Salut, j'ai fini l'installation d'arch et de tous les logiciels que je souhaitais utiliser. J'ai corrigé les quelques "bug" qui m'embêtaient. Maintenant j'aimerais sécuriser mon système.

Je ne parle pas des bonnes habitudes à prendre sur internet (je les ai déjà ça ), je parle vraiment de la sécurité informatique (firewall etc)

Qu'est-ce que je peux faire ?

Certains me diront peut être que ce n'est pas utile, que de bonnes habitudes suffises. Mais c'est surtout pour découvrir cet aspect de l'informatique que je ne maîtrise pas

Merci

Tu appelles quoi habitudes sur internet?

Tu peux installer un proxy en local,
https://www.privoxy.org/
blacklister des domaines derangeants dans /etc/hosts
https://github.com/StevenBlack/hosts
Utiliser un VPN (surtout pour quand tu n'es pas chez toi et utilise un wifi potentiellement vulnerable)

En terme de securite sur ton laptop c'est surtout par rapport aux applications que tu utilises et comment tu les configures.
Mais jeter un oeil a iptables ne fait pas de mal.

Par rapport aux bonnes habitudes je pensais plus des pratique telles que :

• toujours télécharger ses logiciels sur le site officiel (surtout valable pour Windows ça, étant donné qu'on a les dépôts sur linux)
• désactiver les scripts JS autant que possible
• naviguer autant que possible via https
• etc

Tu vois de quoi je parle ?

Concernant les host à blacklister, j'ai Ublock qui fait déjà le taf
Pour le vpn j'en ai déjà un
Je vais regarder pour le proxy et iptable

merci

Tu prends un vpn , tu fait gaffe a rien toucher de non créé et t'es bien

De non-free* sorry

Est-ce que par défaut il y a un script iptables qui est lancé sur le système ou alors on doit le créer ?

iptables -S devrait te montrer la table

Sur la doc de iptable de archlinux, ils montrent un script prêt à être C/C qui fait passer toute tes connexions par tor.

Tu peux toujours aller jeter un oeil du côté de SELinux (made in NSA, pour info) ou encore des solutions telles que grsecurity. Mais bon, pour un poste client a priori planqué derrière un bon gros SNAT des familles, je ne m'inquiète pas spécialement. La plupart des mesures de sécurité auxquelles je pense s'appliquent surtout à des serveurs et/ou au réseau qui les encadre (et en prime ça demande du matériel intelligent un poil moins accessible que les merdouilles des réseaux domestiques classiques).

Le 20 juillet 2016 à 14:52:55 f0c300 a écrit :
iptables -S devrait te montrer la table

Pour l'instant j'ai :
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT

Je ne suis pas sûr que ce soit très sécurisant

Le 21 juillet 2016 à 00:32:58 rangerprice a écrit :
Sur la doc de iptable de archlinux, ils montrent un script prêt à être C/C qui fait passer toute tes connexions par tor.

Je vais regarder comment ça marche mais je ne vais pas l'installer

Le 21 juillet 2016 à 00:36:42 Google_Bot a écrit :
Tu peux toujours aller jeter un oeil du côté de SELinux (made in NSA, pour info) ou encore des solutions telles que grsecurity. Mais bon, pour un poste client a priori planqué derrière un bon gros SNAT des familles, je ne m'inquiète pas spécialement. La plupart des mesures de sécurité auxquelles je pense s'appliquent surtout à des serveurs et/ou au réseau qui les encadre (et en prime ça demande du matériel intelligent un poil moins accessible que les merdouilles des réseaux domestiques classiques).

Je n'ai pas envie de changer de distribution, arch me convient très bien. Et puis utiliser une distribution développée par la NSA je ne pense pas que ce soit la meilleure des idées
Je vais voir ce qu'est grsecurity, merci

SElinux n'est pas une distribution, c'est un module/set de patchs pour ton kernel + quelques outils qui permet de configurer d'assez pres certains parametres du kernel.
Et c'est developpe par red hat + la NSA.

Mais en matiere de securite a la maison, je m'inquieterais plus au niveau du routeur/modem wifi de ton FAI qui a probablement tout un tas de failles.

Effectivement, j'oubliais les joies des firmwares chinois. De ce côté ma solution consiste à ajouter un deuxième NAT à l'intérieur du réseau de base. Je planque tous les serveurs derrière ça, du coup.

Le 20 juillet 2016 à 11:33:41 Nirfos a écrit :

• désactiver les scripts JS autant que possible
• naviguer autant que possible via https

1. Ou pas... Le js c'est pas une faille...
2. Et si le site te donne pas le choix entre http / https ? lol T'as pas un PC surveillé par le FBI...

Le 20 juillet 2016 à 12:23:48 vrms a écrit :
Tu prends un vpn , tu fait gaffe a rien toucher de non créé et t'es bien

Si tu veux donner dans la paranoïa, sache que le VPN ne t'apporte quasiment aucune sécurité supplémentaire, si ce n'est un peu plus d'anonymat.

Le 21 juillet 2016 à 11:48:42 f0c300 a écrit :
SElinux n'est pas une distribution, c'est un module/set de patchs pour ton kernel + quelques outils qui permet de configurer d'assez pres certains parametres du kernel.
Et c'est developpe par red hat + la NSA.

Mais en matiere de securite a la maison, je m'inquieterais plus au niveau du routeur/modem wifi de ton FAI qui a probablement tout un tas de failles.

Bah la seule faille c'est le mot de passe statique.

Sinon un antivirus classique + iptables + recherche de backdoor et ce sera plus que suffisant pour un PC domestique.
90% des attaques se font par le biais des sites que tu fréquentes que ce soient eux qui t'attaquent ou que ce soit un tiers qui attaque le site... Regarde plutôt : attaques CSRF, hameçonnage, failles XSS (ça concerne aussi le client...). Et ne penses pas que ça viendra que de ton navigateur ça. Ca peut venir de documents PDF (qui supportent le HTML), de documents respectant la norme OpenDocument (Qui supportent le HTML et le XML, comme Office ou OpenOffice) et enfin : de ton client mail (c'est un mini navigateur Web lui aussi...).
Tu as aussi la substitution de fichiers host, terrible mais difficilement réalisable.

Encore un peu de paranoïa :

1. Le HTTPS n'est pas incassable, une grosse faille a été découverte et il va être déprécié dans quelques années.
2. Le DDOS, une attaque imparable.

Antivirus ?
Genre clamAv?

Bah la seule faille c'est le mot de passe statique.

Je pensais plutot a des 0day que l'on decouvre chaque jour.
Bien sur l'auteur n'a a peu pres aucune chance d'etre attaque par ce biais, vu l'effort requis par l'attaquant, mais dans l'absolu ca reste des failles.

Le 26 juillet 2016 à 18:40:53 vrms a écrit :
Antivirus ?
Genre clamAv?

Exact. Après il faut relativiser sur son utilité : de base sur toutes les distros de linux tu as des permissions très "présentes" donc les virus ont peu de chance de s'installer sans permission. La majorité des failles se trouve créée par l'utilisateur donc c'est plutôt à lui de surveiller ce qu'il fait.

Le 27 juillet 2016 à 10:00:11 f0c300 a écrit :

Bah la seule faille c'est le mot de passe statique.

Je pensais plutot a des 0day que l'on decouvre chaque jour.
Bien sur l'auteur n'a a peu pres aucune chance d'etre attaque par ce biais, vu l'effort requis par l'attaquant, mais dans l'absolu ca reste des failles.

Pas faux, de ce côte on peut pas dire que les FAI fassent des mises à jour tout le temps ^^.

Le HTTPS n'est pas incassable, une grosse faille a été découverte et il va être déprécié dans quelques années.

Laquelle ? À ce jour aucune vulnérabilité connue avec TLS 1.2 et un cipher comme AES-128 GCM. + PFS. Or tous les serveurs Web décents devraient l'implémenter.

ids, ips, fail2ban, iptable,... amuses toi l'auteur

Le 30 juillet 2016 à 00:06:56 Schrodingerscat a écrit :

Le HTTPS n'est pas incassable, une grosse faille a été découverte et il va être déprécié dans quelques années.

Laquelle ? À ce jour aucune vulnérabilité connue avec TLS 1.2 et un cipher comme AES-128 GCM. + PFS. Or tous les serveurs Web décents devraient l'implémenter.

Afin de déterminer si un site est en HTTPS ou non, le navigateur effectue une demande de connexion HTTP classique en envoyant ses cookies (par respect des normes HTTP du W3C, tout navigateur disposant de cookies doit les envoyer). Donc on a des cookies qui ne pas sécurisés au début de l'échange. Cela peut être évité en entrant https:// dans la barre de ton navigateur bien sûr mais le processus n'est pas automatique.Il s'agit bel et bien d'une faille de sécurité.

Tous les sites HTTPS devraient donc passer en HSTS.
http://security.stackexchange.com/questions/17264/hsts-extra-security-over-https

Bah oui c'est du HSTS preloading, je l'utilise moi-même sur mes sites et ça devient de plus en plus une recommandation. Par contre je ne vois pas du tout ça comme une "faille" et encore mois un problème rédhibitoire pour le protocole... Un serveur Web ça se configure bien, et ça ce n'est pas du ressort de l'utilisateur même s'il voit un joli cadenas vert.