Outils pour utilisateurs

Outils du site


securite_les_bases

Sécurité: Les choses à savoir

Voici un mémento pour profiter au maximum de sa tranquillité sous GNU-Linux et BSD. La sécurité ne se résume pas à un soft ou deux, mais à une politique globale.

Partitions

Mettez vos données sur une partition différente du système et des logiciels, si cela est possible sur une partition primaire. Si vos données sont sur une partition logique, elles sont dépendantes de la partition étendue, en cas de problème avec la partition étendue, les partitions logiques peuvent être touchées.
En pratique cela donne :

  • Une partition / (root) où sont les logiciels et le système.
  • Une partition /home où sont vos données.
  • Une partition swap.

Avec ces 3 partitions seulement votre système est solide. Vous pouvez en rajouter d'autres en cas de besoins.

Pour rappel, il peut y avoir :

  • De 1 à 4 partitions primaires,
  • De 1 à 3 partitions primaires et 1 unique partition étendue (la position de cette dernière par rapport aux primaires est indifférente).
  • 1 partition étendue.

Dans cette dernière, on peut créer des partitions logiques dont le nombre va être fonction de l'OS (gestion des “devices”), du type de disque (IDE (64) ou SCSI(16)). La taille de ces partitions dépend de la distribution et de la taille du ou des disques durs.
Pour la partition de swap, cela va dépendre de la quantité de mémoire vive (RAM) et des besoins de la distribution.

Pour un PC personnel :
Avec moins de 1 Go de mémoire vivre, on peut créer une partition de swap de 1,5 fois cette mémoire.

  • Exemple avec 512 Mo de RAM ⇒ swap 768 Mo (que l'on peut arrondir à 1 Go).
  • Avec plus de 1 Go de mémoire vivre, on peut limiter la partition de swap à 1 Go, voir moins si l'on a beaucoup de RAM.

Pour un serveur, on prendre généralement 2,5 fois la RAM.

Système de fichier

Il peut être intéressant d'avoir un système de fichier (File System) journalisé pour les données sensibles. Par exemple ext3 ou ReseirFS. Pour l'instant, ext4 n'est pas encore assez mûr pour lui confier des données sensibles, mais cela viendra vite. Ces systèmes sont un peu plus lents. On peut les réserver pour la partition home et prendre un système de fichier ext2 pour la partition root.
Pour les BSD, cela sera un système de fichier UFS2.

OS

Mettez à jour son OS. Surveillez les avis de sécurité de votre distribution favorite. Faites attention à la provenance de vos mises à jour, utilisez que des serveurs connus et non des serveurs “exotiques”. Généralement, les serveurs ont des clés d'identifications.

Mot de passe

Choisir correctement ces mots de passe. Idem pour le login. Mélanger minuscule et majuscule et les caractères spéciaux. Exemple “Papa_Est La !”
Certains sites vous permettent de vérifier la solidité de vos mots de passes, par exemple ici.
Vous pouvez aussi utiliser une phrase pour vous rappeler de vos paramètres de connexion, par exemple le premier caractère de cette phrase.

Services

Démarrez seulement les services utilisés lors du boot de votre PC. Les performances de votre machine en seront aussi meilleures (démarrage plus rapide et moindre occupation mémoire). Ces services “minimum” vont dépendre de vos besoins. Là, les BSD sont très supérieurs car le nombre de services démarrer par défaut est faible.
Voici deux liens dédiés aux distributions Ubuntu dont on peut s'inspirer pour optimiser le démarrage de ces services.
- Services et Ubuntu en FR
- HowTo: Speed up ubuntu boot process en EN

Nb : les services s'appellent aussi deamon.

Surf Internet

Mettez à jour votre navigateur. Surveillez les avis de sécurité de votre navigateur. Certains réglages de ce dernier augmentent la sécurité. Attention à Java (à mettre à jour) et Javascript. Veillez à ce que Javascript ne puisse pas cacher la barre d'adresse (elle vous indique où vous êtes). Attention aux sites warez qui peuvent contenir des fichiers “inamicaux”.
Si vous utilisez FireFox, ce dernier permet d'installer des extensions qui augmentent la sécurité lors de votre surf. Par exemple Adblock Plus, Bookmark Backup, Flashblock, NoScript

Fichier hosts

Un fichier sert pour accélère la traduction url (humaine) en IP (PC) sans avoir besoin de passer par un DNS. On peut utiliser ce fichier de manière à se protéger. Il suffit de rediriger l'url que l'on veut bloquer sur sa machine (localhost, 127.0.0.1). Il est situé généralement ici sur les machines GNU-Linux et BSD: /etc/hosts
Une page web avec un bonne explication du Host :
Le fichier HOSTS et la sécurité. Ce site permet de générer des listes diverses de blocage d'adresses pour navigateurs, ipchain, etc, et fichier host.

Petite astuce : ce fichier devient de nos jours de plus en plus gros et cela peut ralentir le surf. Pour réduire la taille du fichier de 20% à 50%, au lieu du 127.0.0.1, mettre 0 à la place.
Pensez à mettre aussi cette valeur pour la première ligne (127.0.0.1 localhost).
Exemple de début de fichier host :
127.0.0.1 localhost
127.0.0.1 LeSiteCochon.ca
127.0.0.1 LeSiteCochon.fr

Mettre à la place :
0 localhost
0 LeSiteCochon.ca
0 LeSiteCochon.fr

Astuce 2, ajoutez en fin de fichier, un commentaire pour signaler que c'est la fin du fichier et que rien ne doit se trouver après ce commentaire. Si c'est le cas, problème… C'est généralement le caractère #.
Exemple :
### Fin fichier host ###

Il faut aussi que ce fichier soit seulement modifiable par le compte Root (Super Utilisateur). Pensez à modifier et réduire les droits en écriture sur de fichier. Après faites une petite vérification que cela fonctionne (en bloquant un site connu par exemple).

Firewall

Utilisez un firewall qui fermera vos ports. Ces derniers se ferment en entré (mode in, infection de votre machine) et en sortie (mode out, propagation de infection). De plus, vérifiez à chaque modification de vos règles votre sécurité sur les sites grc ou pcflank.
Si votre machine est un serveur, changé de port de l'application. Par exemple, pour un serveur FTP, le port de connexion par défaut est le 21. Changez-le en 51234. Prenez un port au-delà de 50 000. Cela évite les scans qui sont rares au-delà de cette valeur.

Emails

Ne cliquez pas inconsidérément sur les pièces jointes. Ne cliquez pas sur les liens dans les emails. Saisissez de préférence ou utilisez vos liens enregistrés dans votre navigateur.

Sauvegarde

Il y a différents types de sauvegarde. De même, elles touchent différentes partie de la machine (système, données). On peut faire des images de son disque, pour qu'en cas de crash, on puisse redémarrer rapidement. Par contre, les données importantes doivent être sauvegardées sur des supports différents (clé USB, bande, deuxième disque, etc.) en plusieurs exemplaires si elles ont beaucoup de valeurs (si le média de la sauvegarde lâche). Une façon simple pour estimer la valeur d'une donnée est de considérer le temps qu'il faudrait pour reproduire à l'identique cette donnée. On peut comparer ce temps au temps hebdomadaire travail par exemple et le valoriser en argent. On a des surprises des fois.

Compte Root ou Super Utilisateur

Ces comptes doivent servir uniquement pour l'administration du système. Ne pas utiliser ces comptes pour surfer.

Anti-virus

Normalement avec les OS alternatifs, il n'y en n'a pas besoin. Sauf si c'est un serveur (e-mail,etc…) pour postes sous Windows par exemple.

Du bon sens

Vous avez un cerveau, servez-vous-en !

securite_les_bases.txt · Dernière modification: 2014/01/21 11:35 (modification externe)