Contenu | Rechercher | Menus

Annonce

L'équipe des administrateurs et modérateurs du forum vous invite à prendre connaissance des nouvelles règles.
En cas de besoin, vous pouvez intervenir dans cette discussion.

Ubuntu 18.04 LTS
Ubuntu-fr propose des clés USB de Ubuntu et toutes ses « saveurs » ainsi qu'un magnifique t-shirt pour cette toute nouvelle version d'Ubuntu !

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 04/05/2015, à 11:03

deb2015

sécuriser son PC : jusqu'où aller ?

Bonjour,

En ces temps où l'on prend conscience de l'(in)sécurité sur internet, je me demande comment bien sécuriser mon PC portable (ubuntu 14.04.2).
Mais cela dépasse un peu le portable lui-même, puisque beaucoup de mes données (mail, ...) se retrouvent délocalisées (=pas chez moi) par la force
des choses.

Sachant que je m'y intéresse à titre privé seulement, que je n'ai pas d'intérêt particuliers à me protéger autrement  que pour garder ma vie privée,
je me demande si ce que je fais est suffisant ou s'il faut aller plus loin.

Voici ce que je fais déjà :

Sur mon PC portable, mon /home n'est pas crypté, mais je dispose d'une partition cryptée (luks) sur laquelle je mets
les informations vraiment sensibles (code d'accès, ...). Le reste, même s'il est personnel, ne présente pas grand
intérêt pour une autre personne (à moins d'une malveillance particulièrement dirigée : usurpation d'identité, divulgation photos/mail persos).
Le PC portable est protégé par un pare feu qui n'autorise que le port ssh (en entrée)
et certains ports (mail, http) en sortie. Le serveur ssh est contrôlé par xinetd, dans sa configuration il n'est pas possible
de se connecter en tant que root et il faut obligatoirement une clé ssh (pas de mot de passe). J'ai aussi installé fail2ban
pour prévenir les attaques sur le port 22 (et il y en a !).

Sur mon /home j'ai créé un montage tmpfs sur lequel je mets tous les fichiers de logs/cache qui sont automatiquement créés
au lancements des applications (par ex. firefox).

Mes données sont également sauvegardées sur un serveur de stockage personnel en ubuntu (recyclage vieille machine) chez moi.
Rien ou presque sur des serveurs distants, sauf les mails.
On s'y connecte par ssh, même configuration que précédemment, même pare feu avec en plus un filtrage MAC : on ne peut s'y connecter
qu'à partir de mon propre PC portable. Le stockage est en RAID1 pour éviter de bêtement perdre tout par suite du crash d'un disque (ce qui arrive).

Le wifi est sécurisé par WPA2, je me sers toujours de gmail, mais je dispose d'une autre adresse plus perso, celle de gmail ne servant
que pour les correspondances dont je me fiche qu'elles soient interceptées.

Sur mon smartphone, j'ai installé replicant, un remplaçant (presque) complètement libre d'android. La puce GPS est éteinte la plupart du temps.
J'essaye autant que possible de crypter mes communications, je le fais quand ça me semble vraiment nécessaire : par ex. envoyer/recevoir par SMS un code d'accès.


====

Voilà maintenant ce à quoi je pense :
- crypter entièrement le /home (mais je crains que cela est des impacts sur la performance, notamment pour les jeux)
- AppArmor, audit : ce sont des options du kernel
- utiliser la puce TPM du PC portable
- utiliser les sécurités bu bios : démarrage avec mot de passe : mais j'ai peur de murer mon PC en l'oubliant
- mots de passe différent pour chaque site (vpc, forum) : mais comment bien les générer et s'en souvenir !

====

Par sécurité, j'entends à la fois la protection de mes communications et la pérennité de mes données : j'aimerais ne pas perdre mes données personnelles (photos vidéo de famille, ...) et si l'un des mes matériels venait à être volé (surtout ce qui est portable), j'aimerais que le voleur ne puisse faire un mauvais usage des données qu'il trouverait.

Le seul bémol que je me fais est que je ne change pas assez souvent les mots de passe ou de clé ssh/wpa2, par exemple la clé wpa2 est d'origine et mes clés
ssh sont anciennes aussi.

Hors ligne

#2 Le 04/05/2015, à 11:57

cinaptix

Re : sécuriser son PC : jusqu'où aller ?

- mots de passe différent pour chaque site (vpc, forum) : mais comment bien les générer et s'en souvenir !

KeepassX


MS-DOS 3.21 - MS-Windows 3.11, 98, NT 4, XP - Ubuntu 7.04 > 10.04 - Xubuntu 13.04 >>
① - Xubuntu 18.04 (64 bits)
- CM Gigabyte GA-B85M-D3H - Pentium G3420 à 3,2 Ghz - RAM 8 Go à 1600 Mhz - SSD 64 Go + HDD 500 Go.
② - Raspberry Pi 3 (Raspbian Stretch)
③ - Tablette 10' (Android 6)

Hors ligne

#3 Le 04/05/2015, à 13:25

Compte anonymisé

Re : sécuriser son PC : jusqu'où aller ?

deb2015 a écrit :

J'essaye autant que possible de crypter mes communications, je le fais quand ça me semble vraiment nécessaire : par ex. envoyer/recevoir par SMS un code d'accès.

bonjour, c'est bien, pouvez vous apporter des informations sur la procédure de chiffrement des SMS ?
merci.

#4 Le 04/05/2015, à 13:50

voxdemonix

Re : sécuriser son PC : jusqu'où aller ?

Chiffrer = rendre illisible ses données
Crypter = casser le chiffrement des données de quelqu'un.

Pour les SMS chiffré l'utilité est très douteuse vu que les méta-données ne sont pas chiffrées (et que les meta données sont plus intéressantes que le contenu, comme pour les mails): http://linuxfr.org/news/textsecure-les- … c-est-fini et http://linuxfr.org/news/smssecure-les-s … t-pas-fini

Le soft: http://smssecure.org/

deb2015 a écrit :

J'ai aussi installé fail2ban
pour prévenir les attaques sur le port 22 (et il y en a !).

Planque ton SSH derrière Tor et 99% des apprentis pirates (qui sont de très gros noobs) ne t'ennuieront plus : j'ai fais un tuto içi https://nebuleuse0rion.ddns.net/forum4/ … p=294#p294

Dernière modification par voxdemonix (Le 04/05/2015, à 15:31)


~~~≃≃≃≃ VoxDemonix infernalis creatorem ≃≃≃≃~~~

Hors ligne

#5 Le 04/05/2015, à 14:50

deb2015

Re : sécuriser son PC : jusqu'où aller ?

Bonjour,

merci pour vos commentaires.

Pour ssh+tor, ton tuto est intéressant mais il ne dit pas exactement comment on accède depuis internet à son serveur, ce n'est plus "ssh moi@monadresse" j'imagine.

je suis allé à la pèche, voici quelques idées :
dnscrypt : chiffrer les requêtes DNS

macchanger : changer son adresse mac à chaque redémarrage : je pense que c"est pas mal si on est sur un réseau que l'on ne connaît pas,
                      en revanche sur son propre réseau, si on fait de l'IP statique avec l'adresse MAC cela pose un pb.

password-store : sauvegarder tous les mots de passe en ligne de commande (équivalent KeePassx), intéressant car on peut le scripter et il y a une option pour 
                           coller le mot de passe directement dans le clipboard de X

sandbox : vous connaissiez peut-être, moi pas, ça permet de faire tourner des applications (notamment navigateur internet) dans un environnement très limité,
                c'est comme une virtualisation (mais cela n'en n'est pas, c'est différent de virtualbox), ça a l'avantage d'être plus léger,
                j'ai noté "firejail" et "mbox", mais je n'ai pas vu de concensus sur un logiciel de référence, notez que AppArmor est aussi en mesure
                de le faire, mais je n'ai pas vu d'exemples, c'est peut-être encore en test.

tpm : la puce tpm semble être intéressante pour entreposer des clés comme celle du SSH, elle sert à bien d'autres choses

tboot, trustedGRUB : pour un boot plus sûr, mais ce n'est pas évident à mettre en place, avec le risque de ne plus pouvoir démarrer si on se rate,
                                  pour l'instant, je m'en tiens avec le mot de passe BIOS

Quelques liens intéressants sur ces sujets :

https://blog.habets.se/2013/11/TPM-chip … g-SSH-keys
http://resources.infosecinstitute.com/l … g-the-tpm/
https://github.com/shpedoikal/tpm-luks/
https://software.intel.com/en-us/blogs/ … ble-server

Dernière modification par deb2015 (Le 04/05/2015, à 14:52)

Hors ligne

#6 Le 04/05/2015, à 15:09

voxdemonix

Re : sécuriser son PC : jusqu'où aller ?

deb2015 a écrit :

Pour ssh+tor, ton tuto est intéressant mais il ne dit pas exactement comment on accède depuis internet à son serveur, ce n'est plus "ssh moi@monadresse" j'imagine.

ssh moi@mon_adresse_en.onion (en veillant, côté client, a avoir suivis le bas de mon tuto qui explique comment rendre compatible SSH côté client avec le réseau Tor). C'est pas conseillé pour le transfert de fichier (port knocking vient a la rescousse) car pas assez de bande passante, mais pour le contrôle a distance c'est carrément le pied.


deb2015 a écrit :

macchanger : changer son adresse mac à chaque redémarrage : je pense que c"est pas mal si on est sur un réseau que l'on ne connaît pas,
                      en revanche sur son propre réseau, si on fait de l'IP statique avec l'adresse MAC cela pose un pb.

Si tu veux un peu creuser le sujet (et savoir pourquoi les Box fournie par les FAi sont Evil): http://thehackernews.com/2014/01/spying … on_31.html et comme macchanger ne me plaisait pas trop a l'époque où je l'ai testé, pour le fun j'ai codé une alternative ici (avec ses avantages et inconvénients ^^)

deb2015 a écrit :

password-store : sauvegarder tous les mots de passe en ligne de commande (équivalent KeePassx), intéressant car on peut le scripter et il y a une option pour 
                           coller le mot de passe directement dans le clipboard de X

Si tu te chope un keylogger, il aura tôt fait d'ouvrir ta liste de mot de passe (il existe une floppée de logiciel visant cet objectif), c'est surtout pratique sur un pc familiale.

deb2015 a écrit :

sandbox : vous connaissiez peut-être, moi pas, ça permet de faire tourner des applications (notamment navigateur internet) dans un environnement très limité,
                c'est comme une virtualisation (mais cela n'en n'est pas, c'est différent de virtualbox), ça a l'avantage d'être plus léger,
                j'ai noté "firejail" et "mbox", mais je n'ai pas vu de concensus sur un logiciel de référence, notez que AppArmor est aussi en mesure
                de le faire, mais je n'ai pas vu d'exemples, c'est peut-être encore en test.

Technologie présente dans 99% des antivirus (anecdote: Avast est le premier a l'avoir démocratisé). Les malware ont depuis dev des techno pour les éviter (genre bêtement demander l'accès au notepad/calculatrice, si elle n'est pas dispo => le software est exécuté en sandbox et ne doit pas déclencher son potentiel viral pour ne pas être vu par l'anti virus qui produit la sandbox)

Dernière modification par voxdemonix (Le 04/05/2015, à 15:20)


~~~≃≃≃≃ VoxDemonix infernalis creatorem ≃≃≃≃~~~

Hors ligne

#7 Le 04/05/2015, à 16:57

Zoulou.4556

Re : sécuriser son PC : jusqu'où aller ?

Localhost a écrit :
deb2015 a écrit :

J'essaye autant que possible de crypter mes communications, je le fais quand ça me semble vraiment nécessaire : par ex. envoyer/recevoir par SMS un code d'accès.

bonjour, c'est bien, pouvez vous apporter des informations sur la procédure de chiffrement des SMS ?
merci.

slt, essai smssecure visible sur Fdroid et aussi sur evil, license GPLv3, code source sur github

Dernière modification par Zoulou.4556 (Le 04/05/2015, à 17:01)

Hors ligne

#8 Le 04/05/2015, à 17:08

Caribou22

Re : sécuriser son PC : jusqu'où aller ?

cinaptix a écrit :

- mots de passe différent pour chaque site (vpc, forum) : mais comment bien les générer et s'en souvenir !

KeepassX

J'ai une astuce sinon : Apprendre par coeur un mot de passe complexe (Majuscules, minuscules, chiffres, caractères spéciaux) et le compléter avec par exemple les 3 premières lettres du site auquel appartient le compte. Om obtint ainsi un mot de passe différent à chaque fois et facile à retenir smile

Hors ligne

#9 Le 04/05/2015, à 17:20

Ubuntu1988

Re : sécuriser son PC : jusqu'où aller ?

Pour le chiffrement, mieux vaut y aller par fichier/dossier mais pas un home ou une partition entière


J'ai perdu ! :(

Hors ligne

#10 Le 04/05/2015, à 17:52

deb2015

Re : sécuriser son PC : jusqu'où aller ?

voxdemonix a écrit :

Si tu te chope un keylogger, il aura tôt fait d'ouvrir ta liste de mot de passe (il existe une floppée de logiciel visant cet objectif), c'est surtout pratique sur un pc familiale.

Est-ce que en ce sens KeePassX, ou d'autres logiciels, sont capables d'éviter un keylogger ? avec un clavier virtuel par exemple ?

Hors ligne

#11 Le 04/05/2015, à 19:22

voxdemonix

Re : sécuriser son PC : jusqu'où aller ?

Aucune solution n'est parfaite.
Ton logiciel qui stoques les mots de passes est faillible aux mêmes problèmes (keyloggers) en ajoutant en plus la sauvegarde qui implique de nouveau problème (on peut attaquer le container chiffrer où sont stocké tes mots de passes). Le clavier virtuel semble efficace, peut-être face aux noobs, mais ils arrivent bien a passer des captcha qui sont plus difficile a lire que le clavier virtuel ^^

Le truc dit plus haut est pas bête mais franchement si c'est le site qui se fait pirater sa base de données les pirates sont pas des cons, ils vont voir monPassword_Fac (pour facebook) ils vont deviner et supprimer le _Fac tongue (tient je vais coder un regex qui fait ça pour passer le temps ^^)

Dernière modification par voxdemonix (Le 04/05/2015, à 19:24)


~~~≃≃≃≃ VoxDemonix infernalis creatorem ≃≃≃≃~~~

Hors ligne

#12 Le 17/02/2018, à 14:57

uboops

Re : sécuriser son PC : jusqu'où aller ?

Bonjour,
Aucune solution n'est parfaite, mais une solution intéressante, en plus du reste habituel , utilisateurs avertis et précautionneux, pare-feu, droits users, antivirus and Co , .... est la solution "bac à sable) sandbox (comme firejail par exemple,  pour les navigateurs web, clients mails, en priorité, sinon pour les autres softs, c'est du réglage fin/customisé et donc chronophage).


Ubuntu 16.04-LTS, MX17-LTS, Win7-LTS - avec rEFInd + Grub ... et ncdu, Timeshift ... pour le LTS aussi ;-)

Hors ligne