ubuntu-fr

Communauté francophone des utilisateurs d'Ubuntu

[[securite]]

Piste: » securite


Sécurité

Notions de base

Voici quelques liens particulièrement intéressants :

Ces articles sont assez complets et permettent d'entrevoir les problématiques liées à la sécurité informatique. Entre autres notions de base expliquées dans les liens ci-dessus, voici les points les plus importants :

  • La sécurité comporte un aspect psychologique et un aspect objectif
  • L’approche objective de la sécurité s’intéresse aux causes (anglais : security) et aux effets (anglais : safety)
  • La notion de sécurité met en relation les milieux technique et humain : elle touche directement la formation des personnes.
  • La sécurité augmente avec la connaissance et diminue avec l’ignorance : tout ce que je ne sais pas mais que les autres savent est un danger potentiel.
  • La sécurité d'un système d'information est égale à celle de son maillon le plus faible.
  • Il convient d'adapter les mesures de protection aux risques encourus

Applications dédiées à la sécurité

Applications dédiées à la sécurité classées par catégorie.

La sécurité en informatique est un terme très large et souvent elle est assurée par la mise à jour de vos applications et d'Ubuntu. Normalement Ubuntu recherche les mises à jour tout seul, mais si vous voulez vérifier manuellement cliquez ici.

Antivirus

Avant d'installer un antivirus, consulter "La pertinence des antivirus sous Linux"

Firewall

  • iptables - Iptables, le firewall en ligne de commande pour Linux.
  • firestarter - Firestarter est une interface de configuration graphique pour iptables.
  • tuxguardian : un firewall applicatif
  • bastille : script offrant un pas-à-pas guidé pour configurer iptables facilement et d'autres options très intéressantes
  • ufw : est un utilitaire pour régler facilement le firewall
    • gufw : est l'application graphique de ufw
  • fail2ban : bloque les tentatives de connexions
  • snort : détection d'intrusions par règles
  • denyhosts : bloque aussi les tentatives de connexions

Droits

Chiffrement

Système de fichiers

Réseaux

  • SSH : SSH permet de connecter une console distante sécurisée sur une autre machine.
  • Openvpn : Installation du client OpenVPN (tunneling sécurisé sur IP)
  • vpnc- Installation du client VPNC (compatible Cisco System)
  • VPNServer : Sécurisation d'un petit réseau Wifi avec OpenVPN (à créer)
  • iptables : le firewall en ligne de commande
  • Firestarter : Firestarter est une interface de configuration du firewall intégré au noyau (NetFilter).
  • PPTP : Installation de pptp dans le NetworkManager
  • TOR : connexion anonyme à Internet
  • nessus : Logiciel pour scanner les réseaux et les failles des terminaux présents sur le réseaux
  • netdiscover : Scanne le réseaux avec des requêtes ARP ce qui est bien plus furtifs et moins détectable.

Divers

  • keepassx : gestion de mots de passe et autres données personnelles.
  • pwgen : générer des mots de passe pour vos sessions
  • revelation : Un gestionnaire de mots de passe.
  • denyhosts : protégez vous des attaques ssh par dictionnaire
  • Serveur compromis - Que faire lorsqu'on soupçonne un serveur d'être compromis ?
  • Lire - Analyseur des fichiers log

Accès et permissions

Définitions

Outils

chgrp

Change le groupe possesseur d'un fichier. (CHange GRouP)

chmod

Change les permissions de qui peut lire, écrire, ou exécuter le fichier.

chown

La commande chown permet de modifier le propriétaire d'un fichier ou d'un dossier. Utilisation :

chown <nouveau propriétaire> <fichier/dossier> 
sudo

Utilisateur sans mot de passe

Cette méthode est tout SAUF une mesure de sécurité.
Nous allons voir comment supprimer tout mot de passe sur un compte utilisateur. Ceci peut être pratique par exemple dans le cas d'un système multi utilisateur lorsque ceux ci ne veulent pas se connecter avec un mot de passe.

Attention a supprimer tout accès à distance à la machine pour limiter les risques d'intrusions.

  • Editer le fichier /etc/passwd et supprimer le deuxième champ dans les lignes pour les utilisateurs concernés, afin que les lignes commencent par l'identifiant, puis :: (sans rien entre les 2 deux points).
  • Pour se connecter il suffira d'appuyer sur entrée à la demande du mot de passe (mot de passe vide).

Cryptographie

  • Créer un dossier privé et crypté dans le /home avec Ecryptfs.
  • Truecrypt est un logiciel libre et gratuit de chiffrement à la volée, fonctionnant sur Windows, Mac OS X et Linux. Il permet de créer un disque virtuel chiffré contenu dans un fichier et de le monter comme un disque physique réel. Il peut aussi chiffrer une partition entière ou un périphérique, comme une disquette ou une clé USB.

FIXME

Précautions indispensables

Choix du mot de passe

  • Un bon mot de passe contient au moins 8 caractères. Il utilise le plus de chaos possible, c'est-à-dire majuscules, minuscules, symboles, chiffres et caractères spéciaux. Le mot ne doit pas apparaître dans un dictionnaire.

→ Mauvais : Alice - Médor - 0800

→ Bon : A,cg#2r_T - Wi?,#@4

  • Il est recommandé de changer de mot de passe régulièrement.
  • De ne pas l'écrire autre part que dans son cerveau.
  • De ne pas utiliser le même mot de passe pour s'authentifier en des lieux différents.
Astuce
  • Pour se souvenir d'un mot de passe complexe on peut utiliser les premières lettres de chaque mot d'une poésie, d'un texte…

→ « Lsldvdl'a. » : « Les sanglots longs des violons de l'automne. »

→ « L,jmscdbh. » : « Longtemps, je me suis couché de bonne heure. »

Le truc des « bases »

Pour mieux diversifier ses mots de passe et s'en souvenir facilement, on peut avoir recours à la technique des « bases ». Par principe, chacune de ces bases sera utilisée selon le contexte d'identification : une pour votre OS, une pour verrouiller le matériel (BIOS), une autre pour le web et comptes messageries instantanées ou non, un dernier pour allonger le tout ou l'utiliser en dépannage.

Le but et l'avantage étant de pouvoir ensuite cumuler les bases pour obtenir une super passe-phrase, donc plus de sécurité si nécessaire. La mémorisation de petites sections est d'autant plus facile qu'on les utilise indépendamment et couramment.

Pour être encore plus sûr, tout en étant facilement mémorisable, on ajoute des variables et des séparateurs : un séparateur sera inséré entre chaque base et sa variable s'il y en a. Ainsi vous avez des repères logiques et des contextes où appliquer ces mots de passe, fluctuants, mais bien structurés pour vous.

Par exemple :

Base 1 [moi] : 8-12 caractères. C'est votre mot de passe courant par exemple une citation ou un acronyme comme expliqué plus haut.

+ séparateur(s) (dièse, arobase, astérisque, virgule, parenthèse, point d'interrogation, etc.)

Base 2 [mon matos] : 4-6 caractères. C'est le mot de passe bref pour, par exemple, votre BIOS. Choisissez-le bien : on y va rarement tous les jours, à moins de verrouiller le poste. Dans ce cas, ce ne doit pas être le même…

+ séparateur

Base 3 [les tiers] : 6-8 caractères. Votre mot de passe web (plus variantes : voir plus bas).

+ séparateur

Base 4 [pré carré] : 6-10 caractères ou plus. Un mot de passe numérique, facile à retenir, mais avec l'insertion de séparateurs (exemple : date de naissance w 13:06:1924:8h », date historique « Marignan:1515 »). Cette base est uniquement destiné à allonger les trois autres en passe-phrases, mais ne doit jamais être utilisée seule sans variables.

Cas de la base 3 Méfiez vous des sites web qui, à la souscription, vous confirme par mail l'ouverture de votre compte et y indique votre mot de passe en clair. Il vaut mieux éviter d'utiliser toujours le même… ou mieux, d'en donner un simple genre 12345678 puis de changer cela ensuite.

Je recommande d'ajouter une sécurité supplémentaire à cette base 3 : par exemple des caractères extraits du nom de domaine du site (invariant). Un mot de passe sur un compte du forum.ubuntu-fr.org peut devenir monpasseweb%FURO. Ainsi les mots de passe sont faciles à mémoriser et toujours différents…

Pour le changement de mot de passe, on peut choisir de lire à l'envers monpasseweb%ORUF ou n'utiliser que les consonnes, etc.

En résumé
  • Vous pouvez utiliser couramment base1.
  • Vous pouvez utiliser base1 + séparateur + base2 comme super mot de passe (compte administrateur).
  • Vous pouvez utiliser Base3 et une variable comme mot de passe avec les tiers.
  • Vous pouvez utiliser la Base4 et une variable comme mot de passe confié ponctuellement à une connaissance.
  • Vous pouvez utiliser l'ensemble des bases avec leur séparateur pour une passe-phrase de plus de 40 caractères.

Évitez de changer plus d'une base à la fois ainsi que de modifier les séparateurs, ils sont structurants. Si vous avez un doute sur la confidentialité d'une base, ajoutez seulement le séparateur suivant et si vous voulez, la base suivante !

Bien entendu il faut personnaliser tout cela et que cela corresponde à votre logique. Gardez seulement le principe des bases, des séparateurs et des variantes. Le tout bien structuré et chaque partie mémorisée et contextualisée empêchera tout voyeur de faire comme dans les films : craquer votre login en vingt secondes avec le nom du chien.

Gestions des groupes et des utilisateurs

FIXME

Exemples de vulnérabilité

LiveCD

Si la configuration du BIOS d'un ordinateur n'est pas protégée par un mot de passe et si les partitions ne sont pas chiffrées, il est possible de :

  • Ouvrir l'utilitaire de configuration du BIOS au démarrage de l'ordinateur
  • Placer le lecteur CD-ROM en premier dans la séquence de démarrage (boot)
  • Placer un LiveCD dans le lecteur, avant de quitter en sauvegardant la configuration du démarrage
  • Démarrer sur le LiveCD et attendre
  • Profiter de tous les droits root sur la machine. Certes, ce n'est pas le « même » root que celui de la machine, mais leurs droits effectifs sont équivalents.

Le fait de choisir un mot de passe pour le BIOS peut aider à dissuader un intrus de s'approprier les droits root via LiveCD, mais il reste toujours possible de vider la mémoire du BIOS (et donc la protection par mot de passe) en ouvrant l'unité centrale. Cela souligne un point important en matière de sécurité informatique : celle-ci est fortement compromise dès lors qu'un accès physique à la machine est permis.

Recovery mode

Par défaut, le logiciel chargeur de système Grub inclut dans la liste des choix de système Ubuntu en Recovery mode. sur un ordinateur seul (connexion directe à internet) Il suffit de choisir cette option pour profiter des droits root sur la machine, sans avoir à montrer patte blanche (pas de nécessité de mot de passe pour accéder aux droits administrateurs) !

Système non mis à jour

Sur une installation toute fraîche de Breezy (ie avant d'avoir effectué les mises à jour de sécurité) taper en ligne de commande :

grep -A 1 'password$'  /var/log/installer/cdebconf/questions.dat

pour obtenir le mot de passe rentré lors de l'installation. Et ce, en clair et sans avoir besoin de superprivilèges.

Relancer cette commande après avoir effectué les mises à jour de sécurité. Bien heureusement, ça ne fonctionne plus ni en root ni en utilisateur lambda !

Session superutilisateur en mode graphique

FIXME

Mesures à prendre

Au démarrage

Bios

Suivant les cartes-mères l'interface change.

Il faut trouver "Administrator password" ou "password" et le changer.

rappel sur comment faire un mot de passe un tant soit peu solide :

  • pas de mots du dictionnaire, ni de prénoms (même de littérature fantastique… :p)
  • au minimum huit caractères
  • utiliser des lettres majuscules et minuscules ainsi que des chiffres et d'autres symboles (%,_,*,§…).

GRUB

Éditer le fichier « /boot/grub/menu.lst » au choix. Mettre un mot de passe à Grub pour les opérations de modification d'une entrée :

## password ['--md5'] passwd
# If used in the first section of a menu file, disable all interactive editing
# control (menu entry editor and command-line)  and entries protected by the
# command 'lock'
# e.g. password topsecret
#      password --md5 $1$gLhU0/$aW78kHK1QfV3P2b2znUoe/
password --md5 "md5 de votre mot ou phrase de passe"

ou

password "votre mot de passe"

pour obtenir le md5 d'un mot de passe utilisez la commande :

grub-md5-crypt

Enlever la création automatique d'une entrée recovery :

## altoption boot targets option 
## multiple altoptions lines are allowed
## e.g. altoptions=(extra menu suffix) extra boot options
##      altoptions=(recovery mode) single
# altoptions=

ou

faire que ces entrées soient protégées par mot de passe.

## should update-grub lock alternative automagic boot options
## e.g. lockalternative=true
##      lockalternative=false
# lockalternative=true

puis, mettre à jour Grub :

sudo update-grub

GDM

FIXME

Pendant l'utilisation

Mises à jour de sécurité

FIXME

Sécuriser sa navigation

FIXME

Chiffrer un disque dur

Plus d'information sur la page Partition chiffrée avec cryptoloop

Chiffrer des dossiers

Chiffrer des fichiers

FIXME

Sécurité d'un réseau Lan avec connexion internet par serveur

introduction

Pour commencer sachez que le meilleur moyen de sécuriser son réseau et ses ordinateurs est d'installer un serveur entre internet et votre LAN :

Sachez qu'avec ma solution votre serveur ne sera pas à l'abri d'être attaqué mais votre LAN (tous vos autres ordinateurs) ne risquera absolument rien (je parle de tour d'ivoire) car :

le html,… ne présente aucun danger, donc ils seront acceptés par contre tout les autres fichiers, protocoles,… seront scannés avant de rentrer sur le réseau ce qui fait que si un cheval de troie, un virus, ou un ver rentre sur votre serveur il y sera bloqué (on peut voir le serveur comme une grosse éponge qui laisse passer l'eau mais retient le reste.)

Je vous préviens qu'avec une page internet vous devrez attendre plus longtemps même avec un gros débit mais ce n'est pas énorme quelques millisecondes.

Si vous souhaitez mettre en place un serveur pour un intranet, serveur de session,… (tout ce qui concerne des tâches de serveur offline) il faut que vous ayez un 2ème serveur connecté au 1er car le 1er n'est pas à l'abri d'une attaque et donc c'est une porte ouverte pour des attaques sur votre LAN

Prérequis

Donc il faut que vous ayez :

  • une box qui vous relie à internet et uniquement votre serveur doit y être relié.

Pour votre LAN tous les ordinateurs devront être reliés au serveur (je vous conseille un switch).

  • un 2ème serveur comme indiqué ci-dessus.
  • une version ubuntu hardy heron 8.04 (mise à jour) ou supérieure car nous n'utiliserons pas la version serveur qui est plus difficile à configurer (et surtout moins jolie) et qui à l'arrivée n'apporte rien par rapport à la version graphique.

Liste des pages sur la sécurité

Page
Ajouter TLS SSL
Amanda
AppArmor : gestion des droits d'accès sur les applications
Avast! 4 Linux Édition Familiale
Backup-manager : Un utilitaire simple et accessible de gestion de sauvegarde
Bannir des IP avec fail2ban
Cacti : un serveur de supervision
Chiffrement de fichiers et de partitions avec Truecrypt
Chiffrer et signer ses courriels avec Evolution
Chiffrer son courriel avec Mozilla Thunderbird et Enigmail
Chillispot : portail captif
Clam AntiVirus
Comment créer un certificat SSL ?
Comment installer Ubuntu sur un RAID-1 logiciel ??
Comment installer un relais mail sécurisé ?
Comment mettre en place un contrôle parental ?
Comment se protéger des Fork Bomb ?
Comment utiliser la carte d'identité électronique (Belgique)
Contrôle parental avec DansGuardian
DRBD : Synchronisation de données via le réseau
DenyHosts
Droits d'accès sous Linux : gérer les accès aux fichiers
Désactiver les mots de passe
Ecryptfs : Un dossier privé crypté dans son Home
EncFS_exemples
FireStarter
GPass
Guarddog
Gufw: Interface graphique de Uncomplicated Firewall (ufw)
Heartbeat
Installer et configurer un UPS APC avec Ubuntu
KeePassX
L'antivirus BitDefender
La pertinence des antivirus sous Linux
Lacie Safe Mobile Drive sous Ubuntu Dapper
Le gestionnaire de mises à jour
Lecteur d’empreintes digitales FPrint
Les Restrictions Horaires sous Linux
Nagios : moniteur de supervision
Netfilter & Iptables
OpenVPN
Panda Antivirus
Partition chiffrée avec cryptsetup
Partition/Zone disque chiffrée avec cryptoloop
Permissions (ou droits d'accès)
Port Knocking : sécuriser l'accès à un port
Privoxy
Proxies
Préambule : FTP et "FTP-Like" sécurisés
PuTTY
RAID logiciel avec mdadm
Re-configuration de Suexec
RetroShare
Révélation : gestionnaire de mot de passe
SNORT
SSH
SSH Filesystem
SSL-Explorer Community Edition
Sauvegarde avec Disk Archive (DAR)
Sauvegardes sur bandes magnétiques avec Dump
SecureW2
Serveur de synchronisation avec rsync
Shorewall
Sudo : effectuez des tâches administratives
Surveiller le réseau avec Autoscan
Système de fichiers chiffrés
Thinkfinger
Tor (The Onion Router)
Tunneliser une connexion VNC via SSH
TuxGuardian
Uncomplicated Firewall
Utiliser OpenPGP et PGP/MIME avec KMail
Utiliser du RAID semi-matériel
VPNC ou « libérer » sa connexion VPN Cisco Systems®
Webstrict : logiciel simple et graphique permettant de configurer un filtre web.
X11vnc
pwgen : Générateur de mots de passe
rdiff-backup : Solution de sauvegarde incrémentielle
reverse SSH
shred : Détruire efficacement un fichier
ubuproxy : Proxy TCP/IP Générique

Contributeurs : FIXME, Reneca.


securite.txt · Dernière modification: 2009/06/06 17:43 par 213.95.41.13
Le contenu de ce wiki est sous double licence : CC BY-SA et GNU FDL