Bonjour,
Comme certains l'auront déjà lu,
j'utilise depuis quelques temps SparkyLinux avec satisfaction,
mais je me pose tout de même la question-titre.
Car si l'on peut (je crois et je l'espère) avoir une (très) grande confiance en Debian stable,
quelles garanties avons-nous qu'il n'y ait pas de paquets vicieux dans une distribution dérivée ?
Et les petits plus ou la facilité d'installation valent-ils les éventuelles conséquences ?
Je pose la question car je vais me ré-installer une machine principale pour mon usage quotidien (perso & pro => je n'ai qu'une seule vie :004: )
et bien que j'apprécie Sparky/Testing => j'hésite avec une stable.
Je sens bien que la question est un peu ballote et pue le TROLL à plein Nez
Mais j’hésite vraiment et si j'opte pour Sparky en usage courant, il y aura aussi une stable à minima en cas de besoin... c'est certain.
Merci pour vos avis.
@+
Sécurité: Peut-on faire confiance à ces distributions ?
- PengouinPdt
- Contributeur
- Messages : 1343
- Inscription : 23 avr. 2016, 23:37
- Localisation : 47/FR
- Diaspora* : https://framasphere.org/u/hucste
- Contact :
- Status : Hors-ligne
Si la question, vraiment, de la sécurité de ton Linux t'intéresse réellement...
Tu trouveras sur ce poste, deux documentations montrant par A+B, qu'on peut franchement faire encore mieux... et qu'aucune distribution Linux n'est réellement sécurisée.
Elles ne sont pas pensées pour cela, mais s'il existe des techniques au niveau du noyau, ou de certaines surfaces logicielles, que l'on peut soit mettre en place, soit activé, etc...
Bref, ta Debian bien-aimée, préférée, n'est pas plus sécurisée que cela. Il existe vraiment des projets Linux, voire BSD, bien plus "sécurisés", mais aussi terriblement contraignant pour l'utilisateur final !
Parce que malheureusement la sécurité ne vas pas sans la contrainte ; certaines sont acceptables, d'autres bien moins...
(là, c'est tout un débat...)
Tu trouveras sur ce poste, deux documentations montrant par A+B, qu'on peut franchement faire encore mieux... et qu'aucune distribution Linux n'est réellement sécurisée.
Elles ne sont pas pensées pour cela, mais s'il existe des techniques au niveau du noyau, ou de certaines surfaces logicielles, que l'on peut soit mettre en place, soit activé, etc...
Bref, ta Debian bien-aimée, préférée, n'est pas plus sécurisée que cela. Il existe vraiment des projets Linux, voire BSD, bien plus "sécurisés", mais aussi terriblement contraignant pour l'utilisateur final !
Parce que malheureusement la sécurité ne vas pas sans la contrainte ; certaines sont acceptables, d'autres bien moins...
(là, c'est tout un débat...)
PengouinPdt { le seul, le vrai } ~ " Libre as a Pengouin "
- DIY - Debian Sid | Devuan Ceres
----
Ne réponds pas aux PM d'assistance
- DIY - Debian Sid | Devuan Ceres
----
Ne réponds pas aux PM d'assistance
- dezix
- Membre hyper actif
- Messages : 3547
- Inscription : 04 juin 2016, 14:50
- Status : Hors-ligne
Oui, cela m'intéresse, mais... s'il faut un bac+12 en Sécurité Informatique cela ne sera pas à ma portée malheureusement.PengouinPdt a écrit : ↑16 sept. 2017, 17:14 Si la question, vraiment, de la sécurité de ton Linux t'intéresse réellement...
Merci pour la doc, je vais y regarder ce qui est aisément applicable.Tu trouveras sur ce poste, deux documentations montrant par A+B, qu'on peut franchement faire encore mieux.
En fait mon questionnement (c'est peut-être naïf),... et qu'aucune distribution Linux n'est réellement sécurisée.
n'est pas tant de savoir si la distribution "out of box" offre un rempart infranchissable ?
Visiblement : non... ce n'est peut-être pas non plus une passoire totale (à condition de ne pas être la cible d'une attaque ciblée)
=> n'ayant pas de données Top Secret, enfin pas plus que Monsieur Tout-le-Monde
Mais de ne pas risquer d'installer "out of box" un système disons "Malveillant",
la malveillance pouvant revêtir des formes diverses.
Pour prendre un exemple purement fictif et puéril :
Qui peut être certain qu'une distribution ne soit pas une Debian Bling-Bling dont la seule motivation serait de récupérer un max de données bancaires en vue d'un siphonnage massif.
Ce genre de chose est certainement difficile à faire passer dans une grande distribution comptant avec une large communauté de mainteneurs,
qui doivent comparer systématiquement les versions sources pour examiner les modifications du code.
À l'opposé qui va inspecter les paquets spéciaux d''une distribution alternative : peu de gens,
surtout si c'est une distro ciblant des usagers non initiés au codage.
Bien sur et là encore l'effort doit être en rapport avec ce que l'on souhaite protéger.Parce que malheureusement la sécurité ne vas pas sans la contrainte ; certaines sont acceptables, d'autres bien moins...
(là, c'est tout un débat...)
**Simple Utilisateur** -- Debian stable - XFCE
- piratebab
- Site Admin
- Messages : 4995
- Inscription : 24 avr. 2016, 18:41
- Localisation : sud ouest
- Status : Hors-ligne
Comme déja expliquée, le niveau de sécurité est une notion assez relative. Si tu es un oposant dans une régime totalitaire, ou un journaliste travaillant sure des sujets très sensibles, tu ne vas pas avoir la même exigence que sur une machine servant uniquement à surfer.
et bon r=répondre à ta question principale, pas besoin d'outils compliqué pour avoir une première idée sur les activités malveillante d'une machine. Un simple coup wireshark te permet de savoir si ta machine se connecte à des serveurs louches.
tu as à mon avis bien plus de risque à te faire pirater via des pages web piégées, ou des emails malveillants, que par les créateurs d'une distribution. comme tu le dis, si c'est une distro grand public et qu'elle reste confidentielle, ce n'est pas rentable pour un pirate.
et bon r=répondre à ta question principale, pas besoin d'outils compliqué pour avoir une première idée sur les activités malveillante d'une machine. Un simple coup wireshark te permet de savoir si ta machine se connecte à des serveurs louches.
tu as à mon avis bien plus de risque à te faire pirater via des pages web piégées, ou des emails malveillants, que par les créateurs d'une distribution. comme tu le dis, si c'est une distro grand public et qu'elle reste confidentielle, ce n'est pas rentable pour un pirate.
- dezix
- Membre hyper actif
- Messages : 3547
- Inscription : 04 juin 2016, 14:50
- Status : Hors-ligne
@piratelab
merci,
je ne connais pas WireShark => je vais installer et essayer de comprendre ce qui se passe sur le réseau
j'ai lancé quelques fois iftop
et déjà remarqué des connexions à des serveurs autres que les domaines visités
et ce malgré NoScript installé sur firefox,
en ne permettant qu'un minimum de choses pour tout de même avoir accès aux pages.
En fait il est bien déplorable que les développeurs et maitres d'œuvre des sites
n'aient pas http://motherfuckingwebsite.com/
comme page d'accueil sur leur navigateur
... ne rêvons pas !
mais à la possibilité qu'un contributeur-pirate parvienne discrètement à corrompre quelque(s) paquet(s)
et
je ne pensais pas non-plus à un service qui enverrait constamment/souvent des infos,
mais à un système discret qui stockerait l'info pour la transmettre de façon aléatoire et sporadique,
ce qui demanderait une surveillance constante pour être détecté sauf malchance pour le pirate.
Vous allez penser que je suis parano
... mais c'est tout de même ennuyeux de ne jamais savoir ce qui se cuisine (ou pas) dans nos boites à cafards.
merci,
je ne connais pas WireShark => je vais installer et essayer de comprendre ce qui se passe sur le réseau
j'ai lancé quelques fois iftop
et déjà remarqué des connexions à des serveurs autres que les domaines visités
et ce malgré NoScript installé sur firefox,
en ne permettant qu'un minimum de choses pour tout de même avoir accès aux pages.
En fait il est bien déplorable que les développeurs et maitres d'œuvre des sites
n'aient pas http://motherfuckingwebsite.com/
comme page d'accueil sur leur navigateur
... ne rêvons pas !
Je ne pensais pas à une distribution pirate en soi,
mais à la possibilité qu'un contributeur-pirate parvienne discrètement à corrompre quelque(s) paquet(s)
et
je ne pensais pas non-plus à un service qui enverrait constamment/souvent des infos,
mais à un système discret qui stockerait l'info pour la transmettre de façon aléatoire et sporadique,
ce qui demanderait une surveillance constante pour être détecté sauf malchance pour le pirate.
Vous allez penser que je suis parano
... mais c'est tout de même ennuyeux de ne jamais savoir ce qui se cuisine (ou pas) dans nos boites à cafards.
**Simple Utilisateur** -- Debian stable - XFCE
- piratebab
- Site Admin
- Messages : 4995
- Inscription : 24 avr. 2016, 18:41
- Localisation : sud ouest
- Status : Hors-ligne
Sans parler de malveillance de la part d'un mainteneur de paquet, il peut s'agir d'une erreur, comme il y a quelques années avecc SSL.
Mais là, personne n'est à l’abri.
C'est pour ça que les distributions "sécurisées" sont parties sur un cloisonnement. Si quelque chose est corrompu, les conséquences sont contenues.
Mais là, personne n'est à l’abri.
C'est pour ça que les distributions "sécurisées" sont parties sur un cloisonnement. Si quelque chose est corrompu, les conséquences sont contenues.
- piratebab
- Site Admin
- Messages : 4995
- Inscription : 24 avr. 2016, 18:41
- Localisation : sud ouest
- Status : Hors-ligne
Si tu veux durcir ton systeme, il y a bastille linux, mais il ne semble plus maintenu.
http://bastille-linux.sourceforge.net/
la suite serait https://linux-audit.com/alternatives-to ... ith-lynis/
http://bastille-linux.sourceforge.net/
la suite serait https://linux-audit.com/alternatives-to ... ith-lynis/
- lol
- Site Admin
- Messages : 4980
- Inscription : 04 avr. 2016, 12:11
- Localisation : Madagascar
- Status : Hors-ligne
Le top c'est d'être "PCI-DSS compliant"... https://github.com/ovh/debian-cis
https://linux-audit.com/linux-systems-g ... ification/
Je me suis amusé à essayer, j'ai atteint 99% de "compliance", mais à quel prix...
C'est tellement protégé qu'il devient difficile même pour l'admin d'accéder à la machine...
https://linux-audit.com/linux-systems-g ... ification/
Je me suis amusé à essayer, j'ai atteint 99% de "compliance", mais à quel prix...
C'est tellement protégé qu'il devient difficile même pour l'admin d'accéder à la machine...
Règles d'usage du forum. Signalez si vous avez posté votre question sur un autre forum. Explications ici
Debian Unstable. Mate/LXQT. Dieu, en créant l'homme, a quelque peu surestimé ses capacités.
Debian Unstable. Mate/LXQT. Dieu, en créant l'homme, a quelque peu surestimé ses capacités.
-
- Membre actif
- Messages : 526
- Inscription : 24 août 2016, 19:35
- Localisation : Gnome 43 - debian 12
- Status : Hors-ligne
Il y a aussi le paquet lynis pour améliorer sa sécurité :
$ aptitude show lynis
$ lynis
Après, il faut se lever de bonne heure pour arriver à suivre les recommandations.
# less /var/log/lynis.log | grep Suggestion
$ aptitude show lynis
Code : Tout sélectionner
Paquet : lynis
Version : 2.4.0-1
État: installé
Automatiquement installé: non
Priorité : optionnel
Section : utils
Responsable : Francisco Manuel Garcia Claramonte <francisco@debian.org>
Architecture : all
Taille décompressée : 1 334 k
Recommande: menu
Suggère: dnsutils, apt-listbugs, debsecan, debsums, tripwire, samhain, aide, fail2ban
Description : outil d'audit de sécurité pour les systèmes à base Unix
Lynis est un outil d'audit pour le raffermissement de sécurité des systèmes basés sur GNU/Linux ou Unix. Il analyse la configuration du
système et crée un résumé des informations système et des problèmes de sécurité, utilisable par des auditeurs professionnels. Il peut aider
à des audits automatisés.
Lynis peut être utilisé en plus d'autres logiciels comme les analyseurs de sécurité, les outils de mesures de performance du système et les
outils de réglage fin.
Site : http://cisofy.com/lynis/
Étiquettes: interface::commandline, role::program, scope::utility, security::integrity, security::log-analyzer, use::checking, use::monitor
Après, il faut se lever de bonne heure pour arriver à suivre les recommandations.
# less /var/log/lynis.log | grep Suggestion
Parler de liberté n'a de sens qu'à condition que ce soit la liberté de dire aux gens ce qu'ils n'ont pas envie d'entendre. Eric Blair, George Orwell
- lol
- Site Admin
- Messages : 4980
- Inscription : 04 avr. 2016, 12:11
- Localisation : Madagascar
- Status : Hors-ligne
--gilles-- a écrit : ↑21 sept. 2017, 13:46Il y a aussi le paquet lynis pour améliorer sa sécurité :
...
Site : http://cisofy.com/lynis/
Étiquettes: interface::commandline, role::program, scope::utility, security::integrity, security::log-analyzer, use::checking, use::monitor
[/code]
$ lynis
Après, il faut se lever de bonne heure pour arriver à suivre les recommandations.
# less /var/log/lynis.log | grep Suggestion
Je ne connaissais pas. Très intéressant, merci pour cette info.
Règles d'usage du forum. Signalez si vous avez posté votre question sur un autre forum. Explications ici
Debian Unstable. Mate/LXQT. Dieu, en créant l'homme, a quelque peu surestimé ses capacités.
Debian Unstable. Mate/LXQT. Dieu, en créant l'homme, a quelque peu surestimé ses capacités.
- PengouinPdt
- Contributeur
- Messages : 1343
- Inscription : 23 avr. 2016, 23:37
- Localisation : 47/FR
- Diaspora* : https://framasphere.org/u/hucste
- Contact :
- Status : Hors-ligne
De toute façon, il n'y a pas photo, si tu veux faire ou avoir une distribution - quelque soit le système d'exploitation - sécurisée... elle ne sera en rien "user friendly", elle ne sera pas agréable à administrer... elle demandera plus de ressources, etc... etc...
C'est surtout très vite contraignant. à tel point qu'à moment donné, tu fais le choix de diminuer ton critère sécurité, pour que ce soit viable.
Rien qu'un petit détail, désactiver la gestion des modules dans le noyau, quand tu réalises les impacts, c'est viable sur un serveur, malgré certaines contraintes... mais une station où l'utilisateur final a beaucoup de desiderata...
Lynis est bien, oui... mais il y a des points qui soit demeurent obscurs, soit sont inatteignables...
C'est surtout très vite contraignant. à tel point qu'à moment donné, tu fais le choix de diminuer ton critère sécurité, pour que ce soit viable.
Rien qu'un petit détail, désactiver la gestion des modules dans le noyau, quand tu réalises les impacts, c'est viable sur un serveur, malgré certaines contraintes... mais une station où l'utilisateur final a beaucoup de desiderata...
Lynis est bien, oui... mais il y a des points qui soit demeurent obscurs, soit sont inatteignables...
PengouinPdt { le seul, le vrai } ~ " Libre as a Pengouin "
- DIY - Debian Sid | Devuan Ceres
----
Ne réponds pas aux PM d'assistance
- DIY - Debian Sid | Devuan Ceres
----
Ne réponds pas aux PM d'assistance
-
- Membre actif
- Messages : 526
- Inscription : 24 août 2016, 19:35
- Localisation : Gnome 43 - debian 12
- Status : Hors-ligne
C'est vrai que c'est du boulot de recherche d'abord pour clarifier, se documenter et ensuite appliquer. D'après les suggestions de Lynis pour renforcer les mots de passe, j'avais essayé d'installer pam_cracklib à partir des sources sur Mac OS X ( Lynis marche aussi là-bas ), je n'y étais pas arrivé, mais j'avais fini par installer pam_passwdqc à partir des sources. Quand tu l'as configuré, c'est bien : tu peux te faire jeter parce que le mot de passe que tu veux choisir est trop court, parce que sa période de validité est périmée etc.PengouinPdt a écrit : ↑21 sept. 2017, 20:23 […]
Lynis est bien, oui... mais il y a des points qui soit demeurent obscurs, soit sont inatteignables...
C'est plus facile avec Debian, nous avons le paquet libpam-cracklib ( Je ne l'ai pas encore installé !) :
https://www.debian.org/doc/manuals/debi ... sword_rule
# aptitude show libpam-cracklib
Paquet : libpam-cracklib
Version : 1.1.8-3.6
État: non installé
Multiarchitecture : même
Priorité : optionnel
Section : admin
Responsable : Steve Langasek <vorlon@debian.org>
Architecture : amd64
Taille décompressée : 116 k
Dépend: libc6 (>= 2.14), libcrack2 (>= 2.8.12), libpam0g (>= 1.1.1), libpam-runtime (>= 1.0.1-6), cracklib-runtime, wamerican | wordlist
Remplace: libpam-modules (< 1.1.0-3), libpam0g-cracklib
Description : PAM module to enable cracklib support
This package includes libpam_cracklib, a PAM module that tests passwords to make sure they are not too weak during password change.
Site : http://www.linux-pam.org/
Étiquettes: devel::library, role::shared-lib, security::authentication, use::configuring
Même sans avoir installé ce module, on peut en avoir une idée de sa configuration en lisant la fin de # man pam_unix sauf qu'il faut pour être à jour remplacer md5 par sha512.
Des exemples de configuration expliquées : https://linux.die.net/man/8/pam_cracklib
https://www.debian.org/doc/manuals/debi ... sword_rule
Parler de liberté n'a de sens qu'à condition que ce soit la liberté de dire aux gens ce qu'ils n'ont pas envie d'entendre. Eric Blair, George Orwell