[DOW] La sécurité informatique : comment la gérez-vous ?

[kopp]

Me semble que les fichiers de conf quand tu installes quelque chose avec OpenBSD sont aussi très minimaux. Mais c'est la bonne approche à mon avis, pour avoir quelque chose de sûr.
Si je ne me trompe pas, il n'y a jamais eu de faille de sécurité dans une installe par défaut d'OpenBSD (en tous cas, aucune trouvée)

Linux par contre, c'est souvent plus laxiste, et je ne doute pas que mon système est loin d'être très sécurisé...

[polytan]

[X-Guardian]

Salut,

+1 avec kwenspc, je préfère un bon Windows Serveur bien sécurisé qu'un Linux installé n'importe comment.
Reste que même un Windows Serveur avec ces superbes interfaces qui facilitent l'administration et la mise en place de paramètre de sécurité, devient franchement embétant lorsque l'on veut pousser un peu plus loin que ce que permet justement cette interface.

En tout cas, dingue ce que l'on voit en "sécurité informatique" dans certaines sociétés.
J'ai fait un peu de prestations de services, et j'ai eu pas mal de crise de fou rire en voyant certaines choses

Mais revenons à nos moutons
Au boulot :
- Mes 2 serveurs sont en profil hardened, avec kernel hardened, et ce que j'ai réussi à mettre ne place lié à ces technologies ... J'y vais à mon rythme, pas facile quand on découvre ... même après avoir lu la(les) doc(s) 20 fois ^^.
J'ai testé aussi les profils 2007 Serveur (@ home juste pour voir)

AUTHENTIFICATION UTILISATEUR :
- Toutes les authentifications utilisateurs passent par LDAP via SSL/TLS. (Heu ... quand çà marchera sans anicroche le SSL/TLS ...)
Je n'ai qu'un point central à gérer pour tous ce qui est droit utilisateur et accès aux machines.
Les utilisateurs sont cloisonnées dans leur(s) groupe(s) respectif(s) (Certains utilisateurs ont plusieurs groupes).
=> A ce sujet, je trouve l'implémentation de LDAP pas toujours très pratique.
Pour chaque logiciel, il faut à chaque fois redéfinir les paramêtres LDAP ... sympa quand on fait une modif à la configuration de base ... je me demande vraiment à quoi sert les 2 fichiers ldap.conf ...

PARTAGES SAMBA :
- Les partages samba ne sont accessibles qu'avec certains droits, limités en espace (quotas), scannés via ClamAV.
- Les utilisateurs ont leur propre répertoire privé (700), celui de leur groupe (750), ainsi qu'un autre partage avec le reste de l'entreprise (755) (On est une PME de moins de 50 personnes, avec des services de 5 à 12 personnes).

SHELL ET SSH :
- Aucun utilisateur n'a de shell sur les serveurs, sauf root, et mon login d'admin.
La seule façon d'accéder à un shell sur le serveur et :
- d'y avoir accès physiquement.
- d'utiliser ssh à partir d'une seule et unique IP avec mon login d'admin (Seule cette IP peut se connecter), que j'ai sécurisé avec ce que l'on peut lire un peu plus haut, et dans les docs que j'ai trouvé.

INTERNET :
- Le proxy refuse toutes connexions en sorties des clients en dehors des heures de bureau + ou - une heure.
- Le parfeu est celui du modem-routeur (LiveBox Pro :/), tout est fermé en entrée et en sortit par défault (pas facile avec le menu de la LiveBox)
- Les 2 serveurs ont chacun leur parfeur personnalisé sur leur connexion réseau externe, mais aussi sur celle réservée à l'interne. (Suffit qu'on me pirate une machine du parc :@)
- Pas de DHCP, tout est en statique, la passerelle des clients est le proxy, le premier DNS est mon serveur Bind9 local.

COURRIER :
- Postfix interfacé avec LDAP, spamassassin, greylist.
- Les utilisateurs doivent utiliser pop3s pour leurs courriers. (pas encore eu le temps de tout mettre en place de ce coté, je regarde aussi comment tout cela marche avec eGroupWare)


=> Pour le moment, j'essaye d'avoir tous mes services de fonctionnel en utilisant LDAP avec TLS/SSL, et un changement des ports par défaut sur la Livebox, puis je verrais pour chrooter tout ce qui a besoin de l'être, ou utiliser des serveurs virtuels.
Il y a plein de trucs que je veux tester, mais je n'ai pas toujours le temps, pas de serveurs de tests, ni de machine de tests, ...
Pour ssh de l'extérieur, on atterrit sur mon PC de bureau et il faut se relogguer en un autre utilisateur pour utiliser ssh vers les serveurs

Pour la maison :
Heu ... même chose qu'au boulot, mais c'est plus pour m'amuser/tester, avec un seul serveur qui fait tout plus un modem-routeur netgear, du wifi en WPA et adresse MAC en concordance avec l'IP (Il faut que l'adresse mac soit enregistré sur le routeur avec tel IP, pour que celui-ci accepte le client).

@+,
Guile.

[nico_calais]

[kwenspc]

[nico_calais]

[El_Goretto]

Gentoo Hardened powa!!!
Nan, sérieusement, c'est une des grandes forces de notre distro fétiche que d'avoir ce projet.

Autant j'ai très beaucoup joué des ACLs sur des filesystem cette année, autant RBAC, euh, toujours pas. Nan, vraiment, un jour sûrement, mais là, non, même apres un backup tout frais Fatalement à un moment il faut se mettre à parler le netfilter dans le texte, pour être sûr de ce qui est configuré. J'ai été grandement surpris en regardant ce que donnait en sort fwbuilder, malgré toutes ses qualités. Je ne suis pas convaincu par les surcouches de netfilter, pusique j'ai l'impression que ça revient à apprendre un savoir-faire à la place d'un autre de plus bas niveau plus (+) universel.

Sinon, perso, pour le grand paranoïaque que je suis, la sécu c'est tout le temps et partout. Même si en plus de l'aspect utilitaire pour soi même (quand même parfois assez réduit, euphémisme), ça sert surtout énormément côté professionnel.
Le passage éclair sur OpenWRT/Xwrt cette année a quand même été très tripant, me suis amusé comme un fou à le verrouiller le plus possible
_________________
-TrueNAS & jails: µ-serv Gen8 E3-1260L, 16Go ECC + µ-serv N40L, 10Go ECC
-Réseau: APU2C4 (OpenWRT) + GS726Tv3 + 2x GS108Tv2 + Archer C5v1 (OpenWRT)

[gbetous]

Niveau sécurité, je suis un peu en short... mais pas trop

J'ai un serveur/routeur/pas_firewall allumé 24/7. Ensuite j'ai des postes (linux et windows). Aucun firewall, aucun anti-virus, rien. J'ai juste passé un peu de temps (10 bonnes minutes) à faire le tour de mes ports ouverts à l'extérieur pour qu'il n'y ait que ce que je veux (en utilisant des scanners de ports trouvés ça et là sur le net).

Pour l'accès SSH, j'ai simplement le "no root login". C'est un peu léger, dès que je me motive je passe au "key only".

C'est de l'hyper léger, mais je pense pas qu'il ait de grosse gaffe évidente.
_________________
Core2Quad Q6600
ASUS P5B-V (i965 video intégrée)
~amd64 / KDE

[kwenspc]

[Temet]

Y a quand même SELinux sous Fedora et Apparmor sous la distro des collabos.

[zyprexa]

[titoucha]

[El_Goretto]

[titoucha]

Tu fais la totale.
_________________
Assurez-vous que le titre de votre message soit conforme aux conventions de ce forum (paragraphe 3/3 : Comment poster sur le forum ??)

[kwenspc]

[polytan]

Moi, ca me plait

Je vais essayer dès ce soir, si ca ne freeze pas
_________________
Wait & See

-=( Polytan )=-

[titoucha]

[polytan]

Petit forban titoucha, le p2p c'est le mal !!!
_________________
Wait & See

-=( Polytan )=-

[kwenspc]

[titoucha]

[polytan]

Je ne veux pas être mauvaise langue, hein, j'ai aussi déja utilisé le p2p, je crois, mais le download de cd/dvd libre n'est pas le plus gros de l'utilisation du p2p.

Quoique un système décentralisé pour les distfiles, ca pourrait etre sympa. Mais vu la capacité des serveurs et des connections internet ...
_________________
Wait & See

-=( Polytan )=-

[titoucha]

C'est clair que tu as raison, mais le p2p ce n'est pas que de l'illégal, c'est ce que je voulais souligner, bon je vais terminer là ce off.
_________________
Assurez-vous que le titre de votre message soit conforme aux conventions de ce forum (paragraphe 3/3 : Comment poster sur le forum ??)

[geekounet]

Les albums de Jamendo et autres fournisseurs de musique libre sur le P2P, ça concerne pas mal du trafic, et ça n'a rien d'illégal
Bref, recentrons-nous sur le sujet
Ça a l'air sympa ce port-knocking, j'y regarderai de plus près à l'occasion ^^

[polytan]

Oui, mais ca me fait penser à ces geek fous qui vont jusqu'à envoyer une série de port avec que le 22 leur soit ouvert A ben c'est ca justement .

Une fois, je suis tombé sur une distrib qui allait jusqu'à envoyer des signaux (???) dans le clavier, baisser le contraste de l'écran, envoyer des frames étrange, le tout pour éviter que les hélicopter/satellites de la CIA ne puissent pas savoir ce qui se passe sur la machine.

Bien sûr, les partitions étaient cryptées, le swap écrit 12 fois puis vidé 5.

On ne sait jamais.
_________________
Wait & See

-=( Polytan )=-

[SlashRhumSlashNeisson]

Niveau sécurité, je suis aussi un peu en short (on est en été, non ).

J'ai at home 2 portables, tous deux sous gentoo derrière une freebox en routeur.
Réseau cablé, pas de wifi juste du RJ45.

Config en dhcp, pas de firewal ni anti virus.

Dans le kernel, j'ai le minimum nécessaire.

Mise à jour de mes 2 gentoo très régulièrement (2 à 3 fois par semaine).

Ssh installé sur les 2 postes juste pour maintenir le portable (à l'étage) de ma copine via le mien (au rdc).

sshd_config est configuré pour l'utilisation par clé, par user, bref les options classiques sécu.

Je démarre le service uniquement lorsque je fais de la maintenance, je n'en ai pas besoin de l'extérieur.

Cela fait effectivement short, mais je préfère cela, plutôt que de m'embarquer dans un IPTABLE mal configuré.


_________________
Gentoo only