[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Configuration réseau pour un serveur




----- Original Message -----
> From: "Daniel Caillibaud" <ml@lairdutemps.org>
> To: debian-user-french@lists.debian.org
> Sent: Wednesday, January 16, 2019 10:49:54 AM
> Subject: Re: Configuration réseau pour un serveur
> 
> Le 16/01/19 à 09:50, roger.tarani@free.fr a écrit :
> > Bonjour
> > 
> > J'ai lu pas mal de docs sur le sujet. Et aussi sur les groups et
> > users
> > qui se trouvent toujours présents dans un système Linux. Comme j'en
> > découvre en permanence, je me dis que je suis loin d'avoir fait le
> > tour !
> > 
> > 
> > Je voudrais configurer un serveur Debian absolument minimaliste :
> > 
> > Est-ce que je peux me limiter à configurer resolv.conf et
> > interfaces et
> > le vpn et le fw ? (En retirant tout ce qui est NM resolvconf ou
> > autre) je
> > le crois mais il y a sans doute d'autres détails à considérer
> 
> Les détails à considérer sont ton usage, je comprend "minimaliste"
> comme
> "seulement ce dont j'ai besoin" (certains considèreront que
> minimaliste =>
> sans vpn ni fw).
> 
Oui, c'est vrai !
Je dirais minimaliste ET garantissant une sécurité contre les attaques.
Oui, dit comme ça, ça reste flou comme exigences. Voir plus bas.


> > Il y a aussi de nombreux groups et users "présents pour des raisons
> > historiques" (adm, stadf, etc. ) Que suffit-il de conserver là et
> > parmi
> > d'autres éléments du système ?
> 
> Je suggérerais :
> 
> 1) À partir d'une install debian minimale (rien de coché à
> l'installation,
> ou une image déjà prête), configurer apt pour ne pas installer les
> paquets
> suggérés, voire recommandés, avec par ex
> un /etc/apt/apt.conf.d/81no_reco_sugg qui contiendrait
> 
> // on veut pas des recommandés ou suggérés
> APT::Install-Recommends "0";
> APT::Install-Suggests "0";
> 
> 2) lister les paquets installés (non auto)
>   aptitude search '~i !~M'
> et virer tout ce dont on a pas l'usage.
> 
> Pour en savoir plus sur un paquet :
> 
> # sa description
> aptitude show xx
> # pourquoi il est installé
> aptitude why xx
> 
> 3) pour faire maigrir encore le tout, on peut recommencer l'exercice
> avec
> tous les paquets (`aptitude search ~i`) pour voir si y'aurait pas des
> dépendances inutiles installées.
> 
> Pour avoir la liste complète (ici avec les paquets auto, mettre ~i à
> la
> place de ~M pour les avoir tous, auto ou pas)
> 
> aptitude search ~M -F %p|while read p; do echo -e "\n$p"; aptitude
> why $p; done
> 
> 
> note: on peut bien sûr utiliser apt plutôt qu'aptitude, c'est juste
> que je
> connais la syntaxe aptitude et mal celle d'apt
> 
> --
> Daniel
> 
> Lorsque vous posez un caméléon sur du tissu écossais,
> il vous fait un bras d'honneur.
> François Cavanna
> 
> 
Ok. Merci.

J'ai quelques bases en sécurité mais là je dois admettre mes limites en pratique avec un serveur Debian.
Quel critères fixerais-tu pour garantir que la sécurité est assurée ?
Si par exemple je ferme tous les ports sauf celui écouté et contrôlé, je vire les éventuels paquets troués, j'impose l'utilisation d'un dispositif matériel pour faire de double authentification/2FA : en quoi ça me garantit qu'un attaquant ne pourra pas entrer dans le système ?


Reply to: