Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[ANNULÉ] Sécuriser un poste de travail Ubuntu LTS

rossignol11

Bonjour,

J'aimerais à travers ce sujet recenser le maximum de points de sécurité et de confidentialité à traiter, les classer et les développer afin d'écrire un article qui expliquerait comment sécuriser un poste de travail Ubuntu LTS pour une utilisation standard et aussi comment sécuriser son environnement (réseau ...). L'article serait réétudié et mis à jour à la sortie de chaque nouvelle LTS.

Définition de l'utilisation standard d'un poste Ubuntu LTS (à compléter) :
- Utilisation du poste comme client uniquement et éventuellement comme serveur SSH,
- Utilisation des dépôts officiels à jour,
- Utilisation éventuelle de dépôts tiers (aux risques et périls de l'utilisateur) uniquement lorsqu'ils fournissent des paquets supplémentaires non fournis par les dépôts officiels.

Ci-dessous une liste "brute" concernant les points à aborder. Pour ceux que cela intéresse :
- Dans un premier temps, pouvez-vous la compléter ou à la corriger ?
- Dans un second temps nous l'organiserons pour regrouper les thèmes communs et définir un plan.
- Dans un troisième temps, nous répondrons à tous les points.
- Et enfin, nous rédigerons un article.

1. Bugs Reporter (whoopsie, kerneloops, apport, crashreporter firefox, crashreporter thunderbird, ..., ?) :
- Qu'envoient-ils réellement comme information ?
- Où envoient-ils les informations ?
- Peut-on sans crainte utiliser les "bugs reporter" dans un environnement contenant des données confidentielles ?
- Logs relatifs aux bugs reporter (informations recueillis, URL de destination ...) => fichiers logs / mot clés

2. Contrôler les ports et connexions :
- Obtenir des informations sur les connexions en cours avec la commande netstatb (paramètres, comment lire la sortie de la commande ...),
- Obtenir la liste des ports ouverts avec commande nmap,
- Logs relatifs aux connexions et ports utilisés => fichiers logs / mot clés
- Autres solutions ?

3. Parefeu (ufw/iptables) :
- Bloquer toutes les connexions entrantes (qui n'ont pas été initiées par l'hôte),
+ Autoriser les connexions entrante vers notre serveur SSH,
+ Autoriser les connexions entrante vers notre serveur SSH en filtrant par IP sources,
- Bloquer des connexions en sortie ?
+ Existe t-il une liste noire d'IP internet ?
- Logs relatifs à ufw/iptables => fichiers logs / mot clés
- Comment tester son parefeu ?

4. Rootkit :
- Qu'est-ce qu'un rootkit ?
- Comment s'en protéger ?

5. Protéger son LAN (livebox, bbox ...) :
- WIFI
+Type de clé à utiliser (WPA ...) ?
+ WPS => Bonne ou mauvaise solution, y-a-t-il des failles connues ? Quelles recommandations à ce sujet ?
+ Filtrage par adresse MAC ?
+ Masquer son SSID ?
+ Tester la sécurité de son point d'accès Wifi via Kali Linux (wifite ?)
- DHCP
+ Filtrage par adresse MAC ?
+ Possibilité de sécuriser le serveur DHCP de sa box ?
- Est-il recommandé d'utiliser les serveur DNS de son FAI ou d'en utiliser d'autres (lesquels) ?

6. SSH :
- Protéger son client SSH :
+ Y a-t-il des options à activer pour renforcer la sécurité ?
- Protéger son serveur SSH :
+ Authentification par clé uniquement ?
* Algorithme de chiffrement,
* Taille de la clé,
* Contrainte sur le mot de passe,
* ssh-agent est-il fiable ?
* enregistrer le mot de passe de sa clé dans son trousseau est-il fiable ?
* Craquer le mot de passe d'une clé privée par attaque bruteforce / dictionnaire est-il "rapide" ?
* Faut-il stocker sa clé privée dans un espace sécurisé (répertoire chiffré par exemple) ?
* Fail2ban est-elle une solution alternative ou complémentaire à l'authentification par clé ?
+ Désactiver le reverse tunneling ?
+ Désactiver le X11Forwarding (si non requis) ?
+ Restreindre les utilisateurs autorisés a effectuer une connexion SSH sur l'hôte,
+ Ne pas autoriser les connexions avec le compte "root" (ou avec authentification par clé uniquement),
+ Filtrer les IP sources autorisées à se connecter (via ufw/iptables ?)
+ Autres options ?
- Logs relatifs aux connexions SSH => fichiers logs / mot clés
- Tester la sécurité de son serveur SSH ? via Kali Linux ?

7. Protéger sa "liste" de mots de passe :
- KeePassX
* Craquer le "master password" d'une base KeepassX par attaque bruteforce/dictionnaire est-il "rapide" ? KeePassX semble moins sécurisé que KeePass à ce sujet => http://keepass.info/help/base/security.html#secdictprotect
* Faut-il stocker sa base dans un espace sécurisé (répertoire chiffré par exemple) ?
- Solution alternative à KeePassX plus sécurisée ?

8. Navigateur (Firefox, Chromium ... ?) :
- Y-a-t-il un navigateur plus sécurisé qu'un autre ?
- Comment sécuriser firefox ?
+ Désactiver le rapport de santé est-il utile sur un environnement qui contient des informations confidentielles,
+ Désactiver les rapports d'erreur est-il utile sur un environnement qui contient des informations confidentielles,
- Les modules complémentaires :
+ adblock+ a t-il un intérêt d'un point de vue confidentialité/sécurité ?
+ noscript a t-il un intérêt d'un point de vue confidentialité/sécurité ?
+ ghostery a t-il un intérêt d'un point de vue confidentialité/sécurité ?
+ Liste blanche des modules complémentaires ?
+ Liste noire des modules complémentaires ?
- Se passer de flashplugin / utiliser une solution alternative ?
- Se passer de java / utiliser une solution alternative ?
- Enregistrement des mots de passe + utilisation d'un "mot de passe principal" ?

9. Java :
- Peut-on se passer de java ?
- Oracle Java (propriétaire) vs . OpenJDK (libre) en terme de performances/sécurité/maintenance/support ?

10. Flashplugin :
- Peut-on se passer de flash ?
- Solution alternative plus sécurisée ?

11. Protéger son serveur graphique :
- Faille de sécurité sur Xorg : une application peut lire ce que l'utilisateur saisit dans une autre application :
+ Est-ce le cas ? Faille pouvant être utilisée par un keylogger ?
+ Existe t-il un moyen de sécuriser cela ?
+ Wayland est-elle une solution + sécurisé que Xorg ? :
* Wayland est-il stable et compatible avec toutes les applications graphiques ?
* Wayland est-il supporté/installable sur Ubuntu 16.04 ?

12. Messagerie :
- Y a-til un client lourd (Thunderbird, ... ?) + sécurisé/confidentiel que les autres ?
- Y a-t-il un webmail plus sécurisé/confidentiel que les autres (laposte, gmail, yahoo ...) ?
- Client lourd thunderbird vs. webmail en terme de sécurité/confidentialité ?
- gmail vs. laposte en terme de sécurité/confidentialité ?
- Thunderbird :
+ Liste blanche des modules complémentaires ?
+ Liste noire des modules complémentaires ?
+ Information à ne jamais communiquer par mail (mot de passe, informations bancaires, ...).
+ Enregistrement des mots de passe + utilisation d'un "mot de passe principal" ?

13. Tor :
- Naviguer anonymement apporte-t-il réellement une protection niveau confidentialite et sécurité ?
- Cela comporte t-il des risques ?
- Anonymat relatif ? Projet Tor financé à 60% par l'état américain => http://www.cil.cnrs.fr/CIL/spip.php?article2027

14. Logs :
- Quels logs surveiller pour détecter les principaux problèmes de sécurité (auth, sshd, ifw/iptables ...)

16. Dépôts PPA :
- Est-il possible de dresser une liste des dépôts PPA "certifiés" ou considérés comme "fiable" ?
- Est-il possible de dresser une liste des dépôts PPA "stables" ?

17. Proctection des données :
- Chiffrement des partitions (LUKS) :
+ Personnnaliserldes contraintes sur les mots de passe ?
+ Craquer le mot de passe d'une clé privé par attaque bruteforce / dictionnaire est-il "rapide" ?
+ Possibilité d'utiliser un keyfile au lieu d'un mot de passe ?
* Est-ce plus sécurisé ?
* Comment utiliser de façon fiable son keyfile au démarrage du système ? (via une clé USB ?)
* Où stocker son keyfile ? dans un espace sécurisé (clé USB dans un tiroir fermé à clé ? ...) ?
+ Sauvegarde des en-tetes ? où les stocker ? dans un espace sécurisé (répertoire chiffré sur une clé USB dans un tiroir fermé à clé ? ...) ?
+ Risques liés au chiffrement des partitions (dépannage et récupération des données plus compliqués ...).
- Chiffrement de patrimoine (container / coffre fort)
+ Quelle solution ? trueCrypt, EncFS ... ?
+ Craquer les mot de passe d'un "coffre-fort" par attaque bruteforce / dictionnaire est-il "rapide" ?
+ Possibilité d'utiliser un keyfile au lieu d'un mot de passe ?
* Est-ce plus sécurisé ?
* Où stocker son keyfile (clé USB dans un tiroir fermé à clé ? ...) ?
- Sécuriser le montage automatique des clés/disques USB par un mot de passe (mot de passe de l'utilisateur courant) via une règle polkit

18. Compte utilisateur :
- Personnaliser les contraintes sur les mot de passe ? (nombre minimal de caractères ...),
- Forcer un utilisateur à changer régulièrement son mot de passe (expiration du mot de passe tous les X jours),
- Tester la robustesse de son mot de passe face aux attaque par dictionnaire ou bruteforce via "john the ripper",
- Logs relatifs aux connexions utilisateurs => fichiers logs / mot clés.

19. GRUB
- Mettre un mot de passe pour empêcher la modification des options de démarage,
- Bug Ubuntu 16.04 à vérifier => lorsqu'on sécurise grub pour qu'on ne puisse pas modifier les options de démarrage, on ne peut également plus démarrer sur un ancien noyau (mot de passe requis).

20. Sécuriser BIOS :
- Mot de passe pour modifier le BIOS,
- Mot de passe pour empêcher l'accès au boot menu,
- BIOS vs. UEFI question sécurité ?

21. Sudo
- un "timestamp_timeout > 0" représente t-il un risque de sécurité ?
- Options pour sécuriser sudo ?
- Utilisation de "sudoedit" au lieu de de "sudo vim" / "sudo nano" ...
- Logs relatifs à sudo => fichiers logs / mot clés

22. Mises à jour :
- Comment installer automatiquement uniquement les les mises de sécurité ?
- Comment installer automatiquement toutes les mises à jour ?
- Comment vérifier que les mises à jour automatiques s'éffectuent bien ? => Logs : fichiers logs / mots clés

23. Les services :
- Y a-t-il par défaut des services inutiles dans l'utilisation standard d'un poste Ubuntu que l'on peut désactiver ?

24. Antivirus :
- Pertinence de l'utilisation d'un antivirus (libre),
- Automatiser l'analyse régulière des données,
- Quels sont les répertoires à exclure des analyses (/sys, /dev, /proc ? montages réseaux ? ... ?),
- Analyser les résultats d'une analyse.

25. Les bonnes pratiques :
- Ne jamais ouvrir de session graphique avec le compte root,
- N'utiliser les droits root que lorsque c'est nécessaire,
- Ne pas utiliser le même mot de passe pour différentes applications / sites ...
- Utiliser des mots de passe robustes,
- Modifier régulièrement ses mots de passes,
- Ne pas stocker des données confidentielles en clair,

Merci.

J5012

les reglages ubuntu par defaut sont deja ce qu'il y a de "standard"

toutes les solutions logicielles peuvent etre contournés du moment que tu accedes physiquement à la machine ...
pourquoi mettre un verrou bios, grub, etc quand il est plus simple d'enfermer l'ordi dans une armoire blindée avec serrure + combi + parano ... : les ordi des grands centres sont eux isolés dans une salle accessible seulement aux personnes autorisées ... ce qui n'empeche pas le "piratage" ... : cet ingenieur de centrale nucleaire branchant une clé usb malicieuse sur un des clients autorisés par ex ...

tu n'aurais pas besoin de poser toutes ces questions, ex avec sudo, si tu te documentais davantage ... vraiment et pas superficiellement ...

robindesbois

rossignol11 a écritBonjour,

J'aimerais à travers ce sujet recenser le maximum de points de sécurité et de confidentialité à traiter, les classer et les développer afin d'écrire un article qui expliquerait comment sécuriser un poste de travail Ubuntu LTS pour une utilisation standard et aussi comment sécuriser son environnement (réseau ...). L'article serait réétudié et mis à jour à la sortie de chaque nouvelle LTS.

........

Merci.

Salut !

En tous cas moi je te dis merci, ça fait toujours un bon rappel ce que tu nous fais dans cette discussion et permettra à plusieurs personnes de se documenter. Tu t'es donné du mal, et c'est gentil, merci.

Bon, quand à la personne qui vient de poster juste au dessus, ne réagis pas, cela ne sert à rien(ne fais pas comme moi quoi pfff!), le ton de son message est un peu hautin quand même, il te traite presque de c**, mais bon, se faire réprimander quand on poste un sujet sur la sécurité informatique aussi bien fait, et de plus dans la partie "Sécurité" du forum Ubuntu, on a pas loin de comprendre que ce genre de personne ne tourne pas très rond lol...

Excusez-moi hein, mais là il faut quand même un peu réagir... Il y'a des limites. Un petit reboot ne lui ferais pas de mal... Erase même peut-être....

Bon aller, encore merci de ton travail, le poste est long et ça a dû te demander un peu de temps, à plus...

J5012

robindesbois a écrit
rossignol11 a écrit ........

Merci.

Salut !

En tous cas moi je te dis merci, ça fait toujours un bon rappel ce que tu nous fais dans cette discussion et permettra à plusieurs personnes de se documenter. Tu t'es donné du mal, et c'est gentil, merci.

Bon, quand à la personne qui vient de poster juste au dessus, ne réagis pas, cela ne sert à rien(ne fais pas comme moi quoi pfff!), le ton de son message est un peu hautin quand même, il te traite presque de c**, mais bon, se faire réprimander quand on poste un sujet sur la sécurité informatique aussi bien fait, et de plus dans la partie "Sécurité" du forum Ubuntu, on a pas loin de comprendre que ce genre de personne ne tourne pas très rond lol...
...

vous vous faites reprimander pour la seule et bonne raison que toutes ces questions ont leurs reponses documentées, etudiees à foison par des gens tres sympas ...

je suis hautain parce que je vous dis de lire et d'apprendre ?
surtout pour des sujets qui ont ete maintes fois rabachés sur ce forum ....

rossignol11

Merci pour vos réponses.

Le but de ce post est de recenser les différents points pouvant être sécurisés sur un poste Ubuntu et son environnement dans le but d'écrire un wiki synthétisant tout cela.
Beaucoup d'utilisateurs "lambda" n'étudieront pas tous ces points d'où l'idée de ce wiki qui leur permettrait d'appliquer quelques règles de sécurité de base et de leur expliquer les bonnes pratiques.
Je cherche donc des personnes qui "maîtrisent" certains de ces aspects de sécurité et qui souhaiteraient apporter leur aide et connaissance.
On peut sans problème estimer que certains points énoncés ci-dessus ne sont pas pertinents, mais cela peut aussi dépendre du contexte. Par exemple, on peut expliquer comment protéger le BIOS et GRUB, après libre à chacun de le faire ou non en fonction de ses besoins.

@J5012 : Certes, "toutes les solutions logicielles peuvent etre contournés du moment que tu accedes physiquement à la machine" :
1. Cela n'empêche pas de se protéger des attaques par le réseau (qui sont une bien plus grande menace),
2. Avec un disque chiffré, et le BIOS (boot menu) et GRUB protégés par un mot de passe, cela complique pas mal les choses.

Rufus T. Firefly

rossignol11 a écrit1. Cela n'empêche pas de se protéger des attaques par le réseau (qui sont une bien plus grande menace),

C'est très facile à écrire, mais encore faudrait-il des faits pour le démontrer. Sur ce forum, il y a actuellement plus de 5,5 millions de messages en une douzaine d'années, et, à ma connaissance, pas un seul cas de virus ou de rootkit caractérisé. Alors même que la plupart des utilisateurs n'ont ni pare-feu, ni anti-virus, ni rien de plus que la sécurité par défaut. Et pas davantage d'attaques réussies par le réseau ! Je ne parle pas des utilisations en serveur (apache ou autres), ce qui est évidemment très différent du point de vue de la sécurité, mais ce n'est plus ce qu'on appelle une utilisation standard.

rossignol11 a écrit2. Avec un disque chiffré, et le BIOS (boot menu) et GRUB protégés par un mot de passe, cela complique pas mal les choses.

Le chiffrement protège dans un seul cas : le vol du disque (ou de la bécane). Dans les autres cas, c'est-à-dire quand ton système est en fonctionnement, s'il s'agit de te piquer les innombrables secrets d'état que tu héberges sur ton disque (utilisation standard ! :lol: ), il suffit que tu aies le dos tourné quelques secondes en ayant oublié de tout verrouiller pour t'installer un script qui enverra lentement mais sûrement une copie de ton disque à l'autre bout de la planète. Ou un script keyloger qui permettra, dans un premier temps de récupérer tes mots de passe. A moins d'avoir aussi l'oeil rivé en permanence sur les connexions, ça t'échappera complètement...

bruno

Bonjour,

Le problème de ce type de discussion, outre qu'elle est récurrente sur ce forum, c'est qu'elle mélange les usages, les différents niveaux de sécurité, et la vie privée.
La sécurité en informatique ne se décrète pas en suivant une liste de recommandations. Cela peut être utile, mais cela doit surtout être adapté à chaque usage.

Pour ce que j'appellerai la sécurité physique, c'est à dire un accès physique à la machine d'une personne malintentionnée, les réponses ont déjà été faites. En dehors du chiffrement des dossiers personnels aucune mesure fiable n'existe. Il faut toutefois garder à l’esprit que le chiffrement peut poser des problèmes aux néophytes lors de procédures de réinstallation ou de sauvegarde.

Pour la sécurité du système et des applications, il suffit de n'utiliser que les dépôts officiels et de faire régulièrement les mises à jour. Pour la vie privée c'est selon ses besoins et son niveau de « paranoïa ». Les logiciels de base sont suffisant pour la plupart des utilisateurs. Ceux ayant besoin d'un maximum de confidentialité apprendront à chiffrer leurs courriels, à naviguer avec tor et à ne pas utiliser les GAFAM.

Pour la sécurité au niveau du réseau, sur un ordinateur de bureau il n'y a aucune mesure particulière à prendre. Le pare-feu est totalement superflu, tout comme l'anti-virus et encore plus les détecteurs de rootkit. Pour ces derniers j'ai déjà expliqué ailleurs que ce sont des outils d'analyse post-mortem qui n'ont rien à faire sur une machine fonctionnelle.

Si des services accessibles depuis l'Internet sont installés (on sort du cadre dus simple ordinateur de bureau), comme SSH, il convient de prendre des mesure de sécurité propres à ce service. Mesures qui évolueront en fonction de l'état de l'art et qui nécessitent donc une veille technologique.

rossignol11

Merci pour vos réponses.
J'annule le sujet étant donné qu'il ne peut pas être traité globalement mais au cas par cas.

Unix revient

Toujours aussi fun à lire. Evidemment que tout ceci existe, j'ai déjà vu un rootkit "in the wild" sur Linux, et j'en ai même créé un moi-même qui fonctionne actuellement sur 16.04 et antérieur.

Pour tout renseignement valable, plutôt que de te faire renvoyer à de la doc, je te renverrais plutôt à un dico d'anglais (si tu en as besoin), et d'aller sur le forum ubuntu US. Tu seras mieux reçu, évidemment (c'est pas bien difficile), et tu auras de vraies infos.