Sécurité des partitions à l'installation

Bonjour à tous
voila mon problème: je souhaite installer un serveur où debian 6 (squeeze) y sera installé pour me former dans la sécurité (je suis étudiant en info). Cependant j’aurai voulu savoir quels sont les paramètres de montage des partitions pour la sécurité.
Les partitions sont créées dans ce sens: mon HDD est de 80gio

/ (comprenant /etc /bin /sbin /dev /lib) => 500Mio
/var => 10Gio
/usr => 5Gio
/tmp => 500Mio
/home => 5Gio
/root => 5Gio
/boot => 100Mio
/data => le reste
swap => 2Gio

/bin, /sbin, /lib, /etc et /dev doivent obligatoirement être dans la racine /

Doit-on séparer les partitions de /opt /sys /srv /proc /mnt /media ? si oui quel espace nécessaire?

Quels sont les paramètres de montage à mettre et pour quel partitions? (noatime, async, rw, ro …)

Merci d’avance pour votre aide

Et tu ne t’ennuies pas trop ?

Plus sérieusement, c’est du ressort de toi-même, je pense, non ? À toi de devenir un dieu de la crypto et du chiffrement !!!
Ce sont des liens ubuntu, mais tout à fait pertinents :
et de 1
et de 2
et de 3

Essayes plutôt de crypter simplement via du “|” et “&” sur un fichier en C, en y accedant en mode bloc, c’est très efficace : les premiers pas vers aes et rsa sont évident par la suite, au lieu d’appeler ta fonction de ou et de et, tu appelles l’équivalent de la blibliothèque C : même pas besoin du noyau : tout hautmatic !
@+

Édit : ton /tmp est trop faible comparé aux autres partitions, tout les utilisateurs te mettront toujours qqch dedans … !!!

[quote]
Citation:
je suis étudiant en info

Et tu ne t’ennuies pas trop ?[/quote]
Des fois si un peux

=> pour le moment c’est la sécurisation de base via l’install tu sais avec les options de montage (noatime, user, nouser, async, rw etc… (en gros ce qu’on peux trouver dans un fstab))
mais je garde tes tuyaux précieusement ca va me servir je pense

Pour de la sécurité je ferais un petit tour du côté de OpenBSD en générale les bons réflexes sont toujours exposé.

Mais quels type sécurité veut-tu appliquer à tes partitions

ben ca aurai été du genre nouser pour eviter que les autres sauf root ne monte les partition, rw ou ro suivant les partitions pour éviter la pagaille (exemple: eviter de toucher aux fichiers de la racine ou de /boot )

en gros ca serai de sécuriser les partitions contre une attaque externe (formattage intentionnel, suppression de fichier, acces non autorisés etc …)

[quote=“linkvincent”]ben ca aurai été du genre nouser pour eviter que les autres sauf root ne monte les partition, rw ou ro suivant les partitions pour éviter la pagaille (exemple: eviter de toucher aux fichiers de la racine ou de /boot )

en gros ca serai de sécuriser les partitions contre une attaque externe (formattage intentionnel, suppression de fichier, acces non autorisés etc …)[/quote]

A moins que ton attaquant arrive à récupérer le mots de passe root sinon après tu as la possibilité de chrooter les différentes applications accessible depuis l’extérieur et pourquoi pas te documenter sur la gestion des droits et des groupes tu verra Linux c’est déjà bien carré si on ne fais pas n’importe quoi

En bref tu es sur le point de te casser la tête pour pas grands chose, le premier truc c’est avant tout de répertorier les différentes voie d’accès à ton système et de référencer les risques ( les partitions c’est quelques peu accessoires ).

okey merci pour l’encouragement et vos réponse je vais faire simple avec les partitions home root boot tmp usr var et swap séparées

bonne soirée

[quote=“linkvincent”]okey merci pour l’encouragement et vos réponse je vais faire simple avec les partitions home root boot tmp usr var et swap séparées

bonne soirée [/quote]

Pour un serveur /var et /etc sont assez importants, /usr c’est plus le côté desktop quand au tmp et à la swap bien veillé à ce qu’il soit nettoyer régulièrement pour éviter la pioche de données sensible enfin de souvenir

[quote=“linkvincent”]

=> pour le moment c’est la sécurisation de base via l’install tu sais avec les options de montage (noatime, user, nouser, async, rw etc… (en gros ce qu’on peux trouver dans un fstab))
mais je garde tes tuyaux précieusement ca va me servir je pense [/quote]
Oui, j’ai compris ce que tu cherches : je pense simplement que tu fais une erreur car cela ne va rien t’apporter, à mon point de vue. Un programmeur est forcément un très bon Administrateur système et réseau puisque sans cela le programme créé ne fonctionne pas : dépendance, architecture, type de réseau, etc.
Par exemple, quels sont les bonnes combinaisons de “|” et “&” pour que cela soit bijectif ? Apprendre à distinguer cryptographie et chiffrement, découvrir des algorythmes et leur(s) point(s) faible(s) tout comme leur(s) avantage(s) ! Etc …
Il y a de quoi faire et si tu fais du que tu sais déjà faire, je ne suis pas sûr que cela te serves !!!
@+

Les réponses de Clochette sont constructives
Celles de sriliam sont un peu hors sujet et s’adresserait plus à la page sécu du wiki.
On vous demande des choses simples, répondez “simplement”.

quelles peuvent etre les options de nettoyage auto a chaque heures, minutes, jours ou meme démarrage / arret?

@Clochette: as-tu stp un fichier de cryptage en C comme tu dis un peu plus haut?
j’essaye de faire un peu de programmation (enfin je débute au niveau html, php, python apres je verrais le C C# C++)

Merci pour vos réponses et à votre soutien avant tout

[quote=“linkvincent”]quelles peuvent etre les options de nettoyage auto a chaque heures, minutes, jours ou meme démarrage / arret?

@Clochette: as-tu stp un fichier de cryptage en C comme tu dis un peu plus haut?
j’essaye de faire un peu de programmation (enfin je débute au niveau html, php, python apres je verrais le C C# C++)

Merci pour vos réponses et à votre soutien avant tout [/quote]

Fichier de cryptage en C ? non j’utilise encfs et je fais ça plus pour faire chier le gars qui se pointerai sur mon “honeypot” en préparation ou sur mon portable ( une partition protégé et crypter/décrypter avec un script bash

Tu doit confondre avec quelqu’un d’autre

ah okey je viens de voir un extrait sur ubuntu-fr.org pas mal comme truc

exact je confond avec sriliam

[quote=“Clochette”][quote=“linkvincent”]ben ca aurai été du genre nouser pour eviter que les autres sauf root ne monte les partition, rw ou ro suivant les partitions pour éviter la pagaille (exemple: eviter de toucher aux fichiers de la racine ou de /boot )

en gros ca serai de sécuriser les partitions contre une attaque externe (formattage intentionnel, suppression de fichier, acces non autorisés etc …)[/quote]

A moins que ton attaquant arrive à récupérer le mots de passe root sinon après tu as la possibilité de chrooter les différentes applications accessible depuis l’extérieur et pourquoi pas te documenter sur la gestion des droits et des groupes tu verra Linux c’est déjà bien carré si on ne fais pas n’importe quoi

En bref tu es sur le point de te casser la tête pour pas grands chose, le premier truc c’est avant tout de répertorier les différentes voie d’accès à ton système et de référencer les risques ( les partitions c’est quelques peu accessoires ).[/quote]

C’est une question de point de vue. La sécurisation du système a son importance à tous les niveaux, et tuner le fstab est pour moi essentiel (malgré le fait que j’ai de nombreuses portes dans ma maisons, je ferme celle qui ne me servent pas, le contraire n’a pas d’intérêt, pour moi ).

Pour en revenir aux options du fstab, il n’y a pas de configuration générique, tout dépend de l’utilisation qu’on en fait.
Je verrai bien quelque chose comme:
/var defaults,nodev,nosuid,noexec
/usr defaults,nodev
/home defaults,nodev,nosuid
/opt defaults,nodev,nosuid
tmpfs defaults,nodev,nosuid,noexec
/tmp defaults,nodev,noexec,nosuid
floppy noauto,exec,utf8 (on peut ajouter l’option user si le montage est autorisé pour les autres comptes système, idem pour les 2 lignes suivantes).
cdrom noauto,exec,utf8
/media noauto,exec,utf8

Ajouter en plus:
/tmp /var/tmp none rw,noexec,nosuid,nodev,bind 0 0

Après, on peut ajouter l’option read-only, mais il faut penser à modifier la conf d’apt:
§4.9.2 debian.org/doc/manuals/secur … h4.fr.html

[quote=“Clochette”]
En bref tu es sur le point de te casser la tête pour pas grands chose, le premier truc c’est avant tout de répertorier les différentes voie d’accès à ton système et de référencer les risques ( les partitions c’est quelques peu accessoires ).[/quote]

[quote=“Harty_Show”]
C’est une question de point de vue. La sécurisation du système a son importance à tous les niveaux, et tuner le fstab est pour moi essentiel (malgré le fait que j’ai de nombreuses portes dans ma maisons, je ferme celle qui ne me servent pas, le contraire n’a pas d’intérêt, pour moi ).

Pour en revenir aux options du fstab, il n’y a pas de configuration générique, tout dépend de l’utilisation qu’on en fait.
Je verrai bien quelque chose comme:
/var defaults,nodev,nosuid,noexec
/usr defaults,nodev
/home defaults,nodev,nosuid
/opt defaults,nodev,nosuid
tmpfs defaults,nodev,nosuid,noexec
/tmp defaults,nodev,noexec,nosuid
floppy noauto,exec,utf8 (on peut ajouter l’option user si le montage est autorisé pour les autres comptes système, idem pour les 2 lignes suivantes).
cdrom noauto,exec,utf8
/media noauto,exec,utf8

Ajouter en plus:
/tmp /var/tmp none rw,noexec,nosuid,nodev,bind 0 0

Après, on peut ajouter l’option read-only, mais il faut penser à modifier la conf d’apt:
§4.9.2 debian.org/doc/manuals/secur … h4.fr.html[/quote]

Je sous-ligne simplement que pour commencer il est bien plus importants de fermer les entrées sur sa machine, après c’est d’après moi de l’optimisation en cas de compromission
Mais il est vrai qu’il ne faut rien négliger, simplement avancer à petits pas pour bien intégrer les concepts et ne rien oublier

Merci!! C’est exactement ce que je recherchais

=> Exact aller doucement mais surement

PS: Je pense que l’on peux clore le sujet à moins que d’autres réponses viennent s’y greffer ^^