craintes sur la sécurité en général

david75017 · Le 07/01/2016, à 17:19

Bonjour à tous

Utilisateur de Windows de longue date, je me penche sérieusement sur Linux, que je ne connaissais pas sauf de nom, à la suite de l'orientation prise par Microsoft avec Windows 10 (harcèlement pour pousser à l'installation, doutes sérieux sur le respect de la vie privée, mises à jour imposées).

Depuis 4 mois maintenant, je découvre petit à petit Ubuntu, et si les débuts ont été chaotiques, maintenant j'arrive à faire pas mal de choses (en grande partie grâce à ce site).

Une des raisons qui m'avait motivé au départ pour tenter Linux, c'était le gain de sécurité. J'étais resté sur l'idée populaire que Linux étant peu répandu sur les desktops, il n'y avait pas de risques d'être victime d'attaques malveillantes.
Depuis qq jours, je me documente sur la sécurité sous Ubuntu, et je dois dire que je suis pas mal refroidi.

J'ai lu plusieurs fois qu'un antivirus n'avait pas de raison d'être sous Linux, mais alors pourquoi toutes ces autres précautions détaillées sur le site officiel d'Ubuntu

Pourquoi activer le firewall? Pourquoi ne pas simplement faire en sorte qu'il soit activé par défaut à l'installation? A quoi sert-il, alors?

Pas de virus sous Ubuntu, d'accord, mais plein de vulnérabilités. On joue sur les mots, là!

Il faut blinder firefox exactement de la même façon que sous windows.

Il faut faire attention aux paquets qu'on installe exactement de la même façon qu'on doit faire attention aux .exe de windows.
Récemment, je cherchais un encodeur video autre que ceux présents dans les dépôts officiels, qui ne me conviennent pas. J'en vois sur sourceforge.net, mais il paraît que sourceforge.net est devenu une usine à malwares, du coup, je me suis abstenu.

Il y a aussi un article comme celui-là
qui n'arrange rien. 3 fois plus de faille de sécurité sous le noyau linux que sous windows 7 ??

J'ai lu aussi qu'avec un bon mot de passe administrateur, on ne risquait quasiment rien. Alors pourquoi se protéger des sites malveillants? Peuvent-ils nuire au pc sans avoir besoin du mot de passe?

Bref, j'en viens à me dire que je ne suis pas plus en sécurité sous Ubuntu que sous Windows, et en plus, je n'ai aucun outil pour me tranquilliser. Je sais qu'un antivirus sous windows n'est pas la solution miracle, mais c'est quand même une sécurité en plus de la prudence. Si j'ai un doute, j'ai aussi l'outil virustotal.
De tels outils n'existent pas sous Linux (à ma connaissance), et on peut juste prier pour que la prudence suffise.

Et quand je lis cette page
je suis carrément découragé! Comment trouver la motivation pour y comprendre qq chose à tous ces logs?...Si pour m'assurer que mon pc est saint, je dois décoder tout ça,non seulement ça va pas me rassurer parce que j'ai 99% de chance de me tromper, mais ça va me gaver parce que ce n'est pas l'idée que je me fais de l'usage d'un pc à la maison!

Je voudrais que tous ceux qui liront mon message comprennent bien que je ne cherche absolument pas à dénigrer Linux et clamer que "finalement Linux c'est pas mieux que Windows".Les aspects positifs de Linux ne m'échappent pas : c'est gratuit, et je suis sûr que le
systeme ne trafique pas dans mon dos je ne sais quoi avec je ne sais quelle télémétrie.
Je souhaiterais me débarasser de windows et de la suspicion grandissante que j'ai pour lui. Je n'ai *vraiment* pas envie de windows 10.
Mais j'avoue que cette question de la sécurité me fait flipper, alors je m'adresse à ceux qui ont l'experience et les connaissances pour trouver des arguments pour me rassurer!

pires57 · Le 07/01/2016, à 18:08

Salut,

Une des raisons qui m'avait motivé au départ pour tenter Linux, c'était le gain de sécurité.

Et c'est bien le cas, n'en plaise à mes amis de chez Microsoft, Linux est bien plus sécurisé que Windows.

J'ai lu plusieurs fois qu'un antivirus n'avait pas de raison d'être sous Linux, mais alors pourquoi toutes ces autres précautions détaillées sur le site officiel d'Ubuntu

franchement j'ai pas envie de lire tout le pavé et de prendre phrase par phrase pour expliquer donc demande exactement ce que tu veut savoir.

Pourquoi activer le firewall?

Inutile dans le cas d'un poste de travail mis en place pour un utilisateur, il n'y a pas de port en écoute par défaut et si tu installes une appli qui nécessite d'avoir un port en écoute quel est l'intérêt de la bloquer avec un firewall?

Pas de virus sous Ubuntu, d'accord, mais plein de vulnérabilités. On joue sur les mots, là!

Non, un virus c'est différent d'une vulnérabilité, d'où l'importance de passer ses mises à jours régulièrement.

Il faut faire attention aux paquets qu'on installe exactement de la même façon qu'on doit faire attention aux .exe de windows.

Si tu utilises les dépôts officiels tu n'as pas a t'inquiéter de cela (et c'est ce que je recommande)

3 fois plus de faille de sécurité sous le noyau linux que sous windows 7 ??

Perso je vois une page 404, tu t'es trompé dans le lien ou ils ont été assez intelligent pour supprimer leurs conneries?

Alors pourquoi se protéger des sites malveillants? Peuvent-ils nuire au pc sans avoir besoin du mot de passe?

A ton PC sous linux probablement pas, par contre à ton compte en banque probablement si leurs donnes les infos qu'ils souhaitent.

Bref, j'en viens à me dire que je ne suis pas plus en sécurité sous Ubuntu que sous Windows

Que ce soit sous linux ou windows tu doit dans tout les cas faire attention, si je te demande tes codes d'accès bancaires , que tu soit sous windows ou linux si tu es malin tu ne me les donneras pas, le système ne peut pas te protéger de cela !

De tels outils n'existent pas sous Linux (à ma connaissance), et on peut juste prier pour que la prudence suffise.

Il existe des AV sous linux ... pour protéger les machines windows des potentiels programmes dangereux qui n'aurais aucun effet sur linux mais pourrait infecter windows.

Comment trouver la motivation pour y comprendre qq chose à tous ces logs?

Tu apprends à les utiliser avec le temps mais au final sur un poste de travail tu ne les utilisent que très rarement (quand tu as un problème en général)

mais ça va me gaver parce que ce n'est pas l'idée que je me fais de l'usage d'un pc à la maison!

Personne ne le fait ! (a part quelques parano psycho-rigide )

.Les aspects positifs de Linux ne m'échappent pas : c'est gratuit, et je suis sûr que le
systeme ne trafique pas dans mon dos je ne sais quoi avec je ne sais quelle télémétrie.

Tu as une vision très étriqué de Linux, linux est fiable, robuste, opensource et ce n'est absolument pas le cas de windows.
Des avantages il y en a plein!

Mais j'avoue que cette question de la sécurité me fait flipper, alors je m'adresse à ceux qui ont l'experience et les connaissances pour trouver des arguments pour me rassurer!

J'ai installé (dans le cadre de mon travail ) des systèmes :
- full linux
- full windows
- mixte.
Avec du full Linux, je n'ai pour le moment eu aucun problème de virus / sécurité, les systèmes sont à jour, tout est audités en permanence, je passe les mises à jours.
Avec du full windows, je passe les trois quart de mon temps à faire des analyses et désinfection de PC, le reste c'est mises a jours + maintenance de réseau.
Dans des environnements mixte je passes les mises à jours serveurs (linux), pour les stations de travail linux , j'ai quasi pas de problème, pour les windows c'est analyse et désinfection.

Après c'est clairement relatif au utilisateurs, j'ai des stations Windows sur lesquels j’interviens très peu également.

tiramiseb · Le 07/01/2016, à 18:16

Pour commencer, attention, tu donnes un lien vers le wiki Ubuntu (qui peut être édité par n'importe qui, c'est un wiki) en écrivant « site officiel d'Ubuntu ». Non, ce n'est pas le site officiel d'Ubuntu, c'est un wiki communautaire d'Ubuntu.
Ce ne sont pas des informations ou recommandations officielles. C'est un travail communautaire indépendant de l'éditeur.

J'ai lu plusieurs fois qu'un antivirus n'avait pas de raison d'être sous Linux, mais alors pourquoi toutes ces autres précautions
[...]
Pas de virus sous Ubuntu, d'accord, mais plein de vulnérabilités. On joue sur les mots, là!

Non, pas du tout.
Un virus c'est un logiciel malveillant qui s'installe sur ton PC et qui fait des choses méchantes (je reste vague et simpliste car je ne veux pas entrer dans les détails).
Les autres précautions ne portent pas sur cet aspect-là. Il s'agit de faire des sauvegardes, utiliser un mot de passe solide, faire les mises à jour... Un antivirus n'a absolument aucun effet sur ces aspects.

Pourquoi activer le firewall? Pourquoi ne pas simplement faire en sorte qu'il soit activé par défaut à l'installation? A quoi sert-il, alors?

Sur un poste de travail non modifié, pas besoin d'activer le pare-feu. Tout ce que peut faire un pare-feu, c'est bloquer des communications.
Mais par défaut, un poste de travail Ubuntu n'écoute pas sur le réseau "pour rien" : les ports sont fermés. donc un pare-feu est inutile.

Le pare-feu, c'est une muraille que tu mets devant un autre mur : si tu ouvres une porte dans cet autre mur (tu mets un service en écoute), alors la muraille (le pare-feu) empêche que quelqu'un entre, rendant ainsi cette ouverture inutile. Du coup si tu installes un truc et que tu veux que ça écoute sur le réseau, tu vas faire une ouverture (ouvrir le port) dans la muraille (le pare-feu) aussi. Mais pour un usage bureautique de base, on ne fait pas ça.

À quoi sert une muraille devant un mur ? À rien...

Il faut blinder firefox exactement de la même façon que sous windows.

Pour ma part je n'ai jamais spécialement blindé le navigateur web.
Toutes les attaques visant directement Firefox fonctionnent en effet sur tous les systèmes, mais je n'ai jamais été confronté à ça.
Les mises à jour de Firefox sont gérées automatiquement. Il ne faut pas installer n'importe quelle extension à Firefox, oui. Normal. Il ne faut pas installer n'importe quoi tout court.

Il faut faire attention aux paquets qu'on installe exactement de la même façon qu'on doit faire attention aux .exe de windows.

D'où l'intérêt des dépôts officiels d'Ubuntu : des paquets supportés et avec des mises à jour de sécurité.

Récemment, je cherchais un encodeur video autre que ceux présents dans les dépôts officiels, qui ne me conviennent pas

Avec tous les logiciels qu'il y a dans les dépôts officiel, aucun ne t'a convenu ?

J'en vois sur sourceforge.net

Es-tu sûr qu'il n'était pas présent dans les dépôts officiels d'Ubuntu ?

il paraît que sourceforge.net est devenu une usine à malwares, du coup, je me suis abstenu.

Dans le doute, tu as eu raison.

3 fois plus de faille de sécurité sous le noyau linux que sous windows 7 ??

As-tu regardé le détail des failles ? Souvent des choses mineures ou même inexploitables.
Et toutes ces failles sont maintenant corrigées.

Et on parle bien de failles découvertes, pas de failles existantes.
C'est plus facile de trouver plein de failles dans un logiciel libre, où on peut accéder au code source. Combien de failles non découvertes (donc non corrigées) dans Windows ?

J'ai lu aussi qu'avec un bon mot de passe administrateur, on ne risquait quasiment rien

Le bon mot de passe permet à quelqu'un de ne pas se connecter sur la machine avec ton compte (ou avec le compte administrateur). C'est tout.
Ça ne veut pas dire qu'on ne risque rien. C'est un précepte de base, c'est tout.

Alors pourquoi se protéger des sites malveillants? Peuvent-ils nuire au pc sans avoir besoin du mot de passe?

Le mot de passe administrateur ne protège pas tes données personnelles. Un site malveillant peut très bien poser problème à tes données personnelles.
Cela dit, encore une fois, pour ma part je ne me protège pas particulièrement de sites malveillants et je n'ai jamais eu de problème. Je ne vais pas traîner sur n'importe quel site, cela dit. C'est peut-être comme pour le sexe : je ne b... pas avec n'importe qui.

Je sais qu'un antivirus sous windows n'est pas la solution miracle, mais c'est quand même une sécurité en plus de la prudence

Pour certains, c'est surtout une impression de sécurité, une impression de ne jamais pouvoir avoir de problème, qui résulte en une baisse de la vigilance...

Et quand je lis cette page [...] je suis carrément découragé!

Cette page est là pour essayer de rassurer ceux qui croient trouver des trucs bizarres dans leurs logs.
Tu n'as pas à regarder les logs, tu t'en fous. Sous Windows tu ne vas jamais voir les journaux du système, si ?

Encore une fois, c'est une page communautaire d'un wiki communautaire.

Les aspects positifs de Linux ne m'échappent pas : c'est gratuit, et je suis sûr que le systeme ne trafique pas dans mon dos

La gratuité n'est qu'une conséquence de quelque chose de bien plus important : le système est libre. Open Source. Il y a des centaines (milliers) de personnes dans le monde qui bossent pour que tu aies un système qui est bien. Pas juste une société dans un coin.

Alors oui, on trouve plus de failles quand on est plus nombreux à en chercher, surtout quand on a un accès direct aux sources...
Oui, il faut faire les mises à jour de sécurité : si tu laisses des ouvertures béantes dans les murs de ta maison, des cambrioleurs en profiteront.
Oui, il faut faire attention à ce qu'on installe. C'est pas parce que ta voiture a un airbag que tu roules à 90km/h en ville.
Oui, il faut un mot de passe sécurisé. Si tu te ballades à poil dans un club échangiste gay, alors tu te feras toucher les fesses : si tu ne veux pas ça, alors mets un pantalon (et ne va pas dans ces clubs).

Concernant l'absence de virus, c'est en effet plutôt lié à la quantité très marginale de systèmes sous Linux. Le système est également globalement mieux fait, mieux sécurisé grâce à plein de petits aspects... mais s'il y avait 90% des gens sous Ubuntu, nulle doute que c'est là qu'il y aurait plus de virus...

Dernière modification par tiramiseb (Le 07/01/2016, à 18:20)

erresse · Le 07/01/2016, à 18:31

Bonjour,
Je rejoins tout à fait pires57 dans ses remarques.
Depuis plus de dix ans que je suis sous Linux, je n'ai jamais installé le moindre antivirus ni pare-feu et mon système n'a jamais subi la moindre attaque ou infection.
Bien sûr, comme dans tous les systèmes, lorsque je navigue sur le net, je suis abreuvé de publicité comme tout le monde, lorsque j'utilise ma messagerie, j'y trouve 90% de spam que j'envoie directement en "Indésirables" comme tout le monde, mais cela n'a aucun rapport avec le système utilisé, ça a un rapport direct avec Internet et les emmerdeurs de tout poil qui l'écument !
Un antivirus sous Linux ne sert à rien POUR LINUX, il peut être utile pour ne pas transmettre un message véreux à des correspondants SOUS WINDOWS, c'est tout (pure charité de la part des Linuxiens).
Tranquillise-toi et lis un peu moins de littérature sur les défaillances informatiques, tu gagneras beaucoup en sérénité.
Bonne année à toi, surtout si tu décides finalement de passer à Linux, elle sera bonne pour ton informatique.

nam1962 · Le 07/01/2016, à 18:44

Hello !
ton post est amusant, on dirait moi quand je suis arrivé sous Linux, pour polytraumatisé W$ que j'étais

Bon, depuis, comme tu peux voir dans ma signature, j'ai converti plus d'une cinquantaine de proches, tous avec des ordis vérolés, et... quoique n'ayant pas changé leurs habitudes, ils ne m'appellent plus jamais pour une infection.

Pour Firefox, je te conseille d'ajouter betterprivacy et ublock origin (éventuellement noscript)

Pour le reste (et pour tester ta sécurité) regarde ce fil : ./viewtopic.php?pid=21198771#p21198771

Bienvenue dans le monde Linux !

SangokuSS · Le 07/01/2016, à 20:06

tiramiseb a écrit :

.
À quoi sert une muraille devant un mur ? À rien...

Je sais que nous ne sommes pas d'accord sur ce sujet, mais tu me tends là une perche car :
- Pour que ton expression soit vraie, il faut avoir une maîtrise totale de ton mur (en clair, si tu utilise une box d'un grand fournisseur... tu n'en sais rien, car c'est une boîte noire !)
- Tu considères également ici que ta box (ou son équivalent) ne possède aucune faille ce qui, par définition, faux... (et nous savons bien toi et moi que les mises à jour logicielles de ces box sont... aléatoire ! lol)

En clair, le second mur peut avoir un intérêt ! ;-)

Dernière modification par SangokuSS (Le 07/01/2016, à 20:21)

Arioch91 · Le 07/01/2016, à 21:20

Bonjour.

Je suis sous Linux depuis début des années 2000. J'ai installé pas mal de distributions différentes (Mandrake 7, 8.1, 9, Mandriva, Debian, Linux Mint et maintenant Ubuntu) et je n'ai jamais rencontré de soucis particuliers, quant à la sécurité. Et pourtant, sous Mandriva je me suis coltiné pendant au moins 2 ans (je compte petit, car je pense que c'était plus) une version obsolète que je ne pouvais plus faire évoluer (y compris Firefox, bloqué sur une version 2.xxx parce que je ne disposais pas des libs Gtk2+ pour le faire évoluer) et je n'ai pas rencontré de problèmes de cet ordre.

Jusqu'à présent, les seuls problèmes rencontrés sous Linux étaient principalement des galères de pilotes pour ma carte graphique du moment, pratiquement rien d'autres. Ah si, un moniteur 17" qui n'a jamais voulu afficher mon bureau qu'en 800*600.

Tu te fais bien trop de bile.

pires57 · Le 07/01/2016, à 21:32

Bien tenté SangokuSS ... mais non.
Si le port SSH (par exemple ) n'est pas configurer pour recevoir une connexion et que malencontreusement quelqu'un arrive à se connecter à ton réseau, il pourra envoyer un nombre infinitésimale de requête mais ne pourra jamais se connecter en SSH sur ta machine !
Je cible sur SSH mais c'est valable pour tout les autres ports

Dernière modification par pires57 (Le 07/01/2016, à 21:33)

tiramiseb · Le 07/01/2016, à 21:34

SangokuSS a écrit :

- Pour que ton expression soit vraie, il faut avoir une maîtrise totale de ton mur (en clair, si tu utilise une box d'un grand fournisseur... tu n'en sais rien, car c'est une boîte noire !)

Sauf que je n'ai pas parlé de ça. Je n'ai pas du tout évoqué le réseau, le routeur, la box ou quoi que ce soit. Je parle de la machine en elle-même, indépendamment de quoi que ce soit d'autre.
Si rien n'écoute sur la machine (situation par défaut sur Ubuntu), ses ports sont fermés (mur), alors le pare-feu (muraille) est inutile.
Je ne parle pas du tout du réseau (village) ni de la box (fortifications)...

pires57 · Le 07/01/2016, à 21:38

Sauf que je n'ai pas parlé de ça. Je n'ai pas du tout évoqué le réseau, le routeur, la box ou quoi que ce soit. Je parle de la machine en elle-même, indépendamment de quoi que ce soit d'autre.
Si rien n'écoute sur la machine (situation par défaut sur Ubuntu), ses ports sont fermés (mur), alors le pare-feu (muraille) est inutile.
Je ne parle pas du tout du réseau (village) ni de la box (fortifications)...

Et d'ailleurs en parlant de mur, muraille... n'oublie pas de mettre ton PC dans un coffre fort, de faire faire des mur en béton armé d'au moins 1m de large et d'y installer une porte blindé.
La plus grande faille d'un ordi, qu'il soit windows ou unix reste son accès physique.

nam1962 · Le 07/01/2016, à 23:14

En complément de mon post précédent, une réflexion toute fraiche, vu que j'ai fini la journée avec un éditeur de logiciels propriétaires qui me parlait de sa politique image : le nombre de failles déclarées d'un OS ou logiciel privatif sera toujours inférieur à celui d'un open source, vu que sur l'open source toutes les failles sont déclarées par définition.
elles sont d'ailleurs résolues à toute vitesse dans la plupart des cas (la faille zero day sur le bash en 2015 a été résolue le jour de sa déclaration publique).

Le truc vraiment inquiétant est donc le nombre de failles d'un privateur, qui par définition va éviter au maximum de déclarer, en particulier ce qu'il aura corrigé 'en douce'.

Cela dit, avant de continuer à exposer l'argumentation, j'aimerai avoir les retours et questions de david75017... because avec un post pareil et une score de 1 post/topic, je me demanderai sinon si ce n'est pas de l'amorçage de troll (sans offense si je me goure).

Dernière modification par nam1962 (Le 07/01/2016, à 23:17)

SangokuSS · Le 08/01/2016, à 08:39

pires57 a écrit :

Bien tenté SangokuSS ... mais non.
Si le port SSH (par exemple ) n'est pas configurer pour recevoir une connexion et que malencontreusement quelqu'un arrive à se connecter à ton réseau, il pourra envoyer un nombre infinitésimale de requête mais ne pourra jamais se connecter en SSH sur ta machine !
Je cible sur SSH mais c'est valable pour tout les autres ports

Le débat est justement intéressant car vous parlez de machines composants votre réseau sur lesquelles vous avez la certitude d'avoir un total contrôle de ce qui est fait...etc Or, pour la majorité d'entre nous, il n'est pas si simple de savoir si tel ou tel port est ouvert (ou possiblement ouvert). Concrètement, oui, vous avez raison si vous savez avec exactitude ce qui se passe, ce que vous avez configuré...etc
Mais dans la majorité des cas, Mme Michu ne s'en préoccupe pas et ouvre des ports assez rapidement sans vraiment en être consciente.
Et c'est bien sur ce point que nous ne sommes pas d'accord : c'est là qu'une configuration plus durcie prends tout son sens.

En clair, je pense que oui, vous avez raison si on s'adresse aux "experts" d'Ubuntu et réseau (quoique... lol), non si vous vous adressez aux débutants qui posent ce genre de questions car beaucoup ont déjà ouvert plusieurs ports sur leur box... sans vraiment en être conscient

tiramiseb · Le 08/01/2016, à 10:15

dans la majorité des cas, Mme Michu [...] ouvre des ports assez rapidement

Ah oui, comment ? Que fait madame Michu pour ouvrir des ports dont elle n'a pas besoin ?

Dernière modification par tiramiseb (Le 08/01/2016, à 10:39)

Compte supprimé · Le 08/01/2016, à 10:37

Manifestement vous ne parlez pas de la même personne.
Il est clair que Mme Michou n'ouvre pas de port dont elle n'a pas besoin. Par contre Mme Michu, c'est bien connu, ouvre quantité de ports sans même le savoir.

Et vous ne parlez pas non plus du même matériel. SangokuSS évoque les ports ouverts sur la box, tiramiseb ceux du PC.
En effet, ils peuvent bien être ouverts sur la box, on ne sait ni comment ni par qui, si rien n'écoute sur ces ports sur le PC c'est sans effet. Une demande de connexion repartira comme elle est venue.

tiramiseb · Le 08/01/2016, à 10:41

Désolé, j'ai tapé "Michou", c'est parce que j'ai un oncle qui s'appelle Michel, déformation familiale, on va dire... Je parle bien de madame Michu, qui n'ouvre pas de port en écoute (et je ne parle pas des ports clients ouverts à chaque connexion hein, ceux-là n'acceptent pas des réponses de n'importe qui).

tiramiseb · Le 08/01/2016, à 10:41

SangokuSS évoque les ports ouverts sur la box

Ah oui ? Je n'arrive pas à comprendre ça dans ce que j'ai lu...

Compte supprimé · Le 08/01/2016, à 10:45

non si vous vous adressez aux débutants qui posent ce genre de questions car beaucoup ont déjà ouvert plusieurs ports sur leur box...... sans vraiment en être conscient

En fait je ne sais pas s'il fait la différence entre port sur la box et ceux du PC, ou si tout est lié pour lui. Il va nous expliquer comment il voit les choses.

Dernière modification par Compte supprimé (Le 08/01/2016, à 10:48)

tiramiseb · Le 08/01/2016, à 10:49

Ah oui désolé j'ai trop survolé son message. En effet il évoque la box.
Je ne comprends pas pourquoi il parle (encore) de la box alors qu'ici on parle de la sécurité de la machine elle-même, quel que soit le réseau où elle est connectée.

SangokuSS, peux-tu approfondir ?

pires57 · Le 08/01/2016, à 10:53

Or, pour la majorité d'entre nous, il n'est pas si simple de savoir si tel ou tel port est ouvert

Hormis si tu t'amuses à installer chez toi des serveurs mails, web, ssh, ldap ou autres services il n'y a aucun risque qu'un port soit ouvert.
Personnellement je vois mal monsieur tout le monde mettre en place ce genre de chose sur son réseau et s'il le fait c'est qu'il s'intéresse un peu à la chose et donc regarde les documentations.
En général, les utilisateurs se contente :
- d'installer les logiciels via les dépôts
- Bureautique
- Navigation web

Et c'est bien sur ce point que nous ne sommes pas d'accord : c'est là qu'une configuration plus durcie prends tout son sens.

Mettre un pare feu dans ce cas de figure c'est simplement mettre un palliatif et on sait très bien que les palliatif ne sont jamais totalement efficace. Je ne dit pas qu'un pare feu est inutile, j'en mets moi même en place dans le cadre de certains projets que ce soit un pare feu réseau ou directement sur une machine seule pour certains besoins (fail2ban par exemple utilise iptables pour bloquer)

car beaucoup ont déjà ouvert plusieurs ports sur leur box... sans vraiment en être conscient

Et ici je te donne le même argument qu'hier : si tu faits autorise une connexion SSH à travers ta box sur une machine qui n'a pas de serveur SSH d'installé, l'attaquant ne pourra strictement rien en faire. Le pare feu n'est pas une solution dans ce genre de cas, c'est un palliatif. Si tu mets en place un accès à un service c'est justement pour pouvoir y accéder, pas pour le bloquer.

Dernière modification par pires57 (Le 08/01/2016, à 10:59)

jean-luc5629 · Le 08/01/2016, à 11:22

Bonjour;

Même sur un serveur dédié (pas de box); je ne vois pas l'utilité du firewall pour mettre une muraille devant un mur déjà existant par défaut; je pratique ainsi sur mon dédié ....alors avec un box en plus..je suis tranquille pour Mme Michu....

Mon SSH est sur le port 22 (port en écoute que je ne peux fermer au risque de ne plus joindre mon serveur !!!); a quoi me servirait le firewall sur les ports 23,24, etc...puisque non utilisés ils sont déjà fermés par défaut ? et netstat montre tous les ports en écoute, et permet de voir si tous sont légitimes, sinon on enlève le service, c'est tout..

Par contre sécuriser l'accès au port ouvert : OUI ; L'accès au port 22 ne se faisant que par clefs SSH exclusivement "PasswordAuthentication no dans sshd_config"; clefs 2048 et 4096 pour root.

Je pense qu'il y a beaucoup trop d'idées reçues qui courrent sur le net sur :

-La necessité du tout drop et de faire une whitelist ensuite pour les services en écoute (sans ça point de salut !!! alors que ça ne sert à rien..)
-La non-connexion en root (si l'accès au serveur est bien protégé : clefs SSH exclusivement...ou est le risque de se connecter en root ? déjà se poser la question...)
-Le changement nécessaire des ports de connexion SSH, voir FTP, ...(pourquoi au fait ?...avec nmap un attaquant a vite fait de trouver le port SSH ou FTP..)

Bref des tas de gadgets qui sont pris par certains pour le B.A.BA de la sécurité; et à côté de ça, ils vont utiliser des mots de passes peu solides : (des mots du dico, nom, prénom, date de naissance, et souvent courts car un mot de passe se doit d'être mémorisable).

Dernière modification par jean-luc5629 (Le 08/01/2016, à 11:24)

tiramiseb · Le 08/01/2016, à 11:28

Alléluia !
Cela fait des années que j'ai l'impression d'être le seul à tenir ce discours.
Merci jean-luc5629, tu es le premier à me rejoindre dans cette approche sur ce forum !
Pour ma part, depuis presque 15 ans que j'administre des serveurs à titre pro, j'ai toujours fait comme tu le décris (à part pour la taille des clés).

(et pour les mots de passe, je suis enfin en train de passer à KeePassX histoire d'arrêter d'utiliser les mêmes mots de passe plusieurs fois)

Dernière modification par tiramiseb (Le 08/01/2016, à 11:29)

rom1725 · Le 08/01/2016, à 11:57

Bonjour,
juste une petite correction pour le lien qui renvoie à une page 404 ; le lien est celui-ci.
Bonne lecture pour ceux que ça intéresse.

pires57 · Le 08/01/2016, à 12:16

Pour ma part SSH est sécurisé sur tout mes serveurs par une authentification par clé associé à google authenticator.

tiramiseb · Le 08/01/2016, à 12:22

pires57: FreeOTP !!!

Pour rebondir sur ce sujet, au boulot on a mis une auth OTP sur notre VPN et sur l'accès à l'interface AWS, je crois que je vais aussi mettre de l'OTP sur mon serveur dédié, ce serait pas mal...

jplemoine · Le 08/01/2016, à 12:38

Sébastien, je fais pareil : google authenticator.
Si FreeOTP est, comme tu semble le dire, un équivalent. Est-il facile de faire la migration ? Connais-tu un tuto ?

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 07/01/2016, à 17:19

craintes sur la sécurité en général

#2 Le 07/01/2016, à 18:08

Re : craintes sur la sécurité en général

#3 Le 07/01/2016, à 18:16

Re : craintes sur la sécurité en général

#4 Le 07/01/2016, à 18:31

Re : craintes sur la sécurité en général

#5 Le 07/01/2016, à 18:44

Re : craintes sur la sécurité en général

#6 Le 07/01/2016, à 20:06

Re : craintes sur la sécurité en général

#7 Le 07/01/2016, à 21:20

Re : craintes sur la sécurité en général

#8 Le 07/01/2016, à 21:32

Re : craintes sur la sécurité en général

#9 Le 07/01/2016, à 21:34

Re : craintes sur la sécurité en général

#10 Le 07/01/2016, à 21:38

Re : craintes sur la sécurité en général

#11 Le 07/01/2016, à 23:14

Re : craintes sur la sécurité en général

#12 Le 08/01/2016, à 08:39

Re : craintes sur la sécurité en général

#13 Le 08/01/2016, à 10:15

Re : craintes sur la sécurité en général

#14 Le 08/01/2016, à 10:37

Re : craintes sur la sécurité en général

#15 Le 08/01/2016, à 10:41

Re : craintes sur la sécurité en général

#16 Le 08/01/2016, à 10:41

Re : craintes sur la sécurité en général

#17 Le 08/01/2016, à 10:45

Re : craintes sur la sécurité en général

#18 Le 08/01/2016, à 10:49

Re : craintes sur la sécurité en général

#19 Le 08/01/2016, à 10:53

Re : craintes sur la sécurité en général

#20 Le 08/01/2016, à 11:22

Re : craintes sur la sécurité en général

#21 Le 08/01/2016, à 11:28

Re : craintes sur la sécurité en général

#22 Le 08/01/2016, à 11:57

Re : craintes sur la sécurité en général

#23 Le 08/01/2016, à 12:16

Re : craintes sur la sécurité en général

#24 Le 08/01/2016, à 12:22

Re : craintes sur la sécurité en général

#25 Le 08/01/2016, à 12:38

Re : craintes sur la sécurité en général

Pied de page des forums