[gull] securiser les ports d'entrée

Leopoldo Ghielmetti Leopoldo.Ghielmetti at a3.epfl.ch
Tue May 17 10:38:03 CEST 2005


On Tue, 2005-05-17 at 08:50, Dominique-Georges Branciard wrote:
> Hello,
> Je suis sous DEBIAN Sarge.
> 
> Je desire comprendre comment sécuriser mon PC...

Sécuriser pour quoi?
ça dépend de beaucoup de paramètres, est-ce que tu veux le sécurises
parce que tu te méfie des utilisateurs de ton ordi ou est-ce que tu est
le seul à l'utiliser?
est-ce qu'il est connecté à internet ou non, et est-ce qu'il y à un
firewall hardware entre ton ordi et la connexion au net?
est-ce qu'il se trouve dans un réseau d'entreprise ou il est installé à
la maison?

etc.

Selon tes besoins il faudra prévoir une stratégie de sécurisation
différente.

P.e.:
À la maison j'étais le seul utilisateur du système et j'ai juste utilisé
iptables pour limiter l'accès aux ports externes et pendant plus de 4
ans je n'ai jamais eu de problèmes.
Pour l'ordinateur que j'ai au bureau je n'ai jamais rien configuré et je
n'ai jamais eu de problèmes (il est sur réseau local).
Maintenant à la maison je me suis installé un FW hardware et je ne
m'occupe même plus de iptables (j'ai configuré le FW).

Chez un copain qui c'est installé un serveur WEB et il à une connexion
permanente à haut débit (2Mbps) on a encore mieux sécurisé le tout et il
s'en sort assez bien, mais le serveur web et les pages dynamiques
restent quand même une des sources d'insécurité majeures.

> Pouvez-vous me donner un lien ou un titre de livre qui me permette de 
> contrôler mes ports.
> 
> A moins que l'un ou l'autre est un script de mise en place de cette 
> sécurité en ne laissant que un ou deux ports obligatoire ouvert sous 
> contrôle...
> 
> Le port 80 pour la publication des pages de test avant publication chez 
> un hébergeur (chez infomaniak qui pour mes petites volumes me convient)

Est-ce que l'accès au port 80 doit être publique? c'est à dire que tu
veux que toute la planète puisse accéder à ces pages ou c'est juste un
serveur web privé que tu est le seul à utiliser?
Dans le premier cas il faut fair gaffe car même si tu bloques tous les
ports, le port 80 doit rester ouvert et donc tu restes vulnérables aux
attaques aux pages web ou au serveur. Si tu est le seul à y accéder
c'est plus simple, tu bloque tout sauf pour les adresses locaux
(127.x.x.x) et le tour est joué.

En plus ça dépend aussi des services que tu veux avoir à disposition.
Moi je me suis installé ssh avec accès via clé (pas d'accès par mot de
passe) et tout le travail je le fais via le ssh ou un tunnel ssh (j'ai
aussi un tunnel openvpn pour me simplifier le travail), mais finalement
les seuls ports que j'ai ouvert ce sont ssh et openvpn.

> Et un autre pour le dialogue ssh avec l'un ou l'autre des amis qui me 
> soutiennent dans ma recherche de connaisance dans le monde LINUX (20 ans 
> dans le monde M... sa ne s'efface pas d'un coup)...
> 
> A+ Dominique-Georges

ciao, Leo

-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: This is a digitally signed message part
URL: <http://forum.linux-gull.ch/pipermail/gull/attachments/20050517/e46bfd2e/attachment.pgp>


More information about the gull mailing list