Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

PIRATE

civodule
 Partager

Messages recommandés

Greywolf Tera Power Extrem Member

Greywolf

Posté(e)
Posté(e) (modifié)

filtrage de la FB en entrée.

redirection SSH en écoute sur un port exotique avec légère sécurisation PAM et filtrage IP.

prelude en écoute sur le brin ethernet considéré.

pas de serveurs qui tournent

mots de passe à la con :P

chkrootkit de temps en temps

 

//et quand j'aurais un peu de temps, je me laisserai bien tenter par la mise en place d'un port knocker pour lancer à la demande ssh plutôt qu'il tourne sans cesse

Modifié par Greywolf

mtirabo Extrem Member

mtirabo

Posté(e)
Posté(e)

Bonsoir Greywolf. Tu ne réponds pas vraiment à mes questions (ou alors de manière si indirecte et si hermetique que cela n'a pas grand intéret)!! mais bon,je pense que tu as atteint un niveau de connaissance qui a induit une parano que n'ont pas le commun des mortels dont je fais parti!!!

P.S si tu peux traduire ta réponse dans un language plus accessible,je suis preneur(je dois pas être le seul ...du moins je pense)!!

Greywolf Tera Power Extrem Member

Greywolf

Posté(e)
Posté(e)

Tu me demandais ce que je faisais chez moi d'où ma réponse :-(

 

Pour revenir à des considérations plus sérieuses, un firewall ne sert à rien s'il est percé comme un gruyère pour une foultitude d'applications interagissant avec le monde extérieur. Il suffit parfois d'une configuration trop laxiste pour que le garde-barrière ne serve à rien (par exemple, toute requête UDP de port source 53 n'est pas forcément une réponse DNS... on peut limiter ce traffic en ne l'autorisant qu'uniquement pour des adresses certifiées et ne pas accepter de réponse si aucune question n'a été envoyée).

 

La multiplication des solutions logicielles de sécurité tout-en-un rassure l'utilisateur et contrôle tout à sa place (sans compter le nombre de failles potentielles qui croit exponentiellement avec le nombre de nouvelles fonctionnalités associées => fonctionnalités de proxy, antivirus, .... l'envoi d'une séquence particulière au proxy-firewall-antivirus-cerveau peut faire planter l'intégralité du logiciel, te laissant alors nu comme un ver)

 

Le problème principal sécuritaire est l'utilisation de logiciels ou services buggés, lancés la plupart du temps par un utilisateur possédant des droits trop étendus quant à leur utilisation normale, qui permettent de réaliser à distance des modifications du système (ActiveX, uploading de fichiers, lecture d'info dans le cache, failles diverses et variées)

 

-Travailler en tant qu'utilisateur normal est une première étape.

 

-Limiter les services qui tournent sur le PC en est une autre (et limiter leurs droits sur le système => on ne lance pas Apache en tant que super-utilisateur). C'est à l'utilisateur de déterminer ce dont il a besoin (mais s'il a une boîte noire qui s'occupe de tout à sa place, il n'a aucune idée de ce qui est lancé ou de ce qui lui est véritablement utile).

 

-Segmenter et diversifier les solutions logicielles de protection, une sécurité raisonnable réside dans la diversité.

 

- Sans tomber dans la parano, se tenir au courant. (les solutions "on s'occupe de tout à votre place, laissez nous faire" ne sont pas la panacée)

 

-finalement, adapter sa politique sécuritaire en fonction des risques (ta gestion du risque wifi est supérieure à la moyenne et est tout à ton honneur).

 

//me concernant, ce n'est pas vraiment de la parano, c'est plus de la curiosité du "comment ça marche" et si je peux sécuriser un peu plus sans perdre en confort d'utilisation, c'est tant mieux :P

 

En espérant que cette réponse te soit plus claire :-P

mtirabo Extrem Member

mtirabo

Posté(e)
Posté(e)

Bonjour Greywolf et Merci pour ces précisions qui m'ont permis de mieux comprendre ta vision des choses et je suis d'accord avec toi sur le principes:!!

-comme on dit,ne pas mettre tous ses oeufs dans le même panier(pas de "tout en un" )qui ferait que la sécurité globale dépendrait que d'une seule application

-un paramètrage précis du firewall(ce qui n'est pas si évident quand on a pas les connaissances nécessaires)

(on sent ,et dis moi si je me trompe, que tu as une "mentalité" de "linuxien" avec tous le positif que cela implique) ,quand tu parles de compte super utilisateur: là encore je suis d'accord avec toi sur le fait qu'il faut "partitionner les "droits" des utilisateurs etsi possible ne pas utiliser le compte "admin" qui authorise tout avec tout ce que cela implique en cas de "prise de possession" de ce compte!!

-Pour les services , pareil!! il vaut mieux fermer ce dont on n'a pas besoin ,d'autant plus que le système s'en trouve allégé

Quant aux réseaux , là aussi tu as raison de dire que c'est un des "maillon faible" !

Mais le problème est que avant de pouvoir se rendre compte de nos faiblesses,il nous faut "apprendre""comprendre" "analyser" et ceci est comme tout:cela prend du temps: il faut lire, se renseigner,apprendre ,comprendre...

C'est pourquoi,tout en étant entièrement d'accord avec toi, je pense que pour les personnes qui débutent ,il faut respecter quelques règles basiques afin de ne pas se retrouver avec un PC zombifié,ou plombé car eux-mêmes seraient alors les vecteurs de contamination et ceci peut-être limité en respectant ces quelques règles !! Merci encore pour tes précisions Greywolf!!à+

Syclem Mega Power Member

Syclem

Posté(e)
Posté(e)
filtrage de la FB en entrée.

redirection SSH en écoute sur un port exotique avec légère sécurisation PAM et filtrage IP.

prelude en écoute sur le brin ethernet considéré.

pas de serveurs qui tournent

mots de passe à la con :P

chkrootkit de temps en temps

 

//et quand j'aurais un peu de temps, je me laisserai bien tenter par la mise en place d'un port knocker pour lancer à la demande ssh plutôt qu'il tourne sans cesse

490309[/snapback]

 

Ce qui est bien c' est que en plus de l' informatique on apprends les langues étrangères aussi!

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...