Wat is het doel van hardening in Debian?

Het doel van hardening in Debian is om de beveiliging van het besturingssysteem te verbeteren door best practices en configuraties toe te passen die helpen bij het beschermen tegen aanvallen.

Waarom is root-toegang vermijden belangrijk?

Het vermijden van root-toegang is belangrijk omdat het de mogelijkheden voor aanvallers beperkt en helpt bij het voorkomen van ongeautoriseerde toegang tot gevoelige gegevens.

Wat zijn enkele aanbevolen praktijken voor wachtwoorden?

Aanbevolen praktijken voor wachtwoorden zijn onder andere het gebruik van complexe wachtwoorden met een minimale lengte, het aantal toegestane inlogpogingen te beperken en wachtwoordbeleid te handhaven.

Wat is het belang van gebruikersbeheer?

Gebruikersondersteuning is essentieel voor het waarborgen dat alleen geautoriseerde gebruikers toegang hebben tot bepaalde systeemfuncties, wat het risico op datalekken of aanvallen vermindert.

Hardening Debian 10 (Buster)

00:41:55

https://www.youtube.com/watch?v=N-pvLMHtRSA

Resumen

TLDRDe presentatie door Frédéric richt zich op het verbeteren van de beveiliging van Debian-systemen door het toepassen van hardeningstechnieken. Hij bespreekt de noodzaak van goede gebruikersbeheer, het gebruik van sudo voor administratieve taken, en biedt richtlijnen voor wachtwoordcomplexiteit en firewalls. De spreker benadrukt het belang van encryptie voor gegevensbeveiliging en het correct configureren van SSH. Hij bespreekt ook de rol van PAM-modules en het patchen van kwetsbaarheden. Dit alles met als doel een veiliger, beter beheerd systeem te creëren dat bestand is tegen cyberaanvallen.

Para llevar

🔐 Het belang van hardening voor systeembeveiliging.
🐧 Beheer van gebruikersaccounts is cruciaal.
🛡️ Gebruik van sudo in plaats van root-toegang.
⚙️ Pas wachtwoordcomplexiteit en beleid toe.
🌐 Configuratie van firewalls is noodzakelijk.
🔑 Versleutel gegevens voor extra beveiliging.
✉️ SSH-configuraties moeten worden aangescherpt.
📜 Altijd up-to-date blijven met patches.
🧰 Gebruik PAM-modules voor extra beveiliging.
⚠️ Monitoren van systeemlogs voor verdachte activiteiten.

Cronología

00:00:00 - 00:05:00
De spreker, Frédéric, introduceert zijn presentatie over de beveiliging van Debian-systeemconfiguraties. Hij legt uit dat de presentatie zowel in het Frans als in het Engels zal zijn, maar de slides zijn in het Engels. De presentatie richt zich op best practices voor hardening van Debian, met een focus op cybersecurity.
00:05:00 - 00:10:00
Frédéric bespreekt de noodzaak van harde beveiligingsconfiguraties voor Linux-systemen. Hij benadrukt dat, hoewel Linux als veilig wordt beschouwd, het nog steeds kwetsbaar is voor aanvallen zoals malware, cyber-squatting en beveiligingslekken. Hij wijst op het belang van het beveiligen van applicaties en systemen om gegevensverlies te voorkomen.
00:10:00 - 00:15:00
De spreker stelt vast dat beveiligingslekken veelal voortkomen uit bugs in het besturingssysteem en een slecht beveiligde serverconfiguratie. Hij adviseert regelmatig systeemupdates en patches aan te brengen. Er wordt ook gesproken over de noodzaak van een holistische aanpak om de algehele beveiliging van een Linux-systeem te verbeteren.
00:15:00 - 00:20:00
Frédéric introduceert het concept van systeemhardening en de principes daarvan. Hij vertelt over inspectie van gebruikersaccounts, juiste gebruikersrechten, en het notificeren van gebruikers over hun toegangsrechten voor een veiliger systeemgebruik. De spreker benadrukt dat alle systeembeheerders de basis van systeemveiligheid moeten begrijpen en toepassen.
00:20:00 - 00:25:00
De spreker bespreekt de voordelen van het beperken van root-toegang en het gebruik van 'sudo' voor administratieve taken. Hij pleit ervoor om root-logins te deactiveren voor verhoogde veiligheid, waardoor het een stuk moeilijker wordt voor aanvallers om toegang te krijgen via brute-force-aanvallen.
00:25:00 - 00:30:00
Frédéric behandelt verschillende configuraties en technieken om gebruikersauthenticatie te beveiligen, zoals het versterken van wachtwoordcomplexiteit en het implementeren van firewalls. Hij legt uit hoe iptables kan worden gebruikt om een firewall te configureren op Debian-systeem en hoe deze regels persistent kunnen worden gemaakt.
00:30:00 - 00:35:00
De spreker gaat verder met het bespreken van encryptie op het systeem en het verhogen van de algehele dataveiligheid door gebruik te maken van SSH. Hij raadt aan om SSH-sleutels te gebruiken in plaats van wachtwoorden voor veiligere verbindingen en controlemechanismen in te stellen die ongeoorloofde toegang tot de root-account beperken.
00:35:00 - 00:41:55
Tot slot bespreekt Frédéric de noodzaak om operationele beveiliging te monitoren en beleid inzake het kernel-beveiliging in acht te nemen. Hij benadrukt het belang van auditing, goed ontwerp en de toepassing van beveiligingspatches en -updates om de kans op aanvallen door kwetsbaarheden te minimaliseren.

Mapa mental

Vídeo de preguntas y respuestas

Wat is het doel van hardening in Debian?
Het doel van hardening in Debian is om de beveiliging van het besturingssysteem te verbeteren door best practices en configuraties toe te passen die helpen bij het beschermen tegen aanvallen.
Waarom is root-toegang vermijden belangrijk?
Het vermijden van root-toegang is belangrijk omdat het de mogelijkheden voor aanvallers beperkt en helpt bij het voorkomen van ongeautoriseerde toegang tot gevoelige gegevens.
Wat zijn enkele aanbevolen praktijken voor wachtwoorden?
Aanbevolen praktijken voor wachtwoorden zijn onder andere het gebruik van complexe wachtwoorden met een minimale lengte, het aantal toegestane inlogpogingen te beperken en wachtwoordbeleid te handhaven.
Wat is het belang van gebruikersbeheer?
Gebruikersondersteuning is essentieel voor het waarborgen dat alleen geautoriseerde gebruikers toegang hebben tot bepaalde systeemfuncties, wat het risico op datalekken of aanvallen vermindert.

Ver más resúmenes de vídeos

Obtén acceso instantáneo a resúmenes gratuitos de vídeos de YouTube gracias a la IA.

Subtítulos

Desplazamiento automático:

00:00:05
ok séquence with frédéric l'enquêté
00:00:10
gonna take two par downing
00:00:13
deviennent-elles will be in english and
00:00:17
french and english et additionnelles
00:00:21
diffus spécifiques terme on sentait que
00:00:28
free to play sur l île est ok ya six
00:00:30
wickets 5 you please welcome frédéric
00:00:33
[Applaudissements]
00:00:38
thank you so i decided that forced to
00:00:43
make the presentation in english but
00:00:45
some as tu me to do it in french so à
00:00:49
will do ou mixte ok the slide are in
00:00:55
english
00:00:56
so for the english people you can't read
00:01:00
heat en force de francky polémique en
00:01:02
chimie ok so far this présentation avait
00:01:08
déjà dit tout tout un studio spector
00:01:11
hardening the new version of deviennent
00:01:14
tout à ce que ces questions what is hard
00:01:19
downing debian and what is best practice
00:01:24
always in place d'accords donc en fait
00:01:28
en gros donc on va voir les toutes les
00:01:31
bonnes pratiques dans debian et et la
00:01:34
notion de a redonné hardening qui veut
00:01:36
dire durcir la configuration est
00:01:39
pourquoi il faut le faire
00:01:40
d'accord
00:01:44
donc nous sommes dans un contexte au
00:01:47
niveau cybersécurité ou linux fait
00:01:50
figure de système le plus sécurisé donc
00:01:53
face aux menaces qui a sur internet
00:01:57
alors pour en citer certaines tout ce
00:02:00
qui est beau ce botnet malware donc qui
00:02:03
peuvent amener sur des dénis service
00:02:07
les rangs de somewhere parce que c'est
00:02:09
bien d'être sur linux en disant nous on
00:02:10
n'a pas de virus on est tranquille tout
00:02:12
ça souvent on héberge des données en
00:02:15
partageant des serveurs de fichiers sous
00:02:17
windows
00:02:18
et c'est ces systèmes là peuvent être
00:02:20
touchée aussi par les rangs de somewhere
00:02:21
via les partages ou dans les messageries
00:02:25
un gros risque aussi que l'on rencontre
00:02:27
beaucoup c'est les uns le cybersquatting
00:02:30
crypto bitcoin software qui vient
00:02:34
s'installer sur votre serveur et qui
00:02:35
utilise du cpu pour eux pour miner du
00:02:40
bitcoin est pauvre et fournir des débits
00:02:46
tu cognes aux pirates
00:02:47
voilà donc et le dernier haut niveau
00:02:52
risque c'est toutes les failles de
00:02:54
sécurité qui n'implique pas forcément
00:02:56
des malwares mais des failles qui
00:03:00
permettent à des attaquants de rentrer
00:03:01
sur les systèmes pour voler des données
00:03:03
style sensitive une formation qui est le
00:03:08
risque majeur actuellement sur internet
00:03:10
là la fuite de base de données par
00:03:12
exemple cet appel et les leaks on
00:03:13
retrouve tous les les login password les
00:03:16
cartes bleues de tout le monde donc si
00:03:22
on s'intéresse aux failles de sécurité
00:03:25
security breach
00:03:26
d'où vient-elle alors en grande partie
00:03:29
ça peut venir de bugs du système
00:03:31
d'exploitation directement soit ducarne
00:03:34
elles soient des services qui tourne
00:03:36
autour et ensuite on va rencontrer des
00:03:41
bugs dans les applications donc par
00:03:42
exemple sur les serveurs web qui héberge
00:03:45
qui sont hébergés sur les serveurs linux
00:03:48
et on peut aussi avoir pour les
00:03:52
configurations de serveurs c'est à dire
00:03:53
des serveurs qui sont très mal configuré
00:03:56
au niveau sécurité et qu'ils peuvent
00:03:59
aussi mener à des piratages des
00:04:02
exploitations alors souvent le premier
00:04:06
peut être corrigé par en mettant à jour
00:04:10
les patchs
00:04:12
de sécurité mais il faut se rendre
00:04:15
compte que d'une façon globale
00:04:17
un système même linux a besoin de tout
00:04:24
un ensemble d'actions pour le rendre
00:04:25
beaucoup plus sécurisée comment on va le
00:04:28
voir
00:04:28
donc cette présentation n'a pas pour but
00:04:31
d'être exhaustif je ne traiterai pas et
00:04:34
ce linux ou apparmor mais on va voir
00:04:36
quand même quelques concepts assez
00:04:38
avancé alors par rapport à ce qu'on
00:04:43
vient de voir dans le seul précédent
00:04:44
nous avons besoin d'eux a redonné
00:04:47
hardening hero system one aux mines arts
00:04:50
denys au stand ça veut dire improving
00:04:53
the security of native système
00:04:55
c'est-à-dire rajouté par rapport aux
00:04:57
éléments existants tout un ensemble de
00:05:00
configurations de directives de
00:05:03
compilation comme on verra et de bonnes
00:05:05
pratiques à mettre en place pour
00:05:07
renforcer la sécurité de notre système
00:05:10
est l'objectif étant the goal is to make
00:05:13
or linux box has sécurisé possible
00:05:18
ok et s'il n'a pas lisse est de dire que
00:05:22
tous les administrateurs linux doivent
00:05:25
apprendre la sécurité au moins sûr sur
00:05:29
leur système d'accord donc à partir de
00:05:34
là qu'est ce que l'on peut faire
00:05:35
la première chose à faire c'est bien sûr
00:05:38
c'est de s'intéresser aux comptes
00:05:39
utilisateurs de façon avec la gestion
00:05:42
des droits classiques pour faire en
00:05:44
sorte que les utilisateurs puissent
00:05:47
faire leur travail et réaliser les
00:05:50
actions pour avancer dans leur boulot
00:05:53
classique il faut s'assurer que les
00:05:55
autres utilisateurs ne vont pas avoir
00:05:57
accès à leurs données et bien entendu le
00:06:01
dernier point c'est il faut pas que
00:06:02
l'utilisateur puisse aller se balader
00:06:04
partout dans le système pour avoir plein
00:06:06
d'informations alors quand on sur le
00:06:08
dernier point on se rend compte qu
00:06:10
actuellement avec des commandes de base
00:06:12
on peut encore voir quand même beaucoup
00:06:13
de choses sur un système linux par
00:06:15
exemple les loques du kernel avec des
00:06:17
msg on pouvait entendre quand les voir
00:06:19
avec les droits utilisateur classique on
00:06:22
verra que dans buster
00:06:24
ça a été renforcée au niveau sécurité
00:06:26
par duhart dening d'accord alors dans
00:06:32
les premières recommandations pour la
00:06:34
sécurité des comptes utilisateurs déjà
00:06:37
on peut se poser la question est-ce que
00:06:39
c'est nécessaire de garder un contrôle
00:06:41
actif d'accord donc pour plusieurs
00:06:45
raisons déjà on peut faire de grosses
00:06:49
conneries en est en route
00:06:51
sur toutes les actions alors encore
00:06:54
moins j'en vois certains qui installent
00:06:55
leur linuxgraphic en start x en route ça
00:06:58
je trouve ça horrible
00:06:59
voilà et après il ya là aussi au niveau
00:07:04
on verra après sur la notion de logs des
00:07:06
actions il n'est pas forcément possible
00:07:08
au ghetto ce qu'on fait en route
00:07:10
d'accord donc du coup on se tournera
00:07:12
vers les bénéfices de sud au the
00:07:15
benefits of sido comment remédier on va
00:07:19
dire un au risque d'être constamment
00:07:21
route et on verra comment configurer le
00:07:26
système pour générer un passeur de
00:07:28
qualité même si on va considérer que le
00:07:31
pasteur n'est pas sécurisé et on le
00:07:33
remplacera par autre chose par la suite
00:07:35
donc alors comment on met en place tout
00:07:38
ça alors la première chose alors là je
00:07:42
suis pas s'il y en a qui vont hurler
00:07:43
mais on peut proposer 2 de bloquer les
00:07:48
accès à route alors on peut toujours
00:07:50
même si on a su dont on peut toujours
00:07:51
faire et sud aurait su pour devenir
00:07:53
route
00:07:53
donc du coup ici directement dans le six
00:07:59
passes de bonnes idées on met route en
00:08:00
eau le guide ça va ça règle le problème
00:08:03
il n'est plus possible après un
00:08:05
utilisateur de se connecter en route et
00:08:09
il fera tout avec son son compte
00:08:11
lui-même et sera longue et de cette
00:08:14
façon n'a pas alors pour cela
00:08:21
pour cela on va utiliser sud au donc
00:08:24
peut-être vous le faites déjà c'est très
00:08:25
bien et moi même je travaille fait un
00:08:30
gros travail sur moi pour l'utiliser
00:08:32
d'accord donc
00:08:36
l'intérêt on le verra dans la salle
00:08:38
d'après mais c'est de permettre à des
00:08:40
utilisateurs toujours d'avoir des droits
00:08:44
avancé pour réaliser des tâches
00:08:46
administratives
00:08:47
mais il est rare que tous les actions
00:08:49
que l'on a affaire requièrent les droits
00:08:51
administrateurs donc dans ce cas autant
00:08:54
au tout autant gérer le système les
00:08:58
utilisateurs avec les aspects sud au
00:09:00
pour leur donner des droits bien
00:09:02
spécifiques
00:09:03
s'ils doivent réaliser des actions
00:09:05
d'administration ils tapent leur
00:09:07
password leur propre password et il n'y
00:09:10
a pas besoin de donner le mot de passe
00:09:12
root à tout le monde et encore moins si
00:09:14
un utilisateur quitte le groupe
00:09:17
la société on doit changer le mot de
00:09:19
passe root pour tout le monde ce qui est
00:09:20
un problème
00:09:21
voilà donc ça résout déjà ce problème là
00:09:25
on verra aussi que l'on peut aller plus
00:09:28
loin ensuite le fait de désactiver le
00:09:32
compte root
00:09:33
au niveau sécurité ça a un impact
00:09:35
immédiat pour les attaquants s'ils
00:09:38
l'attaquent principal sur les sur les
00:09:41
mots de passe de l'extérieur c'est le
00:09:44
bruit de force et on va chercher avec à
00:09:47
parcourir tout un ensemble dictionnaire
00:09:49
de mots de passe pour pour essayer
00:09:51
d'avoir des accès sur les comptes
00:09:52
si on désactive le comte route il est
00:09:55
plus possible ou difficile de savoir qui
00:09:57
a les droits de mincom utilisateurs donc
00:09:59
ça complexifie les attaques
00:10:01
d'accord mais on verra que les mots de
00:10:04
passe aussi vocation à disparaître
00:10:06
dans tous les cas donc ici mais que
00:10:11
sandwich watts mais quitte sur cf sud au
00:10:14
mais que sont dits choqués alors ici une
00:10:19
démonstration de pourquoi on va éviter
00:10:22
d'utiliser les accès route pour réaliser
00:10:25
des tâches d'administration
00:10:27
c'est sur le monitoring des actions sur
00:10:30
un système on va de plus en plus vers
00:10:32
une sécurité on va monitorer toutes les
00:10:34
actions sur les logs sont ce qu'on
00:10:36
appelle des essais m et on voit que par
00:10:39
exemple si on réalise une action avec je
00:10:44
me connecte en ait su - pour devenir
00:10:45
août tous les actions que je vais
00:10:47
exécuter dans cette
00:10:49
si on ne seront pas l'objet on voit
00:10:50
juste opening une clause session en
00:10:53
libye not all jackson in between nothing
00:10:58
is all claudine ok si vous êtes vous
00:11:02
utilisez votre sud au pour faire tout ça
00:11:07
tout les ici par exemple je me suis
00:11:10
connecté donc sur six ont des seins sur
00:11:13
mon serveur et et avec studio je suis
00:11:16
devenu route
00:11:17
j'ai fait un opt update pas très méchant
00:11:20
et ça a été longue et j'ai quitté la
00:11:24
session et ses sorties donc on voit la
00:11:25
commande qui est appliquée et on voit
00:11:27
l'utilisateur
00:11:28
donc on a on rentre dans la condition de
00:11:31
traçabilité d'accord de toutes les
00:11:34
actions
00:11:34
donc voilà rien que ça au niveau
00:11:35
sécurité pour se conformer à des
00:11:37
politiques de sécurité des systèmes
00:11:38
d'information on répond déjà aux bonnes
00:11:42
pratiques
00:11:45
ensuite si on s'intéresse à aux aspects
00:11:49
de complexifier les mots de passe donc
00:11:52
ça c'est juste à titre indicatif
00:11:55
alors cette présentation je la mettrais
00:11:57
en partage sur le wiki vous pourrez y
00:11:59
accéder et revenir plus en détail sur
00:12:01
tous les points si ça vous intéresse
00:12:03
voilà donc là pour comment on gère sur
00:12:07
un système debian pour augmenter donc là
00:12:09
la complexité des mots de passe et avoir
00:12:12
une politique de mot de passe
00:12:13
on va utiliser pis de belou quality
00:12:16
d'accord et ça fait partie des suspects
00:12:18
les plus gabol authentication module
00:12:20
l'edpams d'accord donc par défaut il
00:12:23
n'est pas installé donc il faut
00:12:25
l'installer on installe aptitudes
00:12:27
installe les palais de beaulieu quality
00:12:29
voilà donc je n'ai bien installé que
00:12:31
sinon j'ai fait des choses bien et
00:12:34
ensuite on va dans le répertoire pam
00:12:39
d'hôtes dit et on greffe sur p2bym
00:12:43
quality on voit que par défaut le
00:12:45
système autorise que trois connexions
00:12:48
free on y trois tentatives de
00:12:51
connection d'accord comme je les écris
00:12:54
ici sinon on est déconnecté on
00:12:59
d'accord si on va aller plus loin alors
00:13:04
la question c'est combien on autorise
00:13:07
deux tentatives de connexion alors 112
00:13:13
c'est pas c'est pas évident à savoir
00:13:15
donc alors c'est normal ça c'est la
00:13:17
taille du mot de passe d'accord donc la
00:13:20
taille du mot de passe donc password
00:13:21
complexité alors ça ça ce paramètre dans
00:13:25
le fichier donc il faut éditer le film
00:13:27
the le fichier password colitti d'autres
00:13:30
gonfle et on a tout un ensemble de
00:13:32
paramètres que l'on peut renseigner ici
00:13:34
et par exemple ici la taille minimum bon
00:13:39
12 caractères tout ça c'est des choses
00:13:41
très simples je vais pas m'étendre très
00:13:44
longtemps donc si vous êtes basé sur une
00:13:48
politique de sécurité dans votre
00:13:49
entreprise vous juste ça vous appliquez
00:13:52
sur ce qui est stipulé dedans d'accord
00:13:55
je bouge beaucoup c'est ça non ok bon
00:14:00
rien d'extraordinaire là tout le monde
00:14:01
comprend si on veut aller un peu plus
00:14:03
loin et on veut combattre les attaque
00:14:07
par dictionnaire donc les attaques par
00:14:10
brute de force
00:14:10
qu'est ce que l'on va faire donc on va
00:14:13
définir un nombre maximum de tentatives
00:14:17
de connection donc alors ici la question
00:14:20
est combien alors on pourrait même sens
00:14:24
parce que pourquoi sens parce que ça
00:14:26
permet déjà l'utilisateur s'il a oublié
00:14:28
son mot de passe
00:14:28
dessiner 15 fois sans avoir à bloquer
00:14:31
son compte et si une attaque par
00:14:33
dictionnaire derrière au bout de cent
00:14:34
fois ça va arriver très vite
00:14:35
le compte est bloqué d'accord donc
00:14:38
comment aux paramètres ça donc il faut
00:14:41
aller donc dans le fichier de
00:14:43
configuration pareil donc le tc pam des
00:14:48
login hockey et modifier le paramètre au
00:14:52
tricot ailleurs des nay et qui est ici
00:14:55
dans la dans le fichier on a un exemple
00:14:57
et on voit que par exemple ici si on met
00:15:00
des nay quatre tentatives on me peut
00:15:03
mettre le nombre que l'on souhaite
00:15:05
d'accord
00:15:07
ce module est déjà installée sur buster
00:15:11
donc il n'y a rien à faire si ce n'est
00:15:13
de l'utiliser encore maintenant que l'on
00:15:23
a vu un bref aperçu de la sécurité au
00:15:27
niveau des utilisateurs
00:15:28
on peut se poser la question du firewall
00:15:32
des systèmes comme red hat arrive déjà
00:15:35
avec des firewall préconfigurés et aussi
00:15:38
et ce linux préinstallé donc on va
00:15:42
travailler sur des notions de security
00:15:44
in deep donc sécurité en profondeur sur
00:15:48
des biens dambusters on n'a pas de
00:15:50
firewall par défaut et pas de règle
00:15:53
iptables non plus de de paramétrer donc
00:15:56
on le voit avec les deux commandes iep
00:15:59
est à - t-elle qui ne fournissent rien
00:16:03
alors ici on est sur ces ip v6 et là on
00:16:08
est en ipv4 d'accord voilà donc qu'est
00:16:14
ce que ça veut dire tout ça ça veut dire
00:16:15
que l'installation du firewall va être à
00:16:17
votre charge
00:16:18
d'accord le système ne préconise rien
00:16:20
donc là on peut trouver tout un ensemble
00:16:25
de deux solutions alors qu'est ce qu'on
00:16:29
peut mettre en place alors moi je
00:16:32
propose ip ta persistant qui peuvent
00:16:34
bien compliqué à mettre en place et qui
00:16:35
va permettre de conserver vos règles de
00:16:40
sécurité du firewall même après un
00:16:42
redémarrage
00:16:43
d'accord ça va rejouer les règles
00:16:45
iptables dans un via un script d'accord
00:16:49
donc comment on installe ip ta
00:16:52
persistant bas avec ap tes aptitudes
00:16:54
installe voilà et il vous propose de
00:17:00
sauvegarder les règles en cours donc si
00:17:02
vous avez déjà des règles qui ont été
00:17:04
jouées sur le système il valait rajouter
00:17:07
à son fichier de configuration
00:17:08
ce qui est très pratique donc après on
00:17:12
va pas rentrer dans les détails de
00:17:13
iptables mais c'est juste pour vous
00:17:14
donner un aperçu
00:17:18
donc une fois que l'on a installé ip ta
00:17:21
persistants on peut aller regarder dans
00:17:22
le répertoire le tc iptables et là on
00:17:25
voit qu'il nous a créé les règles pour
00:17:28
11 v 4 et v6 qui vont faire référence à
00:17:33
ipv4 ipv6 sur lesquels vous avez tout
00:17:37
l'opportunité de les modifier et de les
00:17:41
attaquer et de les adapter selon votre
00:17:43
politique de sécurité vous voulez mettre
00:17:45
en place d'accords donc on voit que
00:17:48
après le redémarrage du système
00:17:51
on a une persistance des des règles en
00:17:55
place
00:17:55
alors il existe d'autres alternatives
00:17:59
que iptables je le mets juste à titre
00:18:02
indicatif sur les systèmes ou bintou
00:18:04
retrouver uef w et il existe au cnf nft
00:18:09
boys que je n'ai pas expérimenté mais
00:18:12
c'est être un 10 katif donc il faudra
00:18:14
l'installer vous-même iptables resto il
00:18:17
pète a persisté en restant la meilleure
00:18:19
solution pour debian
00:18:25
maintenant on va s'intéresser au
00:18:27
chiffrement alors et au durcissement des
00:18:31
déconnexions avec ssh duchel sécurisé
00:18:35
alors l'objectif est de si on veut
00:18:40
chiffrées alors je parle pas de luxe qui
00:18:42
permet de chiffrer des partitions c'est
00:18:44
déjà implémenté on peut à l'installation
00:18:47
du système on peut le mettre en place
00:18:49
c'est assez ça c'est bien fait là c'est
00:18:52
vraiment des choses qu'on dont l'idée ce
00:18:54
serait de rajouter là si on veut par
00:18:56
exemple chiffré le le répertoire de
00:19:00
l'utilisateur on va utiliser le crypte f
00:19:04
s creed file system donc qui qui
00:19:09
correspond à entreprises cryptographique
00:19:12
file system
00:19:12
alors pour l'installer on va utiliser
00:19:14
apt-get installe crypte utilisent et
00:19:21
ensuite on va mettre on va on va jouer
00:19:23
commande suivante pour pouvoir chiffrer
00:19:26
toutes les données qui sont dans le
00:19:29
répertoire alors
00:19:31
c'était très utilisé alors pourquoi il
00:19:36
ya un petit souci avec et on pouvait
00:19:39
aussi l'utiliser pour chiffrer la soie
00:19:43
la partition des changes
00:19:44
parce que c'est bien de chiffrer ces
00:19:45
données utilisateurs mais si on arrive à
00:19:47
friser la machine et accéder à la swapo
00:19:50
on pourrait avoir accès à des données
00:19:52
sensibles aussi donc cet outil le
00:19:54
permettait mais quand j'ai voulu
00:19:56
installer
00:19:57
je me suis rendu compte que il a été
00:20:00
supprimé de testing donc pour un
00:20:04
problème de bugs
00:20:05
donc c'est très récent donc du coup
00:20:08
à suivre aussi à des experts dans la
00:20:11
salle là dessus peut-être qu'ils nous
00:20:12
répondrons si ça va revenir
00:20:14
d'accord donc pour le moment utiliser
00:20:19
luxe pour chiffrer vos partitions à
00:20:22
l'installation du système plutôt que
00:20:24
crypte file system maintenant tout à
00:20:33
l'heure enfin tout à l'heure on parlait
00:20:35
que comment renforcer là
00:20:38
la sécurité des mots de passe alors dans
00:20:45
mon existence de on va dire de la
00:20:49
cybersécurité je suis souvent amené à
00:20:50
faire des attaques par social
00:20:51
engineering par mail et qu'est ce qui se
00:20:55
passe généralement c'est que quand on
00:20:57
demande leur mot de passe un utilisateur
00:20:58
il les donne
00:20:59
d'accord donc il n'y a pas besoin
00:21:01
d'avoir faire du riz vers saint jean
00:21:03
ring je ne sais quoi on peut considérer
00:21:06
que les mots de passe maintenant son
00:21:08
pneu sont plus sécurisés alors pour des
00:21:11
raisons déjà le bruit de force tout ce
00:21:13
qui est qu'il oguer sur les postes ce
00:21:14
qui enregistre tout ce que vous tapez au
00:21:15
clavier mais le social engineering reste
00:21:18
quand même avec le spear phishing larmes
00:21:21
absolue pour tous piraté sur internet
00:21:23
d'accord donc comment on va se protéger
00:21:29
de ça on va utiliser les clés de
00:21:32
cryptographie ssh pour pour faire
00:21:36
disparaître les mots de passe d'accord
00:21:38
donc je pense que beaucoup de monde ici
00:21:39
connaît ça c'est c'est juste à titre
00:21:42
indicatif
00:21:42
mais c'est bien d'être dit donc qu
00:21:45
attiser la commande ssh qui gêne qui va
00:21:48
générer une paire de clés une clé
00:21:50
publique une clé privée et grâce à ça on
00:21:54
va pouvoir autoriser des utilisateurs à
00:21:59
se connecter sur des serveurs sans mot
00:22:02
de passe d'accord ou sur d'autres
00:22:04
comptes d'accor donc donc du coup les
00:22:08
conseils sont deux autoriser les
00:22:10
utilisateurs donc à pouvoir échanger des
00:22:14
clés donc être basée sur des clés de
00:22:17
cryptographie et bien sûr et si ce n'est
00:22:20
pas fait bloquer l'accès ssh ou
00:22:24
contrôler de l'extérieur pour éviter en
00:22:27
même temps les attaques
00:22:28
alors comment on fait ça c'est très
00:22:33
simple vous générez une paire de qui une
00:22:36
paire de clés sur votre machine donc
00:22:38
avec ssh qui gêne vous choisissez le
00:22:43
type de chiffrement symétrique donc ici
00:22:45
par défaut maintenant c'est rsa et la
00:22:48
taille de la clé
00:22:50
public 4087 alors on considère que 2048
00:22:54
c'est ça va bientôt être cassée donc on
00:22:57
se protège pendant dix ans la
00:23:00
l'informatique quantique cassera la
00:23:03
cryptographie symétrique 1 donc à terme
00:23:07
qui à terme rsa seront remplacés voilà
00:23:13
alors une fois que l'on a généré une
00:23:15
autre paire de clés on va prendre on va
00:23:17
se connecter sur notre serveur comme
00:23:19
j'ai fait là et j'ai coupé ma clé
00:23:21
publique dans un fichier spécial pour
00:23:25
pour que le serveur me connaissent et me
00:23:28
identifie voilà donc dans le fichier
00:23:32
autorisé de crise on va les copier sa
00:23:34
clé sur le serveur distant toit sont
00:23:36
très simples et une fois ça qu'est-ce
00:23:39
qui se passe et bien je peux me
00:23:43
connecter sur mon serveur sans mot de
00:23:44
passe comme l'a donc j'ai tapé ssh on a
00:23:49
tu mon serveur et il m'a pas demandé de
00:23:51
mot de passe
00:23:52
je suis connecté direct dessus et quand
00:23:54
je fais au stijm je suis bien sur mon
00:23:57
serveur buster voilà ils n'ont pas
00:23:59
sûrement workstation qui effraie des
00:24:00
messies d'accord voilà donc rien de rien
00:24:05
d'extraordinaire mais c'est quand même
00:24:06
une révolution on demande souvent ça
00:24:08
existe windows je ne sais pas répondre
00:24:10
donc ça existe
00:24:13
alors maintenant comment on fait pour
00:24:17
désactiver le contrôle de l'extérieur
00:24:19
donc c'est très simple par défaut sur
00:24:23
debian le fichier d'administration donc
00:24:26
c'est ssh config d'accord et par défaut
00:24:30
le paramètre qui permet d'autoriser ou
00:24:33
pas le l'accès aux comptes route s'est
00:24:36
permis trop de login alors permis trop
00:24:39
de login par défaut il ya prohibited
00:24:41
password haut qu'est ce que ça veut dire
00:24:43
ça ça veut dire qu'en fait le compte
00:24:46
root est autorisé à se connecter mais
00:24:48
seulement par échange de clés c'est à
00:24:51
dire ça bloque
00:24:52
on peut pas se connecter de l'extérieur
00:24:54
aux comptes route avec un mot de passe
00:24:56
d'accord donc déjà ça ça bloque les
00:24:59
attaques par brute force donc c'est déjà
00:25:01
pas mal
00:25:02
après s'ils ont choisi de totalement
00:25:04
bloquer l'accès aux comptes route même
00:25:06
parc laissé ça de l'extérieur on eut
00:25:09
comparé à mettra père mitro de login un
00:25:12
no d'accord ok donc et bien sûr aux
00:25:18
courses du restart ssh
00:25:20
ok ok donc voilà tout ça c'est très
00:25:23
simple à faire et ça se met en place
00:25:24
très rapidement après il suffit juste de
00:25:27
faire au sud au et pour avoir accès aux
00:25:30
tâches d'administration d'accor
00:25:34
maintenant on va s'intéresser à autre
00:25:36
chose alors ça alors les ça ils vont
00:25:40
être de plus en plus complexes d'accord
00:25:41
mais je vais essayer de vulgariser au
00:25:44
maximum une des failles de sécurité
00:25:45
qu'on trouve beaucoup dans les
00:25:47
challenges route nice et de
00:25:49
cybersécurité c'est le suio dit what is
00:25:52
the issuer dit en fait il est possible
00:25:54
de donner à certains
00:25:57
un certain exécutable des droits sur
00:26:01
lequel un utilisateur en utilisant cet
00:26:03
exécutable va récupérer les droits de
00:26:06
l'utilisateur pour lequel il a été créé
00:26:08
ça veut dire quoi si par exemple ici je
00:26:12
veux je suis un utilisateur et je veux
00:26:14
changer mon mot de passe qu'est ce qui
00:26:16
se passe je vais utiliser l'exécutable
00:26:19
passe wd et cet exécutable va devoir
00:26:23
accéder au fichier des mots de passe
00:26:25
chiffrés qui est au tc shadow d'accord
00:26:29
où les mots de passe ont haché ange
00:26:31
chasse 512 mais ce fichier l'utilisateur
00:26:35
n'y a pas que c'est donc pour faire ça
00:26:37
on va rajouter ici une chose spéciale
00:26:42
qui les ai sué dis donc ici il est pur
00:26:45
passe wd et avec l'utilisateur route
00:26:48
c'est à dire que les utilisateurs qui
00:26:50
vont accéder à ce programme deviendront
00:26:53
route en utilisant alors ça veut dire
00:26:56
quoi
00:26:56
c'est à dire qu' il existe sur votre
00:27:00
serveur debian tout un ensemble de
00:27:03
fichiers programmes qui essaye d'y
00:27:06
positionner et qui sont sur route
00:27:08
donc on pesant et c'est pas une faille
00:27:11
de sécurité majeure alors en prenant du
00:27:14
recul j'ai trouvé dans un bouquin que
00:27:17
c'était necessary evil
00:27:19
bon pourquoi pas mais donc du coup c'est
00:27:23
nécessaire mais ça reste dangereux alors
00:27:25
dangereux pourquoi parce que si d'autres
00:27:28
utilisateurs arrive temporairement avoir
00:27:31
des accès root et vous rajoute des déçus
00:27:35
a dit un peu partout sur au système sans
00:27:36
vous voyez ça peut faire des portes
00:27:39
d'entrée pour des attaques futures
00:27:41
donc ça mérite d'être auditées alors la
00:27:46
question c'est comment on regarde sur un
00:27:47
système qu'elles sont tous les fichiers
00:27:49
qui inclut ceux ce flag y en a qui
00:27:55
savent comment find me voilà encore un
00:28:02
find un joli find donc on fait comme ça
00:28:05
avec à partir de la racine du serveur on
00:28:08
cherche les fichiers qui ont la
00:28:09
permission 4000
00:28:11
ou la permission de 1000 pilotes par
00:28:12
exemple on dirait que ça vers un fichier
00:28:13
texte pour premier regardez là je me
00:28:15
suis amusé audités juste debian 10 il y
00:28:20
en a treize de base sur un système où il
00:28:23
ya juste ssh d'installer voilà système
00:28:28
natif il y en a 13 ça peut être une
00:28:31
faille de sécurité aussi donc c'est
00:28:33
quelque chose qu'il faut surveiller
00:28:34
d'accord alors qu'est ce qu'on peut
00:28:40
mettre comme mesures pour empêcher des
00:28:42
utilisateurs ont protégé des systèmes de
00:28:44
réaliser des ddd suis dit ou dsg a dit
00:28:49
pour le groupe on va créer par exemple
00:28:51
ici une partition donc ici c'est la
00:28:54
partition slash tempo et on va la montée
00:28:57
en eaux et suez ne sera pas possible
00:28:59
dans la partition temporaire de deux ou
00:29:03
qui est beaucoup utilisé pour des
00:29:04
attaques avec des scripts
00:29:06
déjà on va empêcher les scripts de
00:29:08
s'exécuter sur sa tempe et en plus on
00:29:10
empêchera de m déçu il dit sur sur les
00:29:14
fichiers là pour des attaques futures
00:29:15
d'accord donc ça ça ce paramètre dans au
00:29:19
tcf est stable le fichier des points de
00:29:22
montage du système d'accord ensuite
00:29:28
j'avais pensé parler un peu de système d
00:29:31
mais je me suis rendu compte que c'est
00:29:33
encore un monde tout ça et sur une
00:29:35
présentation de 40 minutes c'est
00:29:36
vraiment trop court donc je le lis tout
00:29:39
juste pour de garde en mémoire que les
00:29:42
services aussi peuvent être des bases
00:29:44
d'attac et il faut toujours avoir en
00:29:48
mémoire qu'est ce qui tourne comme
00:29:49
service sur son serveur donc vous allez
00:29:52
l'audit et avec la commande système
00:29:54
s'était elle est pour regarder les
00:29:57
services active tirs étaient servis ce
00:29:58
statut sont actifs il y en a vraiment
00:30:01
toute une palanquée mêmes même sur un
00:30:04
système qui est fraîchement installé
00:30:07
comme la d'accord donc on va retrouver
00:30:09
apparmor pour le mac tout ce qui est le
00:30:13
crown le réseau et cetera et cetera
00:30:16
il ya plein de choses voilà maintenant
00:30:20
on va rentrer dans des choses un peu
00:30:21
plus complexe alors comment on attaque
00:30:24
un cerne linux de l'extérieur sur des
00:30:26
failles
00:30:27
on va utiliser ce qu'on appelle des
00:30:29
bouffeurs overflow des attaques barber
00:30:32
overflow c'est-à-dire enveloppe on va
00:30:34
utiliser une faille qui est lié à la
00:30:40
compilation beaucoup des programmes ans
00:30:42
et qui fait qu' on va pouvoir écraser
00:30:46
des variables mais des choses dans ce
00:30:47
qu'on appelle la pile pour pouvoir
00:30:49
injecter du code qu'on va pouvoir
00:30:51
réussir à faire exécuter pour pouvoir
00:30:53
prendre la main sur les serveurs les
00:30:55
attaques d'arnaud fleurent overflow sont
00:30:56
un fléau sur sur le sur les systèmes
00:30:59
ça touche tout le monde comment on se
00:31:02
protège de ça on va utiliser une
00:31:06
fonction qui s'appelle as l air pur
00:31:09
address space layout randomization où à
00:31:11
chaque lancement du programme
00:31:12
le système va le mettre les endroits
00:31:15
différents ce qui fait que l'adresse où
00:31:17
on va injecter notre notre shellcode son
00:31:20
appel entre autres malwares on m'a dit
00:31:22
rentre enfin notre code malveillant
00:31:24
ça voudra sans arrêt on sera pas
00:31:26
exactement où il est à chaque fois du
00:31:28
coup ça va complexifier les attaques
00:31:29
d'accord donc par défaut si vous
00:31:33
regardez sur votre buster vous faites un
00:31:35
4 sur ce fichier randomisée à space et
00:31:38
voiliers de ses actifs donc au système
00:31:40
nativement et prog et protéger contre
00:31:43
les attaques de basiques on va dire bof
00:31:47
heures overflow on va voir qui n'est pas
00:31:48
protégée contre l'europe
00:31:50
le return orient ty programme digne donc
00:31:56
me reste huit minutes
00:31:59
alors comment le système va compiler ces
00:32:04
package pour prendre en compte des
00:32:07
directives de sécurité
00:32:08
alors là on rentre un peu dans la
00:32:10
technique on est sur ce qu'on appelle
00:32:12
les flags de compilation et par défaut
00:32:16
aux recherches en faisant une recherche
00:32:18
sur internet je suis tombé sur un forum
00:32:21
de
00:32:21
2010deux ou ou raphaël avec rick non
00:32:25
j'en ai profité pour copier des
00:32:27
commandes c'était très marrant
00:32:29
sachant que j'allais voir aujourd'hui
00:32:31
voilà donc la commande des p4 g8 flag
00:32:34
donc en fait quand on la joue par défaut
00:32:37
sur buster elles donnent tous ces choses
00:32:39
à peu près incompréhensible
00:32:40
on va essayer de juste d'en traiter 2 3
00:32:44
pour expliquer ce qu'il faut se rendre
00:32:46
compte c'est que donc là ici on a des
00:32:48
fonctions de protection on est un stade
00:32:50
protection de taxer la pile plus
00:32:51
d'autres choses des protections contre
00:32:52
le format string mais j'ai comparé entre
00:32:55
debian 9 et des biens 10 ya peu de
00:32:58
changements d'accord donc on a pas eu
00:33:00
d'amélioration clair à ce niveau là donc
00:33:05
si si on veut regarder ce qui se passe
00:33:10
par exemple si vous voulez compiler vos
00:33:13
package vous utilisez la directive de
00:33:16
compilation c'est flag sur lequel vous
00:33:18
allez ajouter ce qui est donné par la
00:33:20
distrib ici et on voit quand on joue
00:33:23
cette commande là ça nous donne donc la
00:33:27
protection la stac doublé format et w
00:33:30
error égale format de security alors
00:33:32
qu'est-ce que par défaut tout ça nous
00:33:34
amène ça nous amène déjà stade protector
00:33:37
ici nous ajoute un canari dans la pile
00:33:42
dans le préambule de la fonction alors
00:33:44
pour l'anecdote le canari ckoi sénat une
00:33:48
analogie avec les coleman les mines de
00:33:50
charbon sur lequel on a une mais tu es
00:33:53
un petit oiseau dans une cage et quand
00:33:55
il commençait à être pas bien c'est
00:33:56
qu'on allait avoir un coup de grisou
00:33:57
d'accord et ce terme a été repris
00:34:00
donc on le met dans la stac c'est un
00:34:01
nombre aléatoire qui générait
00:34:03
dynamiquement et qui va permettre de
00:34:04
vérifier que la pile n'a pas été écrasé
00:34:07
par un code malveillant sur une partie
00:34:09
donc ça c'est nativement dans tous les
00:34:12
package qui sont compilés sur gloucester
00:34:14
qui existait déjà dans des biens neufs
00:34:17
ensuite on retrouve est double et
00:34:19
formate ça ça permet de vérifier que on
00:34:22
n'a pas de faille sur printf et skf qui
00:34:25
sont des fonctions du section utilisé
00:34:27
partout du langage c est de façon à
00:34:31
éviter une autre faille qui s'appelle
00:34:33
les attaques parfum
00:34:34
string d'accord donc nativement les
00:34:38
protéger et le dernier ici w au régal
00:34:42
format security ça veut dire si on a un
00:34:43
warning un avertissement comme quoi il y
00:34:46
aurait possiblement une erreur type
00:34:50
format string
00:34:51
on l'a le warning on le passe en erreur
00:34:53
en bloc la continuation d'accord donc du
00:34:57
coup voilà ce qu'on a en activement ça
00:35:00
c'était pour la compilation pour le leak
00:35:02
donc le ld flags
00:35:04
alors je peux pas rentrer dans le détail
00:35:06
de ce que c'est que le linksys et vous
00:35:07
parle pas mais je vous invite à
00:35:09
reprendre et sly plus tard il est
00:35:10
regardé sur internet ici sur les flag
00:35:14
ici en jouant la commande des pkg but
00:35:16
flag et en entendant les ailes des flag
00:35:18
on voit que l'on a tiré z et zèle rôle
00:35:22
réel réseau je ré rainero voilà
00:35:27
dyslexiques je ne sais pas d'où ça sort
00:35:29
mais qu'est ce que ça veut dire ça veut
00:35:31
dire que en fait pour empêcher que la
00:35:35
pile la stac soit aussi attaqué on va la
00:35:40
mettre en réseau ni à la fois
00:35:48
tout ce qui concerne donc l'application
00:35:50
d'accords et je crois que ses
00:35:52
dépendances aussi voilà donc ça c'est ce
00:35:58
qui existe actuellement
00:36:01
mais il manque des choses il manque le
00:36:04
pe
00:36:05
alors il existe une attaque qui permet
00:36:09
de contourner toutes les protections de
00:36:12
buffer overflow qui s'appelle europe
00:36:13
return en riant ty programming c'est un
00:36:17
système assez complexe à mettre en place
00:36:18
mais qui marche assez bien quand on le
00:36:21
maîtrise et qui permet donc de
00:36:24
d'exploiter de nouvelles vulnérabilités
00:36:26
et la protection
00:36:28
ce serait une directive de compilation
00:36:30
qui serait c'est la fpf pareil et c'est
00:36:35
existe dans gcc 8 donc le compilateur en
00:36:38
version 8 qui est dans qui est dans
00:36:42
buster mais actuellement cette directive
00:36:45
de compilation n'est pas utilisé pour
00:36:46
générer les package d'accord on la voit
00:36:51
pas ah il a fait par défaut d'accord
00:37:00
d'accord ok
00:37:06
ces lingettes si on la désactive zoug
00:37:08
cpb
00:37:10
ok d'accord donc elle est par défaut bon
00:37:13
ben c'est donc du coup on est sécurisé
00:37:15
par contre apparemment celle là ne sont
00:37:18
pas activés par défaut et elle pourrait
00:37:21
l'être donc ça c'est des protections sur
00:37:24
au niveau de nouvelles protections sur
00:37:26
sur la stack qui font référence à des
00:37:28
attaques très récente qui sont
00:37:29
référencés par qualys là et je vous
00:37:33
invite à regarder les slides si ça vous
00:37:36
intéresse de d'aller plus loin tac
00:37:44
voilà alors par rapport à tout ce qu'on
00:37:48
a vu il ya aussi tout un ensemble de
00:37:50
choses qui sont faites
00:37:51
keane keane qui n'apparaissent pas dans
00:37:54
le kernel de base alors debian en fait
00:37:57
donc rage ou tout un ensemble de
00:37:59
protections donc dans la dans l'aspect
00:38:01
de sécurité en profondeur pour sécuriser
00:38:03
un kernel
00:38:04
il me reste deux minutes où je vais
00:38:05
essayer accéléré sans que ce soit
00:38:07
incompréhensible voilà donc première
00:38:10
chose à faire c'est que il est un
00:38:14
fichier de configuration qui s'appelle
00:38:15
cissé tel point qu'on qui est lui au
00:38:17
démarrage du système et qui va prendre
00:38:19
en compte tout un ensemble de variables
00:38:20
pour les impliquer au kernel alors ici
00:38:22
je vous donne un exemple donc j'ai juste
00:38:24
affiché que quelques lignes et à partir
00:38:28
de là on voit qu'on peut si on active ce
00:38:31
paramètre ici en les commentant on peut
00:38:32
se protéger contre des attaques par
00:38:34
spoofing ce qui ce qui n'est pas fait
00:38:36
par défaut
00:38:37
voilà donc il ya tout un ensemble de
00:38:39
variables sur lequel on peut renforcer
00:38:41
la sécurité du kernel sur lequel vous
00:38:44
pouvez agir ensuite dans la dans le
00:38:49
renforcement de la sécurité du carnet de
00:38:52
base il ya tout un ensemble de patch qui
00:38:55
sont appliquées par les mainteneurs de
00:38:57
la distribution dès maintenant du kernel
00:38:59
de la distribution par exemple pour
00:39:02
désactiver les nine space d'accord par
00:39:05
défaut donc ce qui va bloquer
00:39:07
certainement l'utilisation de nos coeurs
00:39:08
donc il faut après utiliser cette
00:39:11
commande là si c'est elle qui permet de
00:39:13
configurer dynamiquement éternelle pour
00:39:15
réactiver
00:39:16
cette fonctionnalité d'accord et aussi
00:39:20
debian intègre les patchs lockdown qui
00:39:24
ont apparemment porté un mener un débat
00:39:29
dans la communauté du kernel linux à
00:39:31
savoir si on devait les appliquer ou pas
00:39:33
et qui permettent de se protéger en
00:39:36
trodes contre des le chargement de
00:39:38
modules non signés ou ou des commandes
00:39:42
cas exec le secure boot est maintenant
00:39:48
fonctionnel sur sur buster alors avant
00:39:54
pouvait pas savez pourquoi parce que
00:39:56
c'est la notion de chim le firmeware qui
00:39:59
est chargée au démarrage était signée
00:40:03
par l'autorité de certification
00:40:04
microsoft d'accord donc apparemment ça
00:40:07
s'entendait pas donc maintenant le
00:40:11
secure boot doit être fonctionnel
00:40:12
j'avoue je n'ai pas encore testé voilà
00:40:17
si il existe un outil qui s'appelle cas
00:40:20
config arts denys tchèque qui permet de
00:40:23
vérifier tout un ensemble de points de
00:40:26
sécurité sur votre système debian est
00:40:30
ici par exemple sur en le passant sur
00:40:33
donc la buster on trouve 50 erreur sur
00:40:37
51 compliance ichou d'accord mais il ya
00:40:42
aussi des faux positifs donc tout ça est
00:40:44
bien sûr un modéré voilà ensuite j'aurai
00:40:52
pas trop trop le temps d'en parler il me
00:40:54
reste cinq secondes sur 6 et l on voit
00:40:58
que on parlait tout à l'heure les
00:41:00
utilisateurs maintenant ne peuvent plus
00:41:01
taper des msg pour voir les loques du
00:41:04
kernel la sécurité a été renforcée
00:41:07
ici et j'aurais juste terminée par ça
00:41:09
c'est toute la difficulté entre un
00:41:15
projet s'appelle ksp pki qui va lister
00:41:19
tout un ensemble de bonnes pratiques
00:41:20
pour sécuriser le kernel sur lequel on
00:41:23
peut se référer pour les appliquer et ce
00:41:25
n'est pas appliquée de base pourquoi
00:41:26
parce que
00:41:27
linus est envahie de les a refusées
00:41:29
d'accord voilà si vous voulez aller plus
00:41:33
loin je vous ai mis deux liens qui
00:41:34
proviennent de debian toi org
00:41:36
et voilà je suis overtime donc cinq
00:41:41
salles et oui la naphtaline focntion est
00:41:44
sous pression

Etiquetas

Debian
beveiliging
hardening
gebruikersbeheer
wachtwoordcomplexiteit
SSH
firewall
encryptie
PAM
cybersecurity