Conseils Indispensables pour mieux Sécuriser votre système Linux
La sécurité fait partie des domaines les plus importants, et pourtant, tant de personnes pensent le contraire. Lors du Linux Days 2008, le vendredi 9 mai 2008 à 15h, j’ai tenu une conférence sur la sécurité sous GNU/Linux, dans laquelle j’ai exposé plusieurs conseils pour avoir un ordinateur avec une sécurité assez élevée pour tenir tête aux petits script kiddies qui s’amusent tellement avec les ordinateurs des chers utilisateurs lambda 😀 !
Plusieurs points ont été traités, comme pourquoi sécuriser votre système GNU/Linux, comment sécuriser le navigateur web Firefox, pourquoi faire attention lors de l’installation des programmes, pourquoi bloquer son écran, les avantages d’un pare-feu, pourquoi chiffrer votre disque dur, etc.
Comme d’habitude, après chaque conférence, je publie mes slides, pour les intéressés. Vous pouvez donc soit télécharger le PDF contenant les slides des conseils pour la sécurité des systèmes GNU/Linux, soit visualiser les slides depuis cette page 😉 :
J’ai encore une fois visionné votre diaporama avec grand plaisir. Mais pour celui-ci j’aurais quelques petites remarques ainsi qu’une question:
– Je trouve que vous avez plus parlé de la sécurité en général (Verouiller l’écran, le boot, configurer le pare-feu, etc.) au lieu de la sécurité dans GNU/Linux, ce qui est le thème de la conférence. Je pense, qu’en plus de cela (qui aurait pu être en introduction ou placé un peu partout dans le diaporama), parler des avantages de l’utilisation de Linux dans le domaine de la sécurité. Pourquoi Linux est plus adapté pour ceux qui veulent préserver leur vie privée. Pourquoi dit-on qu’il est aussi plus fiable et sécurisé que MS Windows et en même temps, apporter une anti-thèse (car ce serait ridicule de dire que Linux est sécurisé à 100%).
Ceci est un détail, mais auriez aussi pu signaler l’embauche par Microsoft de Crispin Cowan, qui était auparavant expert en sécurité de Linux. Ce qui prouve que Microsoft approuve son infériorité en sécurité par rapport à Linux.
Toutefois, cette présentation demeure d’un très haut niveau et qui confirme une fois de plus votre maîtrise dans le domaine.
Venons-en à ma question:
Je suis utilisateur d’Ubuntu, et je remarque quelques fois quelques ralentissements dans ma connexion alors qu’aucun autre programme que Firefox et aMsn ne sont lancés. Je voulais savoir si ce problème étaient dû à un virus, un cheval de Troie ou autre (Bien que j’ai entendu que tout ça n’existe pas sous Linux. Mais ne venant pas de sources officielles, je me méfie). Et quel serait le remède? Un simple redemarrage? Installation d’Avast?…
Merci beaucoup 😉
Salut Wassim ^_^
En fait, pour la présentation, j’allais au début en faire une compliquée, mais finalement, je me suis dit qu’il serait plus intéressant pour toucher un maximum de personnes en parlant du B-A-BA. D’après les questions qu’on m’a posées et après avoir parlé avec des participants après la conférence, on dirait que le message est passé 😉 .
Sinon, merci pour ta proposition. Si j’anime une autre conférence sur le même thème dans le futur, j’essayerai de parler des avantages de GNU/Linux du côté de la sécurité.
Pour ce qui est du fait d’avoir parlé en général, je suis assez d’accord. Pour être franc, j’ai hésité au début, mais je me suis dit finalement que, pour parler de la base, il fallait inclure quelques détails presque « hors sujet » comme celui du BIOS 🙂 Sinon, cela aurait pu faire un chaînon manquant.
Pour ce qui est de ta connexion Internet qui est ralentie, je doute que tu sois infecté par quelque chose, mais bon, peut-être bien ? Es-tu sûr que cela ne vient pas de ton FAI ? (chez moi, MT me fait cela et j’ai créé un script qui me relance ma connexion chaque 3h)
À bientôt.
Intéressant comme résumé !
D’ailleurs, sur la partie concernant le chiffrage, je recommande aussi de chiffrer ses clef USB : depuis que j’ai perdu la mienne (avec au passage mes papiers d’identité), j’ai toujours un doute sur son contenu : n’y avait-il pas dans les sauvegardes quelques fichiers confidentiels ?
Les fichiers que nous trimballons sur les clefs USB sont très vulnérables, et on n’y pense pas assez.
Swâmi Petaramesh a aussi consacré plusieurs billets à la cryptographie et au chiffrement des disques : http://petaramesh.org/tag/chiffrement
Bravo pour ta présentation.
Est ce que le public était nombreux ? J’espère que nous aurons le droit à un compte rendu et à des interviews audio.
P.S. : peut être un peu trop de texte dans les slides ? 😉
Bonjour Jeremy 🙂
Merci.
Oui, il y aura un compte rendu, comme je l’ai fait pour l’Open Source Days !
Pour le trop de texte dans les slides, c’était voulu, pour que les personnes n’ayant pas assisté à la conférence puissent comprendre les slides. Bien sûr, lors de la conférence, j’ai donné plus d’infos, plus d’exemples, mais au moins, en lisant les slides, on peut assimiler l’essentiel 🙂
+1 Thesa !
Je suis comme toi, j’ai une clé USB avec un répertoire contenant la totalité des fichiers chiffrés avec encfs. J’ai créé un petit script bash qui me permet, grâce à Zenity, d’avoir une petite interface pour monter plus facilement ce répertoire, sans passer par la ligne de commande. D’ailleurs, si quelqu’un est intéressé, je peux lui envoyer ce script.
Sinon, merci pour le lien, je le lirai dès mon retour (mon avion sera là dans 10 min !).
C’est pas plus rentable le train? 😛
J’en parlerai dans le compte rendu :p
Bonjour,
Tout d’abord très bonne idée d’avoir mis du texte dans les slides, la plupart se contentent habituellement de mettre des « titres de chapitres » rendant totalement inutile les slides (puisqu’on a pas assez d’infos si on n’a pas suivi la conférence).
Définir des mots de passe, modifier l’ordre des périphériques de démarrage et même chiffrer ses partitions n’est pas très utile, à partir du moment où l’attaquant dispose d’un accès local on ne peut pas faire grand chose. Par exemple dans le cas de partitions cryptées il pourrait très bien installer un nouvel initrd avec un cheval de troie qui mémoriserait le mot de passe d’accès aux partitions, qu’il n’aurait plus alors qu’à récupérer… D’où l’intérêt d’avoir des vérificateurs d’intégrité comme AIDE ou integrit, qui enverront probablement une alerte dans un tel cas, s’ils sont configurés pour surveiller les fichiers présents dans /boot 🙂
Salut Dargor,
C’est l’une des raisons qui m’ont encouragées à mettre du texte sur les slides 😉 : afficher assez d’informations pour la lecture hors-conférence ! Mais au cours de la conférence, pour ne pas surcharger les slides d’informations brusques (qui s’affichent en même temps en remplissant l’écran d’informations), j’ai fait en sorte qu’OpenOffice Impress affiche le contenu de chaque slide par étapes (par exemple : 1 click = un élément de la liste à puces).
Pour ce qui est du chiffrement de disque dur, il pourrait être utile si une personne éteint ton ordinateur et te vole ton disque dur pour étudier son contenu (la façon la plus simple de voler des informations 😛 ).
Je n’ai pas bien saisi ce que tu as voulu dire par « accès local ». si tu parles du fait qu’un pirate ait d’une façon ou une autre (faille de sécurité, mot de passe découvert, social engineering, etc.) un shell root (ou pas ?), je suis parfaitement d’accord, le chiffrement du disque ne sert à rien dans ce cas là, d’où ma recommandation de ne jamais stocker de mot de passe dans le disque en faisant en sorte que Firefox chiffre les mots de passe, que GNOME Keyring ou Kwallet protègent les mots de passe des autres applications (ce n’est pas la protection ultime, mais un plus, pour peut décourager l’attaquant).
Et comme tu le dis si bien, il est important d’utiliser AIDE, Tripwire ou Integrit pour tester l’intégrité de son disque régulièrement 😉 !
Merci pour ton commentaire.
Bonne soirée !
Merci pour ta réponse déjà 😛
H.S.:
Vous avez parlé de la sortie d’Ubuntu 8.10? Si oui, y en a-t-il qui ont montré leur décéption? Pour moi, c’est sûrement la dernière version de Linux que j’utilise, car ça m’a cramé mon lecteur CD et mon lecteur de cartes mémoires… Je préfère payer et ne rien craindre pour mon matériel qu’avoir un truc gratuit et que je ne soit pas sûr de ce qu’il est en sécurité 🙁
Salut Wassim,
Je suis très satisfait de la dernière version d’Ubuntu. Très franchement, je n’ai jamais eu de souci matériel causé par GNU/Linux.
Es-tu sûr que cela vient de là ? La matériel peut-être cramé par autre chose, cela ne serait pas un lien cause->effet fait à la va-vite ?
++ ^_^
Salut,
Je pense que c’est le genre de sujet qui est toujours très intéressant et extrêmement profitable pour un maximum de monde, c’est vraiment super de faire ça.
Pour ma part j’ai lu la version en P.D.F. et c’est là qu’on se dit que c’est en assistant à la conférence qu’on peut vraiment en profiter le plus, par exemple on remarque que ça devient déjà un peu plus technique dans les dernières pages, genre dans « Les conseils en vrac », en même temps qu’on bénéficie d’un peu moins d’explications sur ces différents points.
Personnellement j’aurais bien demandé pourquoi la recommandation de Shorewall (De mémoire c’est la G.U.I. du pare feu que j’avais vu sur Mandriva 2006 ?), plutôt que Firestarter pour « Une utilisation avancée » ?
Sinon il y a peut être un manque dans le P.D.F. que j’ai lu (A moins que je sois passé à côté !) :
C’est la lutte contre le spam, pour laquelle on dispose de quelques moyens efficaces et simples d’emplois comme jetable.org avec même pour ce dernier une extension pour Firefox.
Sinon comme dit, Merci beaucoup pour ce travail d’informations.
@+
Salut Alternative Attitude,
Oui, il y a une page qui manque O.o Merci de m’avoir rappelé cela, elle a probablement été supprimée lorsque je réorganisais les slides avant de les publier dans mon blog. Cette page contenait la recommandation d’extensions Firefox, j’avais recommandé, si je me souviens bien Noscript, Jetable, FireGPG, Cookie Culler et quelques autres.
Pour ce qui est de Shorewall, c’est en effet utilisé par Mandriva, mais l’interface que tu as vue n’est pas Shorewall, elle a été faite pour faciliter l’accès à Shorewall aux utilisateurs de Mandriva.
J’ai recommandé Shorewall pour une utilisation avancée, au lieu de recommander Firestarter, car il permet plus de choses. Je te recommande de voir les fichiers de configuration pour découvrir toutes les fonctionnalités intéressantes de ce logiciel !
Sinon, merci pour l’appréciation sur la présentation ^_^
À plus !
Non, le problème vient de la version Grub installée dans Hardy Heron qui ne charge pas mon lecteur CD au début. Du coup, je ne peux plus rien faire, puisque je ne peux pas installer Lilo (apparemment incompatible avec mon matériel) et pour réparer le MBR, il me faut obligatoirement le CD d’un système d’exploitation, chose que je ne peux pas faire puisque le lecteur CD ne boot pas…
Du coup je suis sans alternative… J’aimerais bien downgrader vers Gutsy, mais c’est apparemment impossible sans le CD d’installation.
Salut Wassim,
« le problème vient de la version Grub installée dans Hardy Heron qui ne charge pas mon lecteur CD au début »
C’est plutôt le BIOS qui se charge de ce genre de choses non ? Je te conseille de faire un tour dans l’interface de ton BIOS afin d’ajouter le fait que le boot soit fait également par le CD-ROM.
Non, le BIOS fonctionne très bien, car le lecteur CD tourne lorsque j’insère un CD et le voyant du disque dur s’allume. Donc pas de problème au niveau du BIOS. J’y avais cru au début, je suis parti dans le Bios, j’ai appuyé sur F9 (Setup Defaults) puis sur F10 (Save and Exit), mais le problème persiste. J’aimerais bien revenir à Gutsy, mais impossible…
Pour que ton ordinateur boote sur le disque (contenant GRUB) il faut bien que cela soit défini dans le BIOS.
En tout cas, chez moi, c’est le cas. Quelle que soit la configuration de GRUB, quand je dis au BIOS de booter en priorité par le lecteur DVD, avant le disque dur, il boote bien par le lecteur DVD.
En général, il y a toujours moyen de revenir en arrière avec les PCs : pile CMOS pour faire un reset du BIOS, boot configurable, etc.
Je ne pense pas que cela soit différent chez toi, à part si quelque chose m’échappe ? ^_^
Un lien intéressant que je te recommande :
http://doc.ubuntu-fr.org/installation/bios_boot_order
Merci pour cet exposé intéressant. Juste une précision car il me semble que:
Diapo 10: CTRL + ALT + L pour verrouiller l’écran
Salut Flash Booster,
De rien ^_^
Tu as raison, c’est bien CTRL + ALT + L 🙂 Je corrigerai dès que possible.
salut
pour moi tout va bien avec ubuntu 8.04 jai mem vire winxp
sur tout avc compiz fusion ^^
pour la securiter jai installer firetarter tor et privoxy pour firefox !
mai le chiffrement sa reste avoir si je doi formater ou pas
bone contunuation Asher256 -.- 🙂
Salam Si Asher,
Merci de prendre le temps de partager avec nous tous ces trucs et astuces. J’ai appris beaucoup de choses en parcourant ton blog.
Je te souhaite donc bonne continuation.
En passant, as-tu déjà essayé Truecrypt? Dans mon cas, je voulais créer une base mysql qui serait stockée dans une partition chiffrée de façon à ce que les renseignements des clients deviennent inutilisables lors d’un vol éventuel du matériel. Je voulais aussi de la redondance et donc j’ai opté pour Truecrypt (open source) sur partition NTFS (la seule invention valable de M$) ayant donc la particularité de pouvoir être monté par Windows ou Linux (ntfs-3g) indifféremment.
J’aimerais bien que tu testes ce logiciel et tu écrives une rubrique dessus ou au moins que tu nous donnes ton avis là-dessus.
Merci Sidi Asher
(ww.truecrypt.org)
Salut Vince,
Je te remercie pour les encouragements.
Truecrypt est excellent. Je l’utilise aussi, en plus de encfs. Je suis d’accord avec ta proposition, je vais en parler dans le futur.
Bonne continuation !