Je suis en train de me confectionner une procédure d'installation et de
sécurisation d'un PC Linux.
J'aimerais vos avis et vos compléments :
- Interdire le boot depuis USB et le réseau.
- Définir un mot de passe d’accès au bios.
- Installation de la distribution linux.
- Installer et configurer tripwire. Si ce n’est pas fait, peupler la
base de données.
- Installer et configurer logwatch.
- Installer et configurer tiger.
- Installer et configurer clamav et clamav-daemon.
- Installer et configurer un MTA pour l’envoi des rapports vers une
adresse centralisée.
- Installer et configurer fail2ban en fonction des logiciels installés.
- Vérifier l’installation d’anacron et peupler le répertoire
'/etc/cron.daily’
- Modifier le fichier ‘/etc/sysctl.conf’.
Le Fri, 15 Apr 2022 20:38:42 +0200, Sylvain a écrit :
- Interdire le boot depuis USB et le réseau. - Définir un mot de passe d’accès au bios. - Installation de la distribution linux.
Jusque-lÍ je vois juste un petit problème d'ordonnancement. -- Quand on veut sauver le monde, il faut parfois pousser Mémé dans l'escalier. -+- Culture Générale in Guide du Petit Joueur: Day Of The Tentacle -+-
Le Fri, 15 Apr 2022 20:38:42 +0200, Sylvain a écrit :
- Interdire le boot depuis USB et le réseau. - Définir un mot de passe
d’accès au bios.
- Installation de la distribution linux.
Jusque-lÍ je vois juste un petit problème d'ordonnancement.
--
Quand on veut sauver le monde, il faut parfois pousser Mémé dans
l'escalier.
-+- Culture Générale in Guide du Petit Joueur: Day Of The Tentacle -+-
Le Fri, 15 Apr 2022 20:38:42 +0200, Sylvain a écrit :
- Interdire le boot depuis USB et le réseau. - Définir un mot de passe d’accès au bios. - Installation de la distribution linux.
Jusque-lÍ je vois juste un petit problème d'ordonnancement. -- Quand on veut sauver le monde, il faut parfois pousser Mémé dans l'escalier. -+- Culture Générale in Guide du Petit Joueur: Day Of The Tentacle -+-
Matthieu
Le 15.04.2022 Í 20:38 Sylvain a écrit:
Bonjour, Je suis en train de me confectionner une procédure d'installation et de sécurisation d'un PC Linux.
Il faudrait en dire davantage sur le cahier des charges exact, car "sécuriser" peut vouloir dire beaucoup de choses. Matthieu
Le 15.04.2022 Í 20:38 Sylvain a écrit:
Bonjour,
Je suis en train de me confectionner une procédure d'installation et
de sécurisation d'un PC Linux.
Il faudrait en dire davantage sur le cahier des charges exact, car
"sécuriser" peut vouloir dire beaucoup de choses.
Sylvain , dans le message <625a7de5$0$18749$, a écrit :
Il s'agit de monter un système qui limite au maximum les attaques externes.
Facile : tu débranches l'alimentation.
Pas con, je vais essayer...
tth
On 4/15/22 23:44, Jo Engo wrote:
Le Fri, 15 Apr 2022 20:38:42 +0200, Sylvain a écrit :
- Interdire le boot depuis USB et le réseau. - Définir un mot de passe d’accès au bios. - Installation de la distribution linux.
Jusque-lÍ je vois juste un petit problème d'ordonnancement.
Lequel ? -- +-------------------------------------------------------------------+ | sphinx of black quartz, judge my vow. | +-------------------------------------------------------------------+
On 4/15/22 23:44, Jo Engo wrote:
Le Fri, 15 Apr 2022 20:38:42 +0200, Sylvain a écrit :
- Interdire le boot depuis USB et le réseau. - Définir un mot de passe
d’accès au bios.
- Installation de la distribution linux.
Jusque-lÍ je vois juste un petit problème d'ordonnancement.
Lequel ?
--
+-------------------------------------------------------------------+
| sphinx of black quartz, judge my vow. |
+-------------------------------------------------------------------+
Le Fri, 15 Apr 2022 20:38:42 +0200, Sylvain a écrit :
- Interdire le boot depuis USB et le réseau. - Définir un mot de passe d’accès au bios. - Installation de la distribution linux.
Jusque-lÍ je vois juste un petit problème d'ordonnancement.
Lequel ? -- +-------------------------------------------------------------------+ | sphinx of black quartz, judge my vow. | +-------------------------------------------------------------------+
Marc SCHAEFER
Sylvain wrote:
Pas con, je vais essayer...
A part ça, dans l'absolu, un système sécurisé c'est un système a) qui ne fait uniquement ce qu'il doit (désinstaller/firewaller l'inutile) b) qui est Í jour c) qui a quelques options de sécurité ajoutées (p.ex. app-armor, confinement, etc) d) qui a des sauvegardes hors sites, pour comparaison (au minimum des sauvegardes hors ligne) ou reprise après désastre e) qui est surveillé, notamment par les logs, éventuellement envoyés Í un autre serveur encore plus simplifié et sécurisé, voire un IDS f) dont le logiciel est audité plus ou moins profondément ... Mais il faut préciser le contexte.
Sylvain <ssecherre@free.fr> wrote:
Pas con, je vais essayer...
A part ça, dans l'absolu, un système sécurisé c'est un système
a) qui ne fait uniquement ce qu'il doit
(désinstaller/firewaller l'inutile)
b) qui est Í jour
c) qui a quelques options de sécurité ajoutées
(p.ex. app-armor, confinement, etc)
d) qui a des sauvegardes hors sites, pour
comparaison (au minimum des sauvegardes
hors ligne) ou reprise après désastre
e) qui est surveillé, notamment par les
logs, éventuellement envoyés Í un
autre serveur encore plus simplifié
et sécurisé, voire un IDS
f) dont le logiciel est audité plus ou
moins profondément
A part ça, dans l'absolu, un système sécurisé c'est un système a) qui ne fait uniquement ce qu'il doit (désinstaller/firewaller l'inutile) b) qui est Í jour c) qui a quelques options de sécurité ajoutées (p.ex. app-armor, confinement, etc) d) qui a des sauvegardes hors sites, pour comparaison (au minimum des sauvegardes hors ligne) ou reprise après désastre e) qui est surveillé, notamment par les logs, éventuellement envoyés Í un autre serveur encore plus simplifié et sécurisé, voire un IDS f) dont le logiciel est audité plus ou moins profondément ... Mais il faut préciser le contexte.
Sylvain
Le 16/04/2022 Í 11:27, tth a écrit :
On 4/15/22 23:44, Jo Engo wrote:
Le Fri, 15 Apr 2022 20:38:42 +0200, Sylvain a écrit :
- Interdire le boot depuis USB et le réseau. - Définir un mot de passe d’accès au bios. - Installation de la distribution linux.
Jusque-lÍ je vois juste un petit problème d'ordonnancement.
  Lequel ?
Il faut interdire le boot USB après l'installation.
Le 16/04/2022 Í 11:27, tth a écrit :
On 4/15/22 23:44, Jo Engo wrote:
Le Fri, 15 Apr 2022 20:38:42 +0200, Sylvain a écrit :
- Interdire le boot depuis USB et le réseau. - Définir un mot de passe
d’accès au bios.
- Installation de la distribution linux.
Jusque-lÍ je vois juste un petit problème d'ordonnancement.
  Lequel ?
Il faut interdire le boot USB après l'installation.
Le Fri, 15 Apr 2022 20:38:42 +0200, Sylvain a écrit :
- Interdire le boot depuis USB et le réseau. - Définir un mot de passe d’accès au bios. - Installation de la distribution linux.
Jusque-lÍ je vois juste un petit problème d'ordonnancement.
  Lequel ?
Il faut interdire le boot USB après l'installation.
Sylvain
Le 16/04/2022 Í 11:33, Marc SCHAEFER a écrit :
Sylvain wrote:
Pas con, je vais essayer...
A part ça, dans l'absolu, un système sécurisé c'est un système a) qui ne fait uniquement ce qu'il doit (désinstaller/firewaller l'inutile) b) qui est Í jour c) qui a quelques options de sécurité ajoutées (p.ex. app-armor, confinement, etc) d) qui a des sauvegardes hors sites, pour comparaison (au minimum des sauvegardes hors ligne) ou reprise après désastre e) qui est surveillé, notamment par les logs, éventuellement envoyés Í un autre serveur encore plus simplifié et sécurisé, voire un IDS f) dont le logiciel est audité plus ou moins profondément ... Mais il faut préciser le contexte.
Bien vu, merci. Le contexte est celui d'une informatique domestique. J'ai trois PC Í suivre dont deux sous Debian et un sous Manjaro (c'est la seule distribution qui reconnait quasiment tous les périphériques du portable). Le tout est en réseau filaire et wifi, connecté Í l'internet via une box Orange.
Le 16/04/2022 Í 11:33, Marc SCHAEFER a écrit :
Sylvain <ssecherre@free.fr> wrote:
Pas con, je vais essayer...
A part ça, dans l'absolu, un système sécurisé c'est un système
a) qui ne fait uniquement ce qu'il doit
(désinstaller/firewaller l'inutile)
b) qui est Í jour
c) qui a quelques options de sécurité ajoutées
(p.ex. app-armor, confinement, etc)
d) qui a des sauvegardes hors sites, pour
comparaison (au minimum des sauvegardes
hors ligne) ou reprise après désastre
e) qui est surveillé, notamment par les
logs, éventuellement envoyés Í un
autre serveur encore plus simplifié
et sécurisé, voire un IDS
f) dont le logiciel est audité plus ou
moins profondément
...
Mais il faut préciser le contexte.
Bien vu, merci.
Le contexte est celui d'une informatique domestique. J'ai trois PC Í
suivre dont deux sous Debian et un sous Manjaro (c'est la seule
distribution qui reconnait quasiment tous les périphériques du
portable). Le tout est en réseau filaire et wifi, connecté Í l'internet
via une box Orange.
A part ça, dans l'absolu, un système sécurisé c'est un système a) qui ne fait uniquement ce qu'il doit (désinstaller/firewaller l'inutile) b) qui est Í jour c) qui a quelques options de sécurité ajoutées (p.ex. app-armor, confinement, etc) d) qui a des sauvegardes hors sites, pour comparaison (au minimum des sauvegardes hors ligne) ou reprise après désastre e) qui est surveillé, notamment par les logs, éventuellement envoyés Í un autre serveur encore plus simplifié et sécurisé, voire un IDS f) dont le logiciel est audité plus ou moins profondément ... Mais il faut préciser le contexte.
Bien vu, merci. Le contexte est celui d'une informatique domestique. J'ai trois PC Í suivre dont deux sous Debian et un sous Manjaro (c'est la seule distribution qui reconnait quasiment tous les périphériques du portable). Le tout est en réseau filaire et wifi, connecté Í l'internet via une box Orange.