Quels sont vos conseils en terme de Sécurité pour un NOOB (Débutant) sous Debian

Bonjour

Allez aussi
régulièrement consulter : https://www.cert.ssi.gouv.fr/

D’accord pour la perte ou le vol, mais pas forcément pour l’intégrité.

Le défaut dans la cuirasse, c’est que tout le disque ne peut pas forcément être chiffré. Dans une installation typique de Debian avec chiffrement, le MBR ou la partition EFI et /boot ne sont pas chiffrés car il faut bien que le firmware (BIOS ou UEFI) puisse les lire pour amorcer le système. Or ils contiennent le chargeur d’amorçage, le noyau et la racine initiale (initramfs) qui sont les éléments les plus importants du système. Sans autre précaution, un attaquant ayant un accès physique à la machine pourrait donc y injecter un logiciel malveillant.

En bidouillant un peu, on peut chiffrer /boot aussi, mais une partie du chargeur d’amorçage, et notamment celle qui demande le mot de passe de déchiffrement, n’est pas chiffrée.

Pour empêcher ou au moins détecter une altération des fichiers de démarrage, il y a quelques solutions :

  • chiffrer vraiment tout et utiliser une machine avec un firmware capable de déchiffrer. Voir du côté de LibreBoot et CoreBoot.
  • placer le chargeur d’amorçage sur un support amovible qu’on garde en lieu sûr (pas avec le PC)
  • utiliser un mécanisme permettant de détecter une altération d’un fichier de démarrage (signature, métrique) via le secure boot ou le TPM.

A défaut, la vérification des fichiers de démarrage en clair peut être faite après le démarrage par un programme présent sur la partie chiffrée. Mais ce sera inefficace si l’attaquant a installé un rootkit qui fait voir les fichiers originaux à la place des fichiers modifiés. Cependant il s’agirait d’une attaque particulièrement sophistiquée.

Et je ne parle que des attaques sur le contenu du disque, pas sur le matériel lui-même (installation d’un keylogger sur le clavier, altération du BIOS…)

Alors, ce qu’ont dit les autres utilisateurs du forum est très bien, mais j’ai une question par rapport à ce que tu as dit : Tu sauvegardes tes données sur USB ??? Parles-tu de disque dur externe ou de clé USB ? Parce que dans ce cas là, ce n’est vraiment pas fiable et très risqué.

Sans contredire mes estimés collègues, il me semble important de préciser un point par rapport à ta question initiale: ton ordinateur est déjà sécurisé puisqu’il est sous Debian!

Oui, comme ils l’ont dit, on peut imaginer des scénarios d’attaque compliqués même sur une machine Debian.

Mais tu viens de Windows, c’est équivalent de passer d’un hôtel de passe situé dans un quartier borgne et où les portes ne ferment pas à un appartement privé muni d’une serrure trois-points dans une petite ville de campagne…
Tu peux si besoin est te préoccuper de blinder les murs et de remplacer les fenêtres par de l’acier recouvert de titane, mais dans l’immédiat tu peux aussi considérer que tu as enfin le droit de te sentir en sécurité!

Ce que t’ont dit les autres est vrai et est bon à savoir pour ta culture générale, mais dans l’immédiat le seul point dont tu dois te préoccuper pour ta sécurité est de ne pas lancer de programmes en root quand tu peux l’éviter.
Eventuellement aussi d’éviter les dépôts tiers tant que tu ne sais pas ce que tu fais.
C’est franchement suffisant pour un début!

Oui tu peux aussi installer un plugin sur ton navigateur comme uMatrix ou NoScript + Adblock, ça ne fait jamais de mal.

Pour aller sur les sites vraiment sales le faire en VM pourquoi pas (bretelles+ceinture comme on dit), mais normalement en étant sur Debian tu cours quand même vraiment peu de risques.

1 J'aime

Quels que soit les mesures de sécurité mise en place rien ne pourra empêcher une compromission si l’utilisateur à un comportement à risque.

La première sécurité c’est un cerveau branché et alerte sur ce qu’il fait.

J’ai déjà rencontré nombre de gens ayant chiffré leurs données et qui suite à la perte de la clé sont venu ici ou sur d’autre forum pleurer car il ne pouvais pas récupérer l’accès à leur système …

La sécurité est un vaste sujet, qui ne peux être abordé sur un forum à l’aide d’un simple fil, le plus importants c’est de référencer les risques possibles et de valider si une solution pour s’en prémunir est envisageable et nécessaire.

Un proverbe chinois précise que :

Chaque dragon trouve son maître

En soit il est nul protection suprême dans l’informatique, la preuve avec le dernier gros souci lié à la conception des processeur mas au jour dernièrement.

Et par pitié ne mettez pas d’accent à Debian :weary:

PS : N’ayant pas le choix de mon système à mon travail, je peux dire que sans comportement à risque il n’est nulle besoin d’antivirus ou d’anti-malware sur un poste de travail ayant accès à internet sous Windows.
Il faut se retenir de vouloir faire croire qu’un système d’exploitation comme Windows est un nids à emmerdes (et pourtant à la maison je n’utilise quasiment exclusivement du GNU/Linux ou de l’Unix like).

1 J'aime

Salut à tous pour répondre dans l’ordre,
Déjà merci à grandtoubab et MicP, j’ai copier coller les liens
et je les ajoutés à mes favoris dans firefox

je partage entièrement l’avis de pascalHambourg,
tous système est faillible, un bon hacker trouvera toujours une astuce

Eman je conserve tous mes fichiers sur simple clé USB
je n’utilise jamais de cryptage, d’ailleurs je n’ai jamais utilisé un logiciel de cryptage je n’en vois pas du tout l’intérêt, simplement parcque les fichiers que je possède sont sans importance, aucune données confidentielles ou sensibles .

mème si quelqu’un me vole ma clé USB
il pourra toujours reformaté la clé pour la ré-utilisé

Lien_Rag, ton exemple me semble un peu exagéré, non??
je ne partage pas trop ton opinion, elle était peut être vrai il y’a 10 ans,
je pense d’après ce que j’ai pu lire sur des sites concrets,
que les risques sont quasi similaire, aujourd’hui

puisque la plupart des serveurs sont sous Linux, et ils sont pourtant souvent hacké, non?? d’ailleurs la plupart des hackers utilisent linux, non??

Et enfin clochette, je partage ton opinion, en fait ce qui compromet
la sécurité d’un PC c’est son utilisateur, c’est clair que si un personne
ne fréquente que des sites de films telechargés, de streaming, de porno, ou de crack et logiciels et jeux hackés , comme la plupart des jeunes sous Windows ou autres dans ce genre, le risque augmente considérablement

sinon on prononce deubian (Debian) et non débian
je ne savais pas du tout je croyait qu’on disait débian, désolé!!

je suis débutant, donc si j’ai des erreurs dans ma perception des choses
ne m’en veuillez pas trop, expliquez moi simplement.

1.2 Comment prononcer Debian ?
La prononciation officielle de Debian est « déb-yann ». Le nom tire son origine des prénoms du créateur de Debian, Ian Murdock, et de son épouse, Debra

https://www.debian.org/doc/manuals/project-history/ch-intro.fr.html#s1.1

Ian Murdock est décédé

1 J'aime

Les clefs USB ne sont pas les supports les plus fiables. En gros, tu as plus de chances de perdre des données sur une clef USB que sur un disque dur de manière spontanée. Après, si comme tu le dis, les données dessus ne sont pas importantes, tu peux te contenter d’une clef USB. Mais dans le cas contraire, investis dans un disque dur.

salut
comme programmes de sécurité, je rajoute fail2ban rkhunter chkrootkit

1 J'aime

fail2ban, je m’en sers, mais uniquement pour mes serveurs, je vois pas l’utilité s’il ne se connecte pas dessus en SSH.

Bonjour,
Pour la fameuse commande “rm -r”, au début de mes cours sur “aix”, l’instructeur IBM nous a tout de suite mise en garde sur cette commande: 7 nœuds au mouchoir! ou mieux, l’oublier!

Bonjour,
Étant conscient que je suis loin de tout maîtriser et faisant comme tout un chacun des “finger check”, des bêtises, quoi!

  1. Mes disques ont un double car j’utilise des racks amovibles. Mes données sont copiées en double sur un disque séparé.
  2. Je fais régulièrement des sauvegardes disque ou partition avec “CloneZilla”.
  3. Quand je prévois une action à risque potentiel ( comme quand je me suis lancé dans Wine , par exemple…et planté), je fais d’abord une sauvegarde partition ou disque (Merci CloneZilla).
    Bon route à tous.
1 J'aime

Comme tu as dit, lorsque l’on est pas sûr de ce que l’on fait, toujours faire une sauvegarde, c’est l’essentiel.

@PascalHambourg

D’accord avec ce que tu as écrit. Je n’avais pas abordé la question de la vulnérabilité de la partition /boot, car ça me semble (peut-être à tort?) comme bien sophistiqué comme attaque. Alors qu’installer un logiciel malveillant sur un disque non crypté est à la portée de n’importe quel abruti.

@Clochette
Effectivement avant toute chose, en matière de sécurité il faut avant tout définir son “modèle de menace” (threat model), c’est-à-dire à quels risques on est exposé et contre quoi on veut se défendre. Ensuite agir en fonction.

Au niveau ultime, du genre “paranoïaque absolu” ou “personne ne doit accéder à mes fichiers sous peine de déclencher une guerre nucléaire”, alors là oui full disk encryption, et partition boot sur une clé USB toujours sur soi au fond de son anus, et si possible pas de connexion internet sur la machine! Et s’sassurer de l’intégrité des périphériques (moniteur, clavier, souris…).

A un niveau plus raisonnable, par exemple “je veux protéger mes données en cas de perte ou vol tout en assurant une protection raisonnable mais pas absolue de l’intégrité de mes données”, un full disk encryption suffit (et c’est facile à mettre en pratique).

Pour ce qui est de la navigation internet, s’il est vrai qu’on ne risque pas grand-chose avec une debian, je suis moins convaincu pour ce qui est de Windows… Un comportement à risque est vite arrivé.

1 J'aime

Remplacer le noyau d’origine par un noyau compromis, ça ne me semble pas extrêmement sophistiqué.

Certes.

Bonjour,
Merçi PascalHambourg pour cette info capitale en terme de sécurité
en faisant allusion au noyau,
en tant que débutant. je ne sais mème pas ce qu’est un noyau, ni le kernel
je vais m-y intéressé plus sérieusement

j’ai trouvé ceci sur le forum:


je vais intéressée aussi de prés à grsecurity:
https://wiki.debian.org/grsecurity

Le noyau est le coeur du système et en assure les fonctions fondamentales, notamment celles liées à la sécurité. Il est installé dans le répertoire /boot. Or dans une installation avec chiffrement du disque classique, tout est chiffré sauf le contenu de ce répertoire /boot. Donc le noyau n’est pas protégé contre une intervention physique.

Il en est de même pour le chargeur d’amorçage (GRUB, LILO, syslinux…) qui lance le noyau. Il n’est normalement plus actif après le démarrage du noyau, mais il pourrait lui aussi être altéré pour altérer à son tour le noyau après l’avoir chargé en mémoire et avant de le lancer (voire charger un noyau déjà altéré).

1 J'aime

1- microsoft + antivirus = assez sûr, ce sera plus un problème de confiance envers microsoft que de réelle sécurité sur internet
2- sur ta debian il te faudra en premier un parefeu basique (au moins), il sera moins bien configuré que les parefeu de base sur windows
3- il te faudra fail2ban
4- un système de détection d’intrusion
5- un système de prévention d’intrusion (ou plusieurs même)

il te faudra pas mal de temps pour sécuriser ta debian avec un même niveau de sécurité que windows plus suite de sécurité. Alors commençons par être honnête, au départ quand on va sur debian c’est pas pour la sécurité, c’est pour la philosophie, ou pour geeker

1 J'aime

Je pense que Debian est tout aussi bien sécurisée que Windows, si ce n’est plus. Il suffit juste d’avoir un comportement adéquat et de savoir configurer correctement sa machine, mais je ne doute aucunement sur la sécurité de Debian.

1 J'aime