Hardening Debian 10 (Buster)
概要
TLDRDe presentatie door Frédéric richt zich op het verbeteren van de beveiliging van Debian-systemen door het toepassen van hardeningstechnieken. Hij bespreekt de noodzaak van goede gebruikersbeheer, het gebruik van sudo voor administratieve taken, en biedt richtlijnen voor wachtwoordcomplexiteit en firewalls. De spreker benadrukt het belang van encryptie voor gegevensbeveiliging en het correct configureren van SSH. Hij bespreekt ook de rol van PAM-modules en het patchen van kwetsbaarheden. Dit alles met als doel een veiliger, beter beheerd systeem te creëren dat bestand is tegen cyberaanvallen.
収穫
- 🔐 Het belang van hardening voor systeembeveiliging.
- 🐧 Beheer van gebruikersaccounts is cruciaal.
- 🛡️ Gebruik van sudo in plaats van root-toegang.
- ⚙️ Pas wachtwoordcomplexiteit en beleid toe.
- 🌐 Configuratie van firewalls is noodzakelijk.
- 🔑 Versleutel gegevens voor extra beveiliging.
- ✉️ SSH-configuraties moeten worden aangescherpt.
- 📜 Altijd up-to-date blijven met patches.
- 🧰 Gebruik PAM-modules voor extra beveiliging.
- ⚠️ Monitoren van systeemlogs voor verdachte activiteiten.
タイムライン
- 00:00:00 - 00:05:00
De spreker, Frédéric, introduceert zijn presentatie over de beveiliging van Debian-systeemconfiguraties. Hij legt uit dat de presentatie zowel in het Frans als in het Engels zal zijn, maar de slides zijn in het Engels. De presentatie richt zich op best practices voor hardening van Debian, met een focus op cybersecurity.
- 00:05:00 - 00:10:00
Frédéric bespreekt de noodzaak van harde beveiligingsconfiguraties voor Linux-systemen. Hij benadrukt dat, hoewel Linux als veilig wordt beschouwd, het nog steeds kwetsbaar is voor aanvallen zoals malware, cyber-squatting en beveiligingslekken. Hij wijst op het belang van het beveiligen van applicaties en systemen om gegevensverlies te voorkomen.
- 00:10:00 - 00:15:00
De spreker stelt vast dat beveiligingslekken veelal voortkomen uit bugs in het besturingssysteem en een slecht beveiligde serverconfiguratie. Hij adviseert regelmatig systeemupdates en patches aan te brengen. Er wordt ook gesproken over de noodzaak van een holistische aanpak om de algehele beveiliging van een Linux-systeem te verbeteren.
- 00:15:00 - 00:20:00
Frédéric introduceert het concept van systeemhardening en de principes daarvan. Hij vertelt over inspectie van gebruikersaccounts, juiste gebruikersrechten, en het notificeren van gebruikers over hun toegangsrechten voor een veiliger systeemgebruik. De spreker benadrukt dat alle systeembeheerders de basis van systeemveiligheid moeten begrijpen en toepassen.
- 00:20:00 - 00:25:00
De spreker bespreekt de voordelen van het beperken van root-toegang en het gebruik van 'sudo' voor administratieve taken. Hij pleit ervoor om root-logins te deactiveren voor verhoogde veiligheid, waardoor het een stuk moeilijker wordt voor aanvallers om toegang te krijgen via brute-force-aanvallen.
- 00:25:00 - 00:30:00
Frédéric behandelt verschillende configuraties en technieken om gebruikersauthenticatie te beveiligen, zoals het versterken van wachtwoordcomplexiteit en het implementeren van firewalls. Hij legt uit hoe iptables kan worden gebruikt om een firewall te configureren op Debian-systeem en hoe deze regels persistent kunnen worden gemaakt.
- 00:30:00 - 00:35:00
De spreker gaat verder met het bespreken van encryptie op het systeem en het verhogen van de algehele dataveiligheid door gebruik te maken van SSH. Hij raadt aan om SSH-sleutels te gebruiken in plaats van wachtwoorden voor veiligere verbindingen en controlemechanismen in te stellen die ongeoorloofde toegang tot de root-account beperken.
- 00:35:00 - 00:41:55
Tot slot bespreekt Frédéric de noodzaak om operationele beveiliging te monitoren en beleid inzake het kernel-beveiliging in acht te nemen. Hij benadrukt het belang van auditing, goed ontwerp en de toepassing van beveiligingspatches en -updates om de kans op aanvallen door kwetsbaarheden te minimaliseren.
マインドマップ
ビデオQ&A
Wat is het doel van hardening in Debian?
Het doel van hardening in Debian is om de beveiliging van het besturingssysteem te verbeteren door best practices en configuraties toe te passen die helpen bij het beschermen tegen aanvallen.
Waarom is root-toegang vermijden belangrijk?
Het vermijden van root-toegang is belangrijk omdat het de mogelijkheden voor aanvallers beperkt en helpt bij het voorkomen van ongeautoriseerde toegang tot gevoelige gegevens.
Wat zijn enkele aanbevolen praktijken voor wachtwoorden?
Aanbevolen praktijken voor wachtwoorden zijn onder andere het gebruik van complexe wachtwoorden met een minimale lengte, het aantal toegestane inlogpogingen te beperken en wachtwoordbeleid te handhaven.
Wat is het belang van gebruikersbeheer?
Gebruikersondersteuning is essentieel voor het waarborgen dat alleen geautoriseerde gebruikers toegang hebben tot bepaalde systeemfuncties, wat het risico op datalekken of aanvallen vermindert.
ビデオをもっと見る
Why Women can't find “GOOD MEN” in Modern Dating | What do Modern Women look for in a Partner
How Brazilian Women Always Look Stunning| Brazilian Beauty Secrets
Digital Era Technology Operating Models
Jon Stewart on Trump’s Heel Turn on Zelenskyy In Favor of Putin’s New World Order | The Daily Show
Even back in 1968, workers were worried about being replaced by technology | RetroFocus
LIVE: #BetzePK vor #FCKSSV
- 00:00:05ok séquence with frédéric l'enquêté
- 00:00:10gonna take two par downing
- 00:00:13deviennent-elles will be in english and
- 00:00:17french and english et additionnelles
- 00:00:21diffus spécifiques terme on sentait que
- 00:00:28free to play sur l île est ok ya six
- 00:00:30wickets 5 you please welcome frédéric
- 00:00:33[Applaudissements]
- 00:00:38thank you so i decided that forced to
- 00:00:43make the presentation in english but
- 00:00:45some as tu me to do it in french so à
- 00:00:49will do ou mixte ok the slide are in
- 00:00:55english
- 00:00:56so for the english people you can't read
- 00:01:00heat en force de francky polémique en
- 00:01:02chimie ok so far this présentation avait
- 00:01:08déjà dit tout tout un studio spector
- 00:01:11hardening the new version of deviennent
- 00:01:14tout à ce que ces questions what is hard
- 00:01:19downing debian and what is best practice
- 00:01:24always in place d'accords donc en fait
- 00:01:28en gros donc on va voir les toutes les
- 00:01:31bonnes pratiques dans debian et et la
- 00:01:34notion de a redonné hardening qui veut
- 00:01:36dire durcir la configuration est
- 00:01:39pourquoi il faut le faire
- 00:01:40d'accord
- 00:01:44donc nous sommes dans un contexte au
- 00:01:47niveau cybersécurité ou linux fait
- 00:01:50figure de système le plus sécurisé donc
- 00:01:53face aux menaces qui a sur internet
- 00:01:57alors pour en citer certaines tout ce
- 00:02:00qui est beau ce botnet malware donc qui
- 00:02:03peuvent amener sur des dénis service
- 00:02:07les rangs de somewhere parce que c'est
- 00:02:09bien d'être sur linux en disant nous on
- 00:02:10n'a pas de virus on est tranquille tout
- 00:02:12ça souvent on héberge des données en
- 00:02:15partageant des serveurs de fichiers sous
- 00:02:17windows
- 00:02:18et c'est ces systèmes là peuvent être
- 00:02:20touchée aussi par les rangs de somewhere
- 00:02:21via les partages ou dans les messageries
- 00:02:25un gros risque aussi que l'on rencontre
- 00:02:27beaucoup c'est les uns le cybersquatting
- 00:02:30crypto bitcoin software qui vient
- 00:02:34s'installer sur votre serveur et qui
- 00:02:35utilise du cpu pour eux pour miner du
- 00:02:40bitcoin est pauvre et fournir des débits
- 00:02:46tu cognes aux pirates
- 00:02:47voilà donc et le dernier haut niveau
- 00:02:52risque c'est toutes les failles de
- 00:02:54sécurité qui n'implique pas forcément
- 00:02:56des malwares mais des failles qui
- 00:03:00permettent à des attaquants de rentrer
- 00:03:01sur les systèmes pour voler des données
- 00:03:03style sensitive une formation qui est le
- 00:03:08risque majeur actuellement sur internet
- 00:03:10là la fuite de base de données par
- 00:03:12exemple cet appel et les leaks on
- 00:03:13retrouve tous les les login password les
- 00:03:16cartes bleues de tout le monde donc si
- 00:03:22on s'intéresse aux failles de sécurité
- 00:03:25security breach
- 00:03:26d'où vient-elle alors en grande partie
- 00:03:29ça peut venir de bugs du système
- 00:03:31d'exploitation directement soit ducarne
- 00:03:34elles soient des services qui tourne
- 00:03:36autour et ensuite on va rencontrer des
- 00:03:41bugs dans les applications donc par
- 00:03:42exemple sur les serveurs web qui héberge
- 00:03:45qui sont hébergés sur les serveurs linux
- 00:03:48et on peut aussi avoir pour les
- 00:03:52configurations de serveurs c'est à dire
- 00:03:53des serveurs qui sont très mal configuré
- 00:03:56au niveau sécurité et qu'ils peuvent
- 00:03:59aussi mener à des piratages des
- 00:04:02exploitations alors souvent le premier
- 00:04:06peut être corrigé par en mettant à jour
- 00:04:10les patchs
- 00:04:12de sécurité mais il faut se rendre
- 00:04:15compte que d'une façon globale
- 00:04:17un système même linux a besoin de tout
- 00:04:24un ensemble d'actions pour le rendre
- 00:04:25beaucoup plus sécurisée comment on va le
- 00:04:28voir
- 00:04:28donc cette présentation n'a pas pour but
- 00:04:31d'être exhaustif je ne traiterai pas et
- 00:04:34ce linux ou apparmor mais on va voir
- 00:04:36quand même quelques concepts assez
- 00:04:38avancé alors par rapport à ce qu'on
- 00:04:43vient de voir dans le seul précédent
- 00:04:44nous avons besoin d'eux a redonné
- 00:04:47hardening hero system one aux mines arts
- 00:04:50denys au stand ça veut dire improving
- 00:04:53the security of native système
- 00:04:55c'est-à-dire rajouté par rapport aux
- 00:04:57éléments existants tout un ensemble de
- 00:05:00configurations de directives de
- 00:05:03compilation comme on verra et de bonnes
- 00:05:05pratiques à mettre en place pour
- 00:05:07renforcer la sécurité de notre système
- 00:05:10est l'objectif étant the goal is to make
- 00:05:13or linux box has sécurisé possible
- 00:05:18ok et s'il n'a pas lisse est de dire que
- 00:05:22tous les administrateurs linux doivent
- 00:05:25apprendre la sécurité au moins sûr sur
- 00:05:29leur système d'accord donc à partir de
- 00:05:34là qu'est ce que l'on peut faire
- 00:05:35la première chose à faire c'est bien sûr
- 00:05:38c'est de s'intéresser aux comptes
- 00:05:39utilisateurs de façon avec la gestion
- 00:05:42des droits classiques pour faire en
- 00:05:44sorte que les utilisateurs puissent
- 00:05:47faire leur travail et réaliser les
- 00:05:50actions pour avancer dans leur boulot
- 00:05:53classique il faut s'assurer que les
- 00:05:55autres utilisateurs ne vont pas avoir
- 00:05:57accès à leurs données et bien entendu le
- 00:06:01dernier point c'est il faut pas que
- 00:06:02l'utilisateur puisse aller se balader
- 00:06:04partout dans le système pour avoir plein
- 00:06:06d'informations alors quand on sur le
- 00:06:08dernier point on se rend compte qu
- 00:06:10actuellement avec des commandes de base
- 00:06:12on peut encore voir quand même beaucoup
- 00:06:13de choses sur un système linux par
- 00:06:15exemple les loques du kernel avec des
- 00:06:17msg on pouvait entendre quand les voir
- 00:06:19avec les droits utilisateur classique on
- 00:06:22verra que dans buster
- 00:06:24ça a été renforcée au niveau sécurité
- 00:06:26par duhart dening d'accord alors dans
- 00:06:32les premières recommandations pour la
- 00:06:34sécurité des comptes utilisateurs déjà
- 00:06:37on peut se poser la question est-ce que
- 00:06:39c'est nécessaire de garder un contrôle
- 00:06:41actif d'accord donc pour plusieurs
- 00:06:45raisons déjà on peut faire de grosses
- 00:06:49conneries en est en route
- 00:06:51sur toutes les actions alors encore
- 00:06:54moins j'en vois certains qui installent
- 00:06:55leur linuxgraphic en start x en route ça
- 00:06:58je trouve ça horrible
- 00:06:59voilà et après il ya là aussi au niveau
- 00:07:04on verra après sur la notion de logs des
- 00:07:06actions il n'est pas forcément possible
- 00:07:08au ghetto ce qu'on fait en route
- 00:07:10d'accord donc du coup on se tournera
- 00:07:12vers les bénéfices de sud au the
- 00:07:15benefits of sido comment remédier on va
- 00:07:19dire un au risque d'être constamment
- 00:07:21route et on verra comment configurer le
- 00:07:26système pour générer un passeur de
- 00:07:28qualité même si on va considérer que le
- 00:07:31pasteur n'est pas sécurisé et on le
- 00:07:33remplacera par autre chose par la suite
- 00:07:35donc alors comment on met en place tout
- 00:07:38ça alors la première chose alors là je
- 00:07:42suis pas s'il y en a qui vont hurler
- 00:07:43mais on peut proposer 2 de bloquer les
- 00:07:48accès à route alors on peut toujours
- 00:07:50même si on a su dont on peut toujours
- 00:07:51faire et sud aurait su pour devenir
- 00:07:53route
- 00:07:53donc du coup ici directement dans le six
- 00:07:59passes de bonnes idées on met route en
- 00:08:00eau le guide ça va ça règle le problème
- 00:08:03il n'est plus possible après un
- 00:08:05utilisateur de se connecter en route et
- 00:08:09il fera tout avec son son compte
- 00:08:11lui-même et sera longue et de cette
- 00:08:14façon n'a pas alors pour cela
- 00:08:21pour cela on va utiliser sud au donc
- 00:08:24peut-être vous le faites déjà c'est très
- 00:08:25bien et moi même je travaille fait un
- 00:08:30gros travail sur moi pour l'utiliser
- 00:08:32d'accord donc
- 00:08:36l'intérêt on le verra dans la salle
- 00:08:38d'après mais c'est de permettre à des
- 00:08:40utilisateurs toujours d'avoir des droits
- 00:08:44avancé pour réaliser des tâches
- 00:08:46administratives
- 00:08:47mais il est rare que tous les actions
- 00:08:49que l'on a affaire requièrent les droits
- 00:08:51administrateurs donc dans ce cas autant
- 00:08:54au tout autant gérer le système les
- 00:08:58utilisateurs avec les aspects sud au
- 00:09:00pour leur donner des droits bien
- 00:09:02spécifiques
- 00:09:03s'ils doivent réaliser des actions
- 00:09:05d'administration ils tapent leur
- 00:09:07password leur propre password et il n'y
- 00:09:10a pas besoin de donner le mot de passe
- 00:09:12root à tout le monde et encore moins si
- 00:09:14un utilisateur quitte le groupe
- 00:09:17la société on doit changer le mot de
- 00:09:19passe root pour tout le monde ce qui est
- 00:09:20un problème
- 00:09:21voilà donc ça résout déjà ce problème là
- 00:09:25on verra aussi que l'on peut aller plus
- 00:09:28loin ensuite le fait de désactiver le
- 00:09:32compte root
- 00:09:33au niveau sécurité ça a un impact
- 00:09:35immédiat pour les attaquants s'ils
- 00:09:38l'attaquent principal sur les sur les
- 00:09:41mots de passe de l'extérieur c'est le
- 00:09:44bruit de force et on va chercher avec à
- 00:09:47parcourir tout un ensemble dictionnaire
- 00:09:49de mots de passe pour pour essayer
- 00:09:51d'avoir des accès sur les comptes
- 00:09:52si on désactive le comte route il est
- 00:09:55plus possible ou difficile de savoir qui
- 00:09:57a les droits de mincom utilisateurs donc
- 00:09:59ça complexifie les attaques
- 00:10:01d'accord mais on verra que les mots de
- 00:10:04passe aussi vocation à disparaître
- 00:10:06dans tous les cas donc ici mais que
- 00:10:11sandwich watts mais quitte sur cf sud au
- 00:10:14mais que sont dits choqués alors ici une
- 00:10:19démonstration de pourquoi on va éviter
- 00:10:22d'utiliser les accès route pour réaliser
- 00:10:25des tâches d'administration
- 00:10:27c'est sur le monitoring des actions sur
- 00:10:30un système on va de plus en plus vers
- 00:10:32une sécurité on va monitorer toutes les
- 00:10:34actions sur les logs sont ce qu'on
- 00:10:36appelle des essais m et on voit que par
- 00:10:39exemple si on réalise une action avec je
- 00:10:44me connecte en ait su - pour devenir
- 00:10:45août tous les actions que je vais
- 00:10:47exécuter dans cette
- 00:10:49si on ne seront pas l'objet on voit
- 00:10:50juste opening une clause session en
- 00:10:53libye not all jackson in between nothing
- 00:10:58is all claudine ok si vous êtes vous
- 00:11:02utilisez votre sud au pour faire tout ça
- 00:11:07tout les ici par exemple je me suis
- 00:11:10connecté donc sur six ont des seins sur
- 00:11:13mon serveur et et avec studio je suis
- 00:11:16devenu route
- 00:11:17j'ai fait un opt update pas très méchant
- 00:11:20et ça a été longue et j'ai quitté la
- 00:11:24session et ses sorties donc on voit la
- 00:11:25commande qui est appliquée et on voit
- 00:11:27l'utilisateur
- 00:11:28donc on a on rentre dans la condition de
- 00:11:31traçabilité d'accord de toutes les
- 00:11:34actions
- 00:11:34donc voilà rien que ça au niveau
- 00:11:35sécurité pour se conformer à des
- 00:11:37politiques de sécurité des systèmes
- 00:11:38d'information on répond déjà aux bonnes
- 00:11:42pratiques
- 00:11:45ensuite si on s'intéresse à aux aspects
- 00:11:49de complexifier les mots de passe donc
- 00:11:52ça c'est juste à titre indicatif
- 00:11:55alors cette présentation je la mettrais
- 00:11:57en partage sur le wiki vous pourrez y
- 00:11:59accéder et revenir plus en détail sur
- 00:12:01tous les points si ça vous intéresse
- 00:12:03voilà donc là pour comment on gère sur
- 00:12:07un système debian pour augmenter donc là
- 00:12:09la complexité des mots de passe et avoir
- 00:12:12une politique de mot de passe
- 00:12:13on va utiliser pis de belou quality
- 00:12:16d'accord et ça fait partie des suspects
- 00:12:18les plus gabol authentication module
- 00:12:20l'edpams d'accord donc par défaut il
- 00:12:23n'est pas installé donc il faut
- 00:12:25l'installer on installe aptitudes
- 00:12:27installe les palais de beaulieu quality
- 00:12:29voilà donc je n'ai bien installé que
- 00:12:31sinon j'ai fait des choses bien et
- 00:12:34ensuite on va dans le répertoire pam
- 00:12:39d'hôtes dit et on greffe sur p2bym
- 00:12:43quality on voit que par défaut le
- 00:12:45système autorise que trois connexions
- 00:12:48free on y trois tentatives de
- 00:12:51connection d'accord comme je les écris
- 00:12:54ici sinon on est déconnecté on
- 00:12:59d'accord si on va aller plus loin alors
- 00:13:04la question c'est combien on autorise
- 00:13:07deux tentatives de connexion alors 112
- 00:13:13c'est pas c'est pas évident à savoir
- 00:13:15donc alors c'est normal ça c'est la
- 00:13:17taille du mot de passe d'accord donc la
- 00:13:20taille du mot de passe donc password
- 00:13:21complexité alors ça ça ce paramètre dans
- 00:13:25le fichier donc il faut éditer le film
- 00:13:27the le fichier password colitti d'autres
- 00:13:30gonfle et on a tout un ensemble de
- 00:13:32paramètres que l'on peut renseigner ici
- 00:13:34et par exemple ici la taille minimum bon
- 00:13:3912 caractères tout ça c'est des choses
- 00:13:41très simples je vais pas m'étendre très
- 00:13:44longtemps donc si vous êtes basé sur une
- 00:13:48politique de sécurité dans votre
- 00:13:49entreprise vous juste ça vous appliquez
- 00:13:52sur ce qui est stipulé dedans d'accord
- 00:13:55je bouge beaucoup c'est ça non ok bon
- 00:14:00rien d'extraordinaire là tout le monde
- 00:14:01comprend si on veut aller un peu plus
- 00:14:03loin et on veut combattre les attaque
- 00:14:07par dictionnaire donc les attaques par
- 00:14:10brute de force
- 00:14:10qu'est ce que l'on va faire donc on va
- 00:14:13définir un nombre maximum de tentatives
- 00:14:17de connection donc alors ici la question
- 00:14:20est combien alors on pourrait même sens
- 00:14:24parce que pourquoi sens parce que ça
- 00:14:26permet déjà l'utilisateur s'il a oublié
- 00:14:28son mot de passe
- 00:14:28dessiner 15 fois sans avoir à bloquer
- 00:14:31son compte et si une attaque par
- 00:14:33dictionnaire derrière au bout de cent
- 00:14:34fois ça va arriver très vite
- 00:14:35le compte est bloqué d'accord donc
- 00:14:38comment aux paramètres ça donc il faut
- 00:14:41aller donc dans le fichier de
- 00:14:43configuration pareil donc le tc pam des
- 00:14:48login hockey et modifier le paramètre au
- 00:14:52tricot ailleurs des nay et qui est ici
- 00:14:55dans la dans le fichier on a un exemple
- 00:14:57et on voit que par exemple ici si on met
- 00:15:00des nay quatre tentatives on me peut
- 00:15:03mettre le nombre que l'on souhaite
- 00:15:05d'accord
- 00:15:07ce module est déjà installée sur buster
- 00:15:11donc il n'y a rien à faire si ce n'est
- 00:15:13de l'utiliser encore maintenant que l'on
- 00:15:23a vu un bref aperçu de la sécurité au
- 00:15:27niveau des utilisateurs
- 00:15:28on peut se poser la question du firewall
- 00:15:32des systèmes comme red hat arrive déjà
- 00:15:35avec des firewall préconfigurés et aussi
- 00:15:38et ce linux préinstallé donc on va
- 00:15:42travailler sur des notions de security
- 00:15:44in deep donc sécurité en profondeur sur
- 00:15:48des biens dambusters on n'a pas de
- 00:15:50firewall par défaut et pas de règle
- 00:15:53iptables non plus de de paramétrer donc
- 00:15:56on le voit avec les deux commandes iep
- 00:15:59est à - t-elle qui ne fournissent rien
- 00:16:03alors ici on est sur ces ip v6 et là on
- 00:16:08est en ipv4 d'accord voilà donc qu'est
- 00:16:14ce que ça veut dire tout ça ça veut dire
- 00:16:15que l'installation du firewall va être à
- 00:16:17votre charge
- 00:16:18d'accord le système ne préconise rien
- 00:16:20donc là on peut trouver tout un ensemble
- 00:16:25de deux solutions alors qu'est ce qu'on
- 00:16:29peut mettre en place alors moi je
- 00:16:32propose ip ta persistant qui peuvent
- 00:16:34bien compliqué à mettre en place et qui
- 00:16:35va permettre de conserver vos règles de
- 00:16:40sécurité du firewall même après un
- 00:16:42redémarrage
- 00:16:43d'accord ça va rejouer les règles
- 00:16:45iptables dans un via un script d'accord
- 00:16:49donc comment on installe ip ta
- 00:16:52persistant bas avec ap tes aptitudes
- 00:16:54installe voilà et il vous propose de
- 00:17:00sauvegarder les règles en cours donc si
- 00:17:02vous avez déjà des règles qui ont été
- 00:17:04jouées sur le système il valait rajouter
- 00:17:07à son fichier de configuration
- 00:17:08ce qui est très pratique donc après on
- 00:17:12va pas rentrer dans les détails de
- 00:17:13iptables mais c'est juste pour vous
- 00:17:14donner un aperçu
- 00:17:18donc une fois que l'on a installé ip ta
- 00:17:21persistants on peut aller regarder dans
- 00:17:22le répertoire le tc iptables et là on
- 00:17:25voit qu'il nous a créé les règles pour
- 00:17:2811 v 4 et v6 qui vont faire référence à
- 00:17:33ipv4 ipv6 sur lesquels vous avez tout
- 00:17:37l'opportunité de les modifier et de les
- 00:17:41attaquer et de les adapter selon votre
- 00:17:43politique de sécurité vous voulez mettre
- 00:17:45en place d'accords donc on voit que
- 00:17:48après le redémarrage du système
- 00:17:51on a une persistance des des règles en
- 00:17:55place
- 00:17:55alors il existe d'autres alternatives
- 00:17:59que iptables je le mets juste à titre
- 00:18:02indicatif sur les systèmes ou bintou
- 00:18:04retrouver uef w et il existe au cnf nft
- 00:18:09boys que je n'ai pas expérimenté mais
- 00:18:12c'est être un 10 katif donc il faudra
- 00:18:14l'installer vous-même iptables resto il
- 00:18:17pète a persisté en restant la meilleure
- 00:18:19solution pour debian
- 00:18:25maintenant on va s'intéresser au
- 00:18:27chiffrement alors et au durcissement des
- 00:18:31déconnexions avec ssh duchel sécurisé
- 00:18:35alors l'objectif est de si on veut
- 00:18:40chiffrées alors je parle pas de luxe qui
- 00:18:42permet de chiffrer des partitions c'est
- 00:18:44déjà implémenté on peut à l'installation
- 00:18:47du système on peut le mettre en place
- 00:18:49c'est assez ça c'est bien fait là c'est
- 00:18:52vraiment des choses qu'on dont l'idée ce
- 00:18:54serait de rajouter là si on veut par
- 00:18:56exemple chiffré le le répertoire de
- 00:19:00l'utilisateur on va utiliser le crypte f
- 00:19:04s creed file system donc qui qui
- 00:19:09correspond à entreprises cryptographique
- 00:19:12file system
- 00:19:12alors pour l'installer on va utiliser
- 00:19:14apt-get installe crypte utilisent et
- 00:19:21ensuite on va mettre on va on va jouer
- 00:19:23commande suivante pour pouvoir chiffrer
- 00:19:26toutes les données qui sont dans le
- 00:19:29répertoire alors
- 00:19:31c'était très utilisé alors pourquoi il
- 00:19:36ya un petit souci avec et on pouvait
- 00:19:39aussi l'utiliser pour chiffrer la soie
- 00:19:43la partition des changes
- 00:19:44parce que c'est bien de chiffrer ces
- 00:19:45données utilisateurs mais si on arrive à
- 00:19:47friser la machine et accéder à la swapo
- 00:19:50on pourrait avoir accès à des données
- 00:19:52sensibles aussi donc cet outil le
- 00:19:54permettait mais quand j'ai voulu
- 00:19:56installer
- 00:19:57je me suis rendu compte que il a été
- 00:20:00supprimé de testing donc pour un
- 00:20:04problème de bugs
- 00:20:05donc c'est très récent donc du coup
- 00:20:08à suivre aussi à des experts dans la
- 00:20:11salle là dessus peut-être qu'ils nous
- 00:20:12répondrons si ça va revenir
- 00:20:14d'accord donc pour le moment utiliser
- 00:20:19luxe pour chiffrer vos partitions à
- 00:20:22l'installation du système plutôt que
- 00:20:24crypte file system maintenant tout à
- 00:20:33l'heure enfin tout à l'heure on parlait
- 00:20:35que comment renforcer là
- 00:20:38la sécurité des mots de passe alors dans
- 00:20:45mon existence de on va dire de la
- 00:20:49cybersécurité je suis souvent amené à
- 00:20:50faire des attaques par social
- 00:20:51engineering par mail et qu'est ce qui se
- 00:20:55passe généralement c'est que quand on
- 00:20:57demande leur mot de passe un utilisateur
- 00:20:58il les donne
- 00:20:59d'accord donc il n'y a pas besoin
- 00:21:01d'avoir faire du riz vers saint jean
- 00:21:03ring je ne sais quoi on peut considérer
- 00:21:06que les mots de passe maintenant son
- 00:21:08pneu sont plus sécurisés alors pour des
- 00:21:11raisons déjà le bruit de force tout ce
- 00:21:13qui est qu'il oguer sur les postes ce
- 00:21:14qui enregistre tout ce que vous tapez au
- 00:21:15clavier mais le social engineering reste
- 00:21:18quand même avec le spear phishing larmes
- 00:21:21absolue pour tous piraté sur internet
- 00:21:23d'accord donc comment on va se protéger
- 00:21:29de ça on va utiliser les clés de
- 00:21:32cryptographie ssh pour pour faire
- 00:21:36disparaître les mots de passe d'accord
- 00:21:38donc je pense que beaucoup de monde ici
- 00:21:39connaît ça c'est c'est juste à titre
- 00:21:42indicatif
- 00:21:42mais c'est bien d'être dit donc qu
- 00:21:45attiser la commande ssh qui gêne qui va
- 00:21:48générer une paire de clés une clé
- 00:21:50publique une clé privée et grâce à ça on
- 00:21:54va pouvoir autoriser des utilisateurs à
- 00:21:59se connecter sur des serveurs sans mot
- 00:22:02de passe d'accord ou sur d'autres
- 00:22:04comptes d'accor donc donc du coup les
- 00:22:08conseils sont deux autoriser les
- 00:22:10utilisateurs donc à pouvoir échanger des
- 00:22:14clés donc être basée sur des clés de
- 00:22:17cryptographie et bien sûr et si ce n'est
- 00:22:20pas fait bloquer l'accès ssh ou
- 00:22:24contrôler de l'extérieur pour éviter en
- 00:22:27même temps les attaques
- 00:22:28alors comment on fait ça c'est très
- 00:22:33simple vous générez une paire de qui une
- 00:22:36paire de clés sur votre machine donc
- 00:22:38avec ssh qui gêne vous choisissez le
- 00:22:43type de chiffrement symétrique donc ici
- 00:22:45par défaut maintenant c'est rsa et la
- 00:22:48taille de la clé
- 00:22:50public 4087 alors on considère que 2048
- 00:22:54c'est ça va bientôt être cassée donc on
- 00:22:57se protège pendant dix ans la
- 00:23:00l'informatique quantique cassera la
- 00:23:03cryptographie symétrique 1 donc à terme
- 00:23:07qui à terme rsa seront remplacés voilà
- 00:23:13alors une fois que l'on a généré une
- 00:23:15autre paire de clés on va prendre on va
- 00:23:17se connecter sur notre serveur comme
- 00:23:19j'ai fait là et j'ai coupé ma clé
- 00:23:21publique dans un fichier spécial pour
- 00:23:25pour que le serveur me connaissent et me
- 00:23:28identifie voilà donc dans le fichier
- 00:23:32autorisé de crise on va les copier sa
- 00:23:34clé sur le serveur distant toit sont
- 00:23:36très simples et une fois ça qu'est-ce
- 00:23:39qui se passe et bien je peux me
- 00:23:43connecter sur mon serveur sans mot de
- 00:23:44passe comme l'a donc j'ai tapé ssh on a
- 00:23:49tu mon serveur et il m'a pas demandé de
- 00:23:51mot de passe
- 00:23:52je suis connecté direct dessus et quand
- 00:23:54je fais au stijm je suis bien sur mon
- 00:23:57serveur buster voilà ils n'ont pas
- 00:23:59sûrement workstation qui effraie des
- 00:24:00messies d'accord voilà donc rien de rien
- 00:24:05d'extraordinaire mais c'est quand même
- 00:24:06une révolution on demande souvent ça
- 00:24:08existe windows je ne sais pas répondre
- 00:24:10donc ça existe
- 00:24:13alors maintenant comment on fait pour
- 00:24:17désactiver le contrôle de l'extérieur
- 00:24:19donc c'est très simple par défaut sur
- 00:24:23debian le fichier d'administration donc
- 00:24:26c'est ssh config d'accord et par défaut
- 00:24:30le paramètre qui permet d'autoriser ou
- 00:24:33pas le l'accès aux comptes route s'est
- 00:24:36permis trop de login alors permis trop
- 00:24:39de login par défaut il ya prohibited
- 00:24:41password haut qu'est ce que ça veut dire
- 00:24:43ça ça veut dire qu'en fait le compte
- 00:24:46root est autorisé à se connecter mais
- 00:24:48seulement par échange de clés c'est à
- 00:24:51dire ça bloque
- 00:24:52on peut pas se connecter de l'extérieur
- 00:24:54aux comptes route avec un mot de passe
- 00:24:56d'accord donc déjà ça ça bloque les
- 00:24:59attaques par brute force donc c'est déjà
- 00:25:01pas mal
- 00:25:02après s'ils ont choisi de totalement
- 00:25:04bloquer l'accès aux comptes route même
- 00:25:06parc laissé ça de l'extérieur on eut
- 00:25:09comparé à mettra père mitro de login un
- 00:25:12no d'accord ok donc et bien sûr aux
- 00:25:18courses du restart ssh
- 00:25:20ok ok donc voilà tout ça c'est très
- 00:25:23simple à faire et ça se met en place
- 00:25:24très rapidement après il suffit juste de
- 00:25:27faire au sud au et pour avoir accès aux
- 00:25:30tâches d'administration d'accor
- 00:25:34maintenant on va s'intéresser à autre
- 00:25:36chose alors ça alors les ça ils vont
- 00:25:40être de plus en plus complexes d'accord
- 00:25:41mais je vais essayer de vulgariser au
- 00:25:44maximum une des failles de sécurité
- 00:25:45qu'on trouve beaucoup dans les
- 00:25:47challenges route nice et de
- 00:25:49cybersécurité c'est le suio dit what is
- 00:25:52the issuer dit en fait il est possible
- 00:25:54de donner à certains
- 00:25:57un certain exécutable des droits sur
- 00:26:01lequel un utilisateur en utilisant cet
- 00:26:03exécutable va récupérer les droits de
- 00:26:06l'utilisateur pour lequel il a été créé
- 00:26:08ça veut dire quoi si par exemple ici je
- 00:26:12veux je suis un utilisateur et je veux
- 00:26:14changer mon mot de passe qu'est ce qui
- 00:26:16se passe je vais utiliser l'exécutable
- 00:26:19passe wd et cet exécutable va devoir
- 00:26:23accéder au fichier des mots de passe
- 00:26:25chiffrés qui est au tc shadow d'accord
- 00:26:29où les mots de passe ont haché ange
- 00:26:31chasse 512 mais ce fichier l'utilisateur
- 00:26:35n'y a pas que c'est donc pour faire ça
- 00:26:37on va rajouter ici une chose spéciale
- 00:26:42qui les ai sué dis donc ici il est pur
- 00:26:45passe wd et avec l'utilisateur route
- 00:26:48c'est à dire que les utilisateurs qui
- 00:26:50vont accéder à ce programme deviendront
- 00:26:53route en utilisant alors ça veut dire
- 00:26:56quoi
- 00:26:56c'est à dire qu' il existe sur votre
- 00:27:00serveur debian tout un ensemble de
- 00:27:03fichiers programmes qui essaye d'y
- 00:27:06positionner et qui sont sur route
- 00:27:08donc on pesant et c'est pas une faille
- 00:27:11de sécurité majeure alors en prenant du
- 00:27:14recul j'ai trouvé dans un bouquin que
- 00:27:17c'était necessary evil
- 00:27:19bon pourquoi pas mais donc du coup c'est
- 00:27:23nécessaire mais ça reste dangereux alors
- 00:27:25dangereux pourquoi parce que si d'autres
- 00:27:28utilisateurs arrive temporairement avoir
- 00:27:31des accès root et vous rajoute des déçus
- 00:27:35a dit un peu partout sur au système sans
- 00:27:36vous voyez ça peut faire des portes
- 00:27:39d'entrée pour des attaques futures
- 00:27:41donc ça mérite d'être auditées alors la
- 00:27:46question c'est comment on regarde sur un
- 00:27:47système qu'elles sont tous les fichiers
- 00:27:49qui inclut ceux ce flag y en a qui
- 00:27:55savent comment find me voilà encore un
- 00:28:02find un joli find donc on fait comme ça
- 00:28:05avec à partir de la racine du serveur on
- 00:28:08cherche les fichiers qui ont la
- 00:28:09permission 4000
- 00:28:11ou la permission de 1000 pilotes par
- 00:28:12exemple on dirait que ça vers un fichier
- 00:28:13texte pour premier regardez là je me
- 00:28:15suis amusé audités juste debian 10 il y
- 00:28:20en a treize de base sur un système où il
- 00:28:23ya juste ssh d'installer voilà système
- 00:28:28natif il y en a 13 ça peut être une
- 00:28:31faille de sécurité aussi donc c'est
- 00:28:33quelque chose qu'il faut surveiller
- 00:28:34d'accord alors qu'est ce qu'on peut
- 00:28:40mettre comme mesures pour empêcher des
- 00:28:42utilisateurs ont protégé des systèmes de
- 00:28:44réaliser des ddd suis dit ou dsg a dit
- 00:28:49pour le groupe on va créer par exemple
- 00:28:51ici une partition donc ici c'est la
- 00:28:54partition slash tempo et on va la montée
- 00:28:57en eaux et suez ne sera pas possible
- 00:28:59dans la partition temporaire de deux ou
- 00:29:03qui est beaucoup utilisé pour des
- 00:29:04attaques avec des scripts
- 00:29:06déjà on va empêcher les scripts de
- 00:29:08s'exécuter sur sa tempe et en plus on
- 00:29:10empêchera de m déçu il dit sur sur les
- 00:29:14fichiers là pour des attaques futures
- 00:29:15d'accord donc ça ça ce paramètre dans au
- 00:29:19tcf est stable le fichier des points de
- 00:29:22montage du système d'accord ensuite
- 00:29:28j'avais pensé parler un peu de système d
- 00:29:31mais je me suis rendu compte que c'est
- 00:29:33encore un monde tout ça et sur une
- 00:29:35présentation de 40 minutes c'est
- 00:29:36vraiment trop court donc je le lis tout
- 00:29:39juste pour de garde en mémoire que les
- 00:29:42services aussi peuvent être des bases
- 00:29:44d'attac et il faut toujours avoir en
- 00:29:48mémoire qu'est ce qui tourne comme
- 00:29:49service sur son serveur donc vous allez
- 00:29:52l'audit et avec la commande système
- 00:29:54s'était elle est pour regarder les
- 00:29:57services active tirs étaient servis ce
- 00:29:58statut sont actifs il y en a vraiment
- 00:30:01toute une palanquée mêmes même sur un
- 00:30:04système qui est fraîchement installé
- 00:30:07comme la d'accord donc on va retrouver
- 00:30:09apparmor pour le mac tout ce qui est le
- 00:30:13crown le réseau et cetera et cetera
- 00:30:16il ya plein de choses voilà maintenant
- 00:30:20on va rentrer dans des choses un peu
- 00:30:21plus complexe alors comment on attaque
- 00:30:24un cerne linux de l'extérieur sur des
- 00:30:26failles
- 00:30:27on va utiliser ce qu'on appelle des
- 00:30:29bouffeurs overflow des attaques barber
- 00:30:32overflow c'est-à-dire enveloppe on va
- 00:30:34utiliser une faille qui est lié à la
- 00:30:40compilation beaucoup des programmes ans
- 00:30:42et qui fait qu' on va pouvoir écraser
- 00:30:46des variables mais des choses dans ce
- 00:30:47qu'on appelle la pile pour pouvoir
- 00:30:49injecter du code qu'on va pouvoir
- 00:30:51réussir à faire exécuter pour pouvoir
- 00:30:53prendre la main sur les serveurs les
- 00:30:55attaques d'arnaud fleurent overflow sont
- 00:30:56un fléau sur sur le sur les systèmes
- 00:30:59ça touche tout le monde comment on se
- 00:31:02protège de ça on va utiliser une
- 00:31:06fonction qui s'appelle as l air pur
- 00:31:09address space layout randomization où à
- 00:31:11chaque lancement du programme
- 00:31:12le système va le mettre les endroits
- 00:31:15différents ce qui fait que l'adresse où
- 00:31:17on va injecter notre notre shellcode son
- 00:31:20appel entre autres malwares on m'a dit
- 00:31:22rentre enfin notre code malveillant
- 00:31:24ça voudra sans arrêt on sera pas
- 00:31:26exactement où il est à chaque fois du
- 00:31:28coup ça va complexifier les attaques
- 00:31:29d'accord donc par défaut si vous
- 00:31:33regardez sur votre buster vous faites un
- 00:31:354 sur ce fichier randomisée à space et
- 00:31:38voiliers de ses actifs donc au système
- 00:31:40nativement et prog et protéger contre
- 00:31:43les attaques de basiques on va dire bof
- 00:31:47heures overflow on va voir qui n'est pas
- 00:31:48protégée contre l'europe
- 00:31:50le return orient ty programme digne donc
- 00:31:56me reste huit minutes
- 00:31:59alors comment le système va compiler ces
- 00:32:04package pour prendre en compte des
- 00:32:07directives de sécurité
- 00:32:08alors là on rentre un peu dans la
- 00:32:10technique on est sur ce qu'on appelle
- 00:32:12les flags de compilation et par défaut
- 00:32:16aux recherches en faisant une recherche
- 00:32:18sur internet je suis tombé sur un forum
- 00:32:21de
- 00:32:212010deux ou ou raphaël avec rick non
- 00:32:25j'en ai profité pour copier des
- 00:32:27commandes c'était très marrant
- 00:32:29sachant que j'allais voir aujourd'hui
- 00:32:31voilà donc la commande des p4 g8 flag
- 00:32:34donc en fait quand on la joue par défaut
- 00:32:37sur buster elles donnent tous ces choses
- 00:32:39à peu près incompréhensible
- 00:32:40on va essayer de juste d'en traiter 2 3
- 00:32:44pour expliquer ce qu'il faut se rendre
- 00:32:46compte c'est que donc là ici on a des
- 00:32:48fonctions de protection on est un stade
- 00:32:50protection de taxer la pile plus
- 00:32:51d'autres choses des protections contre
- 00:32:52le format string mais j'ai comparé entre
- 00:32:55debian 9 et des biens 10 ya peu de
- 00:32:58changements d'accord donc on a pas eu
- 00:33:00d'amélioration clair à ce niveau là donc
- 00:33:05si si on veut regarder ce qui se passe
- 00:33:10par exemple si vous voulez compiler vos
- 00:33:13package vous utilisez la directive de
- 00:33:16compilation c'est flag sur lequel vous
- 00:33:18allez ajouter ce qui est donné par la
- 00:33:20distrib ici et on voit quand on joue
- 00:33:23cette commande là ça nous donne donc la
- 00:33:27protection la stac doublé format et w
- 00:33:30error égale format de security alors
- 00:33:32qu'est-ce que par défaut tout ça nous
- 00:33:34amène ça nous amène déjà stade protector
- 00:33:37ici nous ajoute un canari dans la pile
- 00:33:42dans le préambule de la fonction alors
- 00:33:44pour l'anecdote le canari ckoi sénat une
- 00:33:48analogie avec les coleman les mines de
- 00:33:50charbon sur lequel on a une mais tu es
- 00:33:53un petit oiseau dans une cage et quand
- 00:33:55il commençait à être pas bien c'est
- 00:33:56qu'on allait avoir un coup de grisou
- 00:33:57d'accord et ce terme a été repris
- 00:34:00donc on le met dans la stac c'est un
- 00:34:01nombre aléatoire qui générait
- 00:34:03dynamiquement et qui va permettre de
- 00:34:04vérifier que la pile n'a pas été écrasé
- 00:34:07par un code malveillant sur une partie
- 00:34:09donc ça c'est nativement dans tous les
- 00:34:12package qui sont compilés sur gloucester
- 00:34:14qui existait déjà dans des biens neufs
- 00:34:17ensuite on retrouve est double et
- 00:34:19formate ça ça permet de vérifier que on
- 00:34:22n'a pas de faille sur printf et skf qui
- 00:34:25sont des fonctions du section utilisé
- 00:34:27partout du langage c est de façon à
- 00:34:31éviter une autre faille qui s'appelle
- 00:34:33les attaques parfum
- 00:34:34string d'accord donc nativement les
- 00:34:38protéger et le dernier ici w au régal
- 00:34:42format security ça veut dire si on a un
- 00:34:43warning un avertissement comme quoi il y
- 00:34:46aurait possiblement une erreur type
- 00:34:50format string
- 00:34:51on l'a le warning on le passe en erreur
- 00:34:53en bloc la continuation d'accord donc du
- 00:34:57coup voilà ce qu'on a en activement ça
- 00:35:00c'était pour la compilation pour le leak
- 00:35:02donc le ld flags
- 00:35:04alors je peux pas rentrer dans le détail
- 00:35:06de ce que c'est que le linksys et vous
- 00:35:07parle pas mais je vous invite à
- 00:35:09reprendre et sly plus tard il est
- 00:35:10regardé sur internet ici sur les flag
- 00:35:14ici en jouant la commande des pkg but
- 00:35:16flag et en entendant les ailes des flag
- 00:35:18on voit que l'on a tiré z et zèle rôle
- 00:35:22réel réseau je ré rainero voilà
- 00:35:27dyslexiques je ne sais pas d'où ça sort
- 00:35:29mais qu'est ce que ça veut dire ça veut
- 00:35:31dire que en fait pour empêcher que la
- 00:35:35pile la stac soit aussi attaqué on va la
- 00:35:40mettre en réseau ni à la fois
- 00:35:48tout ce qui concerne donc l'application
- 00:35:50d'accords et je crois que ses
- 00:35:52dépendances aussi voilà donc ça c'est ce
- 00:35:58qui existe actuellement
- 00:36:01mais il manque des choses il manque le
- 00:36:04pe
- 00:36:05alors il existe une attaque qui permet
- 00:36:09de contourner toutes les protections de
- 00:36:12buffer overflow qui s'appelle europe
- 00:36:13return en riant ty programming c'est un
- 00:36:17système assez complexe à mettre en place
- 00:36:18mais qui marche assez bien quand on le
- 00:36:21maîtrise et qui permet donc de
- 00:36:24d'exploiter de nouvelles vulnérabilités
- 00:36:26et la protection
- 00:36:28ce serait une directive de compilation
- 00:36:30qui serait c'est la fpf pareil et c'est
- 00:36:35existe dans gcc 8 donc le compilateur en
- 00:36:38version 8 qui est dans qui est dans
- 00:36:42buster mais actuellement cette directive
- 00:36:45de compilation n'est pas utilisé pour
- 00:36:46générer les package d'accord on la voit
- 00:36:51pas ah il a fait par défaut d'accord
- 00:37:00d'accord ok
- 00:37:06ces lingettes si on la désactive zoug
- 00:37:08cpb
- 00:37:10ok d'accord donc elle est par défaut bon
- 00:37:13ben c'est donc du coup on est sécurisé
- 00:37:15par contre apparemment celle là ne sont
- 00:37:18pas activés par défaut et elle pourrait
- 00:37:21l'être donc ça c'est des protections sur
- 00:37:24au niveau de nouvelles protections sur
- 00:37:26sur la stack qui font référence à des
- 00:37:28attaques très récente qui sont
- 00:37:29référencés par qualys là et je vous
- 00:37:33invite à regarder les slides si ça vous
- 00:37:36intéresse de d'aller plus loin tac
- 00:37:44voilà alors par rapport à tout ce qu'on
- 00:37:48a vu il ya aussi tout un ensemble de
- 00:37:50choses qui sont faites
- 00:37:51keane keane qui n'apparaissent pas dans
- 00:37:54le kernel de base alors debian en fait
- 00:37:57donc rage ou tout un ensemble de
- 00:37:59protections donc dans la dans l'aspect
- 00:38:01de sécurité en profondeur pour sécuriser
- 00:38:03un kernel
- 00:38:04il me reste deux minutes où je vais
- 00:38:05essayer accéléré sans que ce soit
- 00:38:07incompréhensible voilà donc première
- 00:38:10chose à faire c'est que il est un
- 00:38:14fichier de configuration qui s'appelle
- 00:38:15cissé tel point qu'on qui est lui au
- 00:38:17démarrage du système et qui va prendre
- 00:38:19en compte tout un ensemble de variables
- 00:38:20pour les impliquer au kernel alors ici
- 00:38:22je vous donne un exemple donc j'ai juste
- 00:38:24affiché que quelques lignes et à partir
- 00:38:28de là on voit qu'on peut si on active ce
- 00:38:31paramètre ici en les commentant on peut
- 00:38:32se protéger contre des attaques par
- 00:38:34spoofing ce qui ce qui n'est pas fait
- 00:38:36par défaut
- 00:38:37voilà donc il ya tout un ensemble de
- 00:38:39variables sur lequel on peut renforcer
- 00:38:41la sécurité du kernel sur lequel vous
- 00:38:44pouvez agir ensuite dans la dans le
- 00:38:49renforcement de la sécurité du carnet de
- 00:38:52base il ya tout un ensemble de patch qui
- 00:38:55sont appliquées par les mainteneurs de
- 00:38:57la distribution dès maintenant du kernel
- 00:38:59de la distribution par exemple pour
- 00:39:02désactiver les nine space d'accord par
- 00:39:05défaut donc ce qui va bloquer
- 00:39:07certainement l'utilisation de nos coeurs
- 00:39:08donc il faut après utiliser cette
- 00:39:11commande là si c'est elle qui permet de
- 00:39:13configurer dynamiquement éternelle pour
- 00:39:15réactiver
- 00:39:16cette fonctionnalité d'accord et aussi
- 00:39:20debian intègre les patchs lockdown qui
- 00:39:24ont apparemment porté un mener un débat
- 00:39:29dans la communauté du kernel linux à
- 00:39:31savoir si on devait les appliquer ou pas
- 00:39:33et qui permettent de se protéger en
- 00:39:36trodes contre des le chargement de
- 00:39:38modules non signés ou ou des commandes
- 00:39:42cas exec le secure boot est maintenant
- 00:39:48fonctionnel sur sur buster alors avant
- 00:39:54pouvait pas savez pourquoi parce que
- 00:39:56c'est la notion de chim le firmeware qui
- 00:39:59est chargée au démarrage était signée
- 00:40:03par l'autorité de certification
- 00:40:04microsoft d'accord donc apparemment ça
- 00:40:07s'entendait pas donc maintenant le
- 00:40:11secure boot doit être fonctionnel
- 00:40:12j'avoue je n'ai pas encore testé voilà
- 00:40:17si il existe un outil qui s'appelle cas
- 00:40:20config arts denys tchèque qui permet de
- 00:40:23vérifier tout un ensemble de points de
- 00:40:26sécurité sur votre système debian est
- 00:40:30ici par exemple sur en le passant sur
- 00:40:33donc la buster on trouve 50 erreur sur
- 00:40:3751 compliance ichou d'accord mais il ya
- 00:40:42aussi des faux positifs donc tout ça est
- 00:40:44bien sûr un modéré voilà ensuite j'aurai
- 00:40:52pas trop trop le temps d'en parler il me
- 00:40:54reste cinq secondes sur 6 et l on voit
- 00:40:58que on parlait tout à l'heure les
- 00:41:00utilisateurs maintenant ne peuvent plus
- 00:41:01taper des msg pour voir les loques du
- 00:41:04kernel la sécurité a été renforcée
- 00:41:07ici et j'aurais juste terminée par ça
- 00:41:09c'est toute la difficulté entre un
- 00:41:15projet s'appelle ksp pki qui va lister
- 00:41:19tout un ensemble de bonnes pratiques
- 00:41:20pour sécuriser le kernel sur lequel on
- 00:41:23peut se référer pour les appliquer et ce
- 00:41:25n'est pas appliquée de base pourquoi
- 00:41:26parce que
- 00:41:27linus est envahie de les a refusées
- 00:41:29d'accord voilà si vous voulez aller plus
- 00:41:33loin je vous ai mis deux liens qui
- 00:41:34proviennent de debian toi org
- 00:41:36et voilà je suis overtime donc cinq
- 00:41:41salles et oui la naphtaline focntion est
- 00:41:44sous pression
- Debian
- beveiliging
- hardening
- gebruikersbeheer
- wachtwoordcomplexiteit
- SSH
- firewall
- encryptie
- PAM
- cybersecurity