Linux, un minimum de précaution tout de même

Aujourd’hui je vous propose un article plutôt à destination des nouveaux venus sous Gnu/Linux.

Bien que l’on vous présente ce type de système comme sûr, à toute épreuve, Gnu/Linux étant un système d’exploitation comme un autre, il reste vulnérable.

Il existe donc quelques principes de bases à appliquer:

Effectuer les mises à jours de sécurité de votre distribution régulièrement
Mettre en place un pare-feu minimaliste
Mettre en place un antivirus afin d’éviter si ce n’est d’être infecté, de propager des virus à d’autres systèmes (via e-mail, clé usb, …)

Par défaut sous certaines distributions telles qu’Ubuntu, aucun pare-feu n’est configuré et aucun antivirus n’est installé.

Effectuer les mises à jours de sécurité de votre distribution régulièrement:

La plupart des distributions mettent à disposition un gestionnaire de mise à jour graphique dans leur outils, cela permet de configurer les mises à jour automatique ainsi, plus besoin de vous en soucier.

Si vous désirez passer par la ligne de commande, en fonction de votre gestionnaire de paquet, la commande diffère mais pour l’automatiser, il suffit de la placer dans le crontab (gestionnaire de tâches):

Exemple d’automatisation simple sous Debian

sudo crontab -e

00 02 */5 * * apt-get update && apt-get upgrade

La première ligne permet d’entrer dans la crontab de l’utilisateur root

La seconde est à insérer dans ce fichier afin d’automatiser la mise à jour du système tous les 5 jours à 2h du matin.

Mettre en place un pare-feu minimaliste

Avec tout système Gnu/Linux est livré un outil très puissant, iptables. C’est cet outil que nous allons utiliser ici afin de verrouiller un minimum nos machines. Bien que je ne prétende pas faire ici un cours sur iptables, je vais succinctement vous expliquer l’utilité des diverses commandes:

Exemple d’utilisation d’iptables pour un poste utilisateur

/sbin/iptables-save

Cette commande permet d’afficher les règles Iptables appliquées en ce moment.

/sbin/iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT /sbin/iptables -A INPUT -i eth0 -j DROP
Ces 2 commandes suffisent à bloquer toute entrées de données sur votre machine (sur l’interface eth0) hormis celles demandées par celle-ci. Ici, nous bloquons simplement tout en entrée et rien en sortie puisqu’il s’agit d’un poste utilisateur et non d’un serveur. Cela conviendra donc pour la plupart des postes utilisateurs.

N’oublier pas cependant d’adapter ces règles suivant votre cas (quelqu’un doit il pouvoir accéder à cette machine à distance ? (moi y compris ?), à quoi doit on avoir accés sur cette machine (http, ftp, icmp, dns, …)), notamment si vous partagez des données via un partage réseau sur votre machine.

Connaître ces quelques règles, où bien les exécuter une fois n’aura d’impact que jusqu’au prochain redémarrage du poste. Si vous désirez appliquer ces règles en permanence, il suffit de les placer dans un fichier firewall.sh, de rendre ce script exécutable et d’ajouter une ligne dans /etc/network/interface. Ce qui donne:

firewall.sh:

#!/bin/bash /sbin/iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT /sbin/iptables -A INPUT -i eth0 -j DROP

Il faut ensuite rendre ce script exécutable et en limiter les possibilités de modification:

chmod 700 firewall.sh

/etc/network/interface:

up chemin/vers/script/firewall.sh

Mettre en place un antivirus

Bien qu’il existe à l’heure actuelle peu de manace pour ce système d’exploitation, un poste non protégé pourrait contaminer d’autres postes tout en étant parfaitement opérationnel (porteur sain …).
Afin de limiter les risques de contamination de postes sous des OS différents, il convient donc d’installer un antivirus.
Clamav est un antivirus libre, gratuit très performant qui va vous permettre d’être tranquille de ce côté là.
Disponible dans les dépôts il s’installe avec votre gestionnaire de paquets habituel (exemple sous Debian: apt-get install clamav)

Quelques ressources intéressantes à ce sujet:

Vous aimez cet article, partager le en cliquant sur le bouton correspondant au réseau souhaité ci-dessous.

Étiquettes: antivirus, clamav, configuration, iptables, linux, mises à jours, parefeu, prévention, Sécurité

Ce message fût publié le Samedi, février 20th, 2010 et classé sous Planet-Libre, Tutos. Vous pouvez suivre toutes les réponses à cette entrés via RSS 2.0. Vous pouvez laisser une réponse, ou un trackbackde votre site.

6 Comments

#1 par Samuelion à février 20, 2010
Citation
Post intéressant.
J’aurai juste une remarque, par expérience, la apt-get update / upgrade dans un cron est pas forcement une judicieuse idée.
Il suffit d’avoir une mise à jour un peu particulière qui demande une confirmation à l’utilisateur pour planter la mise à jour.
De souvenir, il y a une option -y pour « assume yes » mais c’est pas sensationnel non plus.
A l’époque où j’étais sur débian, j’utilise un appli pour ça, il me semble qu’elle était liée à l’update-manager (une dépendance) mais j’arrive plus à retrouve le nom.
Cela ajoutait un menu source logiciel dans administration et permettait de choisir trois options qui en résumé sont update auto, upgrade sur les mise à jour sécurité, upgrade all.
De mémoire aussi cela rajoutait des taches cron dans les repertoires /etc/cron*.
D’ailleurs maintenant que j’y pense, le apt et aptitude ne cree t il pas des fichiers dedans permettant de gérer les mises à jour auto ?? Ma mémoire flanche :-/
Cordialement.
#2 par djib à février 20, 2010
Citation
C’est un article intéressant. Il ne faut effectivement pas oublier qu’un système Linux reste vulnérable.
En revanche je suggèrerais d’installer cron-apt pour faire le travail de mises à jour automatiques. Pour aller plus loin, je ne suis même pas certain que faire les mises à jour automatiquement soit une bonne idée, et j’ai demandé à cron-apt de m’envoyer uniquement la liste des paquets qui ne sont plus à jour.
#3 par Gatien à février 20, 2010
Citation
Effectivement, la mise à jour automatique n’est pas forcément la meilleure solution et je ne la préconise absolument pas sur des serveurs en production. En revanche, au niveau d’un poste utilisateur, l’appliation des mises à jours de sécurité pose rarement des problèmes.
J’ai présenté ici une méthode possible pour faire automatiser ces mises à jours mais il va de soi qu’il en existe bien d’autre.
Le passage par l’outil graphique de gestion des mises à jour fonctionne également très bien.
Toute information complémentaire est la bienvenue.
#4 par Namyla à février 21, 2010
Citation
Voici un article simple et direct.
Pas de blabla et l’essentiel est dit en peu de mots et accessible à tous.
Mais ne soyons pas maniaque au point de vouloir automatisé une mise à jour qui est déjà automatisé.
Je pense que pour un poste de travail, l’alerte automatique de mise à est déjà suffisante.
J’apprécie les deux dernières parties de ton post (Iptables et clamav).
Car l’utilisateur lambda ignore généralement leur existence.
#5 par louiz' à février 22, 2010
Citation
Clam AV est inutile.
Ce n’est pas à nous (utilisateurs de logiciels Libres) de protéger les autres systèmes contre leurs propres failles.
Ils utilisent des logiciels dangereux, qu’ils se démerdent avec.
(et sinon, les réglages iptable de base suffisent (sur les distros grand public), et les mises à jour automatiques ça sert à rien)
#6 par Antoine Benkemoun à février 22, 2010
Citation
Je pense que la mise à jour automatique est une très mauvaise idée ! Rien de tel pour casser des fonctionnalités sans s’en rendre compte ou de crasher des applications suite à une modification de configuration…
Je pense que l’intervention d’une personne est nécessaire pour toute mise à jour afin d’éviter de se retrouver avec des échecs le weekend ou les vacances =D

Linux, un minimum de précaution tout de même

Articles similaires:

6 Comments

Actualités

Derniers articles

Planet Libre

Blogosphere