[Ubuntu-QC] Guide pour sécuriser une serveur Ubunt u 10.04 LTS
Bonjour, Je voudrais monter un serveur pour mon employeur pour lui démontrer qu'il est possible de sécuriser une installation d'Ubuntu 10.04 serveur. Ce que j'aimerai : 1. Encrypter l'information sur les disques durs (code source, documentation, wiki, etc.) pour s'assurer que celle-ci n'est pas accessible en cas de vol. 2. Backup automatique (et encrypter) sur le cloud (soit sur Amazon S3 ou ailleurs) pour ne pas tout perdre en cas de catastrophe (incendie, inondation, etc.) 3. Tout ce qui peut éviter que le serveur soit facilement hackable (présentement, le LAN est derrière un firewall (router) mais j'aimerai pouvoir y accéder par SSH de l'extérieur) Si il y avait un guide ou bien une genre de checklist des opérations à faire pour bien sécuriser un serveur Ubuntu, j'apprécierai beaucoup. Merci! Étienne. -- Ubuntu-quebec mailing list Ubuntu-quebec@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-quebec
Re: [Ubuntu-QC] Guide pour sécuriser une serveur Ubunt u 10.04 LTS
On 06/23/2010 12:52 PM, Etienne Savard wrote: Bonjour, Je voudrais monter un serveur pour mon employeur pour lui démontrer qu'il est possible de sécuriser une installation d'Ubuntu 10.04 serveur. Ce que j'aimerai : 1. Encrypter l'information sur les disques durs (code source, documentation, wiki, etc.) pour s'assurer que celle-ci n'est pas accessible en cas de vol. À partir de l'installateur serveur ou alternate c'est une option assez simple. 2. Backup automatique (et encrypter) sur le cloud (soit sur Amazon S3 ou ailleurs) pour ne pas tout perdre en cas de catastrophe (incendie, inondation, etc.) Rsync programmé devrait être simple aussi. 3. Tout ce qui peut éviter que le serveur soit facilement hackable (présentement, le LAN est derrière un firewall (router) mais j'aimerai pouvoir y accéder par SSH de l'extérieur) SSH PKA est un pré-requis. https://help.ubuntu.com/10.04/serverguide/C/openssh-server.html Si il y avait un guide ou bien une genre de checklist des opérations à faire pour bien sécuriser un serveur Ubuntu, j'apprécierai beaucoup. Tu peux commencer ici: https://help.ubuntu.com/10.04/serverguide/C/security.html En général la plupart de ces mesures seront inutiles dès que qq'un aura accès physique au serveur, sur place. Si vous lisez le magazine 2600 il y avait un bon article sur comment déjouer le chiffrement de disques et obtenir des clés OpenGP et SSH si on laisse sa machine sans surveillance plus de 10 minutes - et qu'elle demeure sur place, nuance. A+ -- Fabián Rodríguez http://wiki.ubuntu.com/MagicFab Montreal, QC, Canada -- Ubuntu-quebec mailing list Ubuntu-quebec@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-quebec
Re: [Ubuntu-QC] Guide pour sécuriser une serveur Ubunt u 10.04 LTS
Bonjour Fabian, Je te remercie, ça me donne une bonne piste de départ. Pour SSH, j'ai déjà trouvé ce guide (écrit pour CentOS), qui doit sûrement s'appliquer aussi à Ubuntu: http://wiki.centos.org/HowTos/Network/SecuringSSH Merci. Étienne. Le 23 juin 2010 14:01, Fabian Rodriguez magic...@ubuntu.com a écrit : On 06/23/2010 12:52 PM, Etienne Savard wrote: Bonjour, Je voudrais monter un serveur pour mon employeur pour lui démontrer qu'il est possible de sécuriser une installation d'Ubuntu 10.04 serveur. Ce que j'aimerai : 1. Encrypter l'information sur les disques durs (code source, documentation, wiki, etc.) pour s'assurer que celle-ci n'est pas accessible en cas de vol. À partir de l'installateur serveur ou alternate c'est une option assez simple. 2. Backup automatique (et encrypter) sur le cloud (soit sur Amazon S3 ou ailleurs) pour ne pas tout perdre en cas de catastrophe (incendie, inondation, etc.) Rsync programmé devrait être simple aussi. 3. Tout ce qui peut éviter que le serveur soit facilement hackable (présentement, le LAN est derrière un firewall (router) mais j'aimerai pouvoir y accéder par SSH de l'extérieur) SSH PKA est un pré-requis. https://help.ubuntu.com/10.04/serverguide/C/openssh-server.html Si il y avait un guide ou bien une genre de checklist des opérations à faire pour bien sécuriser un serveur Ubuntu, j'apprécierai beaucoup. Tu peux commencer ici: https://help.ubuntu.com/10.04/serverguide/C/security.html En général la plupart de ces mesures seront inutiles dès que qq'un aura accès physique au serveur, sur place. Si vous lisez le magazine 2600 il y avait un bon article sur comment déjouer le chiffrement de disques et obtenir des clés OpenGP et SSH si on laisse sa machine sans surveillance plus de 10 minutes - et qu'elle demeure sur place, nuance. A+ -- Fabián Rodríguez http://wiki.ubuntu.com/MagicFab Montreal, QC, Canada -- Ubuntu-quebec mailing list Ubuntu-quebec@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-quebec -- Ubuntu-quebec mailing list Ubuntu-quebec@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-quebec
Re: [Ubuntu-QC] Guide pour sécuriser une serveur Ubunt u 10.04 LTS
On 06/23/2010 03:21 PM, Etienne Savard wrote: Bonjour Fabian, Je te remercie, ça me donne une bonne piste de départ. Pour SSH, j'ai déjà trouvé ce guide (écrit pour CentOS), qui doit sûrement s'appliquer aussi à Ubuntu: http://wiki.centos.org/HowTos/Network/SecuringSSH Presque. Je trouve notre doc plus complète: https://help.ubuntu.com/community/SSH/OpenSSH/Configuring Et pour copier les clés publiques SSH, nous avons une commande très pratique (ssh-copy-id): https://help.ubuntu.com/community/SSH/OpenSSH/Keys Il y a aussi des trucs spécifiques à l'usage de répertoire /home chiffré, regarde bien :) A+ F. -- Ubuntu-quebec mailing list Ubuntu-quebec@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-quebec
Re: [Ubuntu-QC] Guide pour sécuriser une serveur Ubunt u 10.04 LTS
Merci Mathieu, Je ne connaissais pas le guide de la NSA, c'est assez complet. Je vais regarder Bastille aussi. La problématique c'est que nous louons un local dans une école, donc facilement accessible et avec beaucoup de va et viens. Le le serveur sera dans nos bureaux. Il y a une caméra de surveillance et des gardiens mais pas de bergers allemands! ;) Pour ce qui est des backups sur le cloud, c'est parce que je trouve que c'est relativement peu coûteux et que nous n'avons pas besoin d'acheter du matériel supplémentaire (tapes + tape backup). Je sais que c'est un peu artisanal mais nous sommes une startup avec des moyens limités! :) Étienne. Le 23 juin 2010 15:22, Mathieu Trudel-Lapierre mathieu...@gmail.com a écrit : On mer, 2010-06-23 at 12:52 -0400, Etienne Savard wrote: Bonjour, Je voudrais monter un serveur pour mon employeur pour lui démontrer qu'il est possible de sécuriser une installation d'Ubuntu 10.04 serveur. Ce que j'aimerai : 1. Encrypter l'information sur les disques durs (code source, documentation, wiki, etc.) pour s'assurer que celle-ci n'est pas accessible en cas de vol. LVM/LUKS ou ecryptfs? Les deux ont différentes raisons d'être plus ou moins utile... LVM/LUKS requiet l'entrée d'un mot de passe au démarrage, alors que ecryptfs chiffre un répertoire d'usagé et doit être ouvert avant l'utilisation... Dans la majorité des cas d'entreprises normales, l'encryption du disque n'est pas si nécessaire. Vaut mieux, à mon avis, investir dans un centre de données bien équipé et bien sécurisé. 1. Backup automatique (et encrypter) sur le cloud (soit sur Amazon S3 ou ailleurs) pour ne pas tout perdre en cas de catastrophe (incendie, inondation, etc.) 2. Tout ce qui peut éviter que le serveur soit facilement hackable (présentement, le LAN est derrière un firewall (router) mais j'aimerai pouvoir y accéder par SSH de l'extérieur) Backup sur le cloud? À mon avis il serait plus simple de faire des sauvegardes sur cassettes, puis les envoyer à un fournisseur de solutions de sécurité de documents; comme DocuDépot, à Verdun. Pour ce qui est de la sécurisation: - Utiliser bastille: https://help.ubuntu.com/community/BastilleLinux - Générer des règles nécessaires pour iptables et apparmor. - etc. Pour SSH, tu peux monter un serveur de VPN pour n'avoir qu'un accès à ouvrir pour le VPN afin d'avoir accès à tout le réseau, ou alors ouvrir chacune des machines avec une IP publique sur le net (moins recommandé), ou alors n'en ouvrir qu'une et utiliser SSH avec un ProxyCommand... Il y a plusieurs moyens peu coûteux et simples à implémenter. Si il y avait un guide ou bien une genre de checklist des opérations à faire pour bien sécuriser un serveur Ubuntu, j'apprécierai beaucoup. C'est pas spécifique à Ubuntu, mais la NSA ont un bon guide de sécurisation Linux, écrit pour RedHat EL 5: http://www.nsa.gov/ia/guidance/security_configuration_guides/operating_systems.shtml#linux2 L'information y est évidemment tout à fait réutilisable. Aussi, il existe différents guides plus ou moins complets sur le net: http://www.securenetwork.it/ricerca/whitepaper/download/Debian-Ubuntu_hardening_guide.pdf Le lien proposé par Fabian est un excellent point de départ. Un détail par contre: il faut se rappeler que la sécurité est un procédé... Il est important de réviser les options utilisées, de faire des mises à jour fréquentes et de rester à l'affût des changements dans le domaine. Pour cela, tu peux t'inscrire aux annonces de sécurité pour Ubuntu: https://lists.ubuntu.com/mailman/listinfo/ubuntu-security-announce Ou alors suivre les listes de diffusion de Secunia, SecurityFocus, ISC SANS, etc. -- Mathieu Trudel-Lapierre mathieu...@gmail.com Freenode: cyphermox, Jabber: mathieu...@gmail.com 4096R/EE018C93 1967 8F7D 03A1 8F38 732E FF82 C126 33E1 EE01 8C93 -- Ubuntu-quebec mailing list Ubuntu-quebec@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-quebec -- Ubuntu-quebec mailing list Ubuntu-quebec@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-quebec
Re: [Ubuntu-QC] Guide pour sécuriser une serveur Ubunt u 10.04 LTS
Super! :) J'ai de la lecture pour la longue fin de semaine! ;) Le 23 juin 2010 15:36, Fabian Rodriguez magic...@ubuntu.com a écrit : On 06/23/2010 03:21 PM, Etienne Savard wrote: Bonjour Fabian, Je te remercie, ça me donne une bonne piste de départ. Pour SSH, j'ai déjà trouvé ce guide (écrit pour CentOS), qui doit sûrement s'appliquer aussi à Ubuntu: http://wiki.centos.org/HowTos/Network/SecuringSSH Presque. Je trouve notre doc plus complète: https://help.ubuntu.com/community/SSH/OpenSSH/Configuring Et pour copier les clés publiques SSH, nous avons une commande très pratique (ssh-copy-id): https://help.ubuntu.com/community/SSH/OpenSSH/Keys Il y a aussi des trucs spécifiques à l'usage de répertoire /home chiffré, regarde bien :) A+ F. -- Ubuntu-quebec mailing list Ubuntu-quebec@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-quebec -- Ubuntu-quebec mailing list Ubuntu-quebec@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-quebec
