# [sécurité coté client] les bonnes mesures

## amroth

Bonjour,

J'aimerais savoir comment vous gérez la sécurité de votre gentoo, plus particulièrement pour un pc personnel (non pour un serveur car j'en ai pas !), l'usage de ma gentoo étant : surf, programmation, chat .... puis toutes les autres applications qui peuvent servir (ma gentoo étant en train de remplacer totalement windows chez moi....j'ai flanqué vista par la fenetre....)!

Seulement sous windows, on parle de pare-feu, d'antivirus, anti-spyware....

Sous linux, un antivirus n'a pas l'air d'être indispensable, et selon la doc "il vaut mieux ne pas avoir de pare feu que d'un pare-feu mal configuré",

Quelles sont selon vous les bonnes mesures pour avoir une gentoo bien protégée ?

Merci !Last edited by amroth on Fri Aug 29, 2008 9:13 am; edited 1 time in total

----------

## bouleetbil

salut,

https://forums.gentoo.org/viewtopic-t-278513-highlight-securite.html

et à l'époque j'avais envoyé ceci : https://forums.gentoo.org/viewtopic-t-439422-highlight-ssh.html

Sinon une petite recherche dans la section documentation devrait t'apporter pas mal de réponse   :Wink: 

----------

## amroth

Merci beaucoup!

J'ai deja commencé à regarder et il n'y a pas mal de lecture! Mais ca en vaut la peine   :Smile:   !

----------

## El_Goretto

Le gros avantage avec Gentoo c'est aussi que tu n'as que ce que tu as demandé sur ton système. 

Les tripotées de démon à la kikoolol qu'on retrouve dans des distros comme une Ubuntu, ben si tu ne les mets pas, c'est déjà çà de gagné...

Un firewall c'est bien, un quenelle et un système à jour c'est bien, et le strict minimum comme services en écoute sur ta machine, c'est encore mieux. Le principe c'est de diminuer la surface d'attaque en quelque sorte, because (s)it happens, donc ne pas uniquement se reposer sur son firewall (à supposer qu'il soit bien configuré, déjà).

Puis selectionner avec soin ses softs "clients" aussi c'est important. Par exemple, j'utilise flash (version adobe) sous linux, et c'est trèèèèèèèès mal. :/ Un jour, je regarderai les alternatives, un jour...

--

edit: spécifie "sécurité côté client" dans ton titre, ou quelque chose du genre, STP, car sinon ya fatalement un furieux qui va te proposer des trucs basés sur le projets Gentoo Hardened, et c'est plutôt pour des serveurs  :Wink: 

----------

## yoyo

Bonjour,

Les bonnes mesures sont déjà de ne pas donner les droits root à tout le monde et de protéger les accès à certains dossiers pour les users : j'ai connu une personne qui pour supprimer des programmes (dans windows) allait effacer le dossier correspondant dans "Programs Files"; forcément à chaque reboot de sa machine il avait un paquet de fenêtres d'insultes indiquant que le programme était introuvable etc.

Enfin cette remarque est juste là pour illustrer qu'une bonne "formation" des utilisateurs est LE point essentiel quand on parle de sécurité sur un poste client amha (ne pas cliquer sur tous les liens qu'on reçois par mail par exemple est un bon début).

Ensuite, d'autres répondront (ont répondus) certainement mieux que moi : un minimum de ports ouverts avec un soft pour écouter derrière pour réduire les possibilités d'attaques. Un système mis à jour régulièrement aussi etc.

Par contre, l'argument "il vaut mieux ne pas avoir de pare feu que d'un pare-feu mal configuré" me parait injustifié. Le cryptage WPA et la restriction d'adresse mac restent perméables, il est donc inutile de les utiliser ?

En plus dans le sous-forum tu trouveras des fichiers de configuration du pare-feu iptables. Une bonne base pour commencer.

Personnellement, j'utilise un petit soft bien sympa développé par un ancien (qu'on ne voit plus d'ailleurs) : fail2ban. En gros il réduit (supprime) les risques d'attaques type "bruteforce" : selon la config choisie, il bannit t temps les ips n'ayant pas réussies à se connecter au bout de x tentative. Un peu comme les distributeurs de billets qui te grillent ta carte si tu oublie ton code plus de 3 fois. En général, les scripts "bruteforce" vont voir ailleurs s'ils prennent un "timeout".

[OFF] :  *El_Goretto wrote:*   

> Par exemple, j'utilise flash (version adobe) sous linux, et c'est trèèèèèèèès mal. :/ Un jour, je regarderai les alternatives, un jour...

 il y a un fil qui en parle justement dans le forum Gentoo on AMD64 : 64bit flash player exists.

[/OFF]

----------

## amroth

Merci beaucoup pour vos réponses !

J'utilise aussi flash.... hum hum je vais rapidement jeter un cou d'oeil sur le lien,

Qu'est ce qu'un quenelle ? Je n'ai jamais entendu ce terme .... 

Sinon , pour l'argument sur le pare feu , ca ne vient pas de moi   :Smile:  c'est juste que dans la doc il est écrit :

 *Quote:*   

> La plupart des gens pensent qu'un pare-feu est la réponse ultime aux problèmes de sécurité. Ils ont tort. 
> 
> Dans la majorité des cas, avoir un pare-feu mal configuré présente plus de dangers de sécurité que de ne pas en avoir du tout.

 

Oé bon, ne pas suivre la doc à la lettre ...

Mais je vais utiliser tous les liens et conseils que vous m'avez donné pour faire du mieux que je peux  !

----------

## billiob

quenelle -> kernel, noyau

Bein sûr, comme les autres intervenants l'ont signalé, un système bien mis-à-jour, et juste le minimum des applications utiles installé dessus. 

Ne pas oublier de faire des sauvegardes régulièrement.

----------

## apocryphe

Moi en ce qui me concerne j'applique une seul règle draconienne pour la sécurité informatique: "sécuriser seulement si nécessaire"

la sécurité coute cher ( en prix, en temps, en personne compétente)...

selon ce concept / précepte , sur un poste client il n'y aucun besoin légitime de sécurité, donc tu peux tourner en full root si ca te chante  :Smile:  (d'ailleur je peux te confirmer qu'il n'y a pas de souci à le faire... la peur instituée par les "biens pensants" qui pensent selon moi plutôt mal n'a pas lieu d'être...)

la sécurité ce n'est pas une idée technique mais conceptuelle !

après cela ne s'appel pu de la sécurité... mais plutôt de la curiosité intellectuel...

----------

## yoyo

 *apocryphe wrote:*   

> la sécurité coute cher ( en prix, en temps, en personne compétente)... 

 Globalement, pour des particuliers, je partage ton avis; mais amha un minimum d'efforts (de temps) permet d'éviter un maximum de risques (toutes les attaques par robots en particulier).

 *apocryphe wrote:*   

> selon ce concept / précepte , sur un poste client il n'y aucun besoin légitime de sécurité, donc tu peux tourner en full root si ca te chante  (d'ailleur je peux te confirmer qu'il n'y a pas de souci à le faire... la peur instituée par les "biens pensants" qui pensent selon moi plutôt mal n'a pas lieu d'être...)

 Mais tu te places dans le cas d'un poste mono-utilisateur (ou avec quelques utilisateurs suffisamment "responsables").

Et quand bien même être "root" en permanence c'est comme jouer avec le feu : une mauvaise frappe et tu risques de détruire ton système. Par exemple un "rm -R ./" remplacé par un "rm -R /'. L'erreur est humaine, il est donc humain de chercher à minimiser sa portée.  :Wink: 

Bien sûr, cette erreur peut-être faite après un "su -" mais personnellement quand je tape mon mot de passe "root" je fais davantage attention à ce que je vais faire (de même le fait d'avoir un prompt rouge) : ça ne sera pas du même ordre que de lancer firefox ou kino ...

Mes 0.02 cents,

Enjoy !

----------

## skiidoo

 *apocryphe wrote:*   

> selon ce concept / précepte , sur un poste client il n'y aucun besoin légitime de sécurité, donc tu peux tourner en full root si ca te chante :) (d'ailleur je peux te confirmer qu'il n'y a pas de souci à le faire... la peur instituée par les "biens pensants" qui pensent selon moi plutôt mal n'a pas lieu d'être...)

 

Ça c'est ce qu'il ne faut pas faire en terme de sécurité : ignorer un des principes de base des UNIX-like.

Ce n'est pas parce que il ne t'es rien arrivé (à toi|encore) que c'est un principe inutile...

Selon ton concept, il est préférable de remplacer sa politique de sécurité par une politique de sauvegarde, et tant pis si on fait n'importe quoi, vu que c'est un poste personnel les données ne sont pas importantes.

Comme le sous-entend yoyo, la sécurité ça ne se limite pas à la défense contre les actions malveillantes, ça englobe aussi la prévention de tout évènement fâcheux, et ceux-ci peuvent provenir d'un utilisateur bien intentionné et de confiance...

----------

## amroth

Bonsoir,

Veuillez m'excuser de répondre aussi tard, mais les cours ayant repris, je n'ai plus beaucoup de temps.

Merci beaucoup à tous pour vos réponses, je vais m'occuper de tout ca le plus vite possible!

----------

## lesourbe

je pense qu'y'a un tas de paranos dans le coin, ... (d'ailleurs je les salue bien bas, mes confrères...)

un utilisateur unique derrière un routeur qui fait pas de trucs à risque ... il a pas besoin de conseils de sécurité.

----------

## amroth

Bon je suis utilisateur unique, et je ne fais pas de trucs a risque.....

MAIS, comme disait apocryphe, cela est de la curiosité intellectuelle,

Et puis c'est quand même mieux de savoir comment sécuriser sa gentoo (au cas ou ...)

et puis d'utiliser des petits principes de base pour éviter des grosses bétises!

----------

## skiidoo

 *lesourbe wrote:*   

> un utilisateur unique derrière un routeur qui fait pas de trucs à risque ... il a pas besoin de conseils de sécurité.

 

Pas besoin de routeur ni même d'internet pour faire un rm -rf / ou n'importe quelle commande dangereuse, pour glisser un fichier là où il fallait pas parce que la souris a rippé, ou n'importe quoi d'autre qui sans être root aurait été refusé.

Les problèmes de sécurité ne viennent pas *que* de l'extérieur ni des autres, il y a un PEBKAC en chacun de nous.

----------

## -KuRGaN-

 *skiidoo wrote:*   

> Les problèmes de sécurité ne viennent pas *que* de l'extérieur ni des autres, il y a un PEBKAC en chacun de nous.

 

Ouai mais plus chez les "autres" quand même hein !!!

OK je sors   :Laughing: 

----------

## lesourbe

 *skiidoo wrote:*   

>  *lesourbe wrote:*   un utilisateur unique derrière un routeur qui fait pas de trucs à risque ... il a pas besoin de conseils de sécurité. 
> 
> Pas besoin de routeur ni même d'internet pour faire un rm -rf / ou n'importe quelle commande dangereuse, pour glisser un fichier là où il fallait pas parce que la souris a rippé, ou n'importe quoi d'autre qui sans être root aurait été refusé.
> 
> Les problèmes de sécurité ne viennent pas *que* de l'extérieur ni des autres, il y a un PEBKAC en chacun de nous.

 

les outils de sécurité doivent répondre à un besoin de sécurité. Comprendre qu'il n'y a pas besoin de firewall là où, ben ... y'en a pas besoin est déjà un "pas" dans la compréhension de la "sécurité des systèmes informatiques".

----------

