On Tue, May 17, 2005 at 08:50:17AM +0200, Dominique-Georges Branciard wrote: > Je desire comprendre comment s�curiser mon PC...
Question simple, r�ponse complexe (chacun des points pourraient amener un d�veloppement de plusieurs pages ...) 1. ne pas installer sarge, car sarge n'est pas s�curis�e (pour le moment; il y a des efforts pour amener � la s�curisation de sarge via sa stabilisation) 2. ne pas ajouter des sources d'installation Debian (dans /etc/apt/sources.list) en dehors de Debian stable. 3. ne pas installer de packages manuellement ni compiler de logiciel local (PS: toute infraction aux r�gles ci-dessus vous transforme automatiquement en mainteneur du programme/package consid�r� et donc vous force � consulter la liste de distribution pour conna�tre les bugs et patcher imm�diatement). 4. n'installer que les logiciels r�ellement n�cessaires. 5. limiter l'acc�s aux p�riph�riques et fichiers par les permissions UNIX les deux points ci-dessus permettent de limiter les cons�quences d'une prise de contr�le distante (p.ex. script PHP mal �crit) 6. ne tourner que les services minimaux n�cessaires (netstat -anp) 7. tourner les services pas sous root, sauf si strictement n�cessaire. Pour les services complexes, il est recommand� de les tourner dans une prison chroot (jail sous BSD), ou un serveur virtuel (p.ex. instance d'UML). 8. s'assurer que le kernel que l'on tourne est � jour (si l'on n'utilise pas le kernel non optimis� de base de Debian ou qu'on y a ajout� des pilotes propri�taires comme p.ex. modem USB ADSL, etc). les trois points ci-dessus concernent les attaques distantes > Pouvez-vous me donner un lien ou un titre de livre qui me permette de > contr�ler mes ports. Il y a le manuel de s�curisation de Debian GNU/Linux, notamment. > Le port 80 pour la publication des pages de test avant publication chez s'il s'agit d'un test *local*, vous pourriez bloquer ce port par firewall de mani�re � ce que seules les requ�tes provenant de l'interface loopback soient transmises au serveur WWW. > Et un autre pour le dialogue ssh avec l'un ou l'autre des amis qui me > soutiennent dans ma recherche de connaisance dans le monde LINUX (20 ans > dans le monde M... sa ne s'efface pas d'un coup)... Vous pourriez ne lancer ssh que lorsque c'est strictement n�cessaire, en modifiant /etc/init.d/ssh: changeant start) en realstart) dans le script. _______________________________________________ gull mailing list [email protected] http://lists.alphanet.ch/mailman/listinfo/gull
