Jump to content

Archived

This topic is now archived and is closed to further replies.

lekillerderpg

plein de questions sur migration windows ---> linux

Recommended Posts

c dingue cette histoire, devoir se justifier sur tout et sur rien

 

sous linux si votre logiteque creve, vous êtes baisé

sous linux si votre logiteque est hackée, vous êtes baisé

sous linux si un de vos logs n'est plus sur votre logiteque, vous êtes baisé

sous linux si un log vous ramene une saloperie via le net, vous êtes baisé

sous linux, si un log veut envoyer une info perso ou autre sur le net, vous êtes baisé

 

sinon bon bah, en suivant cette logique, pkoi pouvoir bloquer les paquets sortants, si c openbar via les regles "generales"

 

wééééé linux c super:

-les failles sont corrigées rapidement (vrai)

-le parefeu laisse rien passer (faux)

-y a pas de virus (vrai/faux)

-y a tous les logs qu'on veut (faux)

-on peut installer tout ce qu'on veut (vrai/faux)

-c ultra simple(vrai/faux)

 

à propos du dernier point, tout ce que j'ai demandé dans mes messages, je trouve que c des trucs de base et simples quand même

Share this post


Link to post
Share on other sites

OK va donc lire un peu de doc ou reste sous Windows si tu n'es pas capable de changer tes habitudes ou apprendre de nouvelles méthodes.

Et s'est quoi cette histoire de foutu log ?

Share this post


Link to post
Share on other sites

Regarde du cote de AppArmor sur Ubuntu, je crois que c'est ce que tu cherche pour restreindre les app sur le reseau -> https://wiki.ubuntu.com/AppArmor

Tu as egalement SeLinux qui permet d'attribuer des labels sur des process

 

IpTables va juste bloquer ou non des ports que tu autorise, ou les utilisateurs mais pas l'application.

La config par defaut c'est tout ce qui sort de ton ordi est authorise, tout ce qui rentre (connexion initie de l'exterieur) est interdit, genre pour monter un serveur web faut authorise le port 80 et 443 sinon ca marche pas.

Donc techniquement il ne laisse rien rentrer ce qui fait que si quelqu'un cherche a se connecter a ton ordi, sa connexion va etre refuse.

Apres tu peux configurer pour pour ce qui sort soit aussi interdit avec la Chain OUTPUT.

Mais la encore pour que quelqu'un initie une connexion externe vers ton reseau il va d'abords falloir configurer ton routeur pour forwarder le port vers ton ordi, donc si t'es parano a ce niveau c'est ton routeur qu'il faut securiser, pas ton ordi puisque c'est le routeur qui va intercepter TOUT le traffic et les connexions entrante.

 

Du coup je pense que c'est une combinaison de SeLinux + Iptable.

Tu definie tes app dans une SeLinux policy qui label les paquets qui transite et IpTable n'autorise que le passe de ces paquets sur certain port qui ont le bon label.

 

Tout ce que tu exige au niveau de la securite existe mais ca va reposer sur une combinaison d'outils qui va tres certainement demander de passer par la ligne de commande et des fichiers de conf.

A ma connaissance il n'existe pas de solution graphique pour ce que tu demande (en tout cas j'en ai pas vu)

 

Cependant je ne crois pas que de tel restriction pour un poste utilisateur (et pas serveur) de tel restriction va apporter un niveau supplémentaire réel de sécurité. :-/

 

sous linux si votre logiteque creve, vous êtes baisé

sous linux si votre logiteque est hackée, vous êtes baisé

sous linux si un de vos logs n'est plus sur votre logiteque, vous êtes baisé

sous linux si un log vous ramene une saloperie via le net, vous êtes baisé

sous linux, si un log veut envoyer une info perso ou autre sur le net, vous êtes baisé

 

Wat.jpg

 

Un log c'est juste un fichier texte dans lequel une application va ecrire ce qui lui arrive mais ca depend de comment les dev l'ont ecris (des fois faut lancer l'app avec l'option -v ou --verbose sinon ca sort pas de log).

Les logs peuvent se trouver a 2 endroits -> /var/log ou dans ton dossier home (en general ~/.<name>/ ou ~/.local/share/<name>/) ca va dependre de si le soft utilise le log systeme ou locale

Par exemple les logs pour la gestion de paquet (Ubuntu Software Center ou la commande apt) c'est /var/log/apt/history.log

De quel saloperie tu parle ? c'est du texte non executable, bon admettons qu'une application fasse n'importe quoi et ponde un binaire via les log, ca va etre un blob binaire qui va rien faire puisque non executable. (a moins que tu le chmod +x et que tu le lance, mais la j'ai plus d'espoir pout toi)

 

J'imagine que je peux comprendre ton cote parano en arrivant de Windows ou c'est open-bar sur les applications installe qui font n'importe quoi et qui installe tout leurs potes en meme temps qu'eux (+ tout les services MS qui se font plaisir aussi) et t'a aucun controle sur ce qui se passe mais bon c'est un peu mieux fait a ce niveau la sous Linux ou le systeme et les applications ne font pas n'importe quoi.

Principalement le point fondamentale c'est que comme Linux c'est 1% de machine client et 95% des serveur, du coup on se retrouve avec une base tres solide, des outils tres puissant pour la securite mais pas le besoin pour que ces outils soit user-friendly pour l'utilisateur vu que c'est destine a un environnement professionel pour les professionnels et cree par des ingenieurs pour qui le concept d'experience utilisateur est le dernier de leur soucis (faut que ca marche, pas que ca soit jolie).

 

Si tu veux VRAIMENT securiser ton reseau, vire ton routeur, prend un modem a la con qui fait rien d'autre que modem, installe toi une machine pfSense (distrib oriente firewall) + Snort a l'entree de ton reseau qui se chargera de verifier qui est sur le reseau, alerter le traffic inhabituel, blacklist certain serveurs, faire de l'anti-virus sur les d/l, monitorer tes connexions, ca sera beaucoup plus efficace.

Si tu veux VRAIMENT securiser ton ordi, utilise pas flash, utilise pas java (top 2 des failles de securites 0-day), clique pas sur des emails chelou, utilise des phrases comme mot de passe et pas seulement 8 caracteres, installe pas n'importe quoi, t'inscrit pas sur des site chelou, installe NoScript, betterprivacy, requestpolicy sur firefox.

Avec ca tu devrais bloquer 99.999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999% (je sais pas si j'ai assez de decimale) des problemes de secu que tu pourrais rencontrer avec une machine utilisateur.

Le niveau encore au dessus -> Tu as une machine Air-Gap (pas de connexion reseau -> t'enleve physiquement la carte-wifi, et tu bouche la prise ethernet) avec sur lequel tu bosse et une autre machine (jetable) que tu boot depuis un LiveCD (un CD pas une clef USB attention) de Tails (donc avec un filesystem en lecture-seulement) qui elle est connecte au reseau et tu transfere tes donnes via des clefs USB que tu achete que en magasin (jamais 2 fois le meme sur la meme annee) en cash et que tu en change regulierement

Au dela de ca, je pense que ce qui reste c'est de faire une formation securite systeme et reseau parce qu'on pourra pas vraiment t'aider plus que ca a ce niveau.

 

sous linux si votre logiteque creve, vous êtes baisé

wut ?

Y a pas qu'une seule source pour les paquets, y a des miroirs et tout les paquets ont un checksum et tu peux cross-reference les checksums des paquets avec les autres miroir pour s'assurer de l’intégrité de ce dernier.

 

sous linux si votre logiteque est hackée, vous êtes baisé

re-wut ?

(voir au dessus)

Si un mec veut hacker un repo il faut qu'il le fasse pour tout les miroir également puisque tout est duplique partout sur internet et normalement y a un système qui vérifie les checksum des paquets (voir même du repo mirroir lui même)

Tu peux aussi te faire un miroir chez toi au cas ou.

 

à propos du dernier point, tout ce que j'ai demandé dans mes messages, je trouve que c des trucs de base et simples quand même

Les drivers 3D (go go additionnal drivers dans le menu), la secu de tout ce qui sort de ton ordi, l'acceleration 3D dans une VM (La gestion des GPU virtuel reste une plaie a gerer meme ajd)

A part le cote secu, tu peux tout faire avec des clics.

 

Voili, enjoy.

Share this post


Link to post
Share on other sites

me suis mal exprimé ^^

 

on reprend ^^

 

ma demande n'est pas liéée à un probleme de securité, virus, ou autre, vu que si a un virus sur l'ordi, le firewall sautera surement

 

j'ai bien compris qu'en installant des logiciels via la logitheque, les logiciels sont "sensés" avoir été verifiés; mais moi je ne veux pas que des logiciels envoient sur internet des données si je ne le veux pas

 

exemple, lorsqu'on installe sous windows les pilotes officiels ati, ceux-ci tentent de se connecter sur internet (surement de la telemetrie) mais vu que je n'ai pas de regle pour autoriser les pilotes ati, ceux-ci seront donc bloqués via le parefeu avancé de windows (wireshark, je connais et je l'utilise regulierement)

 

je connais le fonctionnement d'un parefeu, donc c'est pas les connexions entrantes qui me genent vu que c parfaitement geré (aucune regle = acces entrant bloqué)

 

le truc qui me gene c'est les connexions sortantes

 

sous windows si je créé une regle "sortante" "pour firefox" port "80" "tcp" "autorisé"; que je lance safari, safari ne pourra pas acceder au net via le port 80; seulement firefox et pas un autre log (=autre logiciel)

 

ce filtrage du traffic sortant logiciel par logiciel est possible via le parefeu avancé de windows, et c'est ce que je recherche à faire sous linux

 

la solution du parametrage du routeur c'est uniquement dans le cas où le reseau est privé; en hotspot public ou en entreprise, personne me laissera toucher à la passerelle

 

la solution du airgap, ou d'un serveur perso qui jouerait le role de parefeu, dsl pas possible sur un portable qui devrait être deplacé

 

en ce qui concerne le flash, tant que c à jour, c pas un prob

 

en ce qui concerne le java (obligatoire pour jouer à minecraft), tant que c pas installé, mais seulement extrait, c pas un prob (sauf si il arrive à se connecter à internet******************)

 

en ce qui concerne les emails,noscript,............. c'est déjà fait

 

si une solution en cli existe je suis preneur, vu qu'en gui ça a l'air d'être mort

 

moi je ne veux que puissent communiquer avec l'exterieur uniquement:

-firefox (et pas un autre navigateur)

-thunderbird (et pas un autre logiciel de messagerie)

-deluge (et pas un autre client torrent)

-dhcp

-dns

-majs ubuntu

et aucun autre logiciel; sous windows c'est parfaitement possible

Share this post


Link to post
Share on other sites

my bad, j'etais en train de modifier mon message.

 

 

 

et pas un autre log (=autre logiciel)

Ahhh, ok.

Utilise soft plutot, ou marque logiciel en entier parce que les fichier log (genre history.log) c'est autre chose qui n'a rien a voir.

 

IpTable est capable de bloquer tout les ports reseau avec une regle de type OUTPUT DROP anywhere et la t'a plus rien qui passe ensuite d'ecrit tes regles specique avant ce drop (c'est sequenciel du coup le DROP anywhere devient la regle par defaut)

 

Regarde du cote de SeLinux et Iptable, je crois que ca doit etre possible mais faut que je regarde un peu plus, vu que c'est interessant comme problematique.

En gros c'est marquer un process avec un label avec SeLinux et faire en sorte qu'IpTable laisse passer que ce qui est marque avec ce label sur un port specifique.

 

Le truc relou avec SeLinux c'est que c'est vraiment une machine de guerre, si il est en mode enforced c'est lui decide quel appli a le droit de se lancer ou pas (en gros un soft ne peux pas se lancer demarre sans authorisation) et est relativement complique a configurer/comprendre (perso il m'a soule et je l'ai desactiver)

 

Java en lui meme c'est juste une machine virtuel qui fait tourner un blob de bytecode java, donc c'est pas lui qui va communiquer avec l'exterieur mais le prog java et Minecraft va communiquer avec l'exterieur (pour les maj, les stats et le multi)

 

Au final je pense pas que Ubuntu soit la bonne distrib pour toi, regarde plutot une distrib comme Fedora qui est plus porte sur la secu que Ubuntu, c'est ce que j'utilise.

Share this post


Link to post
Share on other sites

pour java, c bien le logiciel que je veux bloquer (et aussi sa vm si possible)

 

en ce qui concerne ce que j'ai dit sur la logitheque, le seul probleme qui reste c'est le cas où:

-ubuntu installé

-logiciel v5 installé via logitheque et utilisé pour creer des fichiers v5 (logiciel v5 compatible avec fichiers v1 v2 v3 v4 v5)

-logiciel en v6 est dispo via logitheque mais pas installé car incompatible avec les fichiers v1 v2 v3 v4 v5

-logiciel v5 plus dispo via logitheque

-reinstall d'ubuntu

-logiciel v6 uniquement dispo via logitheque

-fichiers v5 inutilisables

= niqué
 

Share this post


Link to post
Share on other sites

c'est bizarre ton affaire,

C'est rare qu'un soft soit incompatible avec les formats de fichier de sa version precedente (pas tres pro de leur part si tu veux mon avis).

et genre

apt-get install <pkg_name>=v5

ca marche pas ?

 

Je dois avouer que ca m'est jamais arrive ce coup la, en general c'est juste que les repo proprio sont un peu a la bourre sur la nouvelle version du kernel et mes drivers graphique veulent pas se mettre a jours (mais bon au bout de 48h ca roule).


Je viens de tomber la dessus qui est ce que tu veux a mon avis.

 

http://florent.daigniere.com/posts/2015/07/application-firewalling-with-netfilter/

 

D'apres wiki: https://en.wikipedia.org/wiki/Application_firewall#Linux

AppArmor sous Ubuntu en serai capable aussi

 

Apres un peu plus de recherche apparement c'est mal foutu.

En gros en regardant les commentaires d'un article sur linuxfr c'est apparement pas au point ou alors pas simplement et c'est pas ideale.

C'est curieux ca. y a eu tellement de boulot pour empecher les gens de rentrer qu'on a oublie de verifier au moment de sortir :(

Share this post


Link to post
Share on other sites

ce cas d'incompatibilité est juste un exemple, ça ne m'est pas encore arrivé sous linux

 

sous windows......une seconde......

 

bah y a...

-vmware non compatible avec les vm créées avec les versions 1/2/3/4

-snapshots d'emulateurs de jeux incompatibles avec des versions plus recentes de ces emulateurs

-*.doc créés via office03 bientôt plus compatible

-keepass container créé via la v1 incompatible avec la v2

 

donc je me mefie enormement de la logitheque à cause de ce probleme de suppression d'anciennes versions

 

pour le firewall j'etudie tes liens

Share this post


Link to post
Share on other sites

ce cas d'incompatibilité est juste un exemple, ça ne m'est pas encore arrivé sous linux

 

sous windows......une seconde......

 

bah y a...

-vmware non compatible avec les vm créées avec les versions 1/2/3/4

-snapshots d'emulateurs de jeux incompatibles avec des versions plus recentes de ces emulateurs

-*.doc créés via office03 bientôt plus compatible

-keepass container créé via la v1 incompatible avec la v2

 

donc je me mefie enormement de la logitheque à cause de ce probleme de suppression d'anciennes versions

 

C'est curieux que y ai pas d'outils de migrations ou de retro-compatilite, d'autant plus si c'est des logiciels commerciaux.

Pour les proj open-source, si c'est une petite communaute ca peu arriver par manque de moyen mais c'est rare.

 

Le seul cas ou ca m'est arrive c'est avec Firefox ou ils sont passe de la version sync v1 a v2 ou ils l'ont completement reecris avec un nouveau systeme (separation en 3 systeme separe pour FirefoxOS).

Techniquement il suffisait de supprimer sa conf v1 et de s'incrire sur la v2 et vu que tout etait contenu en locale, j'ai tout recup donc c'etait juste une synchro a faire.

Mais l'anciens systeme continuai de fonctionner malgres tout juste qu'on pouvais plus configurer de v1 (j'hebergeais mon propre serveur sync a l'epoque et la v2 est beaucoup plus complique a installe mais toujours possible)

Share this post


Link to post
Share on other sites

Simple question : as-tu VRAIMENT besoin d'utiliser VMware, et pas autre chose ?

 

Vu comme ça merde à bloc chez toi, je te conseille de passer à QEMU. J'ai ça chez moi avec ma Fedora 23, et mon Win 7 tourne comme une horloge.

 

En plus, ça s'installe via les dépôts.

Share this post


Link to post
Share on other sites

en ce moment je fais le necessaire pour passer sous vbox (je parlais de vmware dans mon precedent post comme un exemple rien de plus)

 

mais pour le controle precis des paquets sortants, là je sens que ça va bloquer

Share this post


Link to post
Share on other sites

Les paquets sortant sont générés par les appli que tu utilises rien d'autres, sous linux rien est envoyé pour faire des stats ou je ne sais quoi sasn ton accords.

Share this post


Link to post
Share on other sites

linux oui, mais les logs tiers moi je tiens à prendre aucun risque

 

je n'ai aucune connaissances en codage, donc je peux pas auditer et je doute fortement que tout est audité convenablement

 

donc 0 confiance

Share this post


Link to post
Share on other sites

Mais c'est quoi cette lubie avec ces logs qui se baladent tout seuls ?

Tu fais plus confiance à Windows qu'à Linux sur la sécurité d'après ce que je comprends. Les logs c'est interne au système. Point. Ca ne sort pas et c'est pas fait pour ça.

Si Linux faisait tous les miracles que tu sembles lui accorder, il n'équiperait pas 85% des serveurs mondiaux.

Share this post


Link to post
Share on other sites

Quels paquets sortants ?

 

Tous mes Tux (et depuis dix ans que je suis dessus, j'en ai testé pas mal) n'envoient des données à l'extérieur que parce que je leur demande de le faire, point !

 

Ça se saurait vite si n'importe quel appli Tux envoyait n'importe quoi n'importe où...

Share this post


Link to post
Share on other sites
linux oui, mais les logs tiers moi je tiens à prendre aucun risque

Man, utilise le mot logiciel, application ou software, log(s) c'est autre chose avec une significations precise -> sortie texte des actions d'une application.

 

Ceci dit il met le doigt sur un truc qui ne se fait pas facilement sous Linux -> On peut bloquer tout les connexions entrante ou toute les connexions sortante sur un port precis mais on ne peux pas gerer au niveau applicatif quel application peut utiliser tel port

Par example avec IpTable on peut tout bloquer sauf le port 80 mais il peut y avoir plusieurs applications qui vont utiliser le port 80 pour communiquer.

Ce qu'il veut c'est pouvoir dire Firefox t'es le seul a pouvoir communiquer sur le port 80 et du coup si Chrome essaye il sera bloque.

 

Ce qui fait que la conf par defaut sous Linux c'est rien de rentre mais tout peut sortir et si une appli qui tourne en tache de fond et decide de communiquer sans qu'on le souhaite ou de squatter un port utiliser par une autre appli on ne fait pas distinction entre les deux.

 

Le seul moyen que j'ai trouve c'est d'utiliser les cgroups mais c'est pas vraiment intuitif et faut savoir ce qu'on fait.

J'ai vu des travaux qui avait commence sur ce sujet mais tous n'ont pas bouge depuis un moment (genre plusieurs annee)

 

Apparement OS X et Windows sont capable de gerer les communications aussi finement.

 

Apres en toute retrospective c'est vrai qu'on a pas l'habitude en tant que Linuxien que les appli qu'on utilise fasse n'importe quoi ou t'ai des logiciel tiers qui s'installe par magie donc c'est un cas qu'on envisage pas au premier abords mais l'option manque ne serai-ce que pour les serveurs si jamais une instance Wordpress se fais pown et qu'un binaire est installe (qui de toute facon ne devrait pas pouvoir s'executer avec AppArmor ou SeLinux mais c'est une plaie a conf et je ne pense pas que beaucoup de monde sache reellement s'en servir) alors on a pas de moyen de le stopper.

Share this post


Link to post
Share on other sites

Dasn ce cas si il est aussi obsédé par des potentiels programmes qui enverraient d'hypotéthique données sur je ne sais quoi sans son accords qu'il se renseigne sur SE LINUX.

Jene dis pas que Linux est infaillible mais l'op veut à tout prit conserver son raisonnement Windows, ce qui ne colle pas, ont ne coduit pas une voiture comme un camion qui ne se conduit pas comme une F1, avec les OS s'est pareils faut apprendre, se remettre en question et mettre au placards ses appriororié et préjugés et surtout ses petites habitudes bonnes ou mauvaises soit elles.

Share this post


Link to post
Share on other sites

N'empêche que c'est pas con d'autoriser certains ports à seulement quelques logiciels.

Au final, entre firefox, thunderbird, les connexions aux dépôts, il doit pas y avoir grand chose d'autre qui sort.

 

Perso, je filtre les cookies seulement sur les sites sur lesquels je veux rester loggés, le reste...

Donc je comprend.

 

Par contre, j'ai un doute, comment ton programme sous windows sait qu'il faut autoriser les ports de redirection. J'explique.

Quand firefox se connecte sur un site, il va taper sur le port 80/443, mais ensuite le serveur lance un thread a alloue un nouveau

port. Comment tu le laisses passer ce nouveau port ?

Share this post


Link to post
Share on other sites

En gros c'est une question de marquer les paquets avec un marqueur, j'avais fais un truc similaire y a longtemps pour un boulot ou au niveau du routeur je marquais les paquets venant du reseau en fonction de l'IP et du site qu'ils visitaient + l'id de la session sur le site en cours (en gros une sorte d'attaque man-in-the-middle) afin que tout le traffic d'un utilisateur passe par un lien internet (sur les 4 dispo) uniquement sur certain site, sinon certain CDN et site drop la session si ils voient 2 ip differente pour la meme session.

Ca impliquait de mettre les mains dans NetFilter et NetLink (un proxy capturait les paquets, un module kernel se chargeait de les marquer et netfilter se chargeait de rediriger vers la bonne interface), c'etait un peu gras comme methode mais ca marchait.

 

Windows a une stack reseau differente et la barriere entre le kernelspace et le userspace n'est pas aussi impermeable, ce qui fait que par nature c'est pas aussi secure mais c'est plus facile de faire ce qu'on veut via une application tierce.

Surtout je pense que ca vient d'un besoin ou comme entre les differents service font n'importe quoi et que c'est un peu openbar sur qui install quoi (aller je vais m'installer moi + tout mes potes histoire de ne pas me sentir seul) on sait pas vraiment ce qui se passe.

On a jamais vraiment eu ce besoin sous Linux vu que le processus d'install est beaucoup plus propre et qu'on a jamais de surprise a ce niveau.

 

Par contre, j'ai un doute, comment ton programme sous windows sait qu'il faut autoriser les ports de redirection. J'explique.

Quand firefox se connecte sur un site, il va taper sur le port 80/443, mais ensuite le serveur lance un thread a alloue un nouveau port.

Comment tu le laisses passer ce nouveau port ?

 

Wooo putaing c'est vrai j'avais oublie cette histoire (Networking 101), bah j'imagine que le firewall qu'il utilise lui ment et ne restraint pas une appli sur un ou plusieurs port specifique, sinon firefox ne marcherait sous simplement pas.

Donc j'imagine que c'est une histoire d'autorisation d'application sur le reseau seulement. (ce qui serai toujours utile et faisable via SeLinux ou AppArmor)

c'est vrai que ca se voit facilement en plus avec la commande "netstat -atlpvn" ou on peut voir tout les ports en court d'utilisation et j'ai du firefox sur les port 40000+ pour les differentes pages auquel j'ai une session en court (keep-session-alive ou un truc comme ca).

 

Du coup c'est vrai que c'est un peu idiot de vouloir restrainte les connexions sortante a un port specifique vu que a moins que tu ai des services mono-utilsateur (avec un serveur par utilisateur) ca ne marcherai tout simplement pas, par contre restraindre les applications qui ont acces au reseau la ca marcherais mieux du coup.

Share this post


Link to post
Share on other sites

×
×
  • Create New...