Recherche distribution linux sécurisée

Le
noone
Bonjour,

je cherche une distribution linux sécurisée (libre) pour faire un
partage de connexion et firewall (et + si affinité)

Le PC est un Pentium 233 avec 64 Mo de Ram avec lecteur de CD, disque
dur de 20 Go, et chipset vidéo monochrome sur la carte mère (!!!)
Autant dire que le choix de la distrib est important !

J'ai regardé sur http://www.ixus.net mais ils ne donnent pas vraiment
d'infos, ils proposent quelques distrib sans vraiment les comparer.

Distibutions linux
.IPCop
.Smoothwall
.E-Smith SME Server
.Mandrake MNF
.Clarkconnect
.Sentinix
.Freesco
.Free-EOS

Je veux administrer ce PC uniquement à distance (aucune intervention sur
le serveur il est dans le garage et ça pelle l'hiver !)

Que me conseillez-vous ? (sans changer de PC !)

Merci
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Rakotomandimby Mihamina
Le #1528030
wrote:
Bonjour,


bonjour

je cherche une distribution linux sécurisée (libre) pour faire un
partage de connexion et firewall... (et + si affinité)


entierement possible .

Le PC est un Pentium 233 avec 64 Mo de Ram avec lecteur de CD, disque
dur de 20 Go, et chipset vidéo monochrome sur la carte mère (!!!)
Autant dire que le choix de la distrib est important !


1 ) penser a enlever le lecteur CD et disquette apres l'install , oui la
securicte physique c'est tout aussi important ... faut pas que qqun
puisse booter a part toi .



Distibutions linux .IPCop .Smoothwall .E-Smith SME Server


ce sont les 3 que je retiendrai ...
avec choisir indiferemment l'une des trois ...

Je veux administrer ce PC uniquement à distance (aucune intervention
sur le serveur... il est dans le garage... et ça pelle l'hiver !)


l'ete arrive ...
mais ne t'en fais pas , l'administration a distance est implicite pour
ce genre de machine , il sera installe par default

Que me conseillez-vous ? (sans changer de PC !)


SME ou Ipcop .

Merci


noone
Le #1528027
Le Fri, 16 Apr 2004 11:16:16 +0200, Rakotomandimby Mihamina a écrit :

wrote:
Bonjour,


bonjour

je cherche une distribution linux sécurisée (libre) pour faire un
partage de connexion et firewall... (et + si affinité)


entierement possible .

Le PC est un Pentium 233 avec 64 Mo de Ram avec lecteur de CD, disque
dur de 20 Go, et chipset vidéo monochrome sur la carte mère (!!!)
Autant dire que le choix de la distrib est important !


1 ) penser a enlever le lecteur CD et disquette apres l'install , oui la
securicte physique c'est tout aussi important ... faut pas que qqun
puisse booter a part toi .



Distibutions linux .IPCop .Smoothwall .E-Smith SME Server


ce sont les 3 que je retiendrai ...
avec choisir indiferemment l'une des trois ...

Je veux administrer ce PC uniquement à distance (aucune intervention
sur le serveur... il est dans le garage... et ça pelle l'hiver !)


l'ete arrive ...
mais ne t'en fais pas , l'administration a distance est implicite pour
ce genre de machine , il sera installe par default

Que me conseillez-vous ? (sans changer de PC !)


SME ou Ipcop .

Merci




SME c'est E-Smith ?
D'après ce qu'ils disent (Free-EOS c'est la même chose mais en français)

Et entre ces distributions, quel est le bon compromis entre facilité
d'installation , sécurité, ajout de fonctions supplémentaires ?

Merci


Anthony
Le #1528023
Bonjour,


Salut,

je cherche une distribution linux sécurisée (libre) pour faire un
partage de connexion et firewall... (et + si affinité)


Moi aussi je te consellerai SME (c'est le nouveau non d'E-Smith) :
1) c'est facile a installer (c'est basé sur une Redhat)
2) c'est etudié pour la secu (il y a aucun paquetages graphiques qui est
prevu)
3) c'est a jour regulierement

Cette distrib' devrait tres bien te convenir, d'autant plus qu'il existe
une veritable communauté autour de cette distribution (il y a meme des
forums usenet sur e-smith)

Je veux administrer ce PC uniquement à distance (aucune intervention sur
le serveur... il est dans le garage... et ça pelle l'hiver !)


Avec ssh, ca se fera tres facilement je pense.

Merci


De rien

Anthony

noone
Le #1528022
Le Fri, 16 Apr 2004 13:36:47 +0200, Anthony a écrit :

Bonjour,


Salut,

je cherche une distribution linux sécurisée (libre) pour faire un
partage de connexion et firewall... (et + si affinité)


Moi aussi je te consellerai SME (c'est le nouveau non d'E-Smith) :
1) c'est facile a installer (c'est basé sur une Redhat)
2) c'est etudié pour la secu (il y a aucun paquetages graphiques qui est
prevu)
3) c'est a jour regulierement

Cette distrib' devrait tres bien te convenir, d'autant plus qu'il existe
une veritable communauté autour de cette distribution (il y a meme des
forums usenet sur e-smith)

Je veux administrer ce PC uniquement à distance (aucune intervention sur
le serveur... il est dans le garage... et ça pelle l'hiver !)


Avec ssh, ca se fera tres facilement je pense.

Merci


De rien

Anthony


j'avais commencé à télécharger free-eos ... mais vous me faites tous
les 2 changer d'avis...

Téléchargement de SME en cours !

Merci


Frédéric PANES
Le #1528021
écrivit :
Bonjour,

je cherche une distribution linux sécurisée (libre) pour faire un
partage de connexion et firewall... (et + si affinité)...


Bonjour,

IPCop s'installe en 15 minutes, s'administre par une interface Web francisée
ou SSH, permet de monter facilement une DMZ et j'en passe et des meilleures
(image ISO de 20Mo). Le système de patchs est plutôt au point et on peut y
greffer des add-ons.

Par contre c'est une distribution minimaliste vraiment dédiée GW/FW au
contraire de la SME qui permet de monter un serveur Samba et d'autres
services (qui n'ont rien à faire sur un FW, à mon avis) et dont la
configuration par templates peut rebuter certaines personnes.

La fonction créant l'organe c'est à toi de voir les fonctionnalités dont tu
as besoin et le niveau de sécurité que tu veux mettre en place.

Cordialement.

--
Frédéric

[Sauron De Mordor]
Le #1528018
wrote:
Bonjour,

je cherche une distribution linux sécurisée (libre) pour faire un
partage de connexion et firewall... (et + si affinité)

Le PC est un Pentium 233 avec 64 Mo de Ram avec lecteur de CD, disque
dur de 20 Go, et chipset vidéo monochrome sur la carte mère (!!!)
Autant dire que le choix de la distrib est important !

J'ai regardé sur http://www.ixus.net mais ils ne donnent pas vraiment
d'infos, ils proposent quelques distrib sans vraiment les comparer.

Distibutions linux
.IPCop
.Smoothwall
.E-Smith SME Server
.Mandrake MNF
.Clarkconnect
.Sentinix
.Freesco
.Free-EOS

Je veux administrer ce PC uniquement à distance (aucune intervention sur
le serveur... il est dans le garage... et ça pelle l'hiver !)

Que me conseillez-vous ? (sans changer de PC !)

Merci



perso je te te dirais que n importe quel distrib ferais l affaire avec
un peu d expérience et de config, cela dit c est plus ou moins facile
avec les différentes modalités d install.


la debian et la gentoo se prête assez bien a cela, de plus la gentoo a
un site qui donne les étapes pas a pas pour mettre en place une distrib
securisee.


si tu choisi la gentoo, en plus d une distrib securisee tu saura
pourquoi elle est securisee et comprendre le mécanismes et les parties
intéressante.


si on résume il te faut:

un bare-bone système (kernel, shell)
un access distant, securisee donc ssh, ou telnet sur une interface
physique interne.
un firewall (kernel)
evantuelemnt un kernel grsecurity


le tout n eccede pas 60 a 100 Mo


ensuite pour une machine securisee tu doit enlever le compilateur et
tout outils de traçage. exporter les log (via syslog) mettre certain FS
en read olny , et si tu est tres tres parano alors mettre le jumper
disque sur read olny ( mesure extreme qd meme)

en fait ce qu il fait vraiment mettre en ro c ets la ou il y a le
kernel, /boot et /lib/modules, et la ou il y a les binnaires, en fait
juste /var doit etre rw, evantuelement /home, mais il na pas lieu d etre
ici.

ensuite tu met un acces console via le port serie, ce qui t evite d
avoir un ecran. et tu peu ainsi lancer la machine et voir les choix du
boot loader sans l ecran.


donc je te conseil plus une gentoo qui est tres didactique pour cela et
t aidera surement apres pour plein d autre manipulations.

TiChou
Le #1528013
Dans le message *[Sauron De Mordor]* tapota sur f.c.o.l.configuration :

je cherche une distribution linux sécurisée (libre) pour faire un
partage de connexion et firewall... (et + si affinité)

Le PC est un Pentium 233 avec 64 Mo de Ram avec lecteur de CD, disque
dur de 20 Go, et chipset vidéo monochrome sur la carte mère (!!!)



[...]

Que me conseillez-vous ? (sans changer de PC !)


perso je te te dirais que n importe quel distrib ferais l affaire avec
un peu d expérience et de config, cela dit c est plus ou moins facile
avec les différentes modalités d install.

la debian et la gentoo se prête assez bien a cela, de plus la gentoo a
un site qui donne les étapes pas a pas pour mettre en place une distrib
securisee.


[...]

le tout n eccede pas 60 a 100 Mo

ensuite pour une machine securisee tu doit enlever le compilateur


Ça va être dur d'enlever le compilateur sur une Gentoo. Parce qui dit
sécurité, dit mise à jour régulière et donc compilation...

tout outils de traçage. exporter les log (via syslog) mettre certain FS
en read olny , et si tu est tres tres parano alors mettre le jumper
disque sur read olny ( mesure extreme qd meme)


Et comment fait-on pour /tmp et /var ? Ils vont avoir du mal les services à
se lancer. Et ne me dites pas de mettre cela dans un ramdisk quand on
dispose de « seulement » 64Mo de RAM. ;)
Et pour les mises à jour ? Si le monsieur doit démonter sa machine qui,
rappelons le, se situe dans son garage, à chaque fois qu'il doit faire une
mise à jour, il n'a pas finit...

en fait ce qu il fait vraiment mettre en ro c ets la ou il y a le
kernel, /boot et /lib/modules, et la ou il y a les binnaires, en fait
juste /var doit etre rw,


et aussi /tmp, sans compter l'arbre de portage /usr/portage qui doit être
mis régulièrement à jour.

evantuelement /home, mais il na pas lieu d etre ici.

ensuite tu met un acces console via le port serie, ce qui t evite d
avoir un ecran. et tu peu ainsi lancer la machine et voir les choix du
boot loader sans l ecran.

donc je te conseil plus une gentoo qui est tres didactique pour cela et
t aidera surement apres pour plein d autre manipulations.


Avec son Pentium 233, bon courage ! De plus je ne pense pas que le monsieur
ait demandé quelque chose de didactique mais au contraire une distribution
qui lui permettra d'être efficace et opérationnelle rapidement.

Bref, grand défenseur de la Gentoo que je suis, c'est malgré tout la
dernière distribution que je conseillerai à ce monsieur. Par contre il a été
conseillé IPCop et SME et ça me semble effectivement des distributions très
adaptées pour cet usage.
On peut éventuellement parler aussi des minis distributions, comme la
Bering, qui peuvent aussi s'installer sur disque dur et qui sont très
efficaces pour ce type d'usage (http://leaf.sf.net).

--
TiChou


[Sauron De Mordor]
Le #1528009
TiChou wrote:
Dans le message *[Sauron De Mordor]* tapota sur f.c.o.l.configuration :


je cherche une distribution linux sécurisée (libre) pour faire un
partage de connexion et firewall... (et + si affinité)

Le PC est un Pentium 233 avec 64 Mo de Ram avec lecteur de CD, disque
dur de 20 Go, et chipset vidéo monochrome sur la carte mère (!!!)




[...]


Que me conseillez-vous ? (sans changer de PC !)




perso je te te dirais que n importe quel distrib ferais l affaire avec
un peu d expérience et de config, cela dit c est plus ou moins facile
avec les différentes modalités d install.



la debian et la gentoo se prête assez bien a cela, de plus la gentoo a
un site qui donne les étapes pas a pas pour mettre en place une distrib
securisee.



[...]


le tout n eccede pas 60 a 100 Mo



ensuite pour une machine securisee tu doit enlever le compilateur



Ça va être dur d'enlever le compilateur sur une Gentoo. Parce qui dit
sécurité, dit mise à jour régulière et donc compilation...



erreur, car tu peux compiler tes packages et kernel sur une autre machine.
ensuite si la machine n a que le kernel et un service ssh dessus alors
pas besoin de bcp de soft a recompiler.


tout outils de traçage. exporter les log (via syslog) mettre certain FS
en read olny , et si tu est tres tres parano alors mettre le jumper
disque sur read olny ( mesure extreme qd meme)



Et comment fait-on pour /tmp et /var ? Ils vont avoir du mal les services à
se lancer. Et ne me dites pas de mettre cela dans un ramdisk quand on
dispose de « seulement » 64Mo de RAM. ;)
Et pour les mises à jour ? Si le monsieur doit démonter sa machine qui,
rappelons le, se situe dans son garage, à chaque fois qu'il doit faire une
mise à jour, il n'a pas finit...



mount -t tmpfs none /tmp
sur un firewall le /tmp est quasi null car ne sert qu a booter la console.
le /vat pour les log, cf syslog ou tu ne log rien sur la machine mais
uniquement sur un loghost


en fait ce qu il fait vraiment mettre en ro c ets la ou il y a le
kernel, /boot et /lib/modules, et la ou il y a les binnaires, en fait
juste /var doit etre rw,



et aussi /tmp, sans compter l'arbre de portage /usr/portage qui doit être
mis régulièrement à jour.



pas obliger. si tu a d autre machine gentoo pour preparer les packages
et pour la mise a jour de portage, on s en fou, ce qu il faut savoir c
est l utilite de la mise a jour. pourquoi upgrader portage si pas de
nouevell install. pourquoi upgrader un soft si t es pas sensible a une
vulnerabilitee.

ensuite si un bug de secu est dans bash (par exemple) pourquoi faire l
upgrade si le seul compte accessible est root et uniquement sur le port
serie ?
les seul upgrade envisageable est le ssh en cas de remote exploit (meme
un dos on s en moque, car ce ts juste genant pour un particulier, pas
idem c ets pour une machine pour site web) ou une vulnerabiliteeremote
sur le kernel aussi.

par contre ca change bcp si cette machine propose d autre services, c
est a ponderer avec cela.



evantuelement /home, mais il na pas lieu d etre ici.



ensuite tu met un acces console via le port serie, ce qui t evite d
avoir un ecran. et tu peu ainsi lancer la machine et voir les choix du
boot loader sans l ecran.



donc je te conseil plus une gentoo qui est tres didactique pour cela et
t aidera surement apres pour plein d autre manipulations.



Avec son Pentium 233, bon courage ! De plus je ne pense pas que le monsieur
ait demandé quelque chose de didactique mais au contraire une distribution
qui lui permettra d'être efficace et opérationnelle rapidement.

Bref, grand défenseur de la Gentoo que je suis, c'est malgré tout la
dernière distribution que je conseillerai à ce monsieur. Par contre il a été
conseillé IPCop et SME et ça me semble effectivement des distributions très
adaptées pour cet usage.
On peut éventuellement parler aussi des minis distributions, comme la
Bering, qui peuvent aussi s'installer sur disque dur et qui sont très
efficaces pour ce type d'usage (http://leaf.sf.net).

je suis d accord avec toi, ca depend de ce qu il veut, une distrib

securisee facile a installee mais ou il ne saist pas trop ce qui est
fait, ou le faire a la main.

de toute facon si il veux savoir, et bien securiser sa machine, je pense
qu il devra s essayer a bcp de chose.

je lui conseille surtout si il a le temps, l envie et les moyens de
tester et d experimenter plein de chose.


j ai fait cette reponse aussi, pour ceux qui n ont pas trop reflechis a
la question.

par exemple, mon linux-firewall, a des version tres anciennes de soft,
genre ssh et ssl sont au moins sensible a 200 attaques locale, mais
impossible de se connecter en root autrement qu a la console (serial) la
securite des soft est ok uniquement en remote, par conmtre quand j
upgrade, je le fait a fond (fo pas exagerer ad meme).
un bon portsentry pour l anti scan, et un iptabes bien eprouve depuis qq
annees.

cela dit je me suis mis a la gentoo il y a a peine 3 mois, et
franchement je trouve cette distribe parfaite pour ce genre de manip.
mais pas forcement easy install.



noone
Le #1528000
Bonjour,

je cherche une distribution linux sécurisée (libre) pour faire un
partage de connexion et firewall... (et + si affinité)

Le PC est un Pentium 233 avec 64 Mo de Ram avec lecteur de CD, disque
dur de 20 Go, et chipset vidéo monochrome sur la carte mère (!!!)
Autant dire que le choix de la distrib est important !

J'ai regardé sur http://www.ixus.net mais ils ne donnent pas vraiment
d'infos, ils proposent quelques distrib sans vraiment les comparer.

Distibutions linux
.IPCop
.Smoothwall
.E-Smith SME Server
.Mandrake MNF
.Clarkconnect
.Sentinix
.Freesco
.Free-EOS

Je veux administrer ce PC uniquement à distance (aucune intervention sur
le serveur... il est dans le garage... et ça pelle l'hiver !)

Que me conseillez-vous ? (sans changer de PC !)

Merci



En fait ce que je cherche c'est d'abord quelque chose de SIMPLE !

Un VRAI firewall, routeur, ... pas trop de serveurs...
parce que j'avais fait un partage de connexion via MDK 10 (sur un autre
PC... pas sur le P233 !), partage Samba,... (je débute)
Tout marchais bien...
Mais je me suis fais peur en allant
sur un site de sécurité... (scan de port, file sharing...)
Mon serveur marchait trop bien... tout était accessible de
l'extérieur... sans mot de passe !

Pour info le site pour l'audit de sécurité c'est "Shields Up !"
http://www.grc.com
https://grc.com/x/ne.dll?bh0bkyd2

Alors les configs de distrib généraliste... je suis un peu méfiant
(parce que débutant !)

Je préfère faire un vrai firewall-routeur (avec mon P233), un vrai
serveur pour mon intranet et éventuellement pour internet, et des vrais
clients qui ne font que ça... (Le coup des partages visibles ça m'a scié
! ... le pb doit venir du fait que mes deux cartes réseau avaient la
même IP)

Merci pour vos conseils

FrekoDing
Le #1527998
Le 16/04/2004 16:09, écrivait ceci :

Un VRAI firewall, routeur, ... pas trop de serveurs...


ok firewall ,routeur !
serveur (smtp, DNS etc) oui ou non !
faut se poser la question avant de monter sa solution.

Pour info le site pour l'audit de sécurité c'est "Shields Up !"
http://www.grc.com
https://grc.com/x/ne.dll?bh0bkyd2


un bon scan de l'exterieur via nmap t'en apprendra beaucoup plus...

Alors les configs de distrib généraliste... je suis un peu méfiant
(parce que débutant !)


dans tous les cas, va falloir mettre les mains dans le cambouis.
on ne peut pas etre exigeant coté securité sans savoir exactement ce qui
se trame derriere chaque action.
il existe enormement de paper sur le net expliquant comment securiser au
mieux une installation linux
(pour ma part, je te dirige vers une debian Woody)
voila un bon paper en francais SVP :-)
http://www.entreelibre.com/scastro/debian-secinst/

Merci pour vos conseils


de rien.
bon courage.
@+

Publicité
Poster une réponse
Anonyme