[gull] Modem ADSL et firewall [Was : Modem ADSL ]

Félix Hauri felix at f-hauri.ch
Mon Feb 1 13:43:55 CET 2010 

On Sun, Jan 31, 2010 at 09:15:00PM +0100, Sebastien Chassot wrote:
> 
> Je n'ai plus le temps de suivre l'évolution de linux (qui s'est beaucoup
> complexifié je trouve )
Normal:-/

> et c'est parce qu'il m'avait semblé voir qu'il
> existait un deamon (dont je ne me rappels plus le nom)
Parles-tu de ``inetd'', ``xinetd'' ou un autre ``super-server''?

Ces programmes servent à limiter le nombre de programmes présent
en mémoire, lorsqu'il ne sont pas utilisé:
 plutôt qu'avoir un daemon pour ftp, pop, imap chargés, on n'aurra
 qu'un seul super-serveur qui lancera une tâche ftp, imap ou pop
 au moment où une connexion sera établie...

> qui pouvait écouter les ports et démarrer les services liés automatiquement
> que je me posais cette question.

Ces programmes *doivent* êtres configurés, ne serait-ce que pour ``relier'' un 
numéro de port à un programme...

Dans les version aboutie de desktops, ces liens sont établis automatiquement
au moment de l'installation des serveurs l'utilisant.

Donc:
 - Non, ces programmes n'écoutents pas *tous* les ports et rien ne
   sera écouté si les serveurs ne sont pas installés.
 - Oui, en choisissant d'installer ``en peu tout'' dans un desktop,
   on peut facilement prendre des risques...

> > > Petite question subsidiaire à propos de firefox que je me pose depuis
> > > très longtemps. J'utilise la mémorisation des mots de passe mais je n'ai
> > > aucune idée de la qualité de la protection de ces données par firefox.
> > Dans l'absolu, celui qui a accès à ton dossier perso a accès et tes accès...
> 
> Comme avec ces "nouveaux" keyring qui utilise un passwd unique pour
> déverrouiller toute sorte de chose (connexion wifi, gpg, ssh,...)? D'un
> côté c'est pratique, d'un autre j'ai l'impression de ne plus rien
> maîtriser et de devoir faire confiance à ces innovations aux
> implications complexes que je ne comprends même plus.
Tout dépend de *ton* environnement particulier, niveau de paranoïa, etc...

Perso, j'aime n'utiliser que ce que je comprend...

> > Pour éviter ce problème, deux solutions:
> >  - utiliser un système de fichier personnel crypté par l'utilisateur,
> >    de préférence avec une clef bien choisie et changée régulièrement.
> >    Sans oublier que si l'utilisateur est loggué et à donné la clef,
> >    le Root aurra accès à ses données en tapant: ``su - username'',
> >    mais cela protège (relativement) efficacement un disque dans un tiroir.
> >    (A condition de ne pas coller les mots de passes dessus;)
> 
> Je ne crains pas les accès intérieur (pas de wifi et je suis le seul à
> avoir accès à mon notebook). Par contre un accès extérieur à un système
> de fichier mounté me fait plus peur.
Très juste!

Je répondais essentiellement à ta question à propos de vieux disques conservés...

> Je sais il faudrait pas laisser trainer de fichiers inutilement 
> surtout s'ils sont sensible. Je crypte avec gnupg (clé sur smartcard) 
> ce qui est sensible mais il m'est arrivé de trouver l'original non 
> crypté que j'avais oublié d'effacer.
:->>

Il est très difficile d'être rigoureux et de ne pas se faire pieger
par des truc auxquels on ne pense pas forcement si l'on n'est pas
informaticien. La plus belle boulette que je connaisse concerne un
secret militaire:
   Un soldat à envoye (sur ordre de ses supérieurs) à des journalistes
   un rapport concernant des officiers de Guantanamo... On lui à demandé
   de masquer les noms propres des officiers avant de poster, ce qu'il
   à fait en ajoutant des rectangles noirs par dessus les textes.
   Du coup, les journalistes n'avaient qu'a ouvrir le pdf, sélectionner
   tout (Ctrl-A), Copier (Ctrl-C) et dans un nouveau document de
   traitement de texte, coller (Ctrl-V) pour lire l'entier du texte,
   sans les rectangles...


> Une erreur est si vite arrivée et 
> il y a tellement de détails auxquels il faudrait être attentif pour 
> une bonne sécurité. En plus il faudrait tout connaître, tout lire, 
> tout savoir...pas facile!

> >  - Changer régulièrement *tous* les mots de passes sensibles.
> Ça je le fais tout les 6 mois avec des passwd aléatoires assez long.
Bon début!

> > > > à la banque, vidant le cache à la fin de chaque utilisation.
> > Si celui qui peut ``tout faire'' ne prends *jamais* aucun risque, alors
> > c'est un excellent début.
> Comme avec une clé privée. Il suffit d'une fois pour la compromettre et
> qu'elle devienne inutile.

Si tu perds un ``passe'' pour un immeuble sensible, tu devras payer le 
remplacement de *tous* les cylindres de l'immeuble, jeux de clefs de 
*tous* les occupants, etc...

Si tu perds une clef de cryptage sensible, tu devras immédiatement
révoquer la clefs, accéder physiquement à tous les points auxquels
la clef permet l'accès pour purger les autorisations, régénérer des
nouvelles clefs, etc...

Le problème est qu'une clef de cryptage étant immatérielle, tu peux
la voire ``évantée'' sans l'avoir perdue, càd sans en être conscient.

--
 Félix Hauri  -  <felix at f-hauri.ch>  -  http://www.f-hauri.ch

More information about the gull mailing list