Discussion:Tenir compte de la sécurité au quotidien
--Merlin8282 13 jul 2006 à 14:49 (CEST)
Fred, tu ne voulais pas passer la fiche en article ?
Fred (phorum)> si je pense le faire mais j'attends que l'article soit stabilisé. et par contre, une fiche avec des conseils élémentaires est toujours d'actualité quitte à ce quelle renvoie à cette doc si. Pour les remerciement, je pense que les auteurs ne sont pas obligé de se remercier ... ni dire individuellement qui ils remercient. Mais bon chacun fait comme bon lui semble du moment que ça reste léger.
Fleury 13 jul 2006 à 16:28> Au fait, je vois cet article (puisqu'on parle d'un article à présent) comme une introduction à la sécurité sous Linux... Pas vraiment comme des conseils au quotidien. Mais bon, cela peut se discuter. :)
Fred (phorum)> exactement, d'ou la nécessité d'une fiche qui donne des conseil précis et simples pour limiter un certain nombre de risque sans tous les exposer.
Fleury 24 jul 2006>
Hum, j'ai commencé à regarder la partie technique de l'article. J'aurais tendance à dire que c'est encore du n'importe quoi. Il faudrait tout revoir... :-/
D'abord, je pense que l'article s'adresse à des gens qui ont seulement une machine personnelle ou un petit réseau. Les professionnels ne liront pas un article sur Léa de toute façon. Donc, la cible de cet article est (à mon humble avis) un administrateur amateur qui s'initie à la sécurité.
Si on fait cette hypothèse, cela nous permet de faire un tri dans ce qui est "utile" et ce qui ne l'est pas dans l'article tel qu'il est actuellement.
- Sécuriser son boot: Cela suppose que l'attaquant peut se trouver devant la machine lors du boot... Ce genre d'attaque n'est pas réalisable dans le cas d'une machine personnelle ou d'un réseau domestique (ou sinon, c'est un cambrioleur et de toute façon il va repartir avec la machine)... Donc --> poubelle (J'ajouterai aussi, pour avoir un peu travaillé sur le problème du trusted boot sur des set top boxes qu'il ne s'agit pas d'un problème trivial et que cela ne risque pas de se traiter en une petite section sur grub).
- Partionnement en conséquence: Je ne vois pas ce que cela à voir avec la sécurité... o_O La mention d'un système de fichiers crypté n'ajoute ni n'enlève rien à la sécurité de la machine. Cela permet de sécuriser des données via un moyen cryptographique dur, rien à voir avec le reste de l'article.
- N'installer que le strict nécessaire: Oui, c'est un conseil que je donnerai mais je ne vois pas la logique de progression dans tout cela ? Pourquoi le mentionner maintenant ? Est-ce que l'on suit l'ordre d'une installation classique ? Et si oui, pourquoi ne pas l'avoir dit précedemment ?
- Utilisateurs: Quelques conseils pertinents dans cette sous-section mais encore une fois, je ne comprends pas la logique non plus. En plus, la configuration par défaut empêche le root de se connecter de façon distante. Pourquoi préciser ce point (ou alors peut-être en encart).
- Permissions: Oui, c'est une explication du least privilege principle, pertinent mais pas ce n'est pas introduit correctement, cela tombe à nouveau comme un cheveux en plein milieu de la soupe. La mention de
chroot
est complétement parachutée et on se demande ce que cela a à voir avec les permissions... - Bien configurer ses démons: Pourquoi est-ce que c'est une section et pas une sous-section ???? Quelques remarques pertinentes mais qui n'ont rien à voir avec le titre. On mélange allègrement des conseils sur la sécurisation de son compte web (pourquoi l'utilisateur aurait-il un serveur Web par défaut) et le fait qu'il ne faut pas laisser trainer des données confidentielles en clair sur Internet... Pour moi la configuration des daemons est une chose à part et n'a rien à faire dans cet article (chaque daemon pouvant faire l'objet d'un article à lui tout seul sur comment le sécuriser).
- Barrer la route aux connexions non souhaitées: Oui, il faut une section sur la maîtrise de son traffic réseau et l'utilisation intelligente des firewall. Mais cette section est désastreuse. Elle est beaucoup trop succinte et ne fais que donner une impression de maîtrise (ce qui est encore plus dangereux).
- Détecter les intrusions, connaître les outils: C'est sans doute la seule section qui puisse être exploitable telle quelle.
- Localiser le problème et nettoyer: C'est redondant avec la section précédente, autant fusionner les deux.
Bon, je vais essayer de m'atteler à un plan qui tienne la route et voir comment structurer les informations. Je ne pense pas détruire les sections avant d'avoir tout fini, donc j'ajouterai mes sections au fur et à mesure en les intercalants là où faut. Je ferai du nettoyage à la fin si vous êtes tous d'accord avec mes modifications.
Fleury 24 jul 2006> Voila, j'ai essayé mettre en place le squelette de l'article. Dites-moi ce que vous en pensez et n'hésitez pas à remplir des cases et/ou à modifier ce qui vous semble opportun.
Fleury 26 jul 2006> Je pars en vacances à la fin de la semaine pour deux semaines dans un endroit où je ne pourrais pas me connecter. Essayez de continuer l'article sans moi...
Merlin8282 18 aoû 2006 à 09:18> Pardonnez-moi, je reviens de mes deux semaines de vacances sans avoir prévenu. Si à la base j'avais personnellement pensé à un article traitant de _tout_ ce qu'il faut savoir en matière de sécurité, c'est vrai qu'on doit faire la part des choses. Ainsi on peut transformer cet article-ci de manière à le destiner à un public qui utilise son ordi à la maison, tout seul dans son coin, et créer un autre article dans la section Léavancé "pour les pros" (pour serveurs en prod, donc). Je vais encore relire l'article.
Fleury 21 Août 2006> Je suis de retour ! :)
Merlin8282, avoir un article qui couvre _tout_ ce qu'il faut savoir en matière de sécurité... c'est utopique. Cela n'existe pas. Et pour ce qui est de ton article plus "avancé", pourquoi ne pas finir correctement celui-ci avant ? Il ne reste plus qu'à remplir les trous...
--Merlin8282 22 aoû 2006 à 13:03 (CEST) > Je voudrais bien remplir les trous, mais je ne m'y connais pas assez pour prétendre être ne mesure de le faire. Par exemple, pour la config de snort je ne saurais absolument pas quoi dire, puisque je n'ai fait que l'installer, sur ma debian. La config est celle par défaut et je ne sais même pas ce qu'il y a comme option de config ! La seule section où je pourrais mettre un petit quelque-chose, c'est pour la sauvegarden et encore : chez moi j'ai un petit script tout bête qui met toute ma home dans une archive .tar.gz, sur un autre disque-dur... (comme ici : http://www.tldp.org/HOWTO/Bash-Prog-Intro-HOWTO-2.html#ss2.2 ). Donc voilà, mes compétences dans ce domaine s'arrêtent malheureusement là.
Fleury 24 Août 2006> Fais le truc sur la sauvegarde (c'est toujours ça de pris).
--Merlin8282 24 aoû 2006 à 13:54 (CEST) > fait.
Fleury> J'ai de plus en plus l'impression qu'en fait les sections qui restent existent déjà quelque part sur Léa. On devrait plus se reposer sur les liens plutôt que d'essayer de faire rapidement un truc qui serait trop rapide de toute façon.
LeaJice 6 sep 2006 à 20:11 (CEST)> oui, ou reprendre des t&a puis les supprimer... d'ailleurs on bosse sur la structuration de Léa en ce mmt. Voir : Lea Linux:Modération/Structuration du wiki et Lea Linux:Brouillon Plan des rubriques. a+