas sys-admin, ni payé pour - avec les responsabilités que ça implique - donc j'ai fait le strict-minimum pour que ça tourne mieux que ce qu'il y avait à la base)

Et vous quelles solutions utilisez-vous?
_________________
membre officieux du SAV Ati GEntoo
Back to top
View user's profile Send private message
-KuRGaN-
Veteran
Veteran


Joined: 05 Dec 2004
Posts: 1142
Location: Besançon (25) [FRANCE]

PostPosted: Thu Jul 12, 2007 9:59 pm    Post subject: Reply with quote

Une autre petit astuce pour la sécurité, c'est distribuer les fichiers de configuration sensibles par cfengine tout les quarts d'heure par exemple. En effet, en plus d'apporter une solution de gestion de configuration très souple cela permet de vérifier que c'est bien notre fichier qui est en place et pas un autre. De plus, il est très facile de configurer cfengine pour qu'il redémarre des processus qui ont planter ou on été planter.
Ajouter à cela un petit zabbix configurer aux petit oignons histoire d'envoyer un sms assez rapidement lors d'un souçis sur des configurations sensibles, cela permet de gérer efficacement et rapidement le problème.
Ensuite, avec un bon syslog-ng, car comme l'a dit kwenspc, les logs sont très important, donc le mieux est d'avoir un serveur de log qui récupère tout sur les autres serveurs, enfin, que les serveurs envoient tout sur un serveurs de log en fait :wink: . Ca permet de rendre l'effacement de log un peu plus difficile pour les petits malins.
Et une dernière chose concernant les logs, pour les serveurs dmz surtout, avec iptables, logger aussi ce qui passe, par "services" par exemple, ça peut toujours être utiles en cas d'intrusion, histoire de boucher le trou si on peut.

Et maintenant une dernière chose, cette fois-ci, promis c'est vraiment la dernière, si vous pouvez, virtualiser vos serveurs histoire d'avoir le moins de services possible qui tournent sur le même os, et l'os hôte ne doit gérer que la virtualisation et rien d'autre, car c'est l'os le plus sensible sur un système virtualiser.

Et voilà, j'ai fini ma vision de la sécurité, enfin ce qui me vient à l'esprit, en espérant n'avoir pas trop raconter de conneries :lol:

Bonne soirée.
_________________
Knight Gent00 Industries RiDeR !!!!
Back to top
View user's profile Send private message
Temet
Advocate
Advocate


Joined: 14 Mar 2006
Posts: 2586
Location: 92

PostPosted: Mon Jul 16, 2007 3:09 pm    Post subject: Reply with quote

Hey Geekouboss, ça fait deux semaines ;)
Back to top
View user's profile Send private message
geekounet
Bodhisattva
Bodhisattva


Joined: 11 Oct 2004
Posts: 3772

PostPosted: Mon Jul 16, 2007 3:15 pm    Post subject: Reply with quote

Temet wrote:
Hey Geekouboss, ça fait deux semaines ;)

Et personne n'a encore rien proposé pour le nouveau DOW, donc j'attend des suggestions moi :P
Back to top
View user's profile Send private message
-KuRGaN-
Veteran
Veteran


Joined: 05 Dec 2004
Posts: 1142
Location: Besançon (25) [FRANCE]

PostPosted: Mon Jul 16, 2007 7:31 pm    Post subject: Reply with quote

geekounet wrote:
Temet wrote:
Hey Geekouboss, ça fait deux semaines ;)

Et personne n'a encore rien proposé pour le nouveau DOW, donc j'attend des suggestions moi :P


Allez je me lance, mais celui est facile, je viens d'en parler dans ce débat, gestion centralisée de configuration :P
_________________
Knight Gent00 Industries RiDeR !!!!
Back to top
View user's profile Send private message
blasserre
Veteran
Veteran


Joined: 10 Feb 2004
Posts: 1362
Location: Lille, Vlaanderen

PostPosted: Mon Jul 16, 2007 11:24 pm    Post subject: Reply with quote

Temet wrote:
Hey Geekouboss, ça fait deux semaines ;)

maiheuuu ! personne n'a parlé de l'utilité de désactiver le compte root (cf ubuntu)
ça sert à quelque chose ça ? à part à connaitre la syntaxe d'/etc/sudoers par coeur ?

j'ai d'ailleurs jamais vraiment compris l'utilité de sudo (oui je sais je suis très con puisque je l'utilise...)
ne pas taper le mdp root pour éviter les keyloggers ?
dispatcher les différentes taches d'admin sur des users spécifiques ?
_________________
benj

technicien professionnel, ascendant winner
Back to top
View user's profile Send private message
kopp
Advocate
Advocate


Joined: 09 Apr 2004
Posts: 2885
Location: Grenoble, France

PostPosted: Tue Jul 17, 2007 10:29 am    Post subject: Reply with quote

Perso je trouve pas que le fait de ne pas taper le mdp root soit plus sécurisé. Autoriser un utilisateur à effectuer des actions avec les droits de root, je trouve que ça enlève tout l'intérêt du compte root...
Back to top
View user's profile Send private message
xaviermiller
Bodhisattva
Bodhisattva


Joined: 23 Jul 2004
Posts: 8718
Location: ~Brussels - Belgique

PostPosted: Tue Jul 17, 2007 10:37 am    Post subject: Reply with quote

oui, à part pour lancer des instructions du genre "shutdown", je ne vois pas trop l'utilité de sudo...

Par contre, j'aime bien les Su-doku
_________________
Kind regards,
Xavier Miller
Back to top
View user's profile Send private message
anigel
Bodhisattva
Bodhisattva


Joined: 14 Apr 2003
Posts: 1894
Location: Un petit bled pas loin de Limoges ;-)

PostPosted: Tue Jul 17, 2007 10:56 am    Post subject: Reply with quote

kopp wrote:
Perso je trouve pas que le fait de ne pas taper le mdp root soit plus sécurisé. Autoriser un utilisateur à effectuer des actions avec les droits de root, je trouve que ça enlève tout l'intérêt du compte root...

Oui et non. Dans certains cas bien précis ça permet une plus grande souplesse. Pour prendre l'exemple que je connais le mieux (le mien), j'ai eu le cas récemment d'un collègue très compétent, mais non titulaire de son poste, qui n'avait pas, légalement parlant, le droit d'accès aux comptes des usagers. Pourtant ce collègue était en charge de la gestion des comptes. Il devait pouvoir les créer, les supprimer, et les déménager. 3 commandes auxquelles je lui ai donné accès via sudo. Je te l'accorde, c'est vraiment pile-poil l'exemple qu'il fallait pour prouver que ça peut être utile. Mais dans la majorité des cas effectivement, mieux vaut taper le mdp.

EDIT : je ne résiste pas... maintenant que je ne suis plus modo...

XavierMiller wrote:
Par contre, j'aime bien les Su-doku

Quand tu as le nord en face de toi, tu as le sudoku... Voilà, ça, c'est fait ! :lol:

_________________
Il y a 10 sortes d'individus en ce bas-monde : ceux qui causent binaire, et les autres.
Back to top
View user's profile Send private message
kopp
Advocate
Advocate


Joined: 09 Apr 2004
Posts: 2885
Location: Grenoble, France

PostPosted: Tue Jul 17, 2007 11:35 am    Post subject: Reply with quote

anigel wrote:

EDIT : je ne résiste pas... maintenant que je ne suis plus modo...

XavierMiller wrote:
Par contre, j'aime bien les Su-doku

Quand tu as le nord en face de toi, tu as le sudoku... Voilà, ça, c'est fait ! :lol:


Eh bien, tu te laisses aller Ani !

Pour en revenir à sudo, je t'accorde que c'est l'exemple parfait. Par contre, l'utilisation comme dans le cas d'Ubuntu n'est pas justifiée, si ce n'est pour ne pas brusquer les utilisateurs avec les idées de compte root etc. Enfin, parler de ça risque de lancer un troll sur Ubuntu, bien qu'ici, on sera certainement tous dans le même camp ;)
Back to top
View user's profile Send private message
Temet
Advocate
Advocate


Joined: 14 Mar 2006
Posts: 2586
Location: 92

PostPosted: Tue Jul 17, 2007 1:23 pm    Post subject: Reply with quote

Perso, taper "sudo" devant chaque commande ça me gonfle!
Quand je me suis retrouvé devant la Kubuntu d'un mec (qui captait rien, un noob (c'est pas péjoratif, faut bien commencer))... la première chose que je me suis demandé c'est comment être en root. Bon bah j'ai voté pour "sudo su" ... ça a marché :lol:
Back to top
View user's profile Send private message
kopp
Advocate
Advocate


Joined: 09 Apr 2004
Posts: 2885
Location: Grenoble, France

PostPosted: Tue Jul 17, 2007 1:56 pm    Post subject: Reply with quote

sudo bash marche aussi il me semble.
Back to top
View user's profile Send private message
Bapt
Veteran
Veteran


Joined: 14 Apr 2003
Posts: 1152
Location: Paris

PostPosted: Tue Jul 17, 2007 1:57 pm    Post subject: Reply with quote

Temet wrote:
Perso, taper "sudo" devant chaque commande ça me gonfle!
Quand je me suis retrouvé devant la Kubuntu d'un mec (qui captait rien, un noob (c'est pas péjoratif, faut bien commencer))... la première chose que je me suis demandé c'est comment être en root. Bon bah j'ai voté pour "sudo su" ... ça a marché :lol:

sudo -i
Back to top
View user's profile Send private message
blasserre
Veteran
Veteran


Joined: 10 Feb 2004
Posts: 1362
Location: Lille, Vlaanderen

PostPosted: Tue Jul 17, 2007 6:15 pm    Post subject: Reply with quote

loin de moi l'idée de lancer un troll, mais je pensais que cette histoire de suppression de root avait un intérêt plus profond que le simple fait de ne pas effrayer les n00bs avec un compte root comme le soulignait kopp.

donc pour résumer : vous l'utilisez sudo ou pas ?
perso je l'utilise sans pass pour syncer (eix-sync, layman)
et avec pas pour emerge et revdep-rebuild
.... et je suis toujours emmerdé pour ajouter une ligne dans /etc/portage/* ou faire un petit dispatch-conf

(je sens venir les sudoedit et autres groupes portage...)
_________________
benj

technicien professionnel, ascendant winner
Back to top
View user's profile Send private message
nonas
Guru
Guru


Joined: 17 Apr 2005
Posts: 328

PostPosted: Tue Jul 17, 2007 9:44 pm    Post subject: Reply with quote

$ sudo
bash: sudo: command not found
Quand j'ai de l'administration à faire je "su" depuis mon utilisateur qui est dans le groupe wheel et c'est tout. (même pour éteindre la machine)
Back to top
View user's profile Send private message
yoyo
Bodhisattva
Bodhisattva


Joined: 04 Mar 2003
Posts: 4273
Location: Lyon - France

PostPosted: Wed Jul 18, 2007 8:05 am    Post subject: Reply with quote

Temet wrote:
Perso, taper "sudo" devant chaque commande ça me gonfle![snip]comment être en root. Bon bah j'ai voté pour "sudo su" ... ça a marché :lol:
Oui mais ça ne te dispenses pas du "sudo". :)
Pour ça, un petit "sudo passwd" pour générer le password du compte root une fois pour toute et hop un simple "su" et tu deviens root. :wink:
Donc amha ça n'est pas une question de sécurité le fait d'utiliser sudo sur k/x/e/unbuntu. Peut-être une piqure de rappel à l'utilisateur pour qu'il fasse attention à ce qu'il fait (non j'ai jamais tapé "rm -Rf /*" à la place de "rm -Rf ./*" :lol: ).

Et je trouve que c'est déja une faille que le compte administrateur est un nom (et généralement un UID) défini par défaut : s'il y a un compte à craquer c'est forcément "root" (UID : 1000). :mrgreen:
_________________
La connaissance s'accroît quand on la partage.
JCB
Back to top
View user's profile Send private message
Temet
Advocate
Advocate


Joined: 14 Mar 2006
Posts: 2586
Location: 92

PostPosted: Wed Jul 18, 2007 8:20 am    Post subject: Reply with quote

yoyo wrote:
Et je trouve que c'est déja une faille que le compte administrateur est un nom (et généralement un UID) défini par défaut : s'il y a un compte à craquer c'est forcément "root" (UID : 1000). :mrgreen:


Pareil. ;)
Back to top
View user's profile Send private message
strataoide
n00b
n00b


Joined: 21 Dec 2006
Posts: 13

PostPosted: Wed Jul 18, 2007 11:55 am    Post subject: Reply with quote

Quote:
Et je trouve que c'est déja une faille que le compte administrateur est un nom (et généralement un UID) défini par défaut : s'il y a un compte à craquer c'est forcément "root" (UID : 1000).


Quelque part, c'est un bon argument pour l'utilisation de sudo, ça!!! :mrgreen:
J'imagine Kevin M., scriptkid de 15 ans qui essaye de retrouver le compte root sur une ubuntu. Pas de bol, il est désactivé, bon alors, c'est qui le sudo parmi les 15 utilisateurs de la machine? :lol:
Back to top
View user's profile Send private message
Dismantr
Apprentice
Apprentice


Joined: 06 Jun 2007
Posts: 201

PostPosted: Wed Jul 18, 2007 12:13 pm    Post subject: Reply with quote

Mais... On peut changer l'UID d'un utilisateurs donc pourquoi ne pourrait-on pas changer celui de root ? C'est pas possible ? :?
Back to top
View user's profile Send private message
kopp
Advocate
Advocate


Joined: 09 Apr 2004
Posts: 2885
Location: Grenoble, France

PostPosted: Wed Jul 18, 2007 12:20 pm    Post subject: Reply with quote

strataoide wrote:

J'imagine Kevin M., scriptkid de 15 ans

Je suppose que ce nom n'est pas choisi au hasard ? :)
Back to top
View user's profile Send private message
strataoide
n00b
n00b


Joined: 21 Dec 2006
Posts: 13

PostPosted: Thu Jul 19, 2007 7:58 am    Post subject: Reply with quote

Non bien sur!!! C'est en hommage au site gay freekevin. :D

http://uncyclopedia.org/wiki/Free_Kevin
http://uncyclopedia.org/wiki/Reality_Distortion_Field
bon je :arrow:
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index French All times are GMT
Goto page Previous  1, 2, 3, 4, 5  Next
Page 4 of 5

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum