Je suis en train de me confectionner une procédure d'installation et de
sécurisation d'un PC Linux.
J'aimerais vos avis et vos compléments :
- Interdire le boot depuis USB et le réseau.
- Définir un mot de passe d’accès au bios.
- Installation de la distribution linux.
- Installer et configurer tripwire. Si ce n’est pas fait, peupler la
base de données.
- Installer et configurer logwatch.
- Installer et configurer tiger.
- Installer et configurer clamav et clamav-daemon.
- Installer et configurer un MTA pour l’envoi des rapports vers une
adresse centralisée.
- Installer et configurer fail2ban en fonction des logiciels installés.
- Vérifier l’installation d’anacron et peupler le répertoire
'/etc/cron.daily’
- Modifier le fichier ‘/etc/sysctl.conf’.
Le Fri, 15 Apr 2022 20:38:42 +0200, Sylvain a écrit :
- Interdire le boot depuis USB et le réseau. - Définir un mot de passe d’accès au bios. - Installation de la distribution linux.
Jusque-lÍ je vois juste un petit problème d'ordonnancement.
Très juste !
C'est discutable : les deux premières opérations peuvent relever de la même session BIOS, dans un ordre quelconque. On pourrait y insérer, avant la n°3 - S'assurer de la boutabilitude de l'installation envisagée ; - Vérifier l'ordre de boot par défaut (CD/DVD, disques, etc. ) ; Mot de passe : * surtout ne pas l'oublier ! * éviter les caractères non-ascii ou mobiles (azerty(+m), qwertz, ...). Boute : Certains bios peuvent distinguer entre USB internes et externes, ou prises réseau, etc. Le local et/ou le boÍ®tier sont-ils sécurisés ?
Le 16-04-2022, Sylvain a écrit :
Le 15/04/2022 Í 23:44, Jo Engo a écrit :
Le Fri, 15 Apr 2022 20:38:42 +0200, Sylvain a écrit :
- Interdire le boot depuis USB et le réseau. - Définir un mot de passe
d’accès au bios.
- Installation de la distribution linux.
Jusque-lÍ je vois juste un petit problème d'ordonnancement.
Très juste !
C'est discutable : les deux premières opérations peuvent relever
de la même session BIOS, dans un ordre quelconque.
On pourrait y insérer, avant la n°3
- S'assurer de la boutabilitude de l'installation envisagée ;
- Vérifier l'ordre de boot par défaut (CD/DVD, disques, etc. ) ;
Mot de passe :
* surtout ne pas l'oublier !
* éviter les caractères non-ascii ou mobiles (azerty(+m), qwertz, ...).
Boute : Certains bios peuvent distinguer entre USB internes et
externes, ou prises réseau, etc.
Le Fri, 15 Apr 2022 20:38:42 +0200, Sylvain a écrit :
- Interdire le boot depuis USB et le réseau. - Définir un mot de passe d’accès au bios. - Installation de la distribution linux.
Jusque-lÍ je vois juste un petit problème d'ordonnancement.
Très juste !
C'est discutable : les deux premières opérations peuvent relever de la même session BIOS, dans un ordre quelconque. On pourrait y insérer, avant la n°3 - S'assurer de la boutabilitude de l'installation envisagée ; - Vérifier l'ordre de boot par défaut (CD/DVD, disques, etc. ) ; Mot de passe : * surtout ne pas l'oublier ! * éviter les caractères non-ascii ou mobiles (azerty(+m), qwertz, ...). Boute : Certains bios peuvent distinguer entre USB internes et externes, ou prises réseau, etc. Le local et/ou le boÍ®tier sont-ils sécurisés ?
Marc SCHAEFER
Sylvain wrote:
Le contexte est celui d'une informatique domestique. J'ai trois PC Í suivre dont deux sous Debian et un sous Manjaro (c'est la seule distribution qui reconnait quasiment tous les périphériques du portable). Le tout est en réseau filaire et wifi, connecté Í l'internet via une box Orange.
Il me semble dans ce cas que si l'utilisateur n'a pas le droit d'installer des logiciels, que son répertoire n'est pas exécutable (option noexec au montage), et que les mises Í jour automatiques sont activées, le risque résiduel devrait être bas.
Sylvain <ssecherre@free.fr> wrote:
Le contexte est celui d'une informatique domestique. J'ai trois PC Í
suivre dont deux sous Debian et un sous Manjaro (c'est la seule
distribution qui reconnait quasiment tous les périphériques du
portable). Le tout est en réseau filaire et wifi, connecté Í l'internet
via une box Orange.
Il me semble dans ce cas que si l'utilisateur n'a pas le droit
d'installer des logiciels, que son répertoire n'est pas exécutable
(option noexec au montage), et que les mises Í jour automatiques sont
activées, le risque résiduel devrait être bas.
Le contexte est celui d'une informatique domestique. J'ai trois PC Í suivre dont deux sous Debian et un sous Manjaro (c'est la seule distribution qui reconnait quasiment tous les périphériques du portable). Le tout est en réseau filaire et wifi, connecté Í l'internet via une box Orange.
Il me semble dans ce cas que si l'utilisateur n'a pas le droit d'installer des logiciels, que son répertoire n'est pas exécutable (option noexec au montage), et que les mises Í jour automatiques sont activées, le risque résiduel devrait être bas.
Sylvain
Le 16/04/2022 Í 11:59, Marc SCHAEFER a écrit :
Sylvain wrote:
Le contexte est celui d'une informatique domestique. J'ai trois PC Í suivre dont deux sous Debian et un sous Manjaro (c'est la seule distribution qui reconnait quasiment tous les périphériques du portable). Le tout est en réseau filaire et wifi, connecté Í l'internet via une box Orange.
Il me semble dans ce cas que si l'utilisateur n'a pas le droit d'installer des logiciels, que son répertoire n'est pas exécutable (option noexec au montage), et que les mises Í jour automatiques sont activées, le risque résiduel devrait être bas.
En effet. Il s'agirait de se protéger contre les intrusions.
Le 16/04/2022 Í 11:59, Marc SCHAEFER a écrit :
Sylvain <ssecherre@free.fr> wrote:
Le contexte est celui d'une informatique domestique. J'ai trois PC Í
suivre dont deux sous Debian et un sous Manjaro (c'est la seule
distribution qui reconnait quasiment tous les périphériques du
portable). Le tout est en réseau filaire et wifi, connecté Í l'internet
via une box Orange.
Il me semble dans ce cas que si l'utilisateur n'a pas le droit
d'installer des logiciels, que son répertoire n'est pas exécutable
(option noexec au montage), et que les mises Í jour automatiques sont
activées, le risque résiduel devrait être bas.
En effet. Il s'agirait de se protéger contre les intrusions.
Le contexte est celui d'une informatique domestique. J'ai trois PC Í suivre dont deux sous Debian et un sous Manjaro (c'est la seule distribution qui reconnait quasiment tous les périphériques du portable). Le tout est en réseau filaire et wifi, connecté Í l'internet via une box Orange.
Il me semble dans ce cas que si l'utilisateur n'a pas le droit d'installer des logiciels, que son répertoire n'est pas exécutable (option noexec au montage), et que les mises Í jour automatiques sont activées, le risque résiduel devrait être bas.
En effet. Il s'agirait de se protéger contre les intrusions.
Sylvain
Le 16/04/2022 Í 11:54, Jacques L'helgoualc'h a écrit :
Le 16-04-2022, Sylvain a écrit :
Le 15/04/2022 Í 23:44, Jo Engo a écrit :
Le Fri, 15 Apr 2022 20:38:42 +0200, Sylvain a écrit :
- Interdire le boot depuis USB et le réseau. - Définir un mot de passe d’accès au bios. - Installation de la distribution linux.
Jusque-lÍ je vois juste un petit problème d'ordonnancement.
Très juste !
C'est discutable : les deux premières opérations peuvent relever de la même session BIOS, dans un ordre quelconque. On pourrait y insérer, avant la n°3 - S'assurer de la boutabilitude de l'installation envisagée ; - Vérifier l'ordre de boot par défaut (CD/DVD, disques, etc. ) ; Mot de passe : * surtout ne pas l'oublier ! * éviter les caractères non-ascii ou mobiles (azerty(+m), qwertz, ...).
Exact !
Boute : Certains bios peuvent distinguer entre USB internes et externes, ou prises réseau, etc.
Ce n'est pas le cas de mes options de boot USB.
Le local et/ou le boÍ®tier sont-ils sécurisés ?
Pas spécialement. Il s'agit de PC installés Í mon domicile. Les boÍ®tiers ne sont pas sécurisés.
Le 16/04/2022 Í 11:54, Jacques L'helgoualc'h a écrit :
Le 16-04-2022, Sylvain a écrit :
Le 15/04/2022 Í 23:44, Jo Engo a écrit :
Le Fri, 15 Apr 2022 20:38:42 +0200, Sylvain a écrit :
- Interdire le boot depuis USB et le réseau. - Définir un mot de passe
d’accès au bios.
- Installation de la distribution linux.
Jusque-lÍ je vois juste un petit problème d'ordonnancement.
Très juste !
C'est discutable : les deux premières opérations peuvent relever
de la même session BIOS, dans un ordre quelconque.
On pourrait y insérer, avant la n°3
- S'assurer de la boutabilitude de l'installation envisagée ;
- Vérifier l'ordre de boot par défaut (CD/DVD, disques, etc. ) ;
Mot de passe :
* surtout ne pas l'oublier !
* éviter les caractères non-ascii ou mobiles (azerty(+m), qwertz, ...).
Exact !
Boute : Certains bios peuvent distinguer entre USB internes et
externes, ou prises réseau, etc.
Ce n'est pas le cas de mes options de boot USB.
Le local et/ou le boÍ®tier sont-ils sécurisés ?
Pas spécialement. Il s'agit de PC installés Í mon domicile. Les boÍ®tiers
ne sont pas sécurisés.
Le 16/04/2022 Í 11:54, Jacques L'helgoualc'h a écrit :
Le 16-04-2022, Sylvain a écrit :
Le 15/04/2022 Í 23:44, Jo Engo a écrit :
Le Fri, 15 Apr 2022 20:38:42 +0200, Sylvain a écrit :
- Interdire le boot depuis USB et le réseau. - Définir un mot de passe d’accès au bios. - Installation de la distribution linux.
Jusque-lÍ je vois juste un petit problème d'ordonnancement.
Très juste !
C'est discutable : les deux premières opérations peuvent relever de la même session BIOS, dans un ordre quelconque. On pourrait y insérer, avant la n°3 - S'assurer de la boutabilitude de l'installation envisagée ; - Vérifier l'ordre de boot par défaut (CD/DVD, disques, etc. ) ; Mot de passe : * surtout ne pas l'oublier ! * éviter les caractères non-ascii ou mobiles (azerty(+m), qwertz, ...).
Exact !
Boute : Certains bios peuvent distinguer entre USB internes et externes, ou prises réseau, etc.
Ce n'est pas le cas de mes options de boot USB.
Le local et/ou le boÍ®tier sont-ils sécurisés ?
Pas spécialement. Il s'agit de PC installés Í mon domicile. Les boÍ®tiers ne sont pas sécurisés.
Marc SCHAEFER
Sylvain wrote:
En effet. Il s'agirait de se protéger contre les intrusions.
Sur mon réseau je fais deux choses en plus que les recommandations usuelles: 1) j'ai plusieurs honeypots qui pourraient être scannés par un pirate peu habile qui serait entré dans un des réseaux internes 2) j'ai une machine dédiée Í la détection d'intrusion (version open source de SURICATA), Í laquelle les switches copient (miroir) le trafic réseau 2) m'a déjÍ permis de détecter des erreurs de clients ou des événements curieux. 1) reste désespérément muet, Í part le test automatique journalier.
Sylvain <ssecherre@free.fr> wrote:
En effet. Il s'agirait de se protéger contre les intrusions.
Sur mon réseau je fais deux choses en plus que les recommandations
usuelles:
1) j'ai plusieurs honeypots qui pourraient être scannés par un pirate peu
habile qui serait entré dans un des réseaux internes
2) j'ai une machine dédiée Í la détection d'intrusion (version open
source de SURICATA), Í laquelle les switches copient (miroir)
le trafic réseau
2) m'a déjÍ permis de détecter des erreurs de clients ou des événements
curieux. 1) reste désespérément muet, Í part le test automatique
journalier.
En effet. Il s'agirait de se protéger contre les intrusions.
Sur mon réseau je fais deux choses en plus que les recommandations usuelles: 1) j'ai plusieurs honeypots qui pourraient être scannés par un pirate peu habile qui serait entré dans un des réseaux internes 2) j'ai une machine dédiée Í la détection d'intrusion (version open source de SURICATA), Í laquelle les switches copient (miroir) le trafic réseau 2) m'a déjÍ permis de détecter des erreurs de clients ou des événements curieux. 1) reste désespérément muet, Í part le test automatique journalier.
Matthieu
Le 16.04.2022 Í 11:43 Sylvain a écrit:
Le 16/04/2022 Í 11:27, tth a écrit :
On 4/15/22 23:44, Jo Engo wrote:
Le Fri, 15 Apr 2022 20:38:42 +0200, Sylvain a écrit :
- Interdire le boot depuis USB et le réseau. - Définir un mot de passe d’accès au bios. - Installation de la distribution linux.
Jusque-lÍ je vois juste un petit problème d'ordonnancement.
  Lequel ?
Il faut interdire le boot USB après l'installation.
Il installe peut-être depuis un CD, un DVD, une disquette ou encore autre chose. Matthieu
Le 16.04.2022 Í 11:43 Sylvain a écrit:
Le 16/04/2022 Í 11:27, tth a écrit :
> On 4/15/22 23:44, Jo Engo wrote:
>> Le Fri, 15 Apr 2022 20:38:42 +0200, Sylvain a écrit :
>>
>>> - Interdire le boot depuis USB et le réseau. - Définir un mot de
>>> passe d’accès au bios.
>>> - Installation de la distribution linux.
>>
>> Jusque-lÍ je vois juste un petit problème d'ordonnancement.
>>
>
> Â Â Lequel ?
>
Il faut interdire le boot USB après l'installation.
Il installe peut-être depuis un CD, un DVD, une disquette ou encore
autre chose.
Le Fri, 15 Apr 2022 20:38:42 +0200, Sylvain a écrit :
- Interdire le boot depuis USB et le réseau. - Définir un mot de passe d’accès au bios. - Installation de la distribution linux.
Jusque-lÍ je vois juste un petit problème d'ordonnancement.
  Lequel ?
Il faut interdire le boot USB après l'installation.
Il installe peut-être depuis un CD, un DVD, une disquette ou encore autre chose. Matthieu
Nicolas George
Marc SCHAEFER , dans le message <t3e429$hre$, a écrit :
Il me semble dans ce cas que si l'utilisateur n'a pas le droit d'installer des logiciels, que son répertoire n'est pas exécutable (option noexec au montage), et que les mises Í jour automatiques sont activées, le risque résiduel devrait être bas.
En effet, avec cette configuration, l'utilisateur ne peut que perdre ses données importantes.
Marc SCHAEFER , dans le message <t3e429$hre$1@shakotay.alphanet.ch>, a
écrit :
Il me semble dans ce cas que si l'utilisateur n'a pas le droit
d'installer des logiciels, que son répertoire n'est pas exécutable
(option noexec au montage), et que les mises Í jour automatiques sont
activées, le risque résiduel devrait être bas.
En effet, avec cette configuration, l'utilisateur ne peut que perdre ses
données importantes.
Marc SCHAEFER , dans le message <t3e429$hre$, a écrit :
Il me semble dans ce cas que si l'utilisateur n'a pas le droit d'installer des logiciels, que son répertoire n'est pas exécutable (option noexec au montage), et que les mises Í jour automatiques sont activées, le risque résiduel devrait être bas.
En effet, avec cette configuration, l'utilisateur ne peut que perdre ses données importantes.
Marc SCHAEFER
Nicolas George <nicolas$ wrote:
Il me semble dans ce cas que si l'utilisateur n'a pas le droit d'installer des logiciels, que son répertoire n'est pas exécutable (option noexec au montage), et que les mises Í jour automatiques sont activées, le risque résiduel devrait être bas.
En effet, avec cette configuration, l'utilisateur ne peut que perdre ses données importantes.
J'attends une justification: j'ai des salles entières configurées ainsi.
Nicolas George <nicolas$george@salle-s.org> wrote:
Il me semble dans ce cas que si l'utilisateur n'a pas le droit
d'installer des logiciels, que son répertoire n'est pas exécutable
(option noexec au montage), et que les mises Í jour automatiques sont
activées, le risque résiduel devrait être bas.
En effet, avec cette configuration, l'utilisateur ne peut que perdre ses
données importantes.
J'attends une justification: j'ai des salles entières configurées ainsi.
Il me semble dans ce cas que si l'utilisateur n'a pas le droit d'installer des logiciels, que son répertoire n'est pas exécutable (option noexec au montage), et que les mises Í jour automatiques sont activées, le risque résiduel devrait être bas.
En effet, avec cette configuration, l'utilisateur ne peut que perdre ses données importantes.
J'attends une justification: j'ai des salles entières configurées ainsi.
Nicolas George
Marc SCHAEFER , dans le message <t3etid$sl8$, a écrit :
J'attends une justification: j'ai des salles entières configurées ainsi.
Ça fait peur.
Marc SCHAEFER , dans le message <t3etid$sl8$1@shakotay.alphanet.ch>, a
écrit :
J'attends une justification: j'ai des salles entières configurées ainsi.
