Dans la cadre de la sécurisation des postes clients, je trouve dommageable qu’aucun pare-feu ne soit activé lors de l’installation de la distribution Ubuntu dans sa version Desktop.
L’utilisateur final n’étant pas forcement au courant de la présence ou non d’un logiciel de type pare-feu sur son poste, celui-ci ignore la plupart du temps à quoi sert celui-ci.
Il me semble donc judicieux de proposer lors de l’installation d’une distribution, l’activation d’un pare-feu avec une configuration de base relativement simple ainsi qu’une explication sur l’utilité de cet élément.
Je met ici à votre disposition un sondage afin de connaître la part d’utilisateur souhaitant la possibilité d’activation d’un pare-feu lors de l’installation.
Souhaiteriez vous l'activation d'un pare-feu lors de l'installation d'Ubuntu
- oui (68%, 487 Votes)
- non (32%, 228 Votes)
Nombre de votants: 715
Loading ...Merci de laisser vos avis sur la question en commentaire.
#1 par coldroom à septembre 6, 2010
Citation
C’est à mon sens une aberation pour plusieurs raisons :
- 1) un cauchemard pour l’admin sys/réseau qui, en plus de devoir gérer le fw principal va devoir également jongler avec les règles de chaque poste..
- 2) plus une source de problèmes et d’incompréhesions qu’autre chose pour le enduser. Dans l’industrie, la notion de fw n’est pas locale au poste, mais générale.
- 3) un fw local est inutile si le fw général est bien configuré.
#2 par coldroom à septembre 6, 2010
Citation
Et j’ajoute que pour l’utilisateur lambda (hors entreprise donc), ça n’a pas plus de sens non plus..
Le FW est intégré 99.9% des cas dans une box, et sauf erreur, 99,9% des gens utilisent à présent une box pour se connecter.
Par ailleurs, avant de vouloir jouer avec les règles iptables, il me semble utile de bien maitriser les règles du FW de sa box. Et généralement, une fois que cette partie est faite, on se rend compte que le parefeu local est inutile.
Je pars du principe (idéaliste peut-être) que si on maîtrise le contenu de sa machine, de ses services réseaux, le fw local est inutile.. Avant de vouloir mettre en place l’iptable, il me semble judicieux de désactiver les services réseau inutilisés et de bien maintenir à jour ceux qui sont utilisés. Après ça, je ne comprends encore pas bien l’intérêt du parefeu.
Si, à la limite c’est utile pour celui qui ne maîtrise pas du tout l’architecture de son système, qui installe tout et n’importe quoi, qui active des services à la volée sans le savoir et sans les maintenir.. Là oui, le FW est utile, mais il sert plus de cache misère à une très mauvaise administration qu’à un besoin réel et étudité de sécurité.
#3 par julien à septembre 6, 2010
Citation
Remarque d’un utilisateur lambda (moi) : depuis que j’utilise Ubuntu (2008) j’ai toujours été persuadé que le pare-feu d’Ubuntu était actif par défaut, que l’interface graphique ne servait qu’à le configurer finement mais que c’était inutile.
C’est dailleurs ce qu’il me semblait avoir lu à droite à gauche sur les forums…
On m’aurait menti ?
#4 par dafatfab à septembre 6, 2010
Citation
De plus, un « FW » est déjà présent et actif dans le kernel : il s’agit d’Iptables.
Pingback: Tweets that mention Intégration d’un pare-feu lors de l’installation d’Ubuntu « Libre-Astux.info -- Topsy.com
#5 par fuzz à septembre 6, 2010
Citation
Il ne faut pas qu’elle soit présente par défaut (et sur aucun systeme, ça n’est le cas) : elle peut etre proposée lors de l’installation.
#6 par Bartouf à septembre 6, 2010
Citation
Ce n’est pas une bonne idée à mon avis. Si tu met un pare feu sur un systeme de base, c’est que tu ne lui fais pas confiance, qu’il y a des services de lancer dès le début. Tu agis en somme sur les conséquences.
J’ai l’impression que c’est très ‘Windowsien’ ça. Tu install un système alors il faut absolument un firewall et antivirus.
Et d’ailleurs tu veux mettre un pare-feu pour te proteger contre quoi ? Y-a t il des services ouvrant des ports qui sont lancés sur ta machine ? Il me semble pas qu’il y ai de serveur d’apache sur une install de base par exemple
En gros, installer un pare-feu pour installer un pare-feu, pas pour moi
#7 par Markhor à septembre 6, 2010
Citation
oui à condition que ce soit basé sur iptable !
#8 par manatlan à septembre 6, 2010
Citation
Complètement inutile.
- La majorité des gens sont protégés par leur box.
- Le gars qui màj son système régulièrement a très très peu de chance d’être embêter par quoi que ce soit.
- ça va générer bien plus de soucis dans les mailingliste/forums/bugtrackers du genre « ça marche pas chez moi »
Mais je peux comprendre que ça rassure (inutilement) les anciens windowsiens
#9 par Christophe à septembre 6, 2010
Citation
Pour toutes les raisons évoquées ci dessus, et vu le positionnement plutôt « home user » d’Ubuntu, je n’en vois pas l’utilité.
Proposer un logiciel de contrôle parental type Nanny aurait plus de sens, par contre.
#10 par kON!c à septembre 6, 2010
Citation
+1
J’ai les mêmes info en tête !
#11 par alfred à septembre 6, 2010
Citation
J’ai voté oui mais en lisant les commentaires il est vrai que les raisons évoquées sont beaucoup plus importantes. Mon vote se transforme en non.
#12 par pywy à septembre 6, 2010
Citation
Complètement Inutiile pour moultes raisons, dont certain citées plus hat.
Pitié, ne faites pas ca !
#13 par Oscarius à septembre 6, 2010
Citation
+2
Moi aussi, ça me dit quelque chose :
« Par défaut, Ubuntu inclut un logiciel de pare-feu, nommé Uncomplicated FireWall (UFW). » Source : http://doc.ubuntu-fr.org/pare-feu
#14 par alex à septembre 6, 2010
Citation
Je pense qu’il y a des mecs qui se torturent le ciboulot à simplifier l’installation, ce n’est pas pour ajouter une étape en parlant de quelque chose d’obscur pour l’utilisateur moyen.
Je réfute cependant l’argument qui dit qu’aujourd’hui tout le monde est derrière une box, que le firewall est intégré à la box… Ca c’est vrai en france, et pour l’IPv4 seulement. En IPv6, ou dans des pays où on utilise un simple modem pour se connecter, point de part feu pour le foyer.
De toute manière, avec un installation fraiche d’ubuntu, y a t il des ports ouverts par défaut ?
#15 par FUN à septembre 6, 2010
Citation
+1 Moi aussi j’y croyais
#16 par HacKurx à septembre 6, 2010
Citation
ufw (qui simplifie iptable) est inclut maintenant par défaut dans ubuntu sauf qu’il n’est pas actif (il suffit de faire un sudo ufw enable pour cela).
Par contre il est peut-être plus simple pour les utilisateurs lambda d’ajouter sa gui (gufw) afin de l’activer et le modifier simplement ^^
#17 par eagle à septembre 6, 2010
Citation
Bonjour,
J’installe depuis un certain temps maintenant (+ de 2ans) Ubuntu chez mes oncles et tantes et après un certains nombres d’amélioration graphique (accès aux FileSystem, barre d’applications) et ils ont encore quelques problèmes pour utiliser des logiciels utilisant le net, rejetant la faute sur Ubuntu dès que possible…
Le Pare-feu « Iptables » n’est, à mon sens, pas assez interactif pour le grand public et ne dispose pas d’interfaces facilitant sa compréhension (Firestarter, gufw).
Donc pas assez mûr pour être proposé par défaut pour la majorité des utilisateurs Ubuntu!
#18 par luc à septembre 6, 2010
Citation
Efectivamente, pienso que ya fue de primera vez. bref se sera utile je pense car j’ai toujours pensé qu’il l’était déja par défault
#19 par Philippe à septembre 6, 2010
Citation
Est-ce que par default tous les ports ne sont pas ferme sur la version Desktop?
et c’est pour ca que le firewall n’est pas necessaire?
maintenant c’est sur que si ce n’est pas le cas un firewall est peu-etre utile
En meme temps mon routeur est le firewall principale…j’ai vote non!
#20 par gaara à septembre 6, 2010
Citation
Comme Julien, on m’a toujours dit que pare-feu était activé par défaut, mais sans interface graphique.
On m’aurait mentit ??
#21 par Franck à septembre 6, 2010
Citation
Le noyau linux dispose des fonctions de firewall, mais par défaut, aucune règle n’est définie. Il n’est pas « actif ».
#22 par Frédéric à septembre 6, 2010
Citation
Je suis au regret de vous annoncer que par défaut aucune règle iptables n’est active sur Ubuntu après l’installation, ce qui signifie que le FW est pas actif, un simple
sudo iptables -L
vous le prouvera.
De plus j’ai un gros doute sur la présence d’unn FW sur les BOX … en tout cas c’est sur qu’il n’y a rien sur les FreeBox (merci de ne pas confondre Routeur et FW)
#23 par André à septembre 6, 2010
Citation
On va dire qu’avec le NAT, les postes clients sont moins touchés que les serveurs.
Ce qui serait sympa s’est d’installer une interface graphique de configuration d’iptables.
Genre une fois installé, au premier démarrage, il propose d’instaurer les règles de firewall (avec des preset compréhensible par tout le monde) ou bien de sauter l’étape pour ceux qui ont déjà leur bashscript iptables (comme moi).
Ne pas oublier de configurer ip6tables en même temps qu’iptables.
En effet, le noyau supporte ipv6 et les nouveaux fournisseurs peuvent faire passer les paquets ipv6 a travers les nat.
#24 par makidoko à septembre 6, 2010
Citation
Je vote non pour la demande d’activation à l’installation, ça n’est pas souhaitable. Par contre il est souhaitable de laisser à disposition dans l’install de base une solution efficace officiellement supportée, de façon à ne pas avoir à chercher partout comment protéger son poste si on souhaite le faire selon ses propres règles.
La solution officielle, Gufw est abominable, et, en plus, non installée par défaut (si je ne m’abuse). Elle ne permet aucun monitoring des accès, sauf à lister les fichier .log, et une règle établie n’est pas modifiable, donc son recours obligatoire à la ligne de commande, rend cette GUI totalement inutile. Firestarter me paraissait beaucoup plus efficace.
#25 par Frédéric S. à septembre 6, 2010
Citation
Mauvaise idée, c’est complètement inutile. De plus au moindre problème, et il y en aura, par exemple pour le streaming sur free (mafreebox.freebox.fr), la personne va ouvrir plein de ports, et du coup elle se croit toujours protégée alors qu’elle ne l’est plus, et c’est pire (attention un gruyère n’a pas de trous, c’est l’emmental qui en a).
#26 par yannoslemanos à septembre 6, 2010
Citation
J’ai voté oui sans réfléchir en pensant a l’utilisateur lambda mais en fait c’est bien non en lisant tous les commentaires. Une simple page de formation en expliquant le principe du firewall doit etre suffisant apres a chacun de choisir, innutil de surcharger un systeme qui n’en a pas besoin
#27 par Ju. à septembre 6, 2010
Citation
Inutile, a ma connaissance par defaut il n’y a aucun port ouvert sur 0.0.0.0 (acceptant le traffic autre qu’emanant de localhost).
Le firewall, pour troller un peu, c’est une passion d’utilisateur de windows, ou il faut se battre contre son propre systeme : beaucoup trop laxiste.
#28 par mikedafunk à septembre 6, 2010
Citation
Il me semble que cela fait pas très longtemps que le parfeu n’est plus activé par défaut dans Ubuntu.
J’ai souvenir d’anciennes versions où il fallait installer firestarter pour désactiver facilement le parfeu (sans quoi on était très limité dans amule & co… )
#29 par mydjey à septembre 6, 2010
Citation
Au vu de ce que je lis souvent sur les forums et même ici dans les commentaires, je crois qu’il est bon de rappeler qu’Ubuntu dispose d’un parfeu par défaut (iptables) que celui-ci n’as pas d’interface graphique (par défaut) et que par défaut il laisse tout passer (pas activé).
Pour ma part je pense qu’une interface graphique devrait être disponible par défaut pour gérer le part-feu.
Celle-ci devrais être le plus simple possible pour le novice (je pense notamment à Gufw) et il devrais être ouvert par défaut. (voir pourquoi dans les premiers commentaires). Un simple clic permettrait au débutant de l’activer si il le souhaite.
Ouf ça en fait des par défaut.
#30 par Zelgolhal à septembre 7, 2010
Citation
Exact, la question ne se pose donc même pas pour les utilisateurs lambda qu’ils soient en entreprise ou non.
#31 par Jo à septembre 7, 2010
Citation
On risque quoi sans pare-feu concrètement?
#32 par nattyebola à septembre 7, 2010
Citation
Salut,
Il suffi de lire les commentaires plus haut pour s’apercevoir qu’un tas de gens ne savent pas à quoi sers un firewall (Google est ton ami),
Toutes les box sont bien équipées d’un firewall ou l’on peu ajouter des règles simples mais bien suffisantes (c’est bien souvent ouvrir un port pour tel logiciel de Peer 2 peer ou tel serveur de jeux pour le plus grand nombre d’entre nous)
Le principal a retenir, c’est que pour chaque port ouvert, il faut qu’il soit bien redirigé (NAT) vers l’ip adéquate ou tourne le logiciel.
chaque port ouvert dans le vent et une porte béante.
Donc, pour ne pas embrouiller les utilisateurs lambda je dirais :
-une firewall simple a utiliser (pas iptable, ou un gui qui tabasse) installé par défault mais non activé
- une demande d’activation par le system si l’utilisateur se connecte directemnt avec un modem
#33 par regala à septembre 7, 2010
Citation
@jo: tu risques d’attraper l’ubuntite !
plus sérieusement, cette histoire est ridicule (tout comme ce cher Frédéric qui nous dit qu’il n’y a pas iptables sur une FreeBox, les redirections, les règles de nat, et le blocage de tous les ports par défaut en entrée de la box, c’est pas iptables, c’est un mur en titane soigneusement posé entre les cables réseaux et le cerveau des clients…)
votre histoire de firewall configurable, c’est juste une histoire de plus pour « se la rac avec sa 10.04″. ça ne sert quasiment à rien comme 80% du travail accompli à grand renfort de com bling-bling, ça occupe le cerveau des masses néo-libresques qui sont tombées dans le libre tout comme ils étaient tombés dans les forums windows/pc-hard/… tout en criant « kikoo-looooooooooooool ». Bref, c’est ni utile, ni inutile, c’est à côté de la plaque.
#34 par Kagou à septembre 7, 2010
Citation
Un firewall **configuré** et **activé**, installé par défaut, ne sert à rien puisqu’il n’y a pas de ports ni de services installés, par défaut, à bloquer/sécuriser.
Après un firewall installé il y en a un, c’est iptables. Il est installé mais, par défaut, pas configuré (il laisse tout passer dans tous les sens. Essayez : sudo iptables -L
Dès lors qu’on est assez bon pour installer/configurer/ouvrir/proposer un service sur son pc alors on se doit de se poser les questions concernant un firewall et les règles qui vont avec.
#35 par Ner0lph à septembre 7, 2010
Citation
C’est Netfilter le pare-feu du noyau Linux, pas iptables qui n’est qu’une IHM permettant de le configurer.
#36 par Piscator à septembre 7, 2010
Citation
A mon avis celui de windows est une aberration alors que linux est trop efficace l’utilisateur final ne va rien comprendre en plus tous les modems récents sont équipés d’un pare feu plus ou moins correct …
#37 par Nico à septembre 21, 2010
Citation
Dire qu’utiliser FireWall est un comportement typiquement Windowsien est une pure connerie !
100% des serveurs sous Linux ont un FireWall, les serveurs qui n’en ont pas se font bouffer des ressources pendant un temps puis massacrer.