# [DOW] La sécurité informatique : comment la gérez-vous ?

## geekounet

Bonjour à tous !

Comme prévu, voici donc le grand retour des DOW  :Smile:  On part donc sur la base de 2 semaines par débat, ce qui semble un bon compromis, et on verra bien ce que ça donne.

Pour débuter cette nouvelle série, nous allons donc aborder le sujet de la sécurité informatique, pour reprendre une idée d'Anigel  :Smile: . À quel point vous en souciez-vous ? Comment la gérez-vous sous Gentoo ? Comment protégez-vous votre réseau ? Avez-vous des méthodes et astuces pour mettre en place tout ça ? Quels conseils pouvez-vous donner à ceux qui n'y connaissent pas grand chose ?

La parole est à vous  :Wink: Last edited by geekounet on Wed Jul 18, 2007 10:19 pm; edited 1 time in total

----------

## Temet

Perso, j'ai fait un grand bon en arrière  :Embarassed: 

Depuis que j'ai déménagé et que j'ai une Freebox HD avec le wifi et tout le bordel, j'ai passé ma Freebox en routeur pour faire causer les deux PCs... et vu que Firestarter a été hardmaské dans portage, et que j'ai jamais eu le courage de me faire chier à me familiariser avec la syntaxe imbuvable et rébarbative au possible de iptables, bah euh ... j'ai plus de firewall.   :Embarassed: 

Chez moi, c'est open-slip.

PS : bon on est pas tous parano de la sécu hein ^^

----------

## bi3l

Pareil que Temet, je ne suis pas un acharné de la sécurité. J'ai configuré ma freebox en mode routeur, j'ai fermé tous les ports en entrée sauf ssh et mldonkey et j'ai configuré des baux dhcp permanents sur une plage d'adresse limitée à 3. J'ai aussi un compte en scponly pour les potes. C'est tout.Last edited by bi3l on Sun Jul 01, 2007 7:03 pm; edited 1 time in total

----------

## Madjes

Moi qui avait peur   :Laughing:  comme Temet, j'ai juste ma bobox. Ni antivirus, ni firewall   :Embarassed: 

----------

## Desintegr

Merci geekounet pour le retour des DOW !  :Very Happy: 

Personnellement, je ne fais pas particulièrement attention à la sécurité de mon ordinateur.

Mais j'ai déjà eu quelques tentatives de piratages sur ma machine via mon serveur SSH.

Voici donc quelques petits conseils personnels sur l'utilisation d'un serveur SSH.

Ce sont uniquement des conseils pour améliorer la sécurité d'un serveur personnel. Il ne s'agit en aucun cas d'une protection ultime.

Le serveur SSH est un élément plutôt important car il permet de faire de très nombreuses choses (shell distant, tunnel, transfert de fichiers, etc.) Mais c'est aussi un élément qui peut être très dangereux s'il n'est pas correctement configuré.

Voici ce que j'ai déjà eu dans les logs de mon serveur :

```
sshd[19341]: Invalid user webmaster from 210.21.94.153

sshd[19346]: Invalid user oracle from 210.21.94.153

sshd[19348]: Invalid user library from 210.21.94.153

sshd[19350]: Invalid user info from 210.21.94.153

sshd[19355]: Invalid user shell from 210.21.94.153
```

Il s'agit d'une attaque très fréquente de type « brute force » sur mon serveur SSH. Le pirate a essayé de forcer l'accès en utilisant de nombreux logins différents qui peuvent être souvent utilisés (oracle, shell dans l'exemple) sur des serveurs.

Ce genre d'attaque est assez fréquent car il est plutôt simple à mettre en place pour le pirate.

Voici donc quelques conseils afin d'éviter les attaques de ce type :

1) Ne jamais laisser le serveur SSH écouter sur le port 22

Il faut donc régler le serveur pour qu'il écoute sur un autre port, de préférence supérieur à 10000.

Bien souvent, les personnes qui attaquent les serveurs SSH se contentent uniquement de scanner le port 22, le port par défaut d'un serveur SSH.

Par exemple, vous pouvez mettre dans le fichier de configuration du serveur (/etc/ssh/sshd_config) :

```
Port 10022
```

Ceci a pour effet de faire écouter le serveur sur le port 10022 au lieu du port 22.

2) Ne jamais permettre un accès direct à l'utilisateur « root »

Laisser l'accès au root par le SSH est très dangereux !

Le pirate doit trouver uniquement le mot de passe root pour avoir un accès total à la machine !

Il faut donc ajouter dans la configuration :

```
PermitRootLogin no
```

Il faut donc toujours utiliser un utilisateur normal pour se connecter au serveur, puis ensuite utiliser la commande su pour obtenir l'accès root.

Sur Gentoo, seuls les utilisateurs appartenant au groupe wheel sont autorisés à devenir root en utilisant la commande su.

3) Autoriser l'accès uniquement aux personnes qui ont réelement besoin d'un accès SSH

Il faut ajouter dans la configuration :

```
AllowUsers xxxxx
```

D'autres options intéressantes permettent d'augmenter encore la sécurité :

```
MaxAuthTries 0

MaxStartups 1

LoginGraceTime 30
```

MaxAuthTries 0 configure le serveur pour autoriser qu'un seul essai de mot de passe. À la moindre erreur, la personne est déconnectée.

MaxStartups 1 permet d'avoir qu'une seule connexion à la fois au serveur pour la tentative d'authentification.

LoginGraceTime 30s déconnecte la personne au bout de 30 secondes s'il elle n'est pas authentifiée.

Ces trois options permettent de ralentir considérablement les attaques « brute force » et décourage ainsi très rapidement les pirates.

Depuis que j'ai ajouté ces options dans la configuration de mon serveur, je n'ai jamais eu de nouvelles attaques de ce type.

Il faut savoir qu'il existe également d'autres solutions pour sécuriser un serveur SSH mais je n'en parlerais pas, tout simplement parce que je ne les ai jamais testées :

 - l'authentification par clef

 - le port knocking

 - des outils comme fail2ban

Voilà, je suis ouvert à toute remarque et question  :Smile: .

----------

## Temet

Oui, c'est vrai... quand j'ai vu que mon serveur ssh plaisait ... j'ai un peu changé l'approche.

Déjà, le login en root était interdit depuis le début (faut pas déconner non plus ^^)

Maintenant, c'est via clé cryptée seulement! Bon, évidemment, si je devais me logguer de n'importe quel PC, je ferais autrement (genre failban)... mais en l'occurence, mon portable perso et mon portable du taf ayant la clé, ça me suffit. Et bonne chance pour casser la clé de je-ne-sais-combien-de-bits longue comme le bras de la justice (et tout le monde sait que la justice a le bras long).

----------

## Bapt

moi en ce qui me concerne, openwrt pour le wifi (avec shorewall), mes serveurs freebsd ont leur propres règles PF, un routeur OpenBSD devant les postes non wifi, avec du PF, la sécu je ne la gère jamais au niveau de mes linux parce que je ne peut pas blairer la syntaxe iptables, mais quand je n'ai pas le choix (openwrt) je met shorewall juste pour la syntaxe.

quand au règles, pour les postes, tout ouvert en sortie, mais tout fermer en entrée avec des règles de nat au besoin, au cas par cas. pour mes serveurs, tout fermé en entrée et sortie les ports sont ouverts au cas par cas au besoin.

Et pour les ssh je les laisse sur le port 22, et quelques règles PF bien placée viennent vite à bout du brute force.

Sinon un antivirus (clamav) juste pour mon serveur mail.

----------

## davidou2a

Tres bon sujet ce DOW  :Smile: 

Pour ma part j'ai assez subi les rigueures draconiennes de la sécurité informatique strict quand j etais dans les transmissions de l'armée de terre avant de reprendre mes études... donc chez moi je me suis pas trop fait chier... Livebox un peu sécurisée et une passerelle (hote de defiance) avec Smoothwall... le reste des PC est sans firewall mais avec anti-virus, excepté ma machine qui a une solution IPTABLES et pas d antivirus   :Rolling Eyes: 

----------

## bi3l

J'ai egalement pensé à la clée cryptée, mais ça me posait des problèmes avec mon scponly et j'ai eu la flemme de mettre vsftp. J'ai donc laissé l'accès par mots de passe et j'ai ajouté un AllowUsers et un AllowGroups. Bien sûr, root n'a pas le droit de se loguer en ssh. Je vais ptet bien changer le port, un de ces quatre.

----------

## DidgeriDude

Bounjour à tous.

Perso, pas de firewall ni antivirus sur aucune de mes machines !! Mais c'est une passerelle sous OpenBSD avec Packet Filter qui est connectée à Internet. Tout fermé en entrée sauf SSH et la Mule et Counter et Bitorrent (NAT), tout ouvert en sortie.

SSH tourne sur mon PC. J'ai utilisé pendant quelques temps un port exotique et tout allait bien, excepté qu'à mon travail, ils ont bloqué tout plein de ports et j'ai dû revenir à du port 22 et là les attaques par brute force, c'est toutes les semaines !

Je suis donc passé à l'identification par clé.

@Bapt: je veux bien savoir quel type de règles tu utilises pour bloquer les attaques brute force avec PF... (pas envie d'utiliser fail2ban)

PS : Bon sujet pour relancer kes DO(2)W !!

----------

## babykart

de mon côté la sécurité, je la vois par un mot de passe assez costaud mais pas trop chiant à tapper (enfin pour moi), mon petit script netfilter-rules + fail2ban, des mises à jour régulières de mes systèmes, j'évite de laisser un accés directe à root...

j'utilise aussi l'authentification ssh par clé: trés pratique pour ne pas avoir à taper le mot de passe...

enfin, une fois que tout cela est installé, je dois dire que je ne me soucis pas plus que ça de la sécurité, si ce n'est 2/3 règles de base: éviter d'ouvrir un port qui ne sert à rien, éviter les mots de passe bâteaux (toto, titi, tata, test, admin...), toujours se rappeler que le net c'est quand même la jungle...

et pour conclure, d'une manière générale, lorsque l'on est dérrière une passerelle NAT, les risques sont passablement limités, la sécurité est véritablement importante lorsque l'on est en public...

au fait c'est quoi un anti-virus? j'ai oublié ce que ce truc voulait dire depuis que j'ai quitté windows...   :Very Happy: 

----------

## namevac

Salut à tous,

J'ai actuellement un serveur sous gentoo et j'ai mis en place une politique de sécurité qui -loin d'être parfaite-, me permet déjà de protéger la machine de l'essentiel des attaques.

La première étape pour sécuriser sa machine, est, l'utilisation minimale des services, afin de réduire les possibles failles de sécurité pouvant atteindre la machine.

Autrement, je vais les classer par service, (je me limiterais aux plus connus d'entre eux) :

#############################################

1) SSH

Alors, pour résumer, nous sommes plusieurs à acceder au serveur par ssh et chacun possède sa propre politique de sécurité.

Cas global :

```
/etc/ssh/sshd_config
```

# n'autoriser que le protocole 2, ça parrait evident pour certains, mais peut etre pas pour tous

```
Protocol 2
```

# je prefere limiter l'ecoute du service à la seule adresse interessante

```
ListenAddress ipwan
```

# fixer une limite aux tentatives de log des utilisateurs à 20 secondes

```
LoginGraceTime 20
```

# biensur, interdire à root de se log, comme ça si la machine est compromise par un bruteforce, il reste une chance de limiter la casse, à condition de ne pas avoir sudo d'installé avec user dans le grp wheel =)

```
PermitRootLogin no
```

# limiter le nombre de tentatives de mot de pass par login, un user aguérit n'a rarement besoin de plus de 6 tentatives pour se log à sa machine :>

```
MaxAuthTries 6
```

J'ai aussi installé fail2ban pour eviter que les bots ne polluent mes logs par leurs tentatives infructueuses : ban 30 min / 6 auth infructeux

Je n'ai pas restreint mes acces par ip/tranche ip car nous ne choisissons pas toujours nos connections, et que l'on est jamais à l'abris d'une panne d'internet   :Rolling Eyes: 

Cas particulier

Comme indiqué plus haut, chacun de nos users dispose de sa propre politique de sécurité, et openSSH permet désormais d'appliquer une politique personnelle en sus de la politique globale de sécurité. J'ai pour ma part opté pour l'auth par clé + passphrase, c'est possible en ajoutant :

Match User MONUSER

PasswordAuthentication no

PubkeyAuthentication yes

dans :

```
/etc/ssh/sshd_config
```

#############################################

2) Kernel

Pas grand chose à dire, si ce n'est que je patch les miens avec grsecurity +pam pour "activer la randomisation de la zone mémoire utilisée par mes applications"

et support de netfilter + arptables pour eviter le Man In The Midle =)

#############################################

3) Apache + php en module (cgi etant moins performant et plus lourd à mettre en place)

1) j'ai d'abord désactivé certains modules dans 

```
/etc/apache2/apache2/apache2-builtin-mods
```

Cette liste correspond à mes besoins et ne doit pas etre appliquée à la lettre (d'ailleurs il se peut que j'ai fait des erreurs sans meme m'en rendre compte)

http://rafb.net/p/hDGvmI15.html

2) j'ai configuré apache

pour qu'il n'écoute que sur l'ip wan (le serveur n'etant pas dans un lan)

```
Listen ip:80
```

pour l'empecher de dévoiler la version d'apache + os + modules

Il faut que la variable soit sur :

```
ServerTokens Prod
```

Sauf si vous utilisez mod_security d'apache, auquel cas il faut avoir la valeur :

```
ServerTokens Full
```

Pour permettre à Mod_security de personnaliser le tag laissé par apache :>

Signature du serveur à Off

```
ServerSignature Off
```

3) j'ai activé le controle des uid par php et cagé les vhost dans apache

Cas général

```
/etc/php/apache2-php5/php.ini
```

```
safe_mode = On
```

```
safe_mode_gid = Off
```

# suppréssion des fonctions les plus dangereuses pour le serveur et useless pour une utilisation correcte de php (dans le cadre d'hebergement de sites web simples)

```
disable_functions = exec,passthru,popen,proc_open,shell_exec,system
```

 # on connait notre machine, et on ne veut pas l'exposer à n'importe qui

```
expose_php = Off
```

```
display_errors = off
```

```
register_globals = Off
```

J'ai modifié le vhost pour simplifier les tâches de maintenance, en séparant les differents vhost par users

Donc, 00_default_vhost.conf ne concerne "que" le catchall du serveur (répertoire par defaut), tous les autres vhost etant dans un sous répertoire nommé "vhost"

Ces fichiers sont placés dans un sous répertoire pour m'assurer qu'ils seront lus, APRES 00_defaut_vhost, qui contient la fameuse variable "NameServer", critique pour la compréhension des vhost... (je suis assez clair ?)

Tous ces fichiers sont "cagés" pour éviter de remonter aux répertoires parents ou aux autres sites en cas d'intrusion sur l'un d'entre eux :

```
/etc/apache2/vhosts.d/00_default_vhost.conf
```

possède donc cette ligne à la fin :

```
Include /etc/apache2/vhosts.d/vhost/*.conf
```

```
#SafeMode START

        <IfModule mod_php5.c>

                php_admin_value open_basedir "/foo/bar/www/:/tmp/"

        </IfModule>

#SafeMode END
```

Suggestion de présentation de vos vhost :

http://rafb.net/p/dcGH6C30.html

3) j'ai ensuite incorporé le mod_security d'apache (avec emerge grsecurity + patch avec les dernieres mises à jours de http://www.modsecurity.org/ ( http://www.modsecurity.org/download/modsecurity-core-rules_2.1-1.4b2.tar.gz )

Je vous laisse le soin de lire la doc pour apprendre à vous en servir.

#############################################

4) Mysql

1) Il faut désactiver l'écoute de mysql sur le réseau en décommentant 

```
skip-networking
```

et en commentant

```
#bind-address                           = 127.0.0.1
```

2) Bien utiliser des utilisateurs et des bases différent(e)s pour chaque site/pannel avec des droits réstreints pour chacun d'entre eux à la seule base qui leur est donnée de controler.

#############################################

5) Serveur FTP - Proftpd

J'utilise Proftpd, il me convient parfaitement, apres quelques légères modifications telles que :

/etc/proftpd/proftpd.conf

Ne pas indiquer la version du serveur FTP, on peut désactiver l'ident, mais certains clients auront du mal à se connecter,  il existe une parade qui consiste à tronquer l'ident  :Wink: 

```
ServerIdent                     On "Bienvenue sur ce serveur FTP"
```

J'ai forcé proftpd à n'ecouter que sur une seule interface réseau

```
DefaultAddress                  monIPwan
```

```
SocketBindTight                 on
```

Nombre maximum de clients ayant le même login

```
MaxClientsPerHost               5
```

Pour ne pas donner d'info sur le serveur

```
DeferWelcome                    off
```

Permet de creer des utilisateurs virtuels plus facilement.

```
RequireValidShell               off
```

Eviter le DoS

```
MaxInstances                    15
```

Empecher les utilisateurs de pouvoir remonter l'arborescence au dessus de leur home respectifs

```
DefaultRoot ~
```

#############################################

6) Firewall

D'abord, est-ce qu'un firewall est utile sous linux ?

Je pense personnelement que oui, car il permet, une fois bien configuré, de limiter les dégats causés par une intrusion par vers/exploit en empechant la machine inféctée d'ouvrir un servir sur un port et de se connecter à un réseau de botnet.

Il permet aussi, de ban des ip / plages d'ip de certains botnets (acces ssh par exemple, en combinaison avec fail2ban)

Iptables est un très bon firewall, n'en déplaise à Geekounet   :Laughing: 

Il reste quand meme très compliqué à mettre en place, j'ai enfin trouvé les bonnes options pour le mien qui lui permettent de communiquer avec l'exterieur !

Il est cependant très logique !

Je mets à disposition le mien, qui est sujet à toute critique pour m'aider à l'améliorer, et pour permettre à certains de s'en inspirer 

http://rafb.net/p/wsxvwn58.html

#############################################

7) Fail2ban, On peut ajouter le support d'apache et des vhost dans fail2ban, pour drop les malins qui tentent de bruteforce des répertoires protégés par htaccess par exemple, proftpd, & co.

/etc/fail2ban/jail.conf

http://rafb.net/p/4Ph1Xg44.html

http://rafb.net/p/QlMXbm85.html

#############################################

Voila, j'ai du oublier quelques points mais je réediterai au besoin

----------

## Bapt

 *DidgeriDude wrote:*   

> @Bapt: je veux bien savoir quel type de règles tu utilises pour bloquer les attaques brute force avec PF... (pas envie d'utiliser fail2ban)

 

Pour rester gentoo, ça peut servir aux utilisateurs de gentoo/freebsd, donc voila : 

```
table <ssh-bruteforce> persist

block in quick from <ssh-bruteforce>

pass in quick on axe0 inet proto tcp to port ssh keep state ( max-src-conn-rate 2/10, overload <ssh-bruteforce> flush global )
```

Soit : on crée un table : ssh-bruteforce

on bloque toutes les ips de cette table.

autorisation des connexion sur le port ssh, mais si il y a plus de 2 tentatives en 10s, on rajoute l'ip dans la table ssh-bruteforce et on détruit les connexions existantes.

Sources : http://wiki.gcu.info/doku.php?id=bsd:pf_et_bruteforce&s=ssh

----------

## titoucha

Pour ma part la sécurité se fait tout au niveau de mon routeur qui tourne avec un firmware tomato, c'est lui qui fait firewall et surtout la gestion du wifi.

Je n'ai aucun serveur qui tourne pour être vu de l'extérieur donc j'ai tout fermé en entrée et tout autorisé en sortie sur mon firewall.

Je suis plus attentif à la gestion de la sécurité de mon wifi, car c'est souvent par là que les intrusions se font, pour ça j'utilise trois techniques, le filtrage par adresse MAC, la gestion de la puissance (c'est un point souvent oublié) pour ne couvrir que la surface de mon réseau et une clef WEP, je ne peux malheureusement pas mettre du WAP car j'ai un poste de radio web qui ne le permet pas.

PS: je n'utilise pas iptable, car comme plusieurs je trouve ça imbuvable.

----------

## nico_calais

En ce qui me concerne, le premier pas vers la sécurité a été de refuser de mettre la neuf box gracieusement offerte...

La sécurité commence par la mise à jour régulière de notre gentoo et son système nous facilite grandemen la tâche. Je fais ça une fois par semaine.

J'utilise des mots de passe assez complexes pour éviter de me faire bruteforcer des services dispo de l'exterieur comme ssh (allié avec fail2ban mais c'est pas une raison).

Ce qui fait office de firewall, c'est le routeur/modem olitec dont j'ai peu confiance, mais pour le moment j'ai peu eu de soucis.

J'ai aussi un réseau wi-fi crypté en WPA. C'est un peu mon maillon faible je pense. 

Pour l'avenir proche, j'aimerai mettre à la retraite le olitec. Utiliser la neuf box en tant que modem uniquement et laisser mon serveur gérer ma première ligne de défense. Bon soyons honnetes...J'ai très peu d'experience en firewalls et c'est aussi pour ça que je veux le faire :p

Y a des chances pour qu'il y ait cassage de dents, mais bon, si je peux pas me casser les dents sur mon propre réseau perso, où puis je le faire ?  :Wink: 

Je pense aussi mettre e place un snort + gestion web de ce dernier (base). 

Tout ça, ce sera possible le moment où j'arriverai à faire fonctionner ma carte netgear FA511 en pcmcia sur ce maudit PC    :Twisted Evil:  ...mais ceci est une autre histoire.

----------

## kwenspc

AAAAH enfin un DOW!

Je n'applique de règles de sécurité que sur les serveurs (le mien, au taf...). Sur les autres machines (fin les miennes en l'occurrence) je ne gère rien de spécial. 

Pour ssh j'applique aussi les règles de bases énumérées plus haut. Sur les serveurs de prod j'utilise en plus une clé RSA insérée dans une SmartCard (avec accès limité par password).

Il y a moyen de cacher la version du serveur ssh mais faut modifier le code source (quoique depuis ils ont peut-être ajouté l'option? ça fait un poil de temps que je me suis pas mis à jour sur le sujet).

Pour le noyau: version hardened. (inclus les patchs GrSec et PaX).

Pas de support LKM

Optimisation pour serveur (clock, pas de préemption forcée) mais en évitant toute option "d'optimisation" instable ou risquée (ex: pas d'option pour réduire la taille du kernel)

Optimisation du support matériel: en fait là j'enlève tout support non utile. Ça dégraisse le kernel et évite d'avoir du code inutile (et qui pourrait être utilisé à mauvais escient). 

Applications des règles de bases PaX etc... c'est le minimum.

Gestion des droits:

Limiter au strict nécessaire les accès aux utilisateurs et surtout j'évite qu'ils puissent "lire" partout. (simple modifs chown, chmod etc... chaque user faisant partie de son propre groupe)

Eviter que certains progs puissent être lancés par l'utilisateur lambda (wget, ftp... si ils sont installés)

Sinon

 Tout répertoire à taille variable -> en partoche (genre /tmp, /var...).

 Assignation de quotas (sur l'espace disque, mémoire, nombre de processus etc...)

Et sinon pour certains processus à risque: dans un chroot. C'est pas aussi propre que jail sous bsd mais ça fait son affaire la plupart du temps.

Firewall: Linux-netfilter at home et sinon OpenBSD-pf at work.

Monitoring:

- at home: que dalle  :Laughing: 

- at work: ça dépend. (centralisation des logs, nagios, cacti (bof) et certains trucs fait main)

----------

## zyprexa

Je crois que kwenspc est en tête ^^.

Pour ma part :

- serveurs critiques sur machines virtuelles openvz (mule, sshd, ftp etc)

- sshd : port par défaut modifié + protection par port-knocking

- iptables aux petits oignons + fw routeur

- un oeil permanent sur les principaux logs avec un conky sur le bureau

- mots de passe tordus

- vpn sur la connexion wifi avec le portable

J'avais également trifouillé l'umask, mais ca m'a un peu gonflé si bien que je l'ai remis comme avant.

----------

## kwenspc

 *zyprexa wrote:*   

> Je crois que kwenspc est en tête ^^.
> 
> 

 

Pas chez moi en tout cas, on serveur personnel est tout ce qu'il y a de plus basique (pour te dire: je ne log même pas!). Sans parler que je ne maitrise pas du tout netfilter ce qui me donne de drôle de comportements parfois.  :Neutral: 

Pour ce qui est des serveurs de prod ce que j'ai énuméré est le minimum, sans parler des configs à faire pour apache qui ont déjà été dites avant. On dit souvent que "linux en serveur c'est sécurisé" tout ça... mais avec une config non-retouchée c'est une vrai passoire,   (notamment les config ubuntarlg... à peine installé, 2j plus tard hop des scripts kiddies déjà sur la place!) surtout lorsqu'on utilise des softs à risque (si pas maitrisé) comme apache

----------

## kopp

Perso,  c'est vraiment limite. A la maison, j'ai un modem/routeur qui fait firewall, avec les entrées fermées sauf celles qui m'intéressent (ssh et ftp en gros), les sorties sont ouvertes il me semble. De toutes façon, je suis en ip dynamique, pas de serveurs dessus, pas trop de soucis. J'ai un fail2ban derrière, au cas où.

Là, mon pc est branché en direct donc j'ai iptables + fail2ban et voilà. j'avoue ne pas être un gourou.... J'ai quand même viré le RootLogin de ssh hein  :Wink: 

Sinon, OpenBSD est réputée bien pour la sécurité vu que tout est désactivé et secure par défaut. Par contre faut pas mal bidouiller après...

----------

## CryoGen

Avant je me connectais à internet via mon serveur, j'avais donc un iptables qui par défaut bloquait tout et j'ouvrai/redirigeai les ports seulon mes besoins  :Smile: 

Maintenant j'ai une livebox, j'ai donc virer mon iptables , tout est géré par là.

Par contre je n'ai toujours pas configurer les accès à mon serveur ssh et apache depuis l'exterieur, j'ai pas le temps de les sécuriser convenablement, et je ne préfère pas tenter le diable  :Laughing: 

----------

## guilc

Aller on se lance  :Smile: 

Alors pour ma part, ma tête de réseau est une machine Gentoo qui me sert de passerelle/routeur/serveur. La liaison au Net est assurée via un modem simple (bridge et pppoe depuis la Gentoo), point de *Box. Autre avantage de ne pas utiliser un modem-routeur au milieu : ça me permet d'exploiter pleinement ma connectivité IPv6, chose impossible avec un routeur basique (à ma connaissance, y a que chez cisco qu'on peut faire ça)

Configuration de la passerelle :

- kernel grsecurity avec un support minimal (pas de support des modules, le moins de drivers possibles, bref, kernel au pain sec)

- règles RBAC (vive la prise de tête).

- le minimum d'applications installées, portage n'est utilisable que dans un rôle privilégié.

- des règles iptables assez longues, avec mise en place d'astuces diverses pour limiter les floodings de connexions, les poisonning ICMP, etc...

- Tous les échanges entre les machines passent par un VPN. La connexion sans passer par le VPN ne mène a rien (seul le port de connexion VPN est ouvert sur le réseau physique). Toutes mes clés VPN sont gérées par une mini-PKI maison qui réside sur une clé USB sur un FS crypté (par dm-crypt).

- ssh bien sur non accessible directement en root, et authentification par clés. C'est le seul point d'accès donnant potentiellement accès à un shell. Changer le port ne sert a rien a mon avis : ça ne dissuade que l'automate qui tente du bruteforce bête et méchant (chose sans risque si on sait choisir ses mots de passe et/ou on n'utilise que des clés), un vrai pirate qui veut vraiment rentrer ne sera pas plus bloqué. Pas de port knocking non plus : trop risqué en cas de besoin d'accès à la machine.

- Toutes les connexions web passent par un proxy-cache qui joue le rôle de filtre.

- Tous les mails sont stockés sur le serveur, et sont sévèrement filtrés : anti-spam, antivirus, greylisting.

- Les serveurs sont chrootés quand ils peuvent l'être (postfix, bind9 pour l'essentiel)

Sur toutes les machines de mon réseau, règles iptables strictes, même sur ma machine desktop.

Toutes les partitions swap sont chiffrées pour éviter les lecture de mots de passe en clair sur la partition (sisi, c'est assez marrant de décrouvrir dans la swap des bouts de /etc/shadow avec les pass en clair dedans)

Bien sûr, pas de wifi, c'est une techno qui est un énorme point faible pour la sécurité des réseaux, même en WPA. Je reste fidèle a mes bon vieux RJ45  :Smile: 

Vous avez dit un brin parano ? ben heu.... oui   :Laughing: 

----------

## Temet

 :Shocked: 

----------

## Madjes

Personne a parlé de la sécurité dans le noyau, il y en a pourtant des options dedans. 

Elles sont inefficaces ou celles par défault suffisent ?

----------

## kwenspc

 *kopp wrote:*   

> 
> 
> Sinon, OpenBSD est réputée bien pour la sécurité vu que tout est désactivé 

 

Surtout qu'il y a quasiment rien d'installé dessus de base  :Laughing:  (apache, php, mysql tout ça...)

De base une distribution Linux arrive peu sécurisée (configuration très/trop souple). C'est pas génial, je préfère nettement le principe de tout fermer et de relâcher petit à petit (comme pour OpenBSD) plutôt que d'avoir à trouver ce qui est ouvert et à le cloisonner, le fermer ou le balancer aux oubliettes. C'est sans doute pour ça aussi que j'aime bien Gentoo: de base il y a rien du tout! Et on ajoute petit à petit ce que l'on souhaite, pas à pas.

C'est d'ailleurs marrant ces "réputations" à propos de la sécurité, auprès des entreprises surtout. Par exemple pour Linux c'est flagrant: "Linux c'est secure, Linux c'est optimisé, Linux c'est le bien"... Mais au moment de l'installer sur des serveurs ils font tout de travers! Ils installent la version desktop (bah oui, mettre à jour le serveur c'est tellement mieux au travers d'une interface graphique), n'étudient pas du tout le partitionnement (et allez: les 300Go en une partoche!) alors pensez donc pour le reste (droits, config personnalisée des softs ...) ! Ils ne passent jamais par la case boucler tout ça. Et du coup leur bouzin ça vaut moins qu'un windows 2000 server mis à jour et configurer aux petits oignons. 

Tout ça est souvent dû à un amalgame entre "free=gratuit, opensource=secure" donc par défaut: pas besoin d'investir un kopek (donc pas d'admin) et donc aussi: pas de (re)configuration aux ptits oignons. Résultat: grosse déception et retour à des produits proprios.

----------

## kwenspc

 *Madjes wrote:*   

> Personne a parlé de la sécurité dans le noyau, il y en a pourtant des options dedans. 
> 
> Elles sont inefficaces ou celles par défault suffisent ?

 

Regardes mon post au dessus et celui de guilc. Généralement: les options par défaut suffisent pour un desktop, par pour un serveur (à mon goût en tout cas). Pour un serveur il faut passer par les patch GrSec/PaX et voir même les patchs RSBAC (t'es fou guilc ^^)

----------

## kopp

Me semble que les fichiers de conf quand tu installes quelque chose avec OpenBSD sont aussi très minimaux. Mais c'est la bonne approche à mon avis, pour avoir quelque chose de sûr.

Si je ne me trompe pas, il n'y a jamais eu de faille de sécurité dans une installe par défaut d'OpenBSD (en tous cas, aucune trouvée)

Linux par contre, c'est souvent plus laxiste, et je ne doute pas que mon système est loin d'être très sécurisé...

----------

## polytan

 *Desintegr wrote:*   

> Merci geekounet pour le retour des DOW ! 
> 
> ...
> 
>  - le port knocking
> ...

 

Je trouve cette technique assez intéressante. Il y a des outils simple sous gentoo pour la mettre en place ?

----------

## X-Guardian

Salut,

+1 avec kwenspc, je préfère un bon Windows Serveur bien sécurisé qu'un Linux installé n'importe comment.

Reste que même un Windows Serveur avec ces superbes interfaces qui facilitent l'administration et la mise en place de paramètre de sécurité, devient franchement embétant lorsque l'on veut pousser un peu plus loin que ce que permet justement cette interface.

En tout cas, dingue ce que l'on voit en "sécurité informatique" dans certaines sociétés. 

J'ai fait un peu de prestations de services, et j'ai eu pas mal de crise de fou rire en voyant certaines choses  :Wink: 

Mais revenons à nos moutons  :Very Happy: 

Au boulot :

- Mes 2 serveurs sont en profil hardened, avec kernel hardened, et ce que j'ai réussi à mettre ne place lié à ces technologies ... J'y vais à mon rythme, pas facile quand on découvre ... même après avoir lu la(les) doc(s) 20 fois ^^.

J'ai testé aussi les profils 2007 Serveur (@ home juste pour voir)

AUTHENTIFICATION UTILISATEUR :

- Toutes les authentifications utilisateurs passent par LDAP via SSL/TLS. (Heu ... quand çà marchera sans anicroche le SSL/TLS ...) 

Je n'ai qu'un point central à gérer pour tous ce qui est droit utilisateur et accès aux machines.

Les utilisateurs sont cloisonnées dans leur(s) groupe(s) respectif(s) (Certains utilisateurs ont plusieurs groupes).

=> A ce sujet, je trouve l'implémentation de LDAP pas toujours très pratique.

Pour chaque logiciel, il faut à chaque fois redéfinir les paramêtres LDAP ... sympa quand on fait une modif à la configuration de base ... je me demande vraiment à quoi sert les 2 fichiers ldap.conf ...

PARTAGES SAMBA :

- Les partages samba ne sont accessibles qu'avec certains droits, limités en espace (quotas), scannés via ClamAV.

- Les utilisateurs ont leur propre répertoire privé (700), celui de leur groupe (750), ainsi qu'un autre partage avec le reste de l'entreprise (755) (On est une PME de moins de 50 personnes, avec des services de 5 à 12 personnes). 

SHELL ET SSH :

- Aucun utilisateur n'a de shell sur les serveurs, sauf root, et mon login d'admin.

La seule façon d'accéder à un shell sur le serveur et :

- d'y avoir accès physiquement.

- d'utiliser ssh à partir d'une seule et unique IP avec mon login d'admin (Seule cette IP peut se connecter), que j'ai sécurisé avec ce que l'on peut lire un peu plus haut, et dans les docs que j'ai trouvé.

INTERNET :

- Le proxy refuse toutes connexions en sorties des clients en dehors des heures de bureau + ou - une heure.

- Le parfeu est celui du modem-routeur (LiveBox Pro :/), tout est fermé en entrée et en sortit par défault (pas facile avec le menu de la LiveBox)

- Les 2 serveurs ont chacun leur parfeur personnalisé sur leur connexion réseau externe, mais aussi sur celle réservée à l'interne. (Suffit qu'on me pirate une machine du parc :@)

- Pas de DHCP, tout est en statique, la passerelle des clients est le proxy, le premier DNS est mon serveur Bind9 local.

COURRIER :

- Postfix interfacé avec LDAP, spamassassin, greylist.

- Les utilisateurs doivent utiliser pop3s pour leurs courriers. (pas encore eu le temps de tout mettre en place de ce coté, je regarde aussi comment tout cela marche avec eGroupWare)

 => Pour le moment, j'essaye d'avoir tous mes services de fonctionnel en utilisant LDAP avec TLS/SSL, et un changement des ports par défaut sur la Livebox, puis je verrais pour chrooter tout ce qui a besoin de l'être, ou utiliser des serveurs virtuels.

Il y a plein de trucs que je veux tester, mais je n'ai pas toujours le temps, pas de serveurs de tests, ni de machine de tests, ...

Pour ssh de l'extérieur, on atterrit sur mon PC de bureau et il faut se relogguer en un autre utilisateur pour utiliser ssh vers les serveurs   :Mr. Green: 

Pour la maison :

Heu ... même chose qu'au boulot, mais c'est plus pour m'amuser/tester, avec un seul serveur qui fait tout  :Wink:  plus un modem-routeur netgear, du wifi en WPA et adresse MAC en concordance avec l'IP (Il faut que l'adresse mac soit enregistré sur le routeur avec tel IP, pour que celui-ci accepte le client).

@+,

Guile.

----------

## nico_calais

 *Quote:*   

>  Windows Serveur bien sécurisé

 

Essayons de rester objectif   :Mr. Green: 

Si je suis objectif, je peux dire qu'un windows même xp peut être securisé et même optimisé mais comme un linux de n'importe quelle distrib, cela demande de la connaissance et de la pratique et en plus dans le cas de windows du pognion. 

Je peferre donc, le linux installé n'importe comment parce qu'au moins, je peux le reprendre en main  :Smile: 

----------

## kwenspc

 *nico_calais wrote:*   

> 
> 
> Essayons de rester objectif  
> 
> Si je suis objectif, je peux dire qu'un windows même xp peut être securisé et même optimisé mais comme un linux de n'importe quelle distrib, cela demande de la connaissance et de la pratique et en plus dans le cas de windows du pognion. 
> ...

 

Aucun problème oui si, en effet, tu peux reprendre la main. Par contre quand on te demande de bosser avec un serveur sur lequel tu n'as pas la main, c'est l'horreur!

Pour fermer la parenthèse: je tombe plus souvent sur des servs windows mal configuré (pas du tout en fait) que sur des linux mal configurés. Après c'est sûr, la pénétration de Linux sur le marché n'équivaut pas celle de ouinouin donc il y a sans doute un facteur de proportionalité là dedans.

----------

## nico_calais

 *kwenspc wrote:*   

>  *nico_calais wrote:*   
> 
> Essayons de rester objectif  
> 
> Si je suis objectif, je peux dire qu'un windows même xp peut être securisé et même optimisé mais comme un linux de n'importe quelle distrib, cela demande de la connaissance et de la pratique et en plus dans le cas de windows du pognion. 
> ...

 

Après c'est aussi une question de personnes. Des gars sont déjà venu installer une red-hat avec tous les paquets...ça la fout mal pour un serveur de messagerie...

EDIT : 

Sinon au taf, comme on est pas non plus des bêtes en sécu, on fait appel à une boîte qui se charge de notre parefeu et de notre relais qui sont tous les deux sous debian. C'est là aussi que je vois que c'est du boulot. Les gars se connectent assez régulièrement.

----------

## El_Goretto

Gentoo Hardened powa!!!

Nan, sérieusement, c'est une des grandes forces de notre distro fétiche que d'avoir ce projet.

Autant j'ai très beaucoup joué des ACLs sur des filesystem cette année, autant RBAC, euh, toujours pas. Nan, vraiment, un jour sûrement, mais là, non, même apres un backup tout frais  :Smile:  Fatalement à un moment il faut se mettre à parler le netfilter dans le texte, pour être sûr de ce qui est configuré. J'ai été grandement surpris en regardant ce que donnait en sort fwbuilder, malgré toutes ses qualités. Je ne suis pas convaincu par les surcouches de netfilter, pusique j'ai l'impression que ça revient à apprendre un savoir-faire à la place d'un autre de plus bas niveau plus (+) universel.

Sinon, perso, pour le grand paranoïaque que je suis, la sécu c'est tout le temps et partout. Même si en plus de l'aspect utilitaire pour soi même (quand même parfois assez réduit, euphémisme), ça sert surtout énormément côté professionnel.

Le passage éclair sur OpenWRT/Xwrt cette année a quand même été très tripant, me suis amusé comme un fou à le verrouiller le plus possible  :Smile: 

----------

## gbetous

Niveau sécurité, je suis un peu en short... mais pas trop   :Mr. Green: 

J'ai un serveur/routeur/pas_firewall allumé 24/7. Ensuite j'ai des postes (linux et windows). Aucun firewall, aucun anti-virus, rien. J'ai juste passé un peu de temps (10 bonnes minutes) à faire le tour de mes ports ouverts à l'extérieur pour qu'il n'y ait que ce que je veux (en utilisant des scanners de ports trouvés ça et là sur le net).

Pour l'accès SSH, j'ai simplement le "no root login". C'est un peu léger, dès que je me motive je passe au "key only".

C'est de l'hyper léger, mais je pense pas qu'il ait de grosse gaffe évidente.

----------

## kwenspc

 *El_Goretto wrote:*   

> Gentoo Hardened powa!!!
> 
> Nan, sérieusement, c'est une des grandes forces de notre distro fétiche que d'avoir ce projet.
> 
> 

 

Debian a aussi ce type de profile (il me semble d'ailleurs que ça existe depuis pas mal de temps sous cette distrib')

----------

## Temet

Y a quand même SELinux sous Fedora et Apparmor sous la distro des collabos.

----------

## zyprexa

 *polytan wrote:*   

>  *Desintegr wrote:*   Merci geekounet pour le retour des DOW ! 
> 
> ...
> 
>  - le port knocking
> ...

 

L'outil en question s'appelle knock (et est dans portage).

Il se compose d'un démon knockd qui se met en écoute sur iptables à la recherche d'une séquence blablabla (Cf wikipédia pour le folklore), ainsi que d'un client knock (pour ma part, j'arrive à faire ce que je veux avec netcat). La configuration est simplissime et les logs ssh connaissent des matins qui chantent  :Smile: 

Sinon, j'ai déjà lu un article sur un site angliche qui parlait de techniques avancées de port-knocking : au lieu de passer de simples paquets, l'idée est de transmettre un hash ... c'est plus à 4 ou 5 port qu'on "toque" mais à des dizaines. Ca paraissait vachement intéressant, l'article mettait en lumière les problèmes rencontrés ainsi que la mise en oeuvre etc... mais je retrouve hélas plus l'article   :Sad: 

----------

## titoucha

 *El_Goretto wrote:*   

> Gentoo Hardened powa!!!

 

Tu utilises le noyau et le profile ensemble ou seulement le noyau et le USE hardened.

----------

## El_Goretto

 *titoucha wrote:*   

>  *El_Goretto wrote:*   Gentoo Hardened powa!!! 
> 
> Tu utilises le noyau et le profile ensemble ou seulement le noyau et le USE hardened.

 

Noyau + profil + hardening "classique" des services présents.

----------

## titoucha

Tu fais la totale.  :Very Happy: 

----------

## kwenspc

 *zyprexa wrote:*   

>  *polytan wrote:*    *Desintegr wrote:*   Merci geekounet pour le retour des DOW ! 
> 
> ...
> 
>  - le port knocking
> ...

 

Il a tout un tas d'implémentation différente de cette technique cf. http://l0t3k.org/security/tools/portknocking/

Ça va du simple script bash au soft nettement plus étoffé. (c'est une technique pas si vieille le port-knocking, il me semble avoir lu un des premiers paper à ce sujet en 2002/2003.)

Après le port-knocking il y a aussi le covert channel: faire passer des informations au travers d'un protocole fait pour autre chose. (On peut par exemple facilement implémenter un accès shell au travers du protocol ICMP.) C'est encore plus difficile à détecter si c'est bien fait. C'est plutôt une technique d'attaquant (insertion d'une backdoor dont l'accès passe par un tel covert-channel) mais en fait ça peut aussi être très utile pour les sys-admin. Il est parfois bon - même souvent - pour un sys-admin d'utiliser les mêmes outils que les attaquants. D'une part parce que ça l'oblige à se mettre au parfum sur les techniques, mais aussi (et surtout à mon avis) parce que ça permet de faire de "l'obfuscating" (assombrissement) sur le comportement du(des) serveur(s). Ce genre d'accès est difficile à détecter pour un sys-admin dont le serveur est attaqué mais aussi par un attaquant si le sys-admin utilise une telle technique pour accéder au serveur. Si ça vous botte, il a encore beaucoup à faire dans ce domaine  :Wink: 

----------

## polytan

Moi, ca me plait  :Very Happy: 

Je vais essayer dès ce soir, si ca ne freeze pas  :Very Happy: 

----------

## titoucha

 *kwenspc wrote:*   

> Après le port-knocking il y a aussi le covert channel: faire passer des informations au travers d'un protocole fait pour autre chose. (On peut par exemple facilement implémenter un accès shell au travers du protocol ICMP.)

 

C'est pas aussi une technique utilisée pour déguiser du p2p lorsque le fai ou un firewall ne le laisse pas passer?

----------

## polytan

Petit forban titoucha, le p2p c'est le mal !!!   :Twisted Evil:   :Twisted Evil: 

----------

## kwenspc

 *titoucha wrote:*   

>  *kwenspc wrote:*   Après le port-knocking il y a aussi le covert channel: faire passer des informations au travers d'un protocole fait pour autre chose. (On peut par exemple facilement implémenter un accès shell au travers du protocol ICMP.) 
> 
> C'est pas aussi une téchnique utilisée pour déguiser du p2p lorsque le fai ou un firewall ne le laisse pas passer?

 

Oui c'est possible, Skype utilise cette technique il me semble.

[edit]

 *polytan wrote:*   

> Petit forban titoucha, le p2p c'est le mal !!!   

 

ça c'est le point de vue des politiques/patrons de majors. Le p2p pour dl le dernier livecd Gentoo, ils oublient. grilled (juste en dessous)

[/edit]

----------

## titoucha

 *polytan wrote:*   

> Petit forban titoucha, le p2p c'est le mal !!!   

 

Et le p2p pour charger les CD de notre distribution ou d'une autre sans pourrir la bande passante du serveur, c'est aussi le mal ?   :Mr. Green: 

----------

## polytan

Je ne veux pas être mauvaise langue, hein, j'ai aussi déja utilisé le p2p, je crois, mais le download de cd/dvd libre n'est pas le plus gros de l'utilisation du p2p.

Quoique un système décentralisé pour les distfiles, ca pourrait etre sympa. Mais vu la capacité des serveurs et des connections internet ...

----------

## titoucha

C'est clair que tu as raison, mais le p2p ce n'est pas que de l'illégal, c'est ce que je voulais souligner, bon je vais terminer là ce off.   :Very Happy: 

----------

## geekounet

Les albums de Jamendo et autres fournisseurs de musique libre sur le P2P, ça concerne pas mal du trafic, et ça n'a rien d'illégal  :Wink: 

Bref, recentrons-nous sur le sujet  :Smile: 

Ça a l'air sympa ce port-knocking, j'y regarderai de plus près à l'occasion ^^

----------

## polytan

Oui, mais ca me fait penser à ces geek fous qui vont jusqu'à envoyer une série de port avec que le 22 leur soit ouvert  :Smile:  A ben c'est ca justement  :Very Happy: .

Une fois, je suis tombé sur une distrib qui allait jusqu'à envoyer des signaux (???) dans le clavier, baisser le contraste de l'écran, envoyer des frames étrange, le tout pour éviter que les hélicopter/satellites de la CIA ne puissent pas savoir ce qui se passe sur la machine.

Bien sûr, les partitions étaient cryptées, le swap écrit 12 fois puis vidé 5.

On ne sait jamais.

----------

## SlashRhumSlashNeisson

Niveau sécurité, je suis aussi un peu en short (on est en été, non   :Cool: ).

J'ai at home 2 portables, tous deux sous gentoo derrière une freebox en routeur.

Réseau cablé, pas de wifi juste du RJ45.

Config en dhcp, pas de firewal ni anti virus.

Dans le kernel, j'ai le minimum nécessaire.

Mise à jour de mes 2 gentoo très régulièrement (2 à 3 fois par semaine).

Ssh installé sur les 2 postes juste pour maintenir le portable (à l'étage) de ma copine via le mien (au rdc).

sshd_config est configuré pour l'utilisation par clé, par user, bref les options classiques sécu.

Je démarre le service uniquement lorsque je fais de la maintenance, je n'en ai pas besoin de l'extérieur.

Cela fait effectivement short, mais je préfère cela, plutôt que de m'embarquer dans un IPTABLE mal configuré.

 :Wink: 

----------

## kwenspc

Tenez, de quoi relancer le débat.

On me demande de tester la sécurité d'un serveur de prod là (sur lequel je n'ai pas la main). 

À part nmap, nessus et quelques fuzzer vous utilisez quoi comme outils?

----------

## Bapt

 *kwenspc wrote:*   

> Tenez, de quoi relancer le débat.
> 
> On me demande de tester la sécurité d'un serveur de prod là (sur lequel je n'ai pas la main). 
> 
> À part nmap, nessus et quelques fuzzer vous utilisez quoi comme outils?

 

nessus bien sûr  :Smile: 

----------

## xaviermiller

et satan ?

----------

## kwenspc

 *XavierMiller wrote:*   

> et satan ?

 

Houlà c'est has-been ça now  :Laughing:  c'est désormais une relique. (fin à ma connaissance ça fait quelques années - largement - qu'il est tombé aux oubliettes)

----------

## polytan

Oui, mais nessus n'est pas libre ...

----------

## kwenspc

 *polytan wrote:*   

> Oui, mais nessus n'est pas libre ...

 

Hum les version 2.x sont libres, pas les dernières (3.x) en effet. Par contre, quelle licence est appliquée sur les version 2.x?

----------

## polytan

Je ne sais pas.

Sur le site qui a l'air super vieux, il n'y a pas trop d'infos :/

----------

## Bapt

 *kwenspc wrote:*   

>  *polytan wrote:*   Oui, mais nessus n'est pas libre ... 
> 
> Hum les version 2.x sont libres, pas les dernières (3.x) en effet. Par contre, quelle licence est appliquée sur les version 2.x?

 

D'après les ebuilds c'est GPL-2

----------

## nico_calais

Y a aussi amap qui est pas mal. Conjointement avec nmap, on peut obtenir pas mal d'infos interessantes.

----------

## polytan

J'ai déjà utiliser wireshark pour voir ce qui se passait sur le réseau, entre autre wifi.

C'est assez sympa pour débugguer une carte wifi, pour savoir ce qui se passe.

anciennement appelé ethereal.

le site de wireshark

----------

## nico_calais

 *polytan wrote:*   

> J'ai déjà utiliser wireshark pour voir ce qui se passait sur le réseau, entre autre wifi.
> 
> C'est assez sympa pour débugguer une carte wifi, pour savoir ce qui se passe.
> 
> anciennement appelé ethereal.
> ...

 

ça reste un outil passif à la base mais pour le peu que le serveur soit un peu "bruyant" dans le réseau et que tu sois sur un port monitoring du même switch que le serveur ou du coeur, tu pourrais obtenir des infos intéressantes.

C'est grâce à Wireshark que j'ai vu que les différentes liaisions entre applicatifs où je bosse utilisent ftp avec user et mdp en clair   :Rolling Eyes: 

----------

## Temet

Perso ou je bosse, ethereal était beaucoup utilisé... et personne n'était au courant que c'était plus ethereal qu'il fallait utiliser mais wiresharks ... ah là là, ces windowsiens, au courant de rien ^^

----------

## Desintegr

Il y a aussi ngrep qui est pas mal. C'est une sorte de grep mais conçu pour les interfaces réseaux.

En tout cas, c'est beaucoup moins usine à gaz que Wireshark.  :Smile: 

----------

## Poch

Pour ngrep, wireshark, iptraf et ce genre d'outils, j'avais trouvé cette page  qui donne un bon (mais limité) aperçu des programmes, de la manière dont ils peuvent être utilisés, etc...

----------

## El_Goretto

 *kwenspc wrote:*   

> Tenez, de quoi relancer le débat.
> 
> On me demande de tester la sécurité d'un serveur de prod là (sur lequel je n'ai pas la main). 
> 
> À part nmap, nessus et quelques fuzzer vous utilisez quoi comme outils?

 

Rassure moi, le serveur de prod, il est pas "en prod" quand tu vas avoir à le tester? ^^

Parce que ya bien un mode "non harmful" pour Nessus, mais j'ai entendu dire que même là, ya des machines "de prod" dont les applis ont pas du tout, mais pas du tout apprécié qu'on leur titille les ports  :Smile: 

----------

## kwenspc

 *El_Goretto wrote:*   

>  *kwenspc wrote:*   Tenez, de quoi relancer le débat.
> 
> On me demande de tester la sécurité d'un serveur de prod là (sur lequel je n'ai pas la main). 
> 
> À part nmap, nessus et quelques fuzzer vous utilisez quoi comme outils? 
> ...

 

Non en effet dans 3 semaines il va l'être, je vais pouvoir y aller comme un bourrin  :Mr. Green: 

----------

## polytan

J'ai bien envie de faire un serveur hardened.

Il y a des difficultés ? Ca diffère beaucoup d'une gentoo plus traditionnelle ?

Seuls les paquets sont plus anciens ou il y a des facons de faire différentes ?

----------

## nico_calais

 *kwenspc wrote:*   

>  *El_Goretto wrote:*    *kwenspc wrote:*   Tenez, de quoi relancer le débat.
> 
> On me demande de tester la sécurité d'un serveur de prod là (sur lequel je n'ai pas la main). 
> 
> À part nmap, nessus et quelques fuzzer vous utilisez quoi comme outils? 
> ...

 

Boh...en même temps, une appli qui supporte pas un ptit nessus ne merite pas de vivre   :Twisted Evil: 

----------

## kwenspc

 *nico_calais wrote:*   

> 
> 
> Boh...en même temps, une appli qui supporte pas un ptit nessus ne merite pas de vivre  

 

Si je dis ça aux clients à propos de TOUS leurs softs, tu crois que ça va passer?

----------

## Temet

Ou de "TOUS leurs softs" ^^

----------

## polytan

Et hop, ca redévie vers le OFF  :Smile: 

----------

## nico_calais

 *kwenspc wrote:*   

>  *nico_calais wrote:*   
> 
> Boh...en même temps, une appli qui supporte pas un ptit nessus ne merite pas de vivre   
> 
> Si je dis ça aux clients à propos de TOUS leurs softs, tu crois que ça va passer?

 

D'une manière plus professionnelle, si un serveur tombe à cause d'un scan de la part de nessus ou d'un autre outil, c'est un gros défaut dans la sécurité informatique qu'il faut pallier par une plus grande rigueur dans la sécurité de l'infrastructure informatique. Ce qui implique :

- PAS DE WIFI (Tant pis pour les patrons qui veulent faire le mariole avec le pc portable dell tout pourris   :Twisted Evil:  )

- Selon la situation, si la sécurité dans un ordre plus générale se doit d'être laxiste, comme dans un batiment public (genre hopital, mairie, etc.), il pourrait même être concevable d'associer une adresse mac au port d'unswitch (donc à une prise réseau), afin d'empecher que n'importe quel petit c** de 14 ans bousille une appli en testant le réseau...

 *polytan wrote:*   

> Et hop, ca redévie vers le OFF 

 

Oui oui je sais, tentative desesperrée de revenir dans le sujet   :Mr. Green: 

----------

## kwenspc

Planté de thread...je sais pas pkoi j'ai posté ça sur celui au sujet de la licence GPLv3. doit etre fatigué

Tenez un projet assez récent: Wapiti --> http://wapiti.sourceforge.net/  il scanne les vulnérabilités web.

----------

## polytan

 *kwenspc wrote:*   

> Planté de thread...je sais pas pkoi j'ai posté ça sur celui au sujet de la licence GPLv3. doit etre fatigué

 

Ca arrive  :Smile: 

----------

## geekounet

Bon alors, comme j'ai un peu de temps pour en parler, je me lance  :Smile: 

Rien de bien extraordinaire par rapport à ce qui a été dit en dessus en fait, je n'ai que mon réseau personnel à protéger, je ne gère pas de réseau d'entreprise  :Razz:  En fait, je suis même un peu laxiste par endroits ...

Donc en fait, chez moi c'est un gros réseau Wifi, crypté en WEP seulement parce que le WPA veut pas passer avec ndiswrapper sur certaines machines (mais j'ai pas grand chose à craindre là où j'habite, donc bon ça passe ...).

Pas de firewall sur les machines internes, pour ce que c'est utile ...

Le server/routeur tourne sous Gentoo/FreeBSD, c'est expérimental donc pas considéré comme securisé, mais je fais confiance à la grande qualité et à la stabilité de FreeBSD  :Wink: . Et le firewall utilisé est bien sûr Packet Filter  :Wink:  De toute façon, comme bapt, je ne supporte pas cet immonde iptables, ça me donnerai des cauchemars, j'espère ne jamais avoir à y toucher ^^

Mon serveur DNS (bind) est chrooté (je devrais faire une jail même comme c'est une FreeBSD, mais sous g/fbsd c'est pas encore ça ...), mais j'ai la flemme de le faire pour le reste (Apache, Postfix, Dovecot en particulier) parce que ça demanderai pas mal de travail pour maintenir tout ça, et aussi de revoir toute la configuration (et puis c'est pas si critique que ça au fond  :Wink:  )

Côté SSH, root login désactivé sur toutes les machines bien sûr, mais l'authentification par clé c'est pas possible pour moi, comme je n'ai pas forcément la clé sur moi quand j'ai besoin de me connecter quand je suis pas chez moi  :Razz:  Tous les users inutiles sont lockés et puis voilà, je trouve ça suffisant.

Pour contrer les attaques bruteforces sur SSH, j'utilisais auparavant une règle PF du genre de ce qu'à donné bapt précédemment, mais j'ai fini par en avoir marre de me retrouver banni moi même quand je me connectais 3 fois de suite trop rapidement, donc j'ai cherché une autre solution qui se base sur l'analyse des logs. Et donc je suis tombé sur sshguard que j'utilise depuis hier (je poste maintenant justement parce que je voulais en dire 2 mots  :Wink: ). En fait, il suffit de configurer le syslog pour donner les facilities auth et auth_priv à parser au daemon sshguard (lancé par le syslog lui-même), et c'est tout  :Smile:  On peut lui spécifier le nombre de connexions ratésà compter, combien de temps attendre avant de les oublier, le temps pendant lequel une ip est bannie, et aussi avoir une whitelist. Mon exemple avec PF et syslog-ng (il y en a d'autres dans le README et le man) :

```
table <sshguard> persist

block in quick on $ext_if from <sshguard>
```

```
destination sshguardproc {

  program("/usr/sbin/sshguard -a 3 -p 3600 -s 600 -w /etc/sshguard_whitelist"

      template("$DATE $FULLHOST $MESSAGE\n"));

};

filter f_auth { facility(auth, authpriv); };

log { source(src); filter(f_auth); destination(sshguardproc); };
```

Recharger les règles PF et syslog-ng et voilà  :Wink:  Simple et efficace c'est tout ce que j'aime ^^

Et sinon pour le reste, j'ai tendance à privilégier le SSL/TLS un peu partout : Apache/SVN, Postfix, Dovecot, etc. j'aime pas que mes mots de passe passent en clair ^^

Côté mot de passe justement, 12 caractères minimum, avec plein de lettres, chiffres, symboles, etc. et je me met aussi en ce moment aux grandes phrases, c'est plus simple à retenir bien que plus long à taper.

On peut aussi noter que la sécurité passe aussi par l'utilisation de protocoles ouverts, fiables et sécurisés, comme Jabber par exemple que je privilégie puisqu'il permet de faire plein de choses au délà de l'IM. J'évite les protocoles fermés (le seul que j'utilise doit être MSN mal heureusement :/ ) parce qu'on ne les controle pas, on ne sait pas comment ils marchent et donc on ne peut pas y faire confiance.

Voilà, je crois que c'est tout ce que j'ai à dire à ce propos  :Smile: 

----------

## polytan

Je suis d'accord avec toi, mais as-tu pensé à n'utiliser que jabber et passer par des serveurs passerelle pour les autres protocols ?

Je n'ai pas encore fait le pas personnellement, je crois qu'avec pidgin ca ne marche pas encore super bien :/

----------

## geekounet

 *polytan wrote:*   

> Je suis d'accord avec toi, mais as-tu pensé à n'utiliser que jabber et passer par des serveurs passerelle pour les autres protocols ?

 

Oui, je l'ai fait pendant quelques mois, mais ça plantait trop  :Confused: 

EDIT:

 *polytan wrote:*   

> Je n'ai pas encore fait le pas personnellement, je crois qu'avec pidgin ca ne marche pas encore super bien :/

 

Ya que Psi et Gajim qui savent gérer les transports  :Wink: 

----------

## nico_calais

Bon bah moi, j'ai du boulot perso dans ce domaine actuellement. J'ai completement revu mon réseau ce week-end. 

Attention ! Ma topologie risque de choquer les téléspectateurs les plus sensibles..biiiiippp...  :Mr. Green:  

En tête de ligne, j'ai ma cretin box qui est en mode bridge. Elle agit donc comme un simple modem ethernet. Néanmoins, elle reste accessible au 192.168.1.1. J'ai aussi désactivé le wifi de la boite.

Un ordi sous freebsd est  le "coeur" de ce réseau. Il fait office de...point d'accès. L'histoire serait trop longue pour vous dire pourquoi j'en suis arrivé là...mais allons, histoire de s'enfoncer, je suis en ...wep 128...  :Embarassed:  .

Ma carte wifi supporte le master mode sous freebsd (et non sous linux, d'où en partie la migration) mais ne supporte pas le wpa. Bref....si j'avais un prof de sécu à l'heure actuelle, je me ferai sûrement frapper.

Pour pallier à ça, j'ai donc mis en place un firewall aussi bien restrictif de l'exterieur que de l'interieur. J'ajoute que c'est la première fois que je met en place un firewall. Ayant toujours eu des routeurs/modems, j'en ai jamais eu besoin. Et c'est en partie pour ça que j'ai 'ailleurs tout cassé ce week-end   :Wink:  . J'ajoute que j'ai utilisé fwbuilder pour construire mes règles et j'utilise PF comme firewall.

Tout est bloqué par défaut.

Règles de l'exterieur :

Le ssh du freebsd n'est accessible que du taf (addresse IP fixe) via le port 443 (Restrictions firewall du taf).

Règles de l'interieur :

J'ai 2 portables qui sont donc naturellement tous les 2 connectés en wifi via addresse IP fixe.

Le macbook a l'autorisation de se connecter en ssh sur le serveur.

Le PC sous windows a l'autoisation de se connecter sur le port 26000 et à l'addresse IP du serveur de Eve Online (Un on jeu).

Les 2 postes ont accès au web (ports 80 et 443).

Si d'autres postes viennent à se connecter sur le réseau, ils n'auront donc accès à rien.

Il ne me reste plus qu'un truc qui me gêne. C'est que si jamais quelqu'un craque ma clé wep, peut sniffer mon traffic. ici y aura que l'http principlement mais bon...Alors je me suis rappellé que ipv6 integrait nativement l'ipsec. 

Alors je me dis bêtement que si je peux utiliser l'ipv6 dans mon lan, j'aurai plus ce problème et que donc, si un mec me crak ma clé, d'une part, il n'aura aucune donnée en clair et d'autre part, il n'aura accès à rien. 

Heu...bah voilà..

----------

## polytan

Je ne sais pas comment on met en place un réseau privé IPv6.

J'imagine que ca ne doit pas être bcp plus dur qu'un en IPv4...

----------

## kwenspc

Grosse question:

La sécurité passe aussi par les logs: leur enregistrements et leur analyse.

Pour ma part c'est syslog-ng mais je le trouve finalement pas si génial. Je m'explique: pour les logs courants (auth.log, dameon.log ...) ça va, mais dès qu'on entre dans les logs un peu plus "exotiques" genre mysql, apache, et mêmes des soft "mal fait" (softs clients...) on se retrouve avec une foultitude de fichiers logs mais non pris en charge directement par syslog-ng (et aucun autre d'ailleurs), tout ça parce que "c'est tellement plus mieux d'ouvrir un fichier dans /var/log et d'y écrire comme un porcs les logs"  :Confused: 

Une bidouille récupérée sur ce forum même m'a permis de récupéré ces logs "exotiques" via la simple construction d'un pipe. On creer le fichier log en tant que fichier pipe (mkfifo) et on fait en sorte que l'appli écrit dans ce pipe tandis que syslog-ng récupère le tout. 

Problème: ça va pour 2-3 fichiers, mais ça devient super chiant quand on a des grappes de serveurs avec tout un tas de softs différents, des tonnes de fichiers logs à la noix. Sans parler du fait que syslog-ng ne sait pas de lui même retrouver le nom du service donc faut mettre ne place des filtre pour pouvoir ensuite bien enregistrer es fichiers là où il faut sur le serveur de log (oui je log tout sur un serveur à haute capacité de données, bien redondant et tout)

Bref: c'est pas la joie. Je me suis pas encore pris par la main pour aller voir d'autre solutions après... 

Côté analyse pour le moment ça reste très basique, pour ce qui est des logs "normaux" (auth, dameon...) j'utilise phpsyslog-ng mais le gros défaut c'est que ça duplique les logs vu qu'il les enregistre dans une bdd mysql (d'ailleurs il rame à mort mysql dès lors qu'on arrive à une bdd bien énorme fin bref, j'aurais préféré du postgre). Et les autres fichiers sont tous bien uniques en leur genre (format différents etc...) bicoze soft clients inside. Pas la joie non plus.  :Neutral:  (en même temps je suis pas sys-admin, ni payé pour - avec les responsabilités que ça implique - donc j'ai fait le strict-minimum pour que ça tourne mieux que ce qu'il y avait à la base)

Et vous quelles solutions utilisez-vous?

----------

## -KuRGaN-

Une autre petit astuce pour la sécurité, c'est distribuer les fichiers de configuration sensibles par cfengine tout les quarts d'heure par exemple. En effet, en plus d'apporter une solution de gestion de configuration très souple cela permet de vérifier que c'est bien notre fichier qui est  en place et pas un autre. De plus, il est très facile de configurer cfengine pour qu'il redémarre des processus qui ont planter ou on été planter.

Ajouter à cela un petit zabbix configurer aux petit oignons histoire d'envoyer un sms assez rapidement lors d'un souçis sur des configurations sensibles, cela permet de gérer efficacement et rapidement le problème.

Ensuite, avec un bon syslog-ng, car comme l'a dit kwenspc, les logs sont très important, donc le mieux est d'avoir un serveur de log qui récupère tout  sur les autres serveurs, enfin, que les serveurs envoient tout sur un serveurs de log en fait   :Wink:  . Ca permet de rendre l'effacement de log un peu plus difficile pour les petits malins.

Et une dernière chose concernant les logs, pour les serveurs dmz surtout, avec iptables, logger aussi ce qui passe, par "services" par exemple, ça peut toujours être utiles en cas d'intrusion, histoire de boucher le trou si on peut.

Et maintenant une dernière chose, cette fois-ci, promis c'est vraiment la dernière, si vous pouvez, virtualiser vos serveurs histoire d'avoir le moins de services possible qui tournent sur le même os, et l'os hôte ne doit gérer que la virtualisation et rien d'autre, car c'est l'os le plus sensible sur un système virtualiser.

Et voilà, j'ai fini ma vision de la sécurité, enfin ce qui me vient à l'esprit, en espérant n'avoir pas trop raconter de conneries   :Laughing: 

Bonne soirée.

----------

## Temet

Hey Geekouboss, ça fait deux semaines  :Wink: 

----------

## geekounet

 *Temet wrote:*   

> Hey Geekouboss, ça fait deux semaines 

 

Et personne n'a encore rien proposé pour le nouveau DOW, donc j'attend des suggestions moi  :Razz: 

----------

## -KuRGaN-

 *geekounet wrote:*   

>  *Temet wrote:*   Hey Geekouboss, ça fait deux semaines  
> 
> Et personne n'a encore rien proposé pour le nouveau DOW, donc j'attend des suggestions moi 

 

Allez je me lance, mais celui est facile, je viens d'en parler dans ce débat, gestion centralisée de configuration   :Razz: 

----------

## blasserre

 *Temet wrote:*   

> Hey Geekouboss, ça fait deux semaines 

 

maiheuuu ! personne n'a parlé de l'utilité de désactiver le compte root (cf ubuntu)

ça sert à quelque chose ça ? à part à connaitre la syntaxe d'/etc/sudoers par coeur ?

j'ai d'ailleurs jamais vraiment compris l'utilité de sudo (oui je sais je suis très con puisque je l'utilise...) 

ne pas taper le mdp root pour éviter les keyloggers ? 

dispatcher les différentes taches d'admin sur des users spécifiques ?

----------

## kopp

Perso je trouve pas que le fait de ne pas taper le mdp root soit plus sécurisé. Autoriser un utilisateur à effectuer des actions avec les droits de root, je trouve que ça enlève tout l'intérêt du compte root...

----------

## xaviermiller

oui, à part pour lancer des instructions du genre "shutdown", je ne vois pas trop l'utilité de sudo...

Par contre, j'aime bien les Su-doku

----------

## anigel

 *kopp wrote:*   

> Perso je trouve pas que le fait de ne pas taper le mdp root soit plus sécurisé. Autoriser un utilisateur à effectuer des actions avec les droits de root, je trouve que ça enlève tout l'intérêt du compte root...

 

Oui et non. Dans certains cas bien précis ça permet une plus grande souplesse. Pour prendre l'exemple que je connais le mieux (le mien), j'ai eu le cas récemment d'un collègue très compétent, mais non titulaire de son poste, qui n'avait pas, légalement parlant, le droit d'accès aux comptes des usagers. Pourtant ce collègue était en charge de la gestion des comptes. Il devait pouvoir les créer, les supprimer, et les déménager. 3 commandes auxquelles je lui ai donné accès via sudo. Je te l'accorde, c'est vraiment pile-poil l'exemple qu'il fallait pour prouver que ça peut être utile. Mais dans la majorité des cas effectivement, mieux vaut taper le mdp.

EDIT : je ne résiste pas... maintenant que je ne suis plus modo...

 *XavierMiller wrote:*   

> Par contre, j'aime bien les Su-doku

 

Quand tu as le nord en face de toi, tu as le sudoku... Voilà, ça, c'est fait !  :Laughing:  

----------

## kopp

 *anigel wrote:*   

> 
> 
> EDIT : je ne résiste pas... maintenant que je ne suis plus modo...
> 
>  *XavierMiller wrote:*   Par contre, j'aime bien les Su-doku 
> ...

 

Eh bien, tu te laisses aller Ani !  

Pour en revenir à sudo, je t'accorde que c'est l'exemple parfait. Par contre, l'utilisation comme dans le cas d'Ubuntu n'est pas justifiée, si ce n'est pour ne pas brusquer les utilisateurs avec les idées de compte root etc. Enfin, parler de ça risque de lancer un troll sur Ubuntu, bien qu'ici, on sera certainement tous dans le même camp  :Wink: 

----------

## Temet

Perso, taper "sudo" devant chaque commande ça me gonfle!

Quand je me suis retrouvé devant la Kubuntu d'un mec (qui captait rien, un noob (c'est pas péjoratif, faut bien commencer))... la première chose que je me suis demandé c'est comment être en root. Bon bah j'ai voté pour "sudo su" ... ça a marché   :Laughing: 

----------

## kopp

sudo bash marche aussi il me semble.

----------

## Bapt

 *Temet wrote:*   

> Perso, taper "sudo" devant chaque commande ça me gonfle!
> 
> Quand je me suis retrouvé devant la Kubuntu d'un mec (qui captait rien, un noob (c'est pas péjoratif, faut bien commencer))... la première chose que je me suis demandé c'est comment être en root. Bon bah j'ai voté pour "sudo su" ... ça a marché  

 

sudo -i

----------

## blasserre

loin de moi l'idée de lancer un troll, mais je pensais que cette histoire de suppression de root avait un intérêt plus profond que le simple fait de ne pas effrayer les n00bs avec un compte root comme le soulignait kopp.

donc pour résumer : vous l'utilisez sudo ou pas ? 

perso je l'utilise sans pass pour syncer (eix-sync, layman)

et avec pas pour emerge et revdep-rebuild

.... et je suis toujours emmerdé pour ajouter une ligne dans /etc/portage/* ou faire un petit dispatch-conf

(je sens venir les sudoedit et autres groupes portage...)

----------

## nonas

$ sudo

bash: sudo: command not found

Quand j'ai de l'administration à faire je "su" depuis mon utilisateur qui est dans le groupe wheel et c'est tout. (même pour éteindre la machine)

----------

## yoyo

 *Temet wrote:*   

> Perso, taper "sudo" devant chaque commande ça me gonfle![snip]comment être en root. Bon bah j'ai voté pour "sudo su" ... ça a marché  

 Oui mais ça ne te dispenses pas du "sudo".  :Smile: 

Pour ça, un petit "sudo passwd" pour générer le password du compte root une fois pour toute et hop un simple "su" et tu deviens root.  :Wink: 

Donc amha ça n'est pas une question de sécurité le fait d'utiliser sudo sur k/x/e/unbuntu. Peut-être une piqure de rappel à l'utilisateur pour qu'il fasse attention à ce qu'il fait (non j'ai jamais tapé "rm -Rf /*" à la place de "rm -Rf ./*"   :Laughing:  ).

Et je trouve que c'est déja une faille que le compte administrateur est un nom (et généralement un UID) défini par défaut : s'il y a un compte à craquer c'est forcément "root" (UID : 1000).  :Mr. Green: 

----------

## Temet

 *yoyo wrote:*   

> Et je trouve que c'est déja une faille que le compte administrateur est un nom (et généralement un UID) défini par défaut : s'il y a un compte à craquer c'est forcément "root" (UID : 1000). 

 

Pareil.  :Wink: 

----------

## strataoide

 *Quote:*   

> Et je trouve que c'est déja une faille que le compte administrateur est un nom (et généralement un UID) défini par défaut : s'il y a un compte à craquer c'est forcément "root" (UID : 1000). 

 

Quelque part, c'est un bon argument pour l'utilisation de sudo, ça!!!  :Mr. Green: 

J'imagine Kevin M., scriptkid de 15 ans qui essaye de retrouver le compte root sur une ubuntu. Pas de bol, il est désactivé, bon alors, c'est qui le sudo parmi  les 15 utilisateurs de la machine?   :Laughing: 

----------

## Dismantr

Mais... On peut changer l'UID d'un utilisateurs donc pourquoi ne pourrait-on pas changer celui de root ? C'est pas possible ?   :Confused: 

----------

## kopp

 *strataoide wrote:*   

> 
> 
> J'imagine Kevin M., scriptkid de 15 ans 

 

Je suppose que ce nom n'est pas choisi au hasard ?  :Smile: 

----------

## strataoide

Non bien sur!!! C'est en hommage au site gay freekevin.   :Very Happy: 

http://uncyclopedia.org/wiki/Free_Kevin

http://uncyclopedia.org/wiki/Reality_Distortion_Field

bon je   :Arrow: 

----------

## sd44

salut !

je me permet d'orienter ce post sécurité vers le monitoring des logs (et perf ?)

je suis interressé si vous avez des progs sympa pour centraliser les log et autres(perf, graphique, etc), car l'idée vous l'aurez compris c'est d'avoir une machine sur le réseau qui surveille un peu tout ça (genre un petit ecran a coté de soi)

any idéa ?

----------

## sd44

up 

personne centralise ses logs ? ou monitoring ?

----------

## nico_calais

J'ai une machine qui fait un peu ça au taf...Elle se trouve sur un port du coeur de réseau qui est mis en monitoring.

Sur la machine, y a un ntop qui tourne. Il permet d'avoir une vue très générale du traffic qui passe ainsi que les machines qui ont emis ce traffic. Cela a permis de connaitre les heures, ainsi que les jours de pointe au niveau du traffic réseau. On a aussi pu diminiuer tout ce qui etait multicast, particulierement emis par nos imprimantes réseau. Un très bon outil pour savoir ce qui se passe sur son réseau.

Y a bien entendu un nagios (oreon) qui lui va plus se concentrer sur les serveurs et services les plus importants. En plus de donner l'etat actuel de ces derniers, il donne aussi pas mal de graphs interessants.

Pour parler plus de securité à proprement dit, il y a snort avec base pour un accès web. J'y mettrai pas ma main au feu. Bien que j'ai essayé de configurer snort au mieux, j'ai quand même peu d'experience là dessus. Mais ça fonctionne. ça m'est déjà arrivé de scanner certains serveurs, voir faire un ptit audit grandeur nature à coup de nessus et snort a clairement reperré les scans. 

Il y a aussi un wireshark (obligé) pour sniffer tout le traffic réseau...ça a entre autres permis de voir qu'un prestatiaire faisait tournait un ftp dans le vide sur le serveur d'un autre prestataire. C'etait en fait un test de liaison mais moi, j'etais pas au courant...Cela m'a aussi ouvert les yeux à quel pint beaucoup d'applications ne securisaient pas l'envoi de leurs données...Sinon, cela permet aussi de voir pas à pas le traffic d'une machinne à un serveur par exemple afin d'essayer de déterminer s'il y a un pb réseau ou autre.

Il y a enfin des outils à la con comme nmap pour scanner une machine dont on pourrait avoir un "doute", nbtscan qui scanne les machines utilisant le protocole netbios et nous fait une belle petite liste avec le nom du user, le nom de la machine et l'addresse IP.

Le monitoring concerne surtout les 3 premiers points...

Sinon pour les logs, la solution toute bête dans un premier temps serait d'avoir quelques terminaux sur un bureaux connectés au(x) serveur(s) important(s) avec coup de tail -f etc...

----------

## technick

Bonjour à tous,

A vous lire je me rend compte du chemin qu'il me reste à parcourir sous linux, neanmoins je me permets de vous signaler que la securité informatique c'est aussi :

La securité physique des machines (porte fermée, systeme anti incendie, clim, etc...)

La securité physique des données (raid 5)

La securité logique des données (sauvegardes regulières, eloignement physique des sauvegardes)

La securité sur les alimentations electriques, des lignes de transmisions, etc..

ET un plan en cas de sinistre (impact, couts, etc...)

Bref, iptable ou pas, un vol du serveur est tout aussi possible qu'un vol de données  :Wink: 

JCB (un autre  :Smile: 

----------

## sd44

merci nico de ta reponse

j'ai installer ntop recement et ca a l'air pas mal, moi j'utilise surtout autoscan (http://autoscan.fr) pour voir tout les poste de mes different reseaux d'un click ainsi que les ports ouverts sur les machie etc, autoscan comporte aussi un client nessus et samba.

autoscan a aussi une fonction de notification pour savoir en permanance si une machine s'eteind et une fonction alerte anti-intrusion pour detecter les machines nouvelle qui se brancherai sur le reseau ...

niveau des logs je me tate pour essayer syslog en reseau et centraliser mes log sur une machine special

----------

## gglaboussole

 *nico_calais wrote:*   

> Sinon pour les logs, la solution toute bête dans un premier temps serait d'avoir quelques terminaux sur un bureaux connectés au(x) serveur(s) important(s) avec coup de tail -f etc...

 

il ya encore mieux que tail -f : multitail

http://www.vanheusden.com/multitail/index.html

Dispo dans portage il permet d'avoir plusieurs tail -f dans un seul terminal...et de coloriser les entrées 

Perso il tourne toujours sur un bureau "réservé logs" ou je vois en "live" /var/log/messages  mais aussi mes logs de serveur ftp etc...

----------

## nico_calais

Je vais matter ça tiens   :Wink: 

Je n'y avais pas pensé sur le coup, mais pourquoi ne pas utiliser aussi des gkrellms ou conky que l'on affiche sur un ecran dedié à coup de ssh -X

Je pense que c'est faisable chez soi où le nombre de machine est généralement restreint. ça l'est peut être moins en prod surtout selon la criticité des machines où l'on va peut être pas installer trop de caca   :Rolling Eyes: 

----------

## geekounet

Plutôt que faire des SSH sur les machines à surveiller, le mieux est quand même de centraliser les logs en réseau par syslog-ng vers une machine dédiée, et monitorer avec celle là. Tu duplique aussi vers la tienne, et comme ça, plus besoin des SSH et tout.

Après pour surveiller les machines, je préfère plutôt un rapport journalier (qui pourrai être plus fréquent) sur ce tout ce qui a bougé sur la machine en 24h  :Smile:  J'ai découvert que la FreeBSD a de base une série de scripts qui font tout ça (periodic), et c'est bien pratique  :Smile:  Je reçois 2 mails de rapport chaque soir qui m'indiquent l'état des disques, du réseau, du firewall, les tentatives ratées de login, les modifications des fichiers /etc/passwd et /etc/group, les fichiers en u+s supplémentaires, les failles de sécu découverte ce jour, et j'en passe ...  :Smile: 

----------

## sd44

ca a l'air pas mal ça !

si quelqu'un connait un prog sous gentoo pour ca je suis interessé !

----------

## Alexis

```
sys-apps/logwatch
```

ça fait un peu ce genre de choses. Faudrait ptet lui rajouter des modules pour faire les glsa-check par ex.

----------

## anigel

 *geekounet wrote:*   

> J'ai découvert que la FreeBSD a de base une série de scripts qui font tout ça (periodic), et c'est bien pratique  Je reçois 2 mails de rapport chaque soir qui m'indiquent l'état des disques, du réseau, du firewall, les tentatives ratées de login, les modifications des fichiers /etc/passwd et /etc/group, les fichiers en u+s supplémentaires, les failles de sécu découverte ce jour, et j'en passe ... 

 

J'avais entrepris il y a déjà un moment de porter ces scripts très utiles vers Gentoo. Mais du temps a passé, et je suis encore loin du résultat que je voulais obtenir, par manque de temps principalement. Je viens d'uploader quand même les bricoles déjà opérationnelles, si des fois ça peut aider : le glsa-check dont parle Alexis plus haut fonctionne très bien, par exemple.

----------

## Tom_

Vraiment interessant ce thread!

J'ai une petite question ... Est-ce que certains d'entre vous utilisent le projet "hardened" sur des desktop ? Si oui, est-ce que ca a des conséquences au niveau de l'utilisation (en dehors de l'aspect sécurité)? 

Merci d'avance.

----------

