Re : Re: Besoin de quelques conseils de sécurité.
Bonjour, C'est mon premier message sur les listes :) Voilà, j'aurais besoins de conseils. Après après avoir abordé mon supérieur de facon réflechie et argumentée, j'ai obtenu le droit d'installer des linux dans un réseau entièrement WXP et WSRV2003. Je voudrais savoir les chose à vérouiller pour éviter les débordements. Je suis dans un lycée, et des petits malins, il n'en manque pas. Et étant donné que (chut faut pas répéter), le réseau est très mal sécurisé, il serait facile de le faire tombé. Le premier PC que je mets en place doit simplement avoir accès à Internet et OpenOffice (j'ai un CD de Debian 5.0.8, je mettrais sans doute à jour vers la 6). Merci pour tous vos conseils. Florian J'ai lu quelque part (???) il y a 1 ou 2 ans, que l' accadémie de Grenoble et de Caen avaient fait conjointement une version debian prête à l'emploi pour les lycées et les collèges: sécurité, gestion des mail élèves... Peut-être quelqu'un ici se souvient??? Thierry bonjour, rechercher : -a) slis -b) Skolelinux -c) lien : http://www.slis.fr [1] http://www.slx.no [2] l'ensemble fait partie de la branche debian edu slt bernard Merci pour les liens j'étudie la question. Mais je ne cherche pas en réalité de distribution linux mais plus les failles windows facilement exploitable via un linux à protéger en enlevant l'accès à telle ou telle commande.. Mais merci pour vos liens. Bonne journée chers amis. Florian Links: -- [1] http://www.slis.fr/ [2] http://www.slx.no/
Re: Re : Re: Besoin de quelques conseils de sécurité.
On Wednesday 09 February 2011 à 01:21:31PM, hog...@iiiha.com wrote: Merci pour les liens j'étudie la question. Mais je ne cherche pas en réalité de distribution linux mais plus les failles windows facilement exploitable via un linux à protéger en enlevant l'accès à telle ou telle commande.. Je... comment dire... S'il y a des failles sur tes windows, la seule solution à apporter c'est la correction de ces failles sur ces postes windows. Jamais je n'ai vu une telle approche dans la sécurisation d'un réseau... Tu veux un exemple débile ? Dans ma fac, sur les postes moitié debian / moitié ubuntu, ils ont supprimé nc / netcat. Pourquoi faire, peut-on se demander ? Ont ils peur que les étudiants puissent s'échanger facilement et rapidement des fichiers sur le réseau ? Ont ils peur que les étudiants découvrent qu'il y a un serveur oracle qui tourne sur telle IP:PORT ? Ridicule, tout simplement. A côté de ça, tu as les mots de passe de session qui circulent en clair sur le réseau jusqu'au ldap, et busybox qui te donne un netcat tout à fait fonctionnel. Et ils croient avoir apporté un plus à la sécurité de leur réseau... Alors qu'un netcat ça prend trois minutes à compiler et installer sur une machine, sans avoir besoin des droits admin. A moins que l'administrateur continue à essayer d'empêcher l'utilisateur unix d'avoir une utilisation normale de sa machine, à lui mettre des bâtons dans les roues constamment, et surtout à se tromper de problème quant à la sécurité de son réseau. Auquel cas l'utilisateur unix sera juste dégoûté. Soit tu installes un GNU/Linux et tu acceptes d'auditer ton parc de machines windows maintenant que tu penses qu'il peut y avoir des problèmes de sécurité, soit tu restes ancré dans tes idées préconçues. A toi de choisir ;-) -- Free software, free society. Jérémie Courrèges-Anglas GPG key : 06A11494 pgp6glf7fJXHP.pgp Description: PGP signature
Re: Re: Besoin de quelques conseils de sécurité.
De ce que je me rappelle faire quand j'étais étudiant, on tentait soit de court-circuiter les droits au démarrage, soit récupérer le mot de passe root. Du coup, je te conseille : - Bloquer le BIOS pour qu'on ne puisse pas démarrer sur un live-CD ou clef USB (et donc modifier les fichiers de conf présents sur le DD). - Faire en sorte qu'on ne puisse pas rentrer d'option à Lilo ou GRUB pour booter avec un shell. - Avoir un mot de passe non trivial pour le root. - Mettre un iptables pour n'autoriser que les flux identifiés et nécessaires. - fail2ban pour protéger des attaques par brute force venant de l'extérieur. La liste n'est pas exhaustive évidemment. Guillaume Merci pour cette réponse que je vais étudier plus profondément (surtout pour iptables et fail2ban). Encore merci ! Concernant le message de Jérémie Courrèges-Anglas (qui par une erreur de ma part se retrouve plus bas dans la liste de diffusion), je ne suis pas administrateur de mon réseau. C'est très compliqué là où je suis. En gros je suis Technicien apprenti, l'admin c'est une boîte d'infogérance, qui est très peu concernée par les problèmes du lycée. je m'occupe en gros de tous les problèmes avant le port switch et pour les plus haut niveau je dois envoyer un mail à la boîte. En gros il ne réponde qu'aux problèmes simples et laissent couler pour les autres. J'ai déjà demandé pour avoir des mots de passes plus haut niveau mais c'est niette ! Voilà rien à faire de ce coté là. Merci quant même pour ta réponse ! A bientôt Florian