| View previous topic :: View next topic |
| Author |
Message |
Prodigy44
Apprentice
Joined: 19 Sep 2003
Posts: 231
Location: Nantes, France
|
 Posted: Mon Dec 27, 2004 10:23 am Post subject: [sécurité] Votre politique de sécurité |
 |
|
Le domaine étant très large, et comme on en parle pas beaucoup sur le forum, je voudrais savoir comment vous vous y prenez pour sécuriser votre linux ??
Avec mon expérience j'ai déjà listé tout ca :
| Code: | -Utilsation de ssh avec passphrase,
-Utilisation de clé rsa,
-Répartition des logs (et sauvegarde)
-Un noyau hardened, grsec, selinux,
-Configuration de votre pile ip (acceptation ICMP)
-Configuration d'iptables (on refuse tout, puis on ouvre ce qui est nécessaire)
-Utilisation de soft/script antibrutforce (ssh) Cf forum
-Chiffrement de votre partition personnelle (/home) 3 méthodes
-Utilisation d'une clé usb pour se logguer (pam_usb)
-Les flux sur le réseaux (ssl,ssh,...) à analyser via ethereal
-Configuration de votre serveur web (certificats, safemod,htaccess,sql injection, execution de mysql en local)
-Sauvegarde du système (total & incrémentale)
-Partage de fichier samba /nfs/shfs/ftp scp
-Configuration wifi clé WEP
-Accès aux programmes sudo
-Gestion des groupes (groupe wheel)
-Permission des fichiers
-Vérification de l'intégrité des fichiers via md5
-Utilisation des TCP wrappers
-Configuration d'xinet.d
-Configuration de services (cups,sane)
-Définition de limite pour éviter les buffer overflow (quota, limits.conf)
-Installer un IDS/honeypot
-Chiffrement et signature des mails (via PGP)
-La taille des mots de passe (8 caractères minimum alphanumérique), à changer souvent
-Accès physique à la machine (mot de passe bios, ne pas booter sur clé usb, cd,...), désactiver l'autologin de kdm/gdm... fermer à clé l'unité centrale
-Vérifiez votre configuration avec nmap / netcat
-Architecture matérielle, transformer votre réseau en réseau commuté, (remplacer tous les hubs par des switchs : réduire le domaine de diffusion)
-Détection du promiscuisous mode ?
-Configuration de votre serveur DHCP pour qu'il ne distribue des adresses qu'a des ordinateurs préalablement identifiés (adresse MAC) |
_________________
Apporter votre contribution au libre : http://fr.wikipedia.org |
|
| Back to top |
|
 |
pititjo
Apprentice
Joined: 19 Sep 2004
Posts: 245
Location: Paris (France)
|
| Posted: Mon Dec 27, 2004 1:52 pm Post subject: |
|
|
| Code: | - enlever la carte réseau
- cimenter l'interrupteur
- taser sur le siege utilisateur
- moniteur factice pour tromper l'adversaire
- ... |
_________________
pititjo.net
Le Mus. Et si c'était vrai ? |
|
| Back to top |
|
|
Trevoke
Advocate
Joined: 04 Sep 2004
Posts: 4099
Location: NY, NY
|
| Posted: Mon Dec 27, 2004 2:42 pm Post subject: |
|
|
Si on veut vraiment abuser, pitijo a raison, faut retirer la carte reseau..
Sinon, tu prends du linux-hardened, ca te crypte tout ton ordi.
Apres, tu utilises gpg, et surtout, tu crees ton propre langage de programmation, promptement suivi par ta propre langue.
_________________
Votre moment detente
What is the nature of conflict? |
|
| Back to top |
|
|
Prodigy44
Apprentice
Joined: 19 Sep 2003
Posts: 231
Location: Nantes, France
|
| Posted: Mon Dec 27, 2004 5:58 pm Post subject: |
|
|
arf ouai enfin c'était pour connaitre votre expérience 
_________________
Apporter votre contribution au libre : http://fr.wikipedia.org |
|
| Back to top |
|
|
Trevoke
Advocate
Joined: 04 Sep 2004
Posts: 4099
Location: NY, NY
|
| Posted: Mon Dec 27, 2004 8:04 pm Post subject: |
|
|
Hah bon
Ben mon experience est plutot simple..
1) Ne pas utiliser le meme password deux fois
2) A la rigueur meme ne pas utiliser le meme systeme de cryptage
3) Ferme tous les ports sauf ceux dont tu as besoin
4) Ne reponds pas au ping
5) Ne laisse pas tes utilisateurs utiliser Windows.
Voila c'est a peu pres tout pour commencer ..
La securite, c'est tout con, le probleme c'est qu'il faut pas etre con.
_________________
Votre moment detente
What is the nature of conflict? |
|
| Back to top |
|
|
pititjo
Apprentice
Joined: 19 Sep 2004
Posts: 245
Location: Paris (France)
|
| Posted: Mon Dec 27, 2004 8:44 pm Post subject: |
|
|
| Quote: | | 5) Ne laisse pas tes utilisateurs utiliser Windows. |
Plutôt : ne laisse pas les autres toucher ton pc, surtout si il s'agit de ta mère, de ta soeur ou de ta copine (non, non je suis pas misogine : c'est juste que ces trois personnes en particulier (les miennes bien sur) ont faillit tuer mon PC)
_________________
pititjo.net
Le Mus. Et si c'était vrai ? |
|
| Back to top |
|
|
Pachacamac
Veteran
Joined: 22 Nov 2003
Posts: 1264
Location: Paris - France
|
| Posted: Mon Dec 27, 2004 9:12 pm Post subject: |
|
|
| le plus rapide étant de débrancher la prise secteur... |
|
| Back to top |
|
|
cedcox
n00b
Joined: 27 Dec 2004
Posts: 2
|
| Posted: Mon Dec 27, 2004 9:20 pm Post subject: et les liens ? |
|
|
C'est bien d'écrire ce qu'on peut faire pour sécuriser mais avec les liens ne serait ce pas mieux ???
Aller, j'en met un 
SELinux -> http://www.nsa.gov/selinux
_________________
Les hommes se trompent, les preuves elles ne mentent jamais... |
|
| Back to top |
|
|
Saigneur
Apprentice
Joined: 21 Oct 2004
Posts: 277
Location: Evry, Essonne, France (48°35'N, 02°15'E)
|
| Posted: Mon Dec 27, 2004 11:10 pm Post subject: Re: et les liens ? |
|
|
| cedcox wrote: | | C'est bien d'écrire ce qu'on peut faire pour sécuriser mais avec les liens ne serait ce pas mieux ??? |
Tout ça pour ça
(Bienvenue)
_________________
Tant pis si ça saigne, pourvu que ça rentre. |
|
| Back to top |
|
|
cedcox
n00b
Joined: 27 Dec 2004
Posts: 2
|
| Posted: Tue Dec 28, 2004 12:34 am Post subject: Re: et les liens ? |
|
|
| Saigneur wrote: | | cedcox wrote: | | C'est bien d'écrire ce qu'on peut faire pour sécuriser mais avec les liens ne serait ce pas mieux ??? |
Tout ça pour ça
(Bienvenue) |
Tu me montres le lien, je m'attends à plein de liens sympa et voilà... Le mieux ce serait de savoir comment faire tout ça non ? 
_________________
Les hommes se trompent, les preuves elles ne mentent jamais... |
|
| Back to top |
|
|
|
French
