Blog d'un Éternel Geek

La fondation Linux a publié un Guide de Sécurité pour paranoïaque

http://vivageek.com/data/images/linux/linuxsecuguide.jpg

 

La sécurité est mère de tous les vices, en tout cas c'est ce que semble penser la Fondation Linux qui a publié sur son Git un guide de sécurité allant de faible sécurité jusqu'au niveau paranoïaque.

 

Il délivre donc des conseils pour les administrateurs systèmes en priorité (sysadmins). On peut croire que ces personnes qui passent la plupart de leurs temps à gérer l'entretiennent, la configuration et le fonctionnement des machines d'un réseau soient amenés à se confronter rapidement à la mesure de sécurité.

 

Devenir paranoïaque dans ce type de fonction est assez courant. Normal, avec l'ingéniosité avec laquelle les pirates informatiques outrepassent les sécurités actuelles, on a de quoi se poser des questions.

 

Ces dernières années, on a même pu voir des plates-formes pourtant sous l'égide de grands groupes sécuritaires être bafoué sans vergogne de la part de pirate regroupé en team.

 

Des groupes gouvernementaux comme la NASA avaient déjà publié des scripts pour automatiser les tâches de sécurité fondamentale, mais semble-t-il pas vraiment mis en place et le cas échéant pas comme il faut.

 

De ce fait, la fondation Linux a essayé de produire ce petit guide qui formule au travers de quatre catégories l'essentiel de ce qu'il faut avoir et savoir afin de sécuriser au minimum ou voire au maximum votre réseau multi-utilisateur. (Serveurs).

 

http://vivageek.com/data/images/linux/linuxsecuguide1.jpg

 

Le guide parle de quoi ?

 

Ce guide est destiné aux équipes d'administrateur système qui utilisent le poste Linux pour accéder et gérer l'infrastructure informatique d'un projet.

 

Un jugement est porté vers l'ensemble des Sysadmin qui soit travaillé à distance soit à partir d'un portable de la maison. Leurs vues principales est sur la base d'une série de recommandations pour éviter les erreurs de sécurités les plus flagrantes.

 

Il a adapté son contenu sur 3 profils de Sysadmin allant du plus laxiste au plus paranoïaque. Je pense que cela dépend du niveau de monitoring apporté au projet.

 

Une société qui possède une équipe à plein temps aura besoin d'un peu moins de sécurité qu'une équipe qui analyse une fois par mois ces données.

 

Donc, pour la ligne directrice le guide propose des conseils dispensés autour de 3 catégories: Essentiel, Bien, et paranoïaque.

 

L'ensemble est sous lister avec des termes de niveau de priorité : ESSENTIAL, NICE et PARANOID.

 

L'essentiel de ce qui devrait être fait en termes de sécurité, NICE des éléments qui viseront à améliorer la sécurité globale et PARANOID est la sécurité maximum.

 

Le matériel utilisé

 

Il préconise SecuBoot comme protection Essential.

À NICE, les systèmes n'ayant pas de ports Firewire, port ExpressCard ou port Thunderbolt et les systèmes à puce TPM.

 

D'ailleurs, la puce TPM est très apprécié pour le chiffrement des clés d'un disque complet.

 

Il précise que. SecureBoot n'est pas la solution-miracle, mais cela vaut mieux que rien.

 

Le guide nous recommande de démarrer notre système en UEFI Boot (ESSENTIAL) ainsi que lui assigner un mot de passe pour entrer dans l'UEFI et activer SecureBoot.

 

Il précise de choisir un mot de passe assez long et complexe pour éviter une brute force enfantine.

 

Les mots de passe doivent être tous différents et ne pas utiliser banalement le même pour chaque partition.

 

Pour le choix de la distribution, le guide nous offre également un choix précis :

Choisit une distribution livrée pré configuré avec un système MAC/RBAC (Fedora, Ubuntu) ou capable de l'ajouter via une post installation (Gentoo, Arch, Debian).

 

Pour sécuriser le noyau Linux :

SELLinux, AppArmor, GrSecurity/Pax  sont considérés comme ESSENTIAL.

 

Ne pas oublier de vérifier bien entendu que la distribution choisie prend en charge UEFI et. SecureBoot  ou offrent des solutions de rechange équivalentes.

 

Full Disk Encryption

 

Le guide soutient que FDE est une exigence pour la sécurisation au repos.

À utiliser comme ESSENTIAL, un chiffrement du disque complet (LUKS) avec mot de passe robuste.

 

FireFox est rien d'autre

 

Le guide recommande d'utiliser Firefox pour accéder aux plates-formes de travail, mais en prenant soin d'avoir annulé la mise en mémoire des cookies, sessions, informations de connexion,...

 

Pour cela, on peut utiliser les scripts suivants : Noscript (empêche l'exécution de Javascript dans votre navigateur), privacy badger (empêche la collecte de données comme les trackers), HTTPS Everywhere (chiffre cos données de navigation par SSL), Certificat patrol (vérifie l'état d'autorité des certificats TLS).

 

Si vous utilisez Chrome. Konstantin nous dit de le faire tourner uniquement sous VM (machine visuelle) et avec l'extension ScriptSafe.

 

Conclusion

 

Je n'ai pas repris tout ce que le guide exprime, ce serait trop long et j'en viendrais sûrement à simplement traduire mot à mot ce guide et pour cela google translate le fait très bien.

 

Pourtant, j'ai lu ce guide en entier et il présente une sécurité bien ordonnée et réfléchie avec beaucoup d'exemples et de références sur des produits peu utilisé et gratuit.

 

Je pense que la sécurité paranoïaque n'est pas à prendre au 2e degré et qu'elle est au contraire nécessaire. De nos jours, les serveurs sont en ligne de mire numéro un des pirates, alors pourquoi se priver d'une sur sécurisation.

 

À vous de voir.

 

Merci de m'avoir lu, à bientôt.

 

Partagez sur vos réseaux sociaux et parlez du blogue à vos amis.

 

Source : Github, Linux Guide






 Geek me     Je suis un Geek dans l'âme. 18 ans à silloner internet pour récolter des informations afin de comprendre son fonctionnement. Idéalement j'étudie également le comportement humain.

C'est afin de vous partager mes connaissances que j'ai ouvert ce blog alors je vous souhaite une bonne lecture.



À lire également


Écrire un commentaire

Votre adresse de messagerie ne sera pas publiée.

Quelle est la troisième lettre du mot nsfabb ? :