User Tools

Site Tools


securite_linux

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision
Previous revision
securite_linux [2020/07/17 10:21]
guy [Blocage IP]
— (current)
Line 1: Line 1:
-====== Sécurité Linux ====== 
- 
-Les principales menaces effectives qui pèsent sur un ordinateur ou un réseau local sont les suivantes: 
- 
-    * un utilisateur du système: l'​énorme majorité des problèmes liés à la sécurité provient de l'​utilisateur lui-même, insouciant ou négligent, 
-    * une personne mal intentionnée:​ quelqu'​un parvient à s'​introduire,​ et à accéder ensuite à des données ou à des programmes en utilisant par exemple des failles connues et non corrigées dans les logiciels, 
-    * un programme malveillant:​ un logiciel destiné à nuire ou à abuser des ressources du système est installé (par mégarde ou par malveillance) sur le système, ouvrant la porte à des intrusions ou modifiant les données ; des données personnelles peuvent être collectées à l'insu de l'​utilisateur,​ 
-    * un sinistre (vol, incendie, dégât des eaux). 
- 
-Heureusement,​ le monde Linux est relativement bien pourvu du nécessaire pour parer aux attaques. 
- 
- 
-===== Mises à jour ===== 
- 
-Sous Linux, comme sous Windows, il est essentiel d'​avoir un système à jour. L'​avantage de Linux est que ces mises à jour sont fréquentes et rapides à faire, il faut les prendre à chaque fois qu'​elles sont proposées. 
- 
-===== Mots de passe ===== 
- 
-Il est important d'​utiliser un bon mot de passe pour éviter qu'il ne soit découvert par des algorithmes conçus pour cet effet. Donc bannir tous les mots du dictionnaire,​ les noms ou prénoms à l'​endroit ou à l'​envers. Choisir un mot de 8 caractères constitué de lettres et de chiffres. Il est un peu illusoire d'​ajouter des caractères spéciaux (+, (, #...) car il devient trop compliqué à retenir et on est tenté de le marquer quelque part. 
- 
-  * Pour fabriquer ces mots de passe, on peut utiliser **pwgen** dont les options nombreuses permettent de l'​adapter au but recherché. Faire un **man pwgen** pour les voir. 
- 
-<​file>​pwgen -s  # pour des mots de passe sécurisés,​ complètement aléatoires,​ mais difficiles à retenir</​file>​ 
-<​file>​pwgen -B  # pour des mots de passe sans ambiguité, mais moins sécurisés</​file>​ 
- 
-<​code>​guy@xxxx:​~$ pwgen -B 
-iez9ui9O Fahg4aip shei7Noh epah4Ing nuogei3I Ahneep4U Shitho3j jaim3koH 
-Quahz3ae vaodi9Te ooCh4joo Cee3eis7 wahz9Woh Eim4eth9 eegh9oY3 ius9aNg9 
-die7Ahp9 To9viewa Mie7bosh voNgaik9 ohJoht9w ri9waeH4 OoZiic7r Aiz9shuw 
-Ees4oxei Ohs3eum3 iePae7Ee due7ohRu ta3Oovuj sahhae3E muDe7aez aengiM3z 
-quoNgoh9 hooSahC3 ioy4Gaih rae3giM3 Tio3ieph rai9AhB9 Bi4Ahdoh oow4EiSe 
-ooYahph4 Etie4hic Ai9eiXa3 faz9neiG ahZ3zo7e Wei4ais4 eem7Ohsh ahz3Weef 
-</​code>​ 
- 
-  * Il existe aussi un outil graphique sur Internet http://​www.pctools.com/​guides/​password/​ avec des options semblables. 
- 
-{{passwd_generator.png|}}{{:​passwd_generator.png?​600|}} 
- 
-  * Une bonne solution est aussi d'​utiliser une phrase, au choix de l'​utilisateur,​ dans laquelle on retire des lettres au choix, on introduit des majuscules et des chiffres. C'est le moyen le plus facile à retenir. 
- 
-  * Pour tester les mots de passe d'une machine, installer le programme **john** et le lancer sur le fichier **/​etc/​shallow**. 
- 
-<​file>​apt-get install john</​file>​ 
-<​file>​john /​etc/​shallow</​file>​ 
- 
-Attention, il prend 100% de la puissance du processeur (préférer un PC avec processeur quatre-coeurs). 
- 
-===== Pare-feu ===== 
- 
-Le rôle du pare-feu est de mettre à l'abri le ou les ordinateurs en aval, vis à vis du monde extérieur de l'​Internet. En fait, en Linux, on peut ne pas se compliquer la vie avec une bonne configuration des ordinateurs. ​ 
- 
-**Netfilter** est un module du noyau Linux qui offre, de base, la possibilité de contrôler, modifier et filtrer les paquets IP, et de suivre les connexions. Il fournit les fonctions de pare-feu, de partage de connexions internet et d'​autorisation du trafic réseau. **Iptables** est l'​interface "ligne de commande"​ permettant de configurer Netfilter. ​ 
- 
-Sous Ubuntu, il existe différents outils de pare-feu: 
-  * **Firestarter** qui est un "​front-end"​ en mode graphique pour aider à configurer Netfilter, 
-  * **Ufw** ​ maintenant incorporé depuis la version 8.04 **ufw** (uncomplicated fire-wall), mais à activer 
-  * **Gufw** en mode graphique 
-  * **Nufw**, autre dérivé d'​Ufw. ​ 
- 
-Bien se méfier de ne pas se pénaliser soi-même avec les paramétrages. De base, tout ce qui sort est autorisé, tout ce qui entre est bloqué. 
- 
-La documentaion Ubuntu est sur http://​doc.ubuntu-fr.org/​ufw,​ http://​doc.ubuntu-fr.org/​gufw,​ https://​help.ubuntu.com/​community/​UFW,​ http://​doc.ubuntu-fr.org/​firestarter et sur http://​doc.ubuntu-fr.org/​iptables. 
- 
-On peut aussi mentionner **Shorewall**. Voir http://​forum.ubuntu-fr.org/​viewtopic.php?​id=234461 
- 
-==== Blocage IP ==== 
- 
-Dans le forum Ubuntu, certains se plaignaient d'​être sniffés par un adresse installée en Chine. Pour bloquer ce géneur, la consigne donnée est d'​ajouter une ligne dans les **IPTables**:​ 
-<​code>​iptables -I INPUT -s 61.139.105.163 -j DROP </​code>​ 
- 
-===== Anti-virus ===== 
- 
-Jusque maintenant, il est inutile d'​installer un anti-virus pour protéger une distribution Linux. ​ La justification est plutôt réservée à un serveur Linux travaillant au profit de clients Windows. 
- 
-Pour se faire une idée sur le sujet, consulter http://​doc.ubuntu-fr.org/​virus 
- 
-===== Configuration SSH ===== 
- 
-Il est possible d'​avoir une bonne protection avec une configuration simple du fichier **/​etc/​ssh/​sshd_config**:​ 
- 
-  * Changer le paramètre du **PermitRootLogin** en **no**: 
-<​code>​PermitRootLogin no  # il est impossible de se loguer en superadministrateur ​ en  SSH</​code>​ 
- 
-  * Décommenter la ligne <​code>#​MaxStartups 10:​30:​60</​code>​ 
-Dans ce cas: le 10 représente le nombre de connexions acceptées sans qu'un utilisateur ait réussi à s'​identifier,​ si cela passe au dessus de 10, il y a 30 % de chances que les suivantes soient bloquées, et ce pourcentage augmente linéairement jusqu'​à 100 % lorsque le full est atteint, à 60 connexions. ​ 
- 
-  * Ajouter à la fin du texte une ligne **Allowusers** pour spécifier le ou les utilisareurs privilégiés pouvant accèder en SSH: 
-<​code>​Allowusers paul jacques ​ # seuls les utilisateurs paul et jacques sont autorisés à entrer en SSH</​code>​ 
->>​**Attention**. Bien mettre un espace entre les noms des utilisateurs autorisés. ​ 
- 
-  * Changer le port SSH par défaut (22), pour un autre. 
-<​code>#​ What ports, IPs and protocols we listen for 
-Port 22 </​code>​ 
-La connexion se fait apors avec l'​option p et le n° du port à utiliser 
-<​file>​ssh -p xxxx ....</​file>​ 
- 
-  * Relancer la connexion SSH par défaut, pour un autre 
-<​file>​sudo /​etc/​initit.d/​ssh restart</​file>​ 
- 
-===== Sécurité par chroot ===== 
- 
-Se reporter sur http://​www.lea-linux.org/​documentations/​index.php/​Admin-admin_env-chroot 
- 
-===== Snort ===== 
- 
-**Snort®** est un système opensource de détection et de prévention d'​**intrusion réseau**. C'est l'​outil le plus déployé aussi bien dans les entreprises que chez les particuliers. Il est géré par des règles. 
- 
-Le logiciel est disponible dans les dépôts Ubuntu. Installer en même temps **[[apt://​snort,​oinkmaster]]**. Pour la configuration,​ se reporter à la documentation http://​doc.ubuntu-fr.org/​snort. 
  
securite_linux.1594981272.txt.gz · Last modified: 2020/07/17 10:21 by guy