Ubuntu-fr

Evan-87Zhz

Ubu 18.04 - réduire la surface d'attaque & éviter la collecte d'infos

Bonjour,

J'ai eu une fuite d'informations personnelles il y a peu et j'ai décidé de retourner sous Linux (Ubuntu 18.04 pour ne pas avoir de problème de compatibilité) et de changer tous mes mots de passe.

Je souhaite utiliser ce PC pour de la bureautique, navigation web, de la gestion de cryptomonnaies et éventuellement testé Whonix avec VirtualBox par curiosité (par contre ma configuration ne dispose pas de l'IOMMU donc je ne sais pas si cela va fonctionner).

J'ai fait une recherche et j'ai trouvé ceci. C'est destiné à une utilisation basée sur la navigation uniquement et je ne sais pas si cela risque de me bloquer certaines fonctionnalités.

sudo ufw default deny outgoing
sudo ufw allow out to any port 80
sudo ufw allow out to any port 443
sudo ufw allow out to any port 53
sudo ufw reload

Auriez-vous des conseils pour renforcer la sécurité de base et éviter la collecte d'informations sur une configuration toute fraiche ?

Je vous remercie d'avance et je vous souhaite une très belle journée.

Dernière modification par Evan-87Zhz (Le 16/12/2019, à 04:51)

rogn...

Re : Ubu 18.04 - réduire la surface d'attaque & éviter la collecte d'infos

Ben 80, 443 et 53, c'est ouvert par défaut... donc je ne vois pas la nécessité de jouer avec ufw.
Et puis je ne comprends pas trop le lien avec "une fuite d'informations personnelles il y a peu", ça na rien à voir avec l'OS ou ta configuration de PC. Il faudrait que tu nous expliques plus que ça ce que tu as eu, dans quel contexte, avec quel service, etc...

chinois02

Re : Ubu 18.04 - réduire la surface d'attaque & éviter la collecte d'infos

Bonjour,
Qu'entends tu par collecte d'information?
1) Soit des informations collectées lors de la navigation web => c'est Tor qu'il te faut
2) Soit tu crains qu'un joyeux hacker n'ait les droits root sur ta machine et ait accès à tout. Là, mis à part la confiance au système d'exploitation, je n'ai pas de solution.

---

N'importe qui peut voir ce que tu sembles être; quelques rares seulement peuvent tâter ce que tu est. Et ces derniers n'osent contredire l'opinion du grand nombre, renforcés par toute la majesté de l'État. Machiavel-Le Prince.

Evan-87Zhz

Re : Ubu 18.04 - réduire la surface d'attaque & éviter la collecte d'infos

@rogn l'interêt du script est de bloquer tous les ports sortant à l'exception de 80, 443, 53.

La fuite d'infos n'est pas pertinente et sans lien avec ma question et c'est pour cela que j'en ai pas parlé. Pour faire simple j'utilisais windows et ils avaient les passes de mes comptes avec justificatifs d'identité.

Ma demande est "comment renforcer la sécurité de base d'Ubuntu".

Dernière modification par Evan-87Zhz (Le 16/12/2019, à 18:18)

bruno

Re : Ubu 18.04 - réduire la surface d'attaque & éviter la collecte d'infos

@rogn l'interêt du script est de bloquer tous les ports sortant à l'exception de 80, 443, 53.

Et quel est l’intérêt de bloquer tout le trafic sortant à l’exception de ces services ?

Ma demande est "comment renforcer la sécurité de base d'Ubuntu".

Ubuntu ou autre distribution Linux est sécurisée de base.

Pending...

Re : Ubu 18.04 - réduire la surface d'attaque & éviter la collecte d'infos

Pour réduire la surface d'attaque, il faut supprimer ou désactiver les services ou applications inutiles (Samba, Avahi, etc). Tu peux t'assurer aussi qu'apparmor est activé avec le plus de profils adaptés en "enforce mode". Mais apparmor n'est pas magique non plus. Le firewall, pourquoi pas, mais je ne pense pas que de toucher aux règles change beaucoup de choses : si un programme ou un script malveillant devait être installé sur ton ordinateur, il y a des chances qu'il choisisse les ports les plus communément utilisés : le plus important est donc de tout faire pour éviter que ce genre de choses ne puisse être installé.

- Désactiver le Bluetooth, voire le wifi si tu ne l'utilises pas.

- Il y a aussi des choses à faire au niveau du navigateur, mais il doit y avoir pas mal de liens ici. Le top étant NoScript, mais particulièrement contraignant (trop pour moi). Ne pas utiliser Flash, ou alors "sur demande" (click to play) est aussi le minimum.

- Un mot de passe BIOS pour éviter de booter sur une clé USB (la voie la plus simple pour pirater une installation Ubuntu).

- Si tu as les moyens, le top du top est Grsecurity, mais ça demande de l'entretien et du tâtonnement pour trouver la bonne configuration. Pas totalement magique non plus.

- Après, tu peux aussi te faire un script de surveillance, pour vérifier en permanence certains points clé (crontab, auth.log, etc), mais là, ça demande aussi du travail. Voire logwatch, mais pas convaincu de la pertinence.

- Je passe les antivirus, rkhunter, chkrootkit, tiger, unhide.... Personnellement, je suis arrivé à les contourner avec un malware expérimental. Je pense que d'une manière générale, plus on fait confiance à ce genre de programmes, plus on pense être en sécurité, alors que ça pourrait ne pas être le cas.

- Évidemment, maintenir le système à jour et respecter les règles d'hygiène informatique.

Pour conclure, je pense qu'une installation custom sera plus difficile à pirater, mais ça demande de mettre les mains dans le cambouis et donc pas mal de boulot, sans jamais aucune garantie totale.

---

Ubuntu / Mint / Windows 10

bruno

Re : Ubu 18.04 - réduire la surface d'attaque & éviter la collecte d'infos

Ah, je rappelle que les anti-virus sont totalement superflus sur les systèmes GNU/Linux et que les outils du type rkhunter/chkrootkit ne sont pas des anti-virus. Ce sont des outils d'analyse post-mortem et ils n'ont donc rien à faire sur un machine standard.

Personnellement, je suis arrivé à les contourner avec un malware expérimental.

Mais oui bien sûr.

Dernière modification par bruno (Le 17/12/2019, à 21:44)

Evan-87Zhz

Re : Ubu 18.04 - réduire la surface d'attaque & éviter la collecte d'infos

Merci beaucoup Pending

Une dernière question : admettons que j'achète un PC et que je décide d'installer Linux dessus avec le wifi (en déplacement le câble n'est pas toujours accessible), est-ce possible d'infecter ce PC durant l'installation et la mise à jour de Linux ? (Edit: si je ne fais rien d'autre que d'installer / mettre à jour)

Dernière modification par Evan-87Zhz (Le 17/12/2019, à 19:45)

bruno

Re : Ubu 18.04 - réduire la surface d'attaque & éviter la collecte d'infos

Non il n'y a aucun risque.
Ubuntu n'est pas Windows. C'est un système sûr et faible, sans virus ni logiciels malveillants. Il suffit de n'utiliser que les dépôts officiels et de mettre à jour régulièrement son système.

lynn

Re : Ubu 18.04 - réduire la surface d'attaque & éviter la collecte d'infos

Bonjour,

C'est un système sûr et faible

Moi j'aurais dit fiable mais bon...

---

«C'est pas parce qu'ils sont nombreux à avoir tort qu'ils ont raison!»

Coluche

bruno

Re : Ubu 18.04 - réduire la surface d'attaque & éviter la collecte d'infos

Evan-87Zhz

Re : Ubu 18.04 - réduire la surface d'attaque & éviter la collecte d'infos

Non il n'y a aucun risque.
Ubuntu n'est pas Windows. C'est un système sûr et fiable, sans virus ni logiciels malveillants. Il suffit de n'utiliser que les dépôts officiels et de mettre à jour régulièrement son système.

Dans la théorie oui mais même si le contrôle du PC est très dur ou impossible, il reste facile d'obtenir l'adresse IP ou MAC ainsi que d'autres informations. Puis ces informations peuvent être utilisées pour cibler quelqu'un.

Si j'installe Linux sur un PC tout frais via une image ISO/DD et que le BIOS n'est pas infecté, alors l'installation va (j'imagine) établir un lien sécurisé entre le PC et les fichiers d'installations officiels. Toutefois si je passe par le wi-fi (edit: ou par un routeur infecté), est-ce qu'il est possible que ces données soient interceptées et modifiées afin de corrompre l'installation ? (Puisque Ubuntu n'est pas encore installé et donc uniquement un lien de connexion basique est établi.)

Dernière modification par Evan-87Zhz (Le 17/12/2019, à 22:09)

Pending...

Re : Ubu 18.04 - réduire la surface d'attaque & éviter la collecte d'infos

Merci beaucoup Pending

Une dernière question : admettons que j'achète un PC et que je décide d'installer Linux dessus avec le wifi (en déplacement le câble n'est pas toujours accessible), est-ce possible d'infecter ce PC durant l'installation et la mise à jour de Linux ? (Edit: si je ne fais rien d'autre que d'installer / mettre à jour)

Effectivement, il vaut mieux éviter d'aller surfer sur Internet avant que la mise à jour complète ne soit effectuée.

Si j'installe Linux sur un PC tout frais via une image ISO/DD et que le BIOS n'est pas infecté, alors l'installation va (j'imagine) établir un lien sécurisé entre le PC et les fichiers d'installations officiels. Toutefois si je passe par le wi-fi (edit: ou par un routeur infecté), est-ce qu'il est possible que ces données soient interceptées et modifiées afin de corrompre l'installation ? (Puisque Ubuntu n'est pas encore installé et donc uniquement un lien de connexion basique est établi.)

Techniquement, je suppose que oui (empoisonnement de cache DNS par exemple). Mais il faut des moyens gouvernementaux pour ça, et un sacré timing. Après, et j'ai oublié de le citer dans les possibilités pour renforcer sa distribution, il y a par exemple DNScript, qui va justement crypter les requêtes DNS. Pour les plus suspicieux, il reste la possibilité d'installer et de mettre à jour son ordinateur chez quelqu'un d'autre, mais bon, là ça fait beaucoup. C'est probablement valable pour des personnes clés dans le gouvernement ou la technologie française ou européenne, et encore, c'est pas sûr !

---

Ubuntu / Mint / Windows 10

rogn...

Re : Ubu 18.04 - réduire la surface d'attaque & éviter la collecte d'infos

Ma demande est "comment renforcer la sécurité de base d'Ubuntu".

J'ai bien une idée : arrêter tous les services, empêcher les ports 80 et 443, voire carrément débrancher toutes les connexions internet et tant qu'à faire ne plus utiliser ton PC...

Evan-87Zhz

Re : Ubu 18.04 - réduire la surface d'attaque & éviter la collecte d'infos

J'ai bien une idée : arrêter tous les services, empêcher les ports 80 et 443, voire carrément débrancher toutes les connexions internet et tant qu'à faire ne plus utiliser ton PC...

Nous sommes dans le sous-forum "sécurité" et donc les discussions doivent avoir pour objectif le perfectionnement de notre système d'exploitation.

Vous pouvez considérer qu'Ubuntu est un système sûr et fiable (et il l'est, pour une utilisation personnelle car un homme expérimenté n'a pas grand intérêt à vous cibler vous), mais cet OS nous est fourni avec une configuration par défaut et chaque jour des brèches sont trouvées.

Je ne vois pas de mal à vouloir partager nos connaissances pour rentre l'accès à notre PC plus restrictif. D'ailleurs je me permets de partager le peu que j'ai trouvé jusqu'à présent :

sudo ufw enable
# sudo ufw default deny forward - je ne sais pas ce que ça change
sudo systemctl disable cups-browsed
sudo systemctl disable avahi-daemon

sudo apt-get install apparmor-profiles apparmor-utils
sudo aa-enforce /etc/apparmor.d/*

Ce n'est pas grand chose et je cherche davantage, par exemple un moyen simple de faire tourner Firefox dans une machine virtuelle sans une installation poussée.

lynn

Re : Ubu 18.04 - réduire la surface d'attaque & éviter la collecte d'infos

# sudo ufw default deny forward - je ne sais pas ce que ça change

Là, tu donnes justement l'exemple que vouloir sécuriser sans savoir ce que ça fait est contre productif..! Comme la ligne est commentée, je supposes que tu ne l'as pas utilisée..?!

Sinon pour le reste, que font les commandes que tu cites ? Qu'apportes t'elles de plus pour un utilisateur lambda ?
Quelles sont ces brèches dont tu parles ? Sont-elles en lien avec la mise en place des commandes dont tu fais mention ?

Si je désactive avahi ou cups, ça ne va pas empêcher mon pc d'accéder à mon imprimante et/ou à d'autres services de configuration ?

---

«C'est pas parce qu'ils sont nombreux à avoir tort qu'ils ont raison!»

Coluche

moko138

Re : Ubu 18.04 - réduire la surface d'attaque & éviter la collecte d'infos

L'oxygène est un redoutable comburant et oxydant. Alors, faites ce que vous voulez, mais moi j'arrête de respirer.

---

%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel :  À la découverte de dcraw

Evan-87Zhz

Re : Ubu 18.04 - réduire la surface d'attaque & éviter la collecte d'infos

Là, tu donnes justement l'exemple que vouloir sécuriser sans savoir ce que ça fait est contre productif..! Comme la ligne est commentée, je supposes que tu ne l'as pas utilisée..?!

Sinon pour le reste, que font les commandes que tu cites ? Qu'apportes t'elles de plus pour un utilisateur lambda ?
Quelles sont ces brèches dont tu parles ? Sont-elles en lien avec la mise en place des commandes dont tu fais mention ?

Si je désactive avahi ou cups, ça ne va pas empêcher mon pc d'accéder à mon imprimante et/ou à d'autres services de configuration ?

Si je poste dans ce forum "Sécurité" c'est justement pour obtenir des informations utiles (et ne pas avoir besoin de me justifier. Pourquoi dois-je me justifier de vouloir avoir mieux ?)

Non je n'ai pas utilisé la ligne en commentaire.

Les commandes citées permettent d'activer l'un des pare-feu qui est désactivé par défaut et de désactiver des services qui ne me sont pas utiles et peuvent être utilisés en tant que vecteur.

Pour la question des brèches, il y a peu de chances que ces quelques lignes aident beaucoup et c'est justement pour ça que je suis ici, je veux trouver des moyens efficaces (comme l'exemple de crypter les requêtes DNS). Et ce n'est pas pertinent de me demander la nature des failles que les équipes de hack trouvent chaque jour.

Pour ce qui est de avahi-daemon et cups-browsed, vous pouvez très bien les réactiver plus tard en cas de besoin.

Dernière modification par Evan-87Zhz (Le 19/12/2019, à 15:43)

rogn...

Re : Ubu 18.04 - réduire la surface d'attaque & éviter la collecte d'infos

Ben faudrait déjà savoir contre quoi tu veux te protéger car je n'ai pas bien compris

Evan-87Zhz

Re : Ubu 18.04 - réduire la surface d'attaque & éviter la collecte d'infos

Dans l'idéal la réponse serait "tout", réduire la surface d'attaque et éviter la collecte d'informations, mais je crois que je vais fermer mon poste. J'ai eu de bons éléments pour réfléchir et me donner des pistes pour empêcher l'extérieur d'avoir accès à ce qui est stocké en mémoire.

lynn

Re : Ubu 18.04 - réduire la surface d'attaque & éviter la collecte d'infos

Si je poste dans ce forum "Sécurité" c'est justement pour obtenir des informations utiles (et ne pas avoir besoin de me justifier. Pourquoi dois-je me justifier de vouloir avoir mieux ?)

Personne ici n'a demandé de te justifier. Tes questions sont tout à fait légitimes et mon intervention l'est tout autant... En information utile, je maintiens que la distribution de base est suffisamment sécurisée pour la plupart des utilisateurs.
Si tu n'es pas la plupart des utilisateurs, précise ton contexte d'utilisation afin d'être aiguillé vers des solutions adaptées à tes besoins spécifiques.

Les commandes citées permettent d'activer l'un des pare-feu qui est désactivé par défaut

Chez moi comme chez d'autres, le pare-feu n'est pas activé. Ais-je des ennuis pour autant..? Pour information, mon pc est actif en permanence depuis pratiquement une bonne quinzaine d'années. J'attends toujours les attaquants ; tu sais ceux qui chiffrent le disque dur du pc et qui te demandent une rançon pour le déchiffrer...

Et ce n'est pas pertinent de me demander la nature des failles que les équipes de hack trouvent chaque jour.

Et en quoi ce ne serait pas pertinent de demander la nature des failles qui sont trouvées ? Celles qui sont connues sont publiées et la plupart de celles ci sont déjà colmatées. Pour les autres failles, elles ne sont pas encore découvertes alors avant de leur trouver une parade..!

---

«C'est pas parce qu'ils sont nombreux à avoir tort qu'ils ont raison!»

Coluche

rogn...

Re : Ubu 18.04 - réduire la surface d'attaque & éviter la collecte d'infos

Dans l'idéal la réponse serait "tout", réduire la surface d'attaque et éviter la collecte d'informations, mais je crois que je vais fermer mon poste. J'ai eu de bons éléments pour réfléchir et me donner des pistes pour empêcher l'extérieur d'avoir accès à ce qui est stocké en mémoire.

Je crois surtout que tu devrais arrêter cette démarche qui ressemble à de la terreur car ce que tu demandes, on ne pourra qu'apporter comme réponse d'arrêter d'utiliser un ordinateur, tellement tu voudrais réduire le champ des possibilités d'utilisation.

Pending...

Re : Ubu 18.04 - réduire la surface d'attaque & éviter la collecte d'infos

Une dernière chose concernant la collecte d'information : la modification de l'empreinte numérique. On peut en modifier pas mal sur son navigateur (surtout firefox), et on peut aussi modifier certaines données dans sysctl.conf pour changer sa signature TCP/IP. Ça devrait faire ressembler sa version de Linux à une autre version, voire un autre OS.

Enfin, un VPN.

---

Ubuntu / Mint / Windows 10

Pending...

Re : Ubu 18.04 - réduire la surface d'attaque & éviter la collecte d'infos

"For the record" : https://www.ncsc.gov.uk/collection/end- … -18-04-lts

---

Ubuntu / Mint / Windows 10

alex2423

Re : Ubu 18.04 - réduire la surface d'attaque & éviter la collecte d'infos

Ce n'est pas grand chose et je cherche davantage, par exemple un moyen simple de faire tourner Firefox dans une machine virtuelle sans une installation poussée.

Mon petit doigt me dit que tu ne vas pas retourner sur ton sujet mais sait-on jamais.
Je ne pense pas que ce soit très utile de cloisonner ton firewall avec une VM. Ce serait tuer une mouche avec un bazouka.
Tu peux déjà, si tu le souhaites lancer ton fichier avec un nouvel utiliser Linux que tu te créé avec des droits très restrictifs. Il aurait limite de droit uniquement de lancer Firefox et l'accès en écriture de ton répertoire Téléchargement (ou Download)