cerhu > linux.debian.user.french

roger.tarani (16/07/2019, 12h00)
Bonjour,

Après avoir installé Debian 10 assez facilement, il me vient une question générale :
comment vérifier que la machine est configurée pour garantir sa "totale" sécurisation ?

Ma première Debian c'était Jessie. J'ai découvert, fait des erreurs et corrigé au fur-et-à-mesure. Heureusement, ce n'était pas pour un serveur de production !
Encore aujourd'hui je complète régulièrement mes connaissances limitées et je corrige des erreurs.
Tant que les erreurs me ralentissent, ça va : oubli d'utiliser LVM quisimplifie beaucoup la gestion des partitions VS Gparted, problème de réseau créé par resolv.conf et sa bande de paquets douteux, réglages fins d'openvpn aux conséquences majeures pas immédiatement visibles...).
Mais je ne suis jamais certain à 100% que la machine est sécurisée.

Pour vérifier qu'une machine est correctement configurée, cad quele système est stable (paquets fiables) et est très sécurisé (en bref, seule les personnes autorisées ont accès aux ressources; les ressources sont soigneusement isolées), je vois deux manières :
soit j'ai une (check-)list des points à vérifier et des commandesnécessaires (et je les répète jusqu'à ce que ça devienne naturel)
soit j'utilise un logiciel qui sait tout ça et qui me dit au moins ce qui ne va pas, et idéalement qui m'indique ce qu'il faut faire, voire me propose de le faire sans me le cacher

Existe-t-il un outil de diagnostic pour vérifier l'état d'une machine sans rien oublier (ou devoir rester plongé la tête dans un manuel Debian dont on ne comprend jamais tout à 100%, faute d'expérience) ?

Si tout le monde sait qu'il faut faire attention, la taille des systèmes et le nombre des machines rend la tâche délicate.
Cet article (parmi tant d 'autres) rappelle des règles basiques régulièrement oubliées :

"Les 10 failles de sécurité qui représentent 99 % des cas"
[..]

FAI ou GLPI sont prévus pour déployer des machines en masse et obligent au préalable à définir une configuration.
Pensez-vous qu'ils puissent permettre de régler ce problème en vérifiant la configuration par rapport à des règles de sécurité et à des failles de sécurité connues ?
Je ne sais pas s'ils fournissent une configuration des machines pré-établie ou si on doit définir la sienne à partir d'une feuille blanche.
[..]
[..]
[..]

Merci
Bonne journée
Guillaume Clercin (16/07/2019, 14h00)
Bonjour,

Je ne l'ai jamais utilisé mais lynis me semble être un bon point de
départ pour faire de l'audit de sécurité. Sinon, il y a
« checksecurity » en plus basique.

Sinon, concernant les processeurs, on peut utiliser
« spectre-meltdown-checker » pour vérifier les failles. Ce script
vérifie aussi d'autres failles comme « zombieload, foreshadow et ridl ».

« apticron » envoie un courriel quand des mise à jour sont disponibles
et les télécharge. Sinon il y a « unattended-upgrades » qui lui
installe les mise à jour.

Cordialement,
didier.gaumet (16/07/2019, 14h40)
La sécurité informatique et moi ça fait deux, mais je pense que tu peux déjà commencer par regarder là:
[..]
[..]
Stephane Ascoet (16/07/2019, 15h00)
Le 16/07/2019 à 11:59, roger.tarani a écrit :
> FAI ou GLPI sont prévus pour déployer des machines en masse et obligent au préalable à définir une configuration.
> Pensez-vous qu'ils puissent permettre de régler ce problème en vérifiant la configuration par rapport à des règles de sécurité et à des failles de sécurité connues ?
> Je ne sais pas s'ils fournissent une configuration des machines pré-établie ou si on doit définir la sienne à partir d'une feuille blanche.
> [..]
> [..]
> [..]
> Bonne journée

Bonjour, GLPI, qu'on utilise dans mon universite et dans de nombreux
autres services publics, et dont le site Web me donne envie de vomir, ne
permet pas de deployer des images de systemes. C'est un outil de gestion
de service d'assistance, plutot d'un point de vue administatif et flux
de l'activite.

C'est bien dommage d'ailleurs, car le manque d'un outil de gestion de
parc pouvant concurrencer SCCM et autres prisons privatrices est le
principal argument utilise dans mon service pour diminuer le libre au
maximum. Il ne fait aucun doute que c'est une fausse barbe evidemment.
Des outils, on peut en trouver si on cherche, et on peut financer des
developpements, c'est meme le principe du libre, mais ici on y est
allergique justement... ca n'a pas toujours ete le cas puisque le chef
de l'equipe dans laquelle je me trouve avait justement obtenu que
l'universite finance GLPI et m'avait justement recrute pour faire du
libre... mais pas de bol, un trimestre plus tard il faisait un
burn-out... :-(
G2PC (16/07/2019, 16h40)
> Après avoir installé Debian 10 assez facilement, il me vient une question générale :
> comment vérifier que la machine est configurée pour garantir sa "totale" sécurisation ?


De quoi occuper les 10 prochaines années :
[..]
Étienne Mollier (16/07/2019, 23h40)
Bonjour,

Roger Tarani, au 2019-07-16 :
> Ma première Debian c'était Jessie.


Et moi, c'était une Lenny. :)

> J'ai découvert, fait des erreurs et corrigé au
> fur-et-à-mesure. Heureusement, ce n'était pas pour un serveur
> de production ! Encore aujourd'hui je complète régulièrement
> mes connaissances limitées et je corrige des erreurs. Tant
> que les erreurs me ralentissent, ça va : oubli d'utiliser LVM
> qui simplifie beaucoup la gestion des partitions VS Gparted,
> problème de réseau créé par resolv.conf et sa bandede paquets
> douteux, réglages fins d'openvpn aux conséquences majeures pas
> immédiatement visibles...). Mais je ne suis jamais certain à
> 100% que la machine est sécurisée.


Vous pouvez être certain que votre machine n'est pas sécurisée à
100% ; ou alors vous l'avez balancée dans un trou noir. C'est
vrai pour toutes les machines, pas seulement votre ordinateur.
:)

Si vous vous inquiétez de la sécurité de vos machines, n'hésitez
pas à suivre de près les annonces de sécurité de Debian, en vous
abonnant à la liste par mail, ou en utilisant le flux RSS.
Souvent, des informations importantes accompagnent l'annonce de
mise à jour du ou des paquets affectés :

[..]

Le suivi des DSA est un bon début. Si vous avez des programmes
sensibles, alors vous pouvez suivre indépendamment leurs propres
canaux d'annonces de sécurité. Ne suivez pas directement
l'ensemble des CVE, à moins que vous n'ayez rien d'autre à faire
que de la sécurité. Bien sûr, mettez à jour vos systèmes
régulièrement. Si vous avez de nombreuses machines, afin de ne
pas en oublier, il vous faut un inventaire, et le conserver à
jour.

Éventuellement vous pouvez scanner votre réseau à coup de "nmap"
pour, peut-être, repérer des anomalies, comme des machines qui
ne devraient pas être présentes, des services qui ne devraient
pas être lancés, ou ne pas être visible depuis une certaine
partie du réseau. Vous pouvez même potentiellement identifier
des serveurs renvoyant des numéros de version ancien, et qui
mériteraient une mise à jour (à moins que ce serveur tourne sous
Debian, et que le patch soit déjà apporté par la version
X.Y.Z+debNuM). Le manuel de nmap(1) est assez épais ; si vous
ajoutez cet outil à votre processus de sécurisation, passez du
temps dans sa documentation.

Attention, si vous n'êtes pas administrateur système, il se peut
que votre charte informatique ne permette pas l'usage des
logiciels scannant le réseau, et passer outre cette interdiction
peut donc être motif de licenciement. C'est une forme de
sécurité, celle par l'obscurité...

Dans tous les cas, il vous faut une connaissance des services
qui sont déployées sur votre parc. Sans cela, quel que soit
l'outil utilisé pour scanner vos machines, vous ne pouvez pas
discriminer les composants indispensables au bon fonctionnement
de votre infrastructure des anomalies.

La sécurité est un processus, pas un produit.
-- Bruce Schneier

Note : j'espère n'avoir pas été l'hôpital qui se moque de la
charité... :)

[...]

> FAI ou GLPI sont prévus pour déployer des machines en masse et
> obligent au préalable à définir une configuration.
> Pensez-vous qu'ils puissent permettre de régler ce problème en
> vérifiant la configuration par rapport à des règles de
> sécurité et à des failles de sécurité connues ?


Fully Automated Installation (FAI) ne vérifie pas la
configuration à proprement parler, il la met en place dans la
foulée de l'installation du système d'exploitation. Lors de la
mise au point de vos scripts FAI, vous allez tester le système
résultant pour vous assurer qu'il rend bien le service pour
lequel il a été installé. Vous pouvez en profiter pour
scanner cette machine de test, mais une fois que les scripts
d'installation sont validés, ces vérifications post-installation
ne sont plus nécessaires ; du moins, tant que les scripts
d'installation de la machine ne sont pas modifiés.

L'installation se fait en suivant les spécifications que vous
donnez à FAI :

- la liste des paquets à installer, ou éventuellement à éviter,

- la topologie du stockage: point de montage, RAID, LVM, LUKS...

- l'exécution des scripts et copie des fichiers suite à
l'installation, notamment pour configurer la machine,

- le tout étant rassemblé en classes auxquelles vos divers noms
de machines peuvent, ou non, être rattachées.

Attention à ce que tout le monde ne puisse pas accéder à votre
machine dédiée aux installations FAI : elle sert à construire
votre parc d'ordinateurs, ce qui en fait une cible intéressante
en soi.

Si des changements en masse doivent être effectués après
installation, alors il est préférable de le coupler à un outil
de maintenance comme Puppet ou Ansible, et éventuellement de
reporter la modification dans FAI pour les installations
futures.

(Note à part: il y a bien un mécanisme fai-update qui permet de
passer des mises à jour, mais il est loin d'être aussi souple
que des spécifications Puppet ou Ansible, et ce mécano oblige à
rédiger les scripts de post-installation du système de manière
idempotente: l'appliquer une fois ou plusieurs doit toujours
donner la même situation finale.)

> Je ne sais pas s'ils fournissent une configuration des
> machines pré-établie ou si on doit définir la sienne à partir
> d'une feuille blanche.


Un répertoire /srv/fai/config est fourni en exemple dans les
fichiers d'installation, un rappel est affiché à la fin de
l'exécution de `fai-setup` ; la lecture de la documentation est
fortement recommandée pour situer le contexte :

[..]

Étant donné la complexité du programme, ce point de départ est
plus que bienvenu. Mais les exemples proposés ne vont pas
forcément très loin non plus : ils permettent grosso modo de
faire des installations de base, et présentent divers concepts
(host classes, disk config, packages list, scripts, files,
hooks, base archive, etc).

Amicalement,
roger.tarani (17/07/2019, 00h00)
Merci pour vos retours.

J'ai en effet de quoi lire pour un moment avec [..]
qui a l'air très complet, et parle notamment de Lynis.

Utiliser un outil fait gagner du temps pour avoir un résultat, pour apprendre et mieux comprendre par rapport à potasser les manuels de référence.
Il existe des outils pour automatiser des tests. Il faut les utiliser.

On n'a pas besoin de tous les outils à la fois. Il va falloir choisir.
Je vais essayer Lynis, à moins que GP2C ait une autre recommandation ?
G2PC (17/07/2019, 15h20)
> Merci pour vos retours.
> J'ai en effet de quoi lire pour un moment avec [..]
> qui a l'air très complet, et parle notamment de Lynis.
> Utiliser un outil fait gagner du temps pour avoir un résultat, pour apprendre et mieux comprendre par rapport à potasser les manuels de référence.
> Il existe des outils pour automatiser des tests. Il faut les utiliser.
> On n'a pas besoin de tous les outils à la fois. Il va falloir choisir.
> Je vais essayer Lynis, à moins que GP2C ait une autre recommandation ?


Aucune autre, de toute façon, chaque recherche de sécurité implique du
travail de recherche et d'apprentissage qui renvoie généralement vers un
autre point de sécurité.
Bon courage.
Discussions similaires
Comment lancer une appli nouvellement installée

Comment enregistrer sur CD un fichier nouvellement crée?

Outlook 2003 Exchange sous XP : comment attribuer automatiquement l'archivage automatique par défaut à un dossier nouvellement créé ?

MESSAGE DE SECURISATION NON INSTALLEE JET 4


Fuseau horaire GMT +2. Il est actuellement 20h49. | Privacy Policy