« Discussion:Tenir compte de la sécurité au quotidien » : différence entre les versions

De Lea Linux
Aller à la navigation Aller à la recherche
Aucun résumé des modifications
 
(34 versions intermédiaires par 4 utilisateurs non affichées)
Ligne 1 : Ligne 1 :
[[Utilisateur:Fred (phorum)|Fred (phorum)]]>
--[[Utilisateur:Merlin8282|Merlin8282]] 13 jul 2006 à 14:49 (CEST) <br>
Les défauts :
Fred, tu ne voulais pas passer la fiche en article ?
Quelques défaut de mise en page subsiste mais c'est anecdotique.


Par contre, le lien "Sécuriser Apache" arrive un peu comme un cheveu sur la soupe.
[[Utilisateur:Fred (phorum)|Fred (phorum)]]> si je pense le faire mais j'attends que l'article soit stabilisé. et par contre, une fiche avec des conseils élémentaires est toujours d'actualité quitte à ce quelle renvoie à cette doc si. Pour les remerciement, je pense que les auteurs ne sont pas obligé de se remercier ... ni dire individuellement qui ils remercient. Mais bon chacun fait comme bon lui semble du moment que ça reste léger.


Le script firewall, ne me semble pas à sa place, je m'explique, je voyais cette doc, comme un ensemble de bonnes mesures à prendre etc ... le script, n'a pas sa place dans cet optique, les renvois aux autres doc me parraissent plus adaptés.  
[[Utilisateur:Fleury|Fleury]] 13 jul 2006 à 16:28>
Au fait, je vois cet article (puisqu'on parle d'un article à présent) comme une introduction à la sécurité sous Linux... Pas vraiment comme des conseils au quotidien. Mais bon, cela peut se discuter. :)


Le paragraphe "Détecter les intrusions" est à compléter / rédiger
[[Utilisateur:Fred (phorum)|Fred (phorum)]]> exactement, d'ou la nécessité d'une fiche qui donne des conseil précis et simples pour limiter un certain nombre de risque sans tous les exposer.


Pour le reste, ça me parait bien. Vu que c'est une fiche cela aurait été bien de mettre une ou deux images, mais bon vu la fiche c'est pas obligatoire.
[[Utilisateur:Fleury|Fleury]] 24 jul 2006>


[[Utilisateur:Merlin8282|Merlin8282]] 3 jul 2006 à 16:58> Tu penses à quoi comme image ?
Hum, j'ai commencé à regarder la partie technique de l'article. J'aurais tendance à dire que c'est encore du n'importe quoi. Il faudrait tout revoir... :-/


[[Utilisateur:Fred (phorum)|Fred (phorum)]]> vu la taille de l'article, je pense le renommer en tant qu'article, et les copies d'écran deviennent facultatives
D'abord, je pense que l'article s'adresse à des gens qui ont seulement une machine personnelle ou un petit réseau. Les professionnels ne liront pas un article sur Léa de toute façon. Donc, la cible de cet article est (à mon humble avis) un administrateur amateur qui s'initie à la sécurité.


[[Utilisateur:Merlin8282|Merlin8282]] 3 jul 2006 à 18:37> J'ai "complété" le ''cheveu sur la soupe'', c'est mieux ainsi ? Je ne vois pas quoi mettre de plus pour ça.
Si on fait cette hypothèse, cela nous permet de faire un tri dans ce qui est "utile" et ce qui ne l'est pas dans l'article tel qu'il est actuellement.
Pour le script iptables, je l'ai mis ici en exemple (ça ne prend pas beaucoup de place, visuellement) histoire que l'on puisse faire un simple copier/coller sans se prendre la tête -- solution rapide, d'urgence, chose qui arrive. Mais c'est vrai qu'on peut le déplacer dans l'article concernant iptables.


[[Utilisateur:Fred (phorum)|Fred (phorum)]]> perso j'y vois pas d'intérêt, mais on peut le laisser
# '''Sécuriser son boot''': Cela suppose que l'attaquant peut se trouver devant la machine lors du boot... Ce genre d'attaque n'est pas réalisable dans le cas d'une machine personnelle ou d'un réseau domestique (ou sinon, c'est un cambrioleur et de toute façon il va repartir avec la machine)... Donc --> poubelle (J'ajouterai aussi, pour avoir un peu travaillé sur le problème du ''trusted boot'' sur des set top boxes qu'il ne s'agit pas d'un problème trivial et que cela ne risque pas de se traiter en une petite section sur grub).
# '''Partionnement en conséquence''': Je ne vois pas ce que cela à voir avec la sécurité... o_O La mention d'un système de fichiers crypté n'ajoute ni n'enlève rien à la sécurité de la machine. Cela permet de sécuriser des données via un moyen cryptographique ''dur'', rien à voir avec le reste de l'article.
# '''N'installer que le strict nécessaire''': Oui, c'est un conseil que je donnerai mais je ne vois pas la logique de progression dans tout cela ? Pourquoi le mentionner maintenant ? Est-ce que l'on suit l'ordre d'une installation classique ? Et si oui, pourquoi ne pas l'avoir dit précedemment ?
# '''Utilisateurs''': Quelques conseils pertinents dans cette sous-section mais encore une fois, je ne comprends pas la logique non plus. En plus, la configuration par défaut empêche le root de se connecter de façon distante. Pourquoi préciser ce point (ou alors peut-être en encart).
# '''Permissions''': Oui, c'est une explication du ''least privilege principle'', pertinent mais pas ce n'est pas introduit correctement, cela tombe à nouveau comme un cheveux en plein milieu de la soupe. La mention de <code>chroot</code> est complétement parachutée et on se demande ce que cela a à voir avec les permissions...
# '''Bien configurer ses démons''': Pourquoi est-ce que c'est une section et pas une sous-section ???? Quelques remarques pertinentes mais qui n'ont rien à voir avec le titre. On  mélange allègrement des conseils sur la sécurisation de son compte web (pourquoi l'utilisateur aurait-il un serveur Web par défaut) et le fait qu'il ne faut pas laisser trainer des données confidentielles en clair sur Internet... Pour moi la configuration des daemons est une chose à part et n'a rien à faire dans cet article (chaque daemon pouvant faire l'objet d'un article à lui tout seul sur comment le sécuriser).
# '''Barrer la route aux connexions non souhaitées''': Oui, il faut une section sur la maîtrise de son traffic réseau et l'utilisation intelligente des firewall. Mais cette section est désastreuse. Elle est beaucoup trop succinte et ne fais que donner une impression de maîtrise (ce qui est encore plus dangereux).
# '''Détecter les intrusions, connaître les outils''': C'est sans doute la seule section qui puisse être exploitable telle quelle.
# '''Localiser le problème et nettoyer''': C'est redondant avec la section précédente, autant fusionner les deux.


Sinon, globalement, que pourrais-je encore changer/améliorer ? Comment pourrais-je organiser un peu mieux tout ça ?
Bon, je vais essayer de m'atteler à un plan qui tienne la route et voir comment structurer les informations. Je ne pense pas détruire les sections avant d'avoir tout fini, donc j'ajouterai mes sections au fur et à mesure en les intercalants là où faut. Je ferai du nettoyage à la fin si vous êtes tous d'accord avec mes modifications.


Ah autre chose encore : pourquoi avoir supprimé le "sommaire" des pages ? (d'ailleur, pourquoi ne pas avoir utilisé le mot magique __NOTOC__ de wikimedia ?) Perso, je trouve plus pratique d'en avoir un, de sommaire : on peut bien le cacher, non ?
[[Utilisateur:Fleury|Fleury]] 24 jul 2006> Voila, j'ai essayé mettre en place le squelette de l'article. Dites-moi ce que vous en pensez et n'hésitez pas à remplir des cases et/ou à modifier ce qui vous semble opportun.


[[Utilisateur:Fred (phorum)|Fred (phorum)]]> le sommaire existe, il n'est juste pas dans le corps de l'article, mais sur le coté gauche
[[Utilisateur:Fleury|Fleury]] 26 jul 2006> Je pars en vacances à la fin de la semaine pour deux semaines dans un endroit où je ne pourrais pas me connecter. Essayez de continuer l'article sans moi...


[[Utilisateur:Fleury|Fleury]] 5 jul 2006 à 18:37>
[[Utilisateur:Merlin8282|Merlin8282]] 18 aoû 2006 à 09:18> Pardonnez-moi, je reviens de mes deux semaines de vacances sans avoir prévenu.
L'article contient pas mal d'imprécisions et de quelques raccourcis rapides qui semblent montrer que l'auteur mélange un peu tous les risques. On y confond allégrement les chevaux de Troie et les vers. Il y a plusieurs passages qui tentent de faire une éloge de Linux face à Windows qui tombent complétement à plat et qui devraient être retirés. Le passage sur les utilisateurs recevant des mails contenant des "virus" (chevaux de Troie en réalité) devrait être supprimé car ce genre de malware n'existe quasiment qu'en tant que "proof of concept" et n'ont jamais réelement eut d'impact en réalité (consultez la base de données du CERT pour plus de détails).
Si à la base j'avais personnellement pensé à un article traitant de _tout_ ce qu'il faut savoir en matière de sécurité, c'est vrai qu'on doit faire la part des choses. Ainsi on peut transformer cet article-ci de manière à le destiner à un public qui utilise son ordi à la maison, tout seul dans son coin, et créer un autre article dans la section Léavancé "pour les pros" (pour serveurs en prod, donc).
Je vais encore relire l'article.


Bref, bref, bref, c'est très confus et les idées semblent se mélanger. J'ai du mal à y trouver un discour construit et les buts de l'auteurs. J'ai un peu modifié une section mais peut-être que l'auteur devrait essayer de faire un effort sur la rédaction.
[[Utilisateur:Fleury|Fleury]] 21 Août 2006> Je suis de retour ! :)


* L'article contient pas mal d'imprécisions et de quelques raccourcis rapides qui semblent montrer que l'auteur mélange un peu tous les risques.<br>
Merlin8282, avoir un article qui couvre _tout_ ce qu'il faut savoir en matière de sécurité... c'est utopique. Cela n'existe pas. Et pour ce qui est de ton article plus "avancé", pourquoi ne pas finir correctement  celui-ci avant ? Il ne reste plus qu'à remplir les trous...
=> Tu peux me tutoyer ;-) . C'est possible que je mélange, je ne suis pas très doué dès qu'on parle d'organisation/structuration.


* On y confond allégrement les chevaux de Troie et les vers.<br>
--[[Utilisateur:Merlin8282|Merlin8282]] 22 aoû 2006 à 13:03 (CEST)
=> C'est surtout parce-que je n'avais pas vraiment l'intention de développer plus que ça. Et puis, je ne me tiens pas très au courant en ce qui concerne _ce_ genre de risque. Cela dit, tu expliques bien ce dont on parle :-) .
> Je voudrais bien remplir les trous, mais je ne m'y connais pas assez pour prétendre être ne mesure de le faire. Par exemple, pour la config de snort je ne saurais absolument pas quoi dire, puisque je n'ai fait que l'installer, sur ma debian. La config est celle par défaut et je ne sais même pas ce qu'il y a comme option de config !
La seule section où je pourrais mettre un petit quelque-chose, c'est pour la sauvegarden et encore : chez moi j'ai un petit script tout bête qui met toute ma home dans une archive .tar.gz, sur un autre disque-dur... (comme ici : http://www.tldp.org/HOWTO/Bash-Prog-Intro-HOWTO-2.html#ss2.2 ).
Donc voilà, mes compétences dans ce domaine s'arrêtent malheureusement là.


* Il y a plusieurs passages qui tentent de faire une éloge de Linux face à Windows qui tombent complétement à plat et qui devraient être retirés.<br>
[[Utilisateur:Fleury|Fleury]] 24 Août 2006> Fais le truc sur la sauvegarde (c'est toujours ça de pris).
=> C'est que j'ai écrit l'article en n'ayant pas tellement windows à l'esprit. Mais dis ce qui te gène, je suis ouvert.


* Le passage sur les utilisateurs recevant des mails contenant des "virus" (chevaux de Troie en réalité) devrait être supprimé car ce genre de malware n'existe quasiment qu'en tant que "proof of concept" et n'ont jamais réelement eut d'impact en réalité<br>
--[[Utilisateur:Merlin8282|Merlin8282]] 24 aoû 2006 à 13:54 (CEST) > fait.
=> Je vous laisse le choix, c'est un boulot communautaire. Après tout je ne suis que celui qui a écrit l'ébauche de l'article.


* Bref, bref, bref, c'est très confus et les idées semblent se mélanger. J'ai du mal à y trouver un discour construit et les buts de l'auteurs.<br>
[[Utilisateur:Fleury|Fleury]]> J'ai de plus en plus l'impression qu'en fait les sections qui restent existent déjà quelque part sur Léa. On devrait plus se reposer sur les liens plutôt que d'essayer de faire rapidement un truc qui serait trop rapide de toute façon.
=> Je n'ai jamais été, je le répète, fort en organisation. Mon but est simplement (comme indiqué sur le forum : ) de centraliser un peu tout ce qu'on doit savoir sur la sécurité quand on a un ordinateur. Evidemment, on ne va pas dire ici tout ce qu'il faut faire pour sécuriser windows, c'est surtout orienté *nix mais comme les infos sont valables pour tous les systèmes...


* mais peut-être que l'auteur devrait essayer de faire un effort sur la rédaction.<br>
[[Utilisateur:LeaJice|LeaJice]] 6 sep 2006 à 20:11 (CEST)> oui, ou reprendre des t&a puis les supprimer... d'ailleurs on bosse sur la structuration de Léa en ce mmt. Voir : [[Lea Linux:Modération/Structuration du wiki]] et [[Lea Linux:Brouillon Plan des rubriques]]. a+
=> J'en ai déjà fait ! Imagine ce que ça aurait donné sans. Enfin non, ne l'imagine pas O:-) .
 
Merci pour ta contribution, je t'ai rajouté dans les remerciements.
 
A bon entendeur.

Dernière version du 9 mars 2011 à 23:17

--Merlin8282 13 jul 2006 à 14:49 (CEST)
Fred, tu ne voulais pas passer la fiche en article ?

Fred (phorum)> si je pense le faire mais j'attends que l'article soit stabilisé. et par contre, une fiche avec des conseils élémentaires est toujours d'actualité quitte à ce quelle renvoie à cette doc si. Pour les remerciement, je pense que les auteurs ne sont pas obligé de se remercier ... ni dire individuellement qui ils remercient. Mais bon chacun fait comme bon lui semble du moment que ça reste léger.

Fleury 13 jul 2006 à 16:28> Au fait, je vois cet article (puisqu'on parle d'un article à présent) comme une introduction à la sécurité sous Linux... Pas vraiment comme des conseils au quotidien. Mais bon, cela peut se discuter. :)

Fred (phorum)> exactement, d'ou la nécessité d'une fiche qui donne des conseil précis et simples pour limiter un certain nombre de risque sans tous les exposer.

Fleury 24 jul 2006>

Hum, j'ai commencé à regarder la partie technique de l'article. J'aurais tendance à dire que c'est encore du n'importe quoi. Il faudrait tout revoir... :-/

D'abord, je pense que l'article s'adresse à des gens qui ont seulement une machine personnelle ou un petit réseau. Les professionnels ne liront pas un article sur Léa de toute façon. Donc, la cible de cet article est (à mon humble avis) un administrateur amateur qui s'initie à la sécurité.

Si on fait cette hypothèse, cela nous permet de faire un tri dans ce qui est "utile" et ce qui ne l'est pas dans l'article tel qu'il est actuellement.

  1. Sécuriser son boot: Cela suppose que l'attaquant peut se trouver devant la machine lors du boot... Ce genre d'attaque n'est pas réalisable dans le cas d'une machine personnelle ou d'un réseau domestique (ou sinon, c'est un cambrioleur et de toute façon il va repartir avec la machine)... Donc --> poubelle (J'ajouterai aussi, pour avoir un peu travaillé sur le problème du trusted boot sur des set top boxes qu'il ne s'agit pas d'un problème trivial et que cela ne risque pas de se traiter en une petite section sur grub).
  2. Partionnement en conséquence: Je ne vois pas ce que cela à voir avec la sécurité... o_O La mention d'un système de fichiers crypté n'ajoute ni n'enlève rien à la sécurité de la machine. Cela permet de sécuriser des données via un moyen cryptographique dur, rien à voir avec le reste de l'article.
  3. N'installer que le strict nécessaire: Oui, c'est un conseil que je donnerai mais je ne vois pas la logique de progression dans tout cela ? Pourquoi le mentionner maintenant ? Est-ce que l'on suit l'ordre d'une installation classique ? Et si oui, pourquoi ne pas l'avoir dit précedemment ?
  4. Utilisateurs: Quelques conseils pertinents dans cette sous-section mais encore une fois, je ne comprends pas la logique non plus. En plus, la configuration par défaut empêche le root de se connecter de façon distante. Pourquoi préciser ce point (ou alors peut-être en encart).
  5. Permissions: Oui, c'est une explication du least privilege principle, pertinent mais pas ce n'est pas introduit correctement, cela tombe à nouveau comme un cheveux en plein milieu de la soupe. La mention de chroot est complétement parachutée et on se demande ce que cela a à voir avec les permissions...
  6. Bien configurer ses démons: Pourquoi est-ce que c'est une section et pas une sous-section ???? Quelques remarques pertinentes mais qui n'ont rien à voir avec le titre. On mélange allègrement des conseils sur la sécurisation de son compte web (pourquoi l'utilisateur aurait-il un serveur Web par défaut) et le fait qu'il ne faut pas laisser trainer des données confidentielles en clair sur Internet... Pour moi la configuration des daemons est une chose à part et n'a rien à faire dans cet article (chaque daemon pouvant faire l'objet d'un article à lui tout seul sur comment le sécuriser).
  7. Barrer la route aux connexions non souhaitées: Oui, il faut une section sur la maîtrise de son traffic réseau et l'utilisation intelligente des firewall. Mais cette section est désastreuse. Elle est beaucoup trop succinte et ne fais que donner une impression de maîtrise (ce qui est encore plus dangereux).
  8. Détecter les intrusions, connaître les outils: C'est sans doute la seule section qui puisse être exploitable telle quelle.
  9. Localiser le problème et nettoyer: C'est redondant avec la section précédente, autant fusionner les deux.

Bon, je vais essayer de m'atteler à un plan qui tienne la route et voir comment structurer les informations. Je ne pense pas détruire les sections avant d'avoir tout fini, donc j'ajouterai mes sections au fur et à mesure en les intercalants là où faut. Je ferai du nettoyage à la fin si vous êtes tous d'accord avec mes modifications.

Fleury 24 jul 2006> Voila, j'ai essayé mettre en place le squelette de l'article. Dites-moi ce que vous en pensez et n'hésitez pas à remplir des cases et/ou à modifier ce qui vous semble opportun.

Fleury 26 jul 2006> Je pars en vacances à la fin de la semaine pour deux semaines dans un endroit où je ne pourrais pas me connecter. Essayez de continuer l'article sans moi...

Merlin8282 18 aoû 2006 à 09:18> Pardonnez-moi, je reviens de mes deux semaines de vacances sans avoir prévenu. Si à la base j'avais personnellement pensé à un article traitant de _tout_ ce qu'il faut savoir en matière de sécurité, c'est vrai qu'on doit faire la part des choses. Ainsi on peut transformer cet article-ci de manière à le destiner à un public qui utilise son ordi à la maison, tout seul dans son coin, et créer un autre article dans la section Léavancé "pour les pros" (pour serveurs en prod, donc). Je vais encore relire l'article.

Fleury 21 Août 2006> Je suis de retour ! :)

Merlin8282, avoir un article qui couvre _tout_ ce qu'il faut savoir en matière de sécurité... c'est utopique. Cela n'existe pas. Et pour ce qui est de ton article plus "avancé", pourquoi ne pas finir correctement celui-ci avant ? Il ne reste plus qu'à remplir les trous...

--Merlin8282 22 aoû 2006 à 13:03 (CEST) > Je voudrais bien remplir les trous, mais je ne m'y connais pas assez pour prétendre être ne mesure de le faire. Par exemple, pour la config de snort je ne saurais absolument pas quoi dire, puisque je n'ai fait que l'installer, sur ma debian. La config est celle par défaut et je ne sais même pas ce qu'il y a comme option de config ! La seule section où je pourrais mettre un petit quelque-chose, c'est pour la sauvegarden et encore : chez moi j'ai un petit script tout bête qui met toute ma home dans une archive .tar.gz, sur un autre disque-dur... (comme ici : http://www.tldp.org/HOWTO/Bash-Prog-Intro-HOWTO-2.html#ss2.2 ). Donc voilà, mes compétences dans ce domaine s'arrêtent malheureusement là.

Fleury 24 Août 2006> Fais le truc sur la sauvegarde (c'est toujours ça de pris).

--Merlin8282 24 aoû 2006 à 13:54 (CEST) > fait.

Fleury> J'ai de plus en plus l'impression qu'en fait les sections qui restent existent déjà quelque part sur Léa. On devrait plus se reposer sur les liens plutôt que d'essayer de faire rapidement un truc qui serait trop rapide de toute façon.

LeaJice 6 sep 2006 à 20:11 (CEST)> oui, ou reprendre des t&a puis les supprimer... d'ailleurs on bosse sur la structuration de Léa en ce mmt. Voir : Lea Linux:Modération/Structuration du wiki et Lea Linux:Brouillon Plan des rubriques. a+