Re: Sécurisation pour un serveur

To: debian-user-french@lists.debian.org
Subject: Re: Sécurisation pour un serveur
From: Étienne Mollier <etienne.mollier@mailoo.org>
Date: Sat, 19 Jan 2019 00:30:28 +0100
Message-id: <[🔎] abf7d8ec-e9fa-b4c4-ff20-30b318d24200@mailoo.org>
In-reply-to: <[🔎] 1102811395.1129734716.1547759869842.JavaMail.root@zimbra1-e1.priv.proxad.net>
References: <[🔎] 1102811395.1129734716.1547759869842.JavaMail.root@zimbra1-e1.priv.proxad.net>

Roger Tarani, au 2019-01-17 :
> Je n'ai pas repéré d'outil de diagnostic et de configuration
> conforme à ces bonnes pratiques dans la doc (pour vérifier
> automatiquement que les paramètres vitaux sont bien
> configurés).
> Est-ce que ça existe pour Linux ?

Une recherche dans la base de paquets avec le mot clé
« pentest » m'a sorti une série de métapaquets forensics-*
semblant prometteurs :

	$ apt show forensics-all

Peut-être que dans le lot vous trouverez votre bonheur ?

> Admettons : si on configure correctement/de manière durcie un
> système Linux et ssh (plus 2FA pour chaque utilisateur), et
> toutes les reco de ces docs, c'est quoi les failles qui
> restent ?

- Les erreurs humaines, suite à de l'ingénierie sociale par
  exemple, du phishing, ou la bête fausse manipulation à base de
  phrase de passe tapée dans un canal IRC à la place du champ
  prévu dans le formulaire (vécu).

- Les portes dérobées, dans le matériel ou dans le système : il
  y a eu des exemples de correctifs embarquant de telles
  vulnérabilités dans du code Open Source, parfois ça finit par
  se voir.

- Les failles 0day, encore inconnues du grand public mais
  exploitées par des entités malveillantes.

- Les menaces physiques...

La liste n'est pas exhaustive, c'est juste ce qui me vient en
tête.

> Quelle garantie de sûreté de fonctionnement apporte
> aujourd'hui les composants logiciels de sécurité comme
> (open)ssh, utilisés à grande échelle, et dont le code a été
> examinés par beaucoup de monde ?
> J'ignore comment c'est codé. Après tout, si l'architecture est
> bien foutue et reste simple, ça peut garantir un composant
> sûr.
> Question ouverte...

Grâce aux bonnes âmes derrière Debian, et pour peu que les
entrées deb-src soient configurées dans le sources.list, pour
voir comment OpenSSH est codé, le plus rapide est de lancer un
petit :

	$ apt source openssh   # :^D

Quant aux garanties de sûreté, sur le papier, il n'y en a
aucune.  Dans la pratique, les problèmes de sécurité dans SSH
agitent du monde.  Le mieux que vous puissiez faire est de
rester à jour de vos paquets.

Amicalement,
-- 
Étienne Mollier <etienne.mollier@mailoo.org>

Reply to:

References:
- Re: Sécurisation pour un serveur (Was: Configuration réseau pour un serveur)
  - From: roger.tarani@free.fr

Prev by Date: Re: Partitionnement d'un serveur web
Next by Date: Re: Partitionnement d'un serveur web
Previous by thread: Re: Sécurisation pour un serveur (Was: Configuration réseau pour un serveur)
Next by thread: Re: Configuration réseau pour un serveur
Index(es):
- Date
- Thread