Re: Sécurisation pour un serveur
Roger Tarani, au 2019-01-17 :
> Je n'ai pas repéré d'outil de diagnostic et de configuration
> conforme à ces bonnes pratiques dans la doc (pour vérifier
> automatiquement que les paramètres vitaux sont bien
> configurés).
> Est-ce que ça existe pour Linux ?
Une recherche dans la base de paquets avec le mot clé
« pentest » m'a sorti une série de métapaquets forensics-*
semblant prometteurs :
$ apt show forensics-all
Peut-être que dans le lot vous trouverez votre bonheur ?
> Admettons : si on configure correctement/de manière durcie un
> système Linux et ssh (plus 2FA pour chaque utilisateur), et
> toutes les reco de ces docs, c'est quoi les failles qui
> restent ?
- Les erreurs humaines, suite à de l'ingénierie sociale par
exemple, du phishing, ou la bête fausse manipulation à base de
phrase de passe tapée dans un canal IRC à la place du champ
prévu dans le formulaire (vécu).
- Les portes dérobées, dans le matériel ou dans le système : il
y a eu des exemples de correctifs embarquant de telles
vulnérabilités dans du code Open Source, parfois ça finit par
se voir.
- Les failles 0day, encore inconnues du grand public mais
exploitées par des entités malveillantes.
- Les menaces physiques...
La liste n'est pas exhaustive, c'est juste ce qui me vient en
tête.
> Quelle garantie de sûreté de fonctionnement apporte
> aujourd'hui les composants logiciels de sécurité comme
> (open)ssh, utilisés à grande échelle, et dont le code a été
> examinés par beaucoup de monde ?
> J'ignore comment c'est codé. Après tout, si l'architecture est
> bien foutue et reste simple, ça peut garantir un composant
> sûr.
> Question ouverte...
Grâce aux bonnes âmes derrière Debian, et pour peu que les
entrées deb-src soient configurées dans le sources.list, pour
voir comment OpenSSH est codé, le plus rapide est de lancer un
petit :
$ apt source openssh # :^D
Quant aux garanties de sûreté, sur le papier, il n'y en a
aucune. Dans la pratique, les problèmes de sécurité dans SSH
agitent du monde. Le mieux que vous puissiez faire est de
rester à jour de vos paquets.
Amicalement,
--
Étienne Mollier <etienne.mollier@mailoo.org>
Reply to: