Hardening Debian 10 (Buster)

00:41:55
https://www.youtube.com/watch?v=N-pvLMHtRSA

概要

TLDRDe presentatie door Frédéric richt zich op het verbeteren van de beveiliging van Debian-systemen door het toepassen van hardeningstechnieken. Hij bespreekt de noodzaak van goede gebruikersbeheer, het gebruik van sudo voor administratieve taken, en biedt richtlijnen voor wachtwoordcomplexiteit en firewalls. De spreker benadrukt het belang van encryptie voor gegevensbeveiliging en het correct configureren van SSH. Hij bespreekt ook de rol van PAM-modules en het patchen van kwetsbaarheden. Dit alles met als doel een veiliger, beter beheerd systeem te creëren dat bestand is tegen cyberaanvallen.

収穫

  • 🔐 Het belang van hardening voor systeembeveiliging.
  • 🐧 Beheer van gebruikersaccounts is cruciaal.
  • 🛡️ Gebruik van sudo in plaats van root-toegang.
  • ⚙️ Pas wachtwoordcomplexiteit en beleid toe.
  • 🌐 Configuratie van firewalls is noodzakelijk.
  • 🔑 Versleutel gegevens voor extra beveiliging.
  • ✉️ SSH-configuraties moeten worden aangescherpt.
  • 📜 Altijd up-to-date blijven met patches.
  • 🧰 Gebruik PAM-modules voor extra beveiliging.
  • ⚠️ Monitoren van systeemlogs voor verdachte activiteiten.

タイムライン

  • 00:00:00 - 00:05:00

    De spreker, Frédéric, introduceert zijn presentatie over de beveiliging van Debian-systeemconfiguraties. Hij legt uit dat de presentatie zowel in het Frans als in het Engels zal zijn, maar de slides zijn in het Engels. De presentatie richt zich op best practices voor hardening van Debian, met een focus op cybersecurity.

  • 00:05:00 - 00:10:00

    Frédéric bespreekt de noodzaak van harde beveiligingsconfiguraties voor Linux-systemen. Hij benadrukt dat, hoewel Linux als veilig wordt beschouwd, het nog steeds kwetsbaar is voor aanvallen zoals malware, cyber-squatting en beveiligingslekken. Hij wijst op het belang van het beveiligen van applicaties en systemen om gegevensverlies te voorkomen.

  • 00:10:00 - 00:15:00

    De spreker stelt vast dat beveiligingslekken veelal voortkomen uit bugs in het besturingssysteem en een slecht beveiligde serverconfiguratie. Hij adviseert regelmatig systeemupdates en patches aan te brengen. Er wordt ook gesproken over de noodzaak van een holistische aanpak om de algehele beveiliging van een Linux-systeem te verbeteren.

  • 00:15:00 - 00:20:00

    Frédéric introduceert het concept van systeemhardening en de principes daarvan. Hij vertelt over inspectie van gebruikersaccounts, juiste gebruikersrechten, en het notificeren van gebruikers over hun toegangsrechten voor een veiliger systeemgebruik. De spreker benadrukt dat alle systeembeheerders de basis van systeemveiligheid moeten begrijpen en toepassen.

  • 00:20:00 - 00:25:00

    De spreker bespreekt de voordelen van het beperken van root-toegang en het gebruik van 'sudo' voor administratieve taken. Hij pleit ervoor om root-logins te deactiveren voor verhoogde veiligheid, waardoor het een stuk moeilijker wordt voor aanvallers om toegang te krijgen via brute-force-aanvallen.

  • 00:25:00 - 00:30:00

    Frédéric behandelt verschillende configuraties en technieken om gebruikersauthenticatie te beveiligen, zoals het versterken van wachtwoordcomplexiteit en het implementeren van firewalls. Hij legt uit hoe iptables kan worden gebruikt om een firewall te configureren op Debian-systeem en hoe deze regels persistent kunnen worden gemaakt.

  • 00:30:00 - 00:35:00

    De spreker gaat verder met het bespreken van encryptie op het systeem en het verhogen van de algehele dataveiligheid door gebruik te maken van SSH. Hij raadt aan om SSH-sleutels te gebruiken in plaats van wachtwoorden voor veiligere verbindingen en controlemechanismen in te stellen die ongeoorloofde toegang tot de root-account beperken.

  • 00:35:00 - 00:41:55

    Tot slot bespreekt Frédéric de noodzaak om operationele beveiliging te monitoren en beleid inzake het kernel-beveiliging in acht te nemen. Hij benadrukt het belang van auditing, goed ontwerp en de toepassing van beveiligingspatches en -updates om de kans op aanvallen door kwetsbaarheden te minimaliseren.

もっと見る

マインドマップ

ビデオQ&A

  • Wat is het doel van hardening in Debian?

    Het doel van hardening in Debian is om de beveiliging van het besturingssysteem te verbeteren door best practices en configuraties toe te passen die helpen bij het beschermen tegen aanvallen.

  • Waarom is root-toegang vermijden belangrijk?

    Het vermijden van root-toegang is belangrijk omdat het de mogelijkheden voor aanvallers beperkt en helpt bij het voorkomen van ongeautoriseerde toegang tot gevoelige gegevens.

  • Wat zijn enkele aanbevolen praktijken voor wachtwoorden?

    Aanbevolen praktijken voor wachtwoorden zijn onder andere het gebruik van complexe wachtwoorden met een minimale lengte, het aantal toegestane inlogpogingen te beperken en wachtwoordbeleid te handhaven.

  • Wat is het belang van gebruikersbeheer?

    Gebruikersondersteuning is essentieel voor het waarborgen dat alleen geautoriseerde gebruikers toegang hebben tot bepaalde systeemfuncties, wat het risico op datalekken of aanvallen vermindert.

ビデオをもっと見る

AIを活用したYouTubeの無料動画要約に即アクセス!
字幕
fr
オートスクロール:
  • 00:00:05
    ok séquence with frédéric l'enquêté
  • 00:00:10
    gonna take two par downing
  • 00:00:13
    deviennent-elles will be in english and
  • 00:00:17
    french and english et additionnelles
  • 00:00:21
    diffus spécifiques terme on sentait que
  • 00:00:28
    free to play sur l île est ok ya six
  • 00:00:30
    wickets 5 you please welcome frédéric
  • 00:00:33
    [Applaudissements]
  • 00:00:38
    thank you so i decided that forced to
  • 00:00:43
    make the presentation in english but
  • 00:00:45
    some as tu me to do it in french so à
  • 00:00:49
    will do ou mixte ok the slide are in
  • 00:00:55
    english
  • 00:00:56
    so for the english people you can't read
  • 00:01:00
    heat en force de francky polémique en
  • 00:01:02
    chimie ok so far this présentation avait
  • 00:01:08
    déjà dit tout tout un studio spector
  • 00:01:11
    hardening the new version of deviennent
  • 00:01:14
    tout à ce que ces questions what is hard
  • 00:01:19
    downing debian and what is best practice
  • 00:01:24
    always in place d'accords donc en fait
  • 00:01:28
    en gros donc on va voir les toutes les
  • 00:01:31
    bonnes pratiques dans debian et et la
  • 00:01:34
    notion de a redonné hardening qui veut
  • 00:01:36
    dire durcir la configuration est
  • 00:01:39
    pourquoi il faut le faire
  • 00:01:40
    d'accord
  • 00:01:44
    donc nous sommes dans un contexte au
  • 00:01:47
    niveau cybersécurité ou linux fait
  • 00:01:50
    figure de système le plus sécurisé donc
  • 00:01:53
    face aux menaces qui a sur internet
  • 00:01:57
    alors pour en citer certaines tout ce
  • 00:02:00
    qui est beau ce botnet malware donc qui
  • 00:02:03
    peuvent amener sur des dénis service
  • 00:02:07
    les rangs de somewhere parce que c'est
  • 00:02:09
    bien d'être sur linux en disant nous on
  • 00:02:10
    n'a pas de virus on est tranquille tout
  • 00:02:12
    ça souvent on héberge des données en
  • 00:02:15
    partageant des serveurs de fichiers sous
  • 00:02:17
    windows
  • 00:02:18
    et c'est ces systèmes là peuvent être
  • 00:02:20
    touchée aussi par les rangs de somewhere
  • 00:02:21
    via les partages ou dans les messageries
  • 00:02:25
    un gros risque aussi que l'on rencontre
  • 00:02:27
    beaucoup c'est les uns le cybersquatting
  • 00:02:30
    crypto bitcoin software qui vient
  • 00:02:34
    s'installer sur votre serveur et qui
  • 00:02:35
    utilise du cpu pour eux pour miner du
  • 00:02:40
    bitcoin est pauvre et fournir des débits
  • 00:02:46
    tu cognes aux pirates
  • 00:02:47
    voilà donc et le dernier haut niveau
  • 00:02:52
    risque c'est toutes les failles de
  • 00:02:54
    sécurité qui n'implique pas forcément
  • 00:02:56
    des malwares mais des failles qui
  • 00:03:00
    permettent à des attaquants de rentrer
  • 00:03:01
    sur les systèmes pour voler des données
  • 00:03:03
    style sensitive une formation qui est le
  • 00:03:08
    risque majeur actuellement sur internet
  • 00:03:10
    là la fuite de base de données par
  • 00:03:12
    exemple cet appel et les leaks on
  • 00:03:13
    retrouve tous les les login password les
  • 00:03:16
    cartes bleues de tout le monde donc si
  • 00:03:22
    on s'intéresse aux failles de sécurité
  • 00:03:25
    security breach
  • 00:03:26
    d'où vient-elle alors en grande partie
  • 00:03:29
    ça peut venir de bugs du système
  • 00:03:31
    d'exploitation directement soit ducarne
  • 00:03:34
    elles soient des services qui tourne
  • 00:03:36
    autour et ensuite on va rencontrer des
  • 00:03:41
    bugs dans les applications donc par
  • 00:03:42
    exemple sur les serveurs web qui héberge
  • 00:03:45
    qui sont hébergés sur les serveurs linux
  • 00:03:48
    et on peut aussi avoir pour les
  • 00:03:52
    configurations de serveurs c'est à dire
  • 00:03:53
    des serveurs qui sont très mal configuré
  • 00:03:56
    au niveau sécurité et qu'ils peuvent
  • 00:03:59
    aussi mener à des piratages des
  • 00:04:02
    exploitations alors souvent le premier
  • 00:04:06
    peut être corrigé par en mettant à jour
  • 00:04:10
    les patchs
  • 00:04:12
    de sécurité mais il faut se rendre
  • 00:04:15
    compte que d'une façon globale
  • 00:04:17
    un système même linux a besoin de tout
  • 00:04:24
    un ensemble d'actions pour le rendre
  • 00:04:25
    beaucoup plus sécurisée comment on va le
  • 00:04:28
    voir
  • 00:04:28
    donc cette présentation n'a pas pour but
  • 00:04:31
    d'être exhaustif je ne traiterai pas et
  • 00:04:34
    ce linux ou apparmor mais on va voir
  • 00:04:36
    quand même quelques concepts assez
  • 00:04:38
    avancé alors par rapport à ce qu'on
  • 00:04:43
    vient de voir dans le seul précédent
  • 00:04:44
    nous avons besoin d'eux a redonné
  • 00:04:47
    hardening hero system one aux mines arts
  • 00:04:50
    denys au stand ça veut dire improving
  • 00:04:53
    the security of native système
  • 00:04:55
    c'est-à-dire rajouté par rapport aux
  • 00:04:57
    éléments existants tout un ensemble de
  • 00:05:00
    configurations de directives de
  • 00:05:03
    compilation comme on verra et de bonnes
  • 00:05:05
    pratiques à mettre en place pour
  • 00:05:07
    renforcer la sécurité de notre système
  • 00:05:10
    est l'objectif étant the goal is to make
  • 00:05:13
    or linux box has sécurisé possible
  • 00:05:18
    ok et s'il n'a pas lisse est de dire que
  • 00:05:22
    tous les administrateurs linux doivent
  • 00:05:25
    apprendre la sécurité au moins sûr sur
  • 00:05:29
    leur système d'accord donc à partir de
  • 00:05:34
    là qu'est ce que l'on peut faire
  • 00:05:35
    la première chose à faire c'est bien sûr
  • 00:05:38
    c'est de s'intéresser aux comptes
  • 00:05:39
    utilisateurs de façon avec la gestion
  • 00:05:42
    des droits classiques pour faire en
  • 00:05:44
    sorte que les utilisateurs puissent
  • 00:05:47
    faire leur travail et réaliser les
  • 00:05:50
    actions pour avancer dans leur boulot
  • 00:05:53
    classique il faut s'assurer que les
  • 00:05:55
    autres utilisateurs ne vont pas avoir
  • 00:05:57
    accès à leurs données et bien entendu le
  • 00:06:01
    dernier point c'est il faut pas que
  • 00:06:02
    l'utilisateur puisse aller se balader
  • 00:06:04
    partout dans le système pour avoir plein
  • 00:06:06
    d'informations alors quand on sur le
  • 00:06:08
    dernier point on se rend compte qu
  • 00:06:10
    actuellement avec des commandes de base
  • 00:06:12
    on peut encore voir quand même beaucoup
  • 00:06:13
    de choses sur un système linux par
  • 00:06:15
    exemple les loques du kernel avec des
  • 00:06:17
    msg on pouvait entendre quand les voir
  • 00:06:19
    avec les droits utilisateur classique on
  • 00:06:22
    verra que dans buster
  • 00:06:24
    ça a été renforcée au niveau sécurité
  • 00:06:26
    par duhart dening d'accord alors dans
  • 00:06:32
    les premières recommandations pour la
  • 00:06:34
    sécurité des comptes utilisateurs déjà
  • 00:06:37
    on peut se poser la question est-ce que
  • 00:06:39
    c'est nécessaire de garder un contrôle
  • 00:06:41
    actif d'accord donc pour plusieurs
  • 00:06:45
    raisons déjà on peut faire de grosses
  • 00:06:49
    conneries en est en route
  • 00:06:51
    sur toutes les actions alors encore
  • 00:06:54
    moins j'en vois certains qui installent
  • 00:06:55
    leur linuxgraphic en start x en route ça
  • 00:06:58
    je trouve ça horrible
  • 00:06:59
    voilà et après il ya là aussi au niveau
  • 00:07:04
    on verra après sur la notion de logs des
  • 00:07:06
    actions il n'est pas forcément possible
  • 00:07:08
    au ghetto ce qu'on fait en route
  • 00:07:10
    d'accord donc du coup on se tournera
  • 00:07:12
    vers les bénéfices de sud au the
  • 00:07:15
    benefits of sido comment remédier on va
  • 00:07:19
    dire un au risque d'être constamment
  • 00:07:21
    route et on verra comment configurer le
  • 00:07:26
    système pour générer un passeur de
  • 00:07:28
    qualité même si on va considérer que le
  • 00:07:31
    pasteur n'est pas sécurisé et on le
  • 00:07:33
    remplacera par autre chose par la suite
  • 00:07:35
    donc alors comment on met en place tout
  • 00:07:38
    ça alors la première chose alors là je
  • 00:07:42
    suis pas s'il y en a qui vont hurler
  • 00:07:43
    mais on peut proposer 2 de bloquer les
  • 00:07:48
    accès à route alors on peut toujours
  • 00:07:50
    même si on a su dont on peut toujours
  • 00:07:51
    faire et sud aurait su pour devenir
  • 00:07:53
    route
  • 00:07:53
    donc du coup ici directement dans le six
  • 00:07:59
    passes de bonnes idées on met route en
  • 00:08:00
    eau le guide ça va ça règle le problème
  • 00:08:03
    il n'est plus possible après un
  • 00:08:05
    utilisateur de se connecter en route et
  • 00:08:09
    il fera tout avec son son compte
  • 00:08:11
    lui-même et sera longue et de cette
  • 00:08:14
    façon n'a pas alors pour cela
  • 00:08:21
    pour cela on va utiliser sud au donc
  • 00:08:24
    peut-être vous le faites déjà c'est très
  • 00:08:25
    bien et moi même je travaille fait un
  • 00:08:30
    gros travail sur moi pour l'utiliser
  • 00:08:32
    d'accord donc
  • 00:08:36
    l'intérêt on le verra dans la salle
  • 00:08:38
    d'après mais c'est de permettre à des
  • 00:08:40
    utilisateurs toujours d'avoir des droits
  • 00:08:44
    avancé pour réaliser des tâches
  • 00:08:46
    administratives
  • 00:08:47
    mais il est rare que tous les actions
  • 00:08:49
    que l'on a affaire requièrent les droits
  • 00:08:51
    administrateurs donc dans ce cas autant
  • 00:08:54
    au tout autant gérer le système les
  • 00:08:58
    utilisateurs avec les aspects sud au
  • 00:09:00
    pour leur donner des droits bien
  • 00:09:02
    spécifiques
  • 00:09:03
    s'ils doivent réaliser des actions
  • 00:09:05
    d'administration ils tapent leur
  • 00:09:07
    password leur propre password et il n'y
  • 00:09:10
    a pas besoin de donner le mot de passe
  • 00:09:12
    root à tout le monde et encore moins si
  • 00:09:14
    un utilisateur quitte le groupe
  • 00:09:17
    la société on doit changer le mot de
  • 00:09:19
    passe root pour tout le monde ce qui est
  • 00:09:20
    un problème
  • 00:09:21
    voilà donc ça résout déjà ce problème là
  • 00:09:25
    on verra aussi que l'on peut aller plus
  • 00:09:28
    loin ensuite le fait de désactiver le
  • 00:09:32
    compte root
  • 00:09:33
    au niveau sécurité ça a un impact
  • 00:09:35
    immédiat pour les attaquants s'ils
  • 00:09:38
    l'attaquent principal sur les sur les
  • 00:09:41
    mots de passe de l'extérieur c'est le
  • 00:09:44
    bruit de force et on va chercher avec à
  • 00:09:47
    parcourir tout un ensemble dictionnaire
  • 00:09:49
    de mots de passe pour pour essayer
  • 00:09:51
    d'avoir des accès sur les comptes
  • 00:09:52
    si on désactive le comte route il est
  • 00:09:55
    plus possible ou difficile de savoir qui
  • 00:09:57
    a les droits de mincom utilisateurs donc
  • 00:09:59
    ça complexifie les attaques
  • 00:10:01
    d'accord mais on verra que les mots de
  • 00:10:04
    passe aussi vocation à disparaître
  • 00:10:06
    dans tous les cas donc ici mais que
  • 00:10:11
    sandwich watts mais quitte sur cf sud au
  • 00:10:14
    mais que sont dits choqués alors ici une
  • 00:10:19
    démonstration de pourquoi on va éviter
  • 00:10:22
    d'utiliser les accès route pour réaliser
  • 00:10:25
    des tâches d'administration
  • 00:10:27
    c'est sur le monitoring des actions sur
  • 00:10:30
    un système on va de plus en plus vers
  • 00:10:32
    une sécurité on va monitorer toutes les
  • 00:10:34
    actions sur les logs sont ce qu'on
  • 00:10:36
    appelle des essais m et on voit que par
  • 00:10:39
    exemple si on réalise une action avec je
  • 00:10:44
    me connecte en ait su - pour devenir
  • 00:10:45
    août tous les actions que je vais
  • 00:10:47
    exécuter dans cette
  • 00:10:49
    si on ne seront pas l'objet on voit
  • 00:10:50
    juste opening une clause session en
  • 00:10:53
    libye not all jackson in between nothing
  • 00:10:58
    is all claudine ok si vous êtes vous
  • 00:11:02
    utilisez votre sud au pour faire tout ça
  • 00:11:07
    tout les ici par exemple je me suis
  • 00:11:10
    connecté donc sur six ont des seins sur
  • 00:11:13
    mon serveur et et avec studio je suis
  • 00:11:16
    devenu route
  • 00:11:17
    j'ai fait un opt update pas très méchant
  • 00:11:20
    et ça a été longue et j'ai quitté la
  • 00:11:24
    session et ses sorties donc on voit la
  • 00:11:25
    commande qui est appliquée et on voit
  • 00:11:27
    l'utilisateur
  • 00:11:28
    donc on a on rentre dans la condition de
  • 00:11:31
    traçabilité d'accord de toutes les
  • 00:11:34
    actions
  • 00:11:34
    donc voilà rien que ça au niveau
  • 00:11:35
    sécurité pour se conformer à des
  • 00:11:37
    politiques de sécurité des systèmes
  • 00:11:38
    d'information on répond déjà aux bonnes
  • 00:11:42
    pratiques
  • 00:11:45
    ensuite si on s'intéresse à aux aspects
  • 00:11:49
    de complexifier les mots de passe donc
  • 00:11:52
    ça c'est juste à titre indicatif
  • 00:11:55
    alors cette présentation je la mettrais
  • 00:11:57
    en partage sur le wiki vous pourrez y
  • 00:11:59
    accéder et revenir plus en détail sur
  • 00:12:01
    tous les points si ça vous intéresse
  • 00:12:03
    voilà donc là pour comment on gère sur
  • 00:12:07
    un système debian pour augmenter donc là
  • 00:12:09
    la complexité des mots de passe et avoir
  • 00:12:12
    une politique de mot de passe
  • 00:12:13
    on va utiliser pis de belou quality
  • 00:12:16
    d'accord et ça fait partie des suspects
  • 00:12:18
    les plus gabol authentication module
  • 00:12:20
    l'edpams d'accord donc par défaut il
  • 00:12:23
    n'est pas installé donc il faut
  • 00:12:25
    l'installer on installe aptitudes
  • 00:12:27
    installe les palais de beaulieu quality
  • 00:12:29
    voilà donc je n'ai bien installé que
  • 00:12:31
    sinon j'ai fait des choses bien et
  • 00:12:34
    ensuite on va dans le répertoire pam
  • 00:12:39
    d'hôtes dit et on greffe sur p2bym
  • 00:12:43
    quality on voit que par défaut le
  • 00:12:45
    système autorise que trois connexions
  • 00:12:48
    free on y trois tentatives de
  • 00:12:51
    connection d'accord comme je les écris
  • 00:12:54
    ici sinon on est déconnecté on
  • 00:12:59
    d'accord si on va aller plus loin alors
  • 00:13:04
    la question c'est combien on autorise
  • 00:13:07
    deux tentatives de connexion alors 112
  • 00:13:13
    c'est pas c'est pas évident à savoir
  • 00:13:15
    donc alors c'est normal ça c'est la
  • 00:13:17
    taille du mot de passe d'accord donc la
  • 00:13:20
    taille du mot de passe donc password
  • 00:13:21
    complexité alors ça ça ce paramètre dans
  • 00:13:25
    le fichier donc il faut éditer le film
  • 00:13:27
    the le fichier password colitti d'autres
  • 00:13:30
    gonfle et on a tout un ensemble de
  • 00:13:32
    paramètres que l'on peut renseigner ici
  • 00:13:34
    et par exemple ici la taille minimum bon
  • 00:13:39
    12 caractères tout ça c'est des choses
  • 00:13:41
    très simples je vais pas m'étendre très
  • 00:13:44
    longtemps donc si vous êtes basé sur une
  • 00:13:48
    politique de sécurité dans votre
  • 00:13:49
    entreprise vous juste ça vous appliquez
  • 00:13:52
    sur ce qui est stipulé dedans d'accord
  • 00:13:55
    je bouge beaucoup c'est ça non ok bon
  • 00:14:00
    rien d'extraordinaire là tout le monde
  • 00:14:01
    comprend si on veut aller un peu plus
  • 00:14:03
    loin et on veut combattre les attaque
  • 00:14:07
    par dictionnaire donc les attaques par
  • 00:14:10
    brute de force
  • 00:14:10
    qu'est ce que l'on va faire donc on va
  • 00:14:13
    définir un nombre maximum de tentatives
  • 00:14:17
    de connection donc alors ici la question
  • 00:14:20
    est combien alors on pourrait même sens
  • 00:14:24
    parce que pourquoi sens parce que ça
  • 00:14:26
    permet déjà l'utilisateur s'il a oublié
  • 00:14:28
    son mot de passe
  • 00:14:28
    dessiner 15 fois sans avoir à bloquer
  • 00:14:31
    son compte et si une attaque par
  • 00:14:33
    dictionnaire derrière au bout de cent
  • 00:14:34
    fois ça va arriver très vite
  • 00:14:35
    le compte est bloqué d'accord donc
  • 00:14:38
    comment aux paramètres ça donc il faut
  • 00:14:41
    aller donc dans le fichier de
  • 00:14:43
    configuration pareil donc le tc pam des
  • 00:14:48
    login hockey et modifier le paramètre au
  • 00:14:52
    tricot ailleurs des nay et qui est ici
  • 00:14:55
    dans la dans le fichier on a un exemple
  • 00:14:57
    et on voit que par exemple ici si on met
  • 00:15:00
    des nay quatre tentatives on me peut
  • 00:15:03
    mettre le nombre que l'on souhaite
  • 00:15:05
    d'accord
  • 00:15:07
    ce module est déjà installée sur buster
  • 00:15:11
    donc il n'y a rien à faire si ce n'est
  • 00:15:13
    de l'utiliser encore maintenant que l'on
  • 00:15:23
    a vu un bref aperçu de la sécurité au
  • 00:15:27
    niveau des utilisateurs
  • 00:15:28
    on peut se poser la question du firewall
  • 00:15:32
    des systèmes comme red hat arrive déjà
  • 00:15:35
    avec des firewall préconfigurés et aussi
  • 00:15:38
    et ce linux préinstallé donc on va
  • 00:15:42
    travailler sur des notions de security
  • 00:15:44
    in deep donc sécurité en profondeur sur
  • 00:15:48
    des biens dambusters on n'a pas de
  • 00:15:50
    firewall par défaut et pas de règle
  • 00:15:53
    iptables non plus de de paramétrer donc
  • 00:15:56
    on le voit avec les deux commandes iep
  • 00:15:59
    est à - t-elle qui ne fournissent rien
  • 00:16:03
    alors ici on est sur ces ip v6 et là on
  • 00:16:08
    est en ipv4 d'accord voilà donc qu'est
  • 00:16:14
    ce que ça veut dire tout ça ça veut dire
  • 00:16:15
    que l'installation du firewall va être à
  • 00:16:17
    votre charge
  • 00:16:18
    d'accord le système ne préconise rien
  • 00:16:20
    donc là on peut trouver tout un ensemble
  • 00:16:25
    de deux solutions alors qu'est ce qu'on
  • 00:16:29
    peut mettre en place alors moi je
  • 00:16:32
    propose ip ta persistant qui peuvent
  • 00:16:34
    bien compliqué à mettre en place et qui
  • 00:16:35
    va permettre de conserver vos règles de
  • 00:16:40
    sécurité du firewall même après un
  • 00:16:42
    redémarrage
  • 00:16:43
    d'accord ça va rejouer les règles
  • 00:16:45
    iptables dans un via un script d'accord
  • 00:16:49
    donc comment on installe ip ta
  • 00:16:52
    persistant bas avec ap tes aptitudes
  • 00:16:54
    installe voilà et il vous propose de
  • 00:17:00
    sauvegarder les règles en cours donc si
  • 00:17:02
    vous avez déjà des règles qui ont été
  • 00:17:04
    jouées sur le système il valait rajouter
  • 00:17:07
    à son fichier de configuration
  • 00:17:08
    ce qui est très pratique donc après on
  • 00:17:12
    va pas rentrer dans les détails de
  • 00:17:13
    iptables mais c'est juste pour vous
  • 00:17:14
    donner un aperçu
  • 00:17:18
    donc une fois que l'on a installé ip ta
  • 00:17:21
    persistants on peut aller regarder dans
  • 00:17:22
    le répertoire le tc iptables et là on
  • 00:17:25
    voit qu'il nous a créé les règles pour
  • 00:17:28
    11 v 4 et v6 qui vont faire référence à
  • 00:17:33
    ipv4 ipv6 sur lesquels vous avez tout
  • 00:17:37
    l'opportunité de les modifier et de les
  • 00:17:41
    attaquer et de les adapter selon votre
  • 00:17:43
    politique de sécurité vous voulez mettre
  • 00:17:45
    en place d'accords donc on voit que
  • 00:17:48
    après le redémarrage du système
  • 00:17:51
    on a une persistance des des règles en
  • 00:17:55
    place
  • 00:17:55
    alors il existe d'autres alternatives
  • 00:17:59
    que iptables je le mets juste à titre
  • 00:18:02
    indicatif sur les systèmes ou bintou
  • 00:18:04
    retrouver uef w et il existe au cnf nft
  • 00:18:09
    boys que je n'ai pas expérimenté mais
  • 00:18:12
    c'est être un 10 katif donc il faudra
  • 00:18:14
    l'installer vous-même iptables resto il
  • 00:18:17
    pète a persisté en restant la meilleure
  • 00:18:19
    solution pour debian
  • 00:18:25
    maintenant on va s'intéresser au
  • 00:18:27
    chiffrement alors et au durcissement des
  • 00:18:31
    déconnexions avec ssh duchel sécurisé
  • 00:18:35
    alors l'objectif est de si on veut
  • 00:18:40
    chiffrées alors je parle pas de luxe qui
  • 00:18:42
    permet de chiffrer des partitions c'est
  • 00:18:44
    déjà implémenté on peut à l'installation
  • 00:18:47
    du système on peut le mettre en place
  • 00:18:49
    c'est assez ça c'est bien fait là c'est
  • 00:18:52
    vraiment des choses qu'on dont l'idée ce
  • 00:18:54
    serait de rajouter là si on veut par
  • 00:18:56
    exemple chiffré le le répertoire de
  • 00:19:00
    l'utilisateur on va utiliser le crypte f
  • 00:19:04
    s creed file system donc qui qui
  • 00:19:09
    correspond à entreprises cryptographique
  • 00:19:12
    file system
  • 00:19:12
    alors pour l'installer on va utiliser
  • 00:19:14
    apt-get installe crypte utilisent et
  • 00:19:21
    ensuite on va mettre on va on va jouer
  • 00:19:23
    commande suivante pour pouvoir chiffrer
  • 00:19:26
    toutes les données qui sont dans le
  • 00:19:29
    répertoire alors
  • 00:19:31
    c'était très utilisé alors pourquoi il
  • 00:19:36
    ya un petit souci avec et on pouvait
  • 00:19:39
    aussi l'utiliser pour chiffrer la soie
  • 00:19:43
    la partition des changes
  • 00:19:44
    parce que c'est bien de chiffrer ces
  • 00:19:45
    données utilisateurs mais si on arrive à
  • 00:19:47
    friser la machine et accéder à la swapo
  • 00:19:50
    on pourrait avoir accès à des données
  • 00:19:52
    sensibles aussi donc cet outil le
  • 00:19:54
    permettait mais quand j'ai voulu
  • 00:19:56
    installer
  • 00:19:57
    je me suis rendu compte que il a été
  • 00:20:00
    supprimé de testing donc pour un
  • 00:20:04
    problème de bugs
  • 00:20:05
    donc c'est très récent donc du coup
  • 00:20:08
    à suivre aussi à des experts dans la
  • 00:20:11
    salle là dessus peut-être qu'ils nous
  • 00:20:12
    répondrons si ça va revenir
  • 00:20:14
    d'accord donc pour le moment utiliser
  • 00:20:19
    luxe pour chiffrer vos partitions à
  • 00:20:22
    l'installation du système plutôt que
  • 00:20:24
    crypte file system maintenant tout à
  • 00:20:33
    l'heure enfin tout à l'heure on parlait
  • 00:20:35
    que comment renforcer là
  • 00:20:38
    la sécurité des mots de passe alors dans
  • 00:20:45
    mon existence de on va dire de la
  • 00:20:49
    cybersécurité je suis souvent amené à
  • 00:20:50
    faire des attaques par social
  • 00:20:51
    engineering par mail et qu'est ce qui se
  • 00:20:55
    passe généralement c'est que quand on
  • 00:20:57
    demande leur mot de passe un utilisateur
  • 00:20:58
    il les donne
  • 00:20:59
    d'accord donc il n'y a pas besoin
  • 00:21:01
    d'avoir faire du riz vers saint jean
  • 00:21:03
    ring je ne sais quoi on peut considérer
  • 00:21:06
    que les mots de passe maintenant son
  • 00:21:08
    pneu sont plus sécurisés alors pour des
  • 00:21:11
    raisons déjà le bruit de force tout ce
  • 00:21:13
    qui est qu'il oguer sur les postes ce
  • 00:21:14
    qui enregistre tout ce que vous tapez au
  • 00:21:15
    clavier mais le social engineering reste
  • 00:21:18
    quand même avec le spear phishing larmes
  • 00:21:21
    absolue pour tous piraté sur internet
  • 00:21:23
    d'accord donc comment on va se protéger
  • 00:21:29
    de ça on va utiliser les clés de
  • 00:21:32
    cryptographie ssh pour pour faire
  • 00:21:36
    disparaître les mots de passe d'accord
  • 00:21:38
    donc je pense que beaucoup de monde ici
  • 00:21:39
    connaît ça c'est c'est juste à titre
  • 00:21:42
    indicatif
  • 00:21:42
    mais c'est bien d'être dit donc qu
  • 00:21:45
    attiser la commande ssh qui gêne qui va
  • 00:21:48
    générer une paire de clés une clé
  • 00:21:50
    publique une clé privée et grâce à ça on
  • 00:21:54
    va pouvoir autoriser des utilisateurs à
  • 00:21:59
    se connecter sur des serveurs sans mot
  • 00:22:02
    de passe d'accord ou sur d'autres
  • 00:22:04
    comptes d'accor donc donc du coup les
  • 00:22:08
    conseils sont deux autoriser les
  • 00:22:10
    utilisateurs donc à pouvoir échanger des
  • 00:22:14
    clés donc être basée sur des clés de
  • 00:22:17
    cryptographie et bien sûr et si ce n'est
  • 00:22:20
    pas fait bloquer l'accès ssh ou
  • 00:22:24
    contrôler de l'extérieur pour éviter en
  • 00:22:27
    même temps les attaques
  • 00:22:28
    alors comment on fait ça c'est très
  • 00:22:33
    simple vous générez une paire de qui une
  • 00:22:36
    paire de clés sur votre machine donc
  • 00:22:38
    avec ssh qui gêne vous choisissez le
  • 00:22:43
    type de chiffrement symétrique donc ici
  • 00:22:45
    par défaut maintenant c'est rsa et la
  • 00:22:48
    taille de la clé
  • 00:22:50
    public 4087 alors on considère que 2048
  • 00:22:54
    c'est ça va bientôt être cassée donc on
  • 00:22:57
    se protège pendant dix ans la
  • 00:23:00
    l'informatique quantique cassera la
  • 00:23:03
    cryptographie symétrique 1 donc à terme
  • 00:23:07
    qui à terme rsa seront remplacés voilà
  • 00:23:13
    alors une fois que l'on a généré une
  • 00:23:15
    autre paire de clés on va prendre on va
  • 00:23:17
    se connecter sur notre serveur comme
  • 00:23:19
    j'ai fait là et j'ai coupé ma clé
  • 00:23:21
    publique dans un fichier spécial pour
  • 00:23:25
    pour que le serveur me connaissent et me
  • 00:23:28
    identifie voilà donc dans le fichier
  • 00:23:32
    autorisé de crise on va les copier sa
  • 00:23:34
    clé sur le serveur distant toit sont
  • 00:23:36
    très simples et une fois ça qu'est-ce
  • 00:23:39
    qui se passe et bien je peux me
  • 00:23:43
    connecter sur mon serveur sans mot de
  • 00:23:44
    passe comme l'a donc j'ai tapé ssh on a
  • 00:23:49
    tu mon serveur et il m'a pas demandé de
  • 00:23:51
    mot de passe
  • 00:23:52
    je suis connecté direct dessus et quand
  • 00:23:54
    je fais au stijm je suis bien sur mon
  • 00:23:57
    serveur buster voilà ils n'ont pas
  • 00:23:59
    sûrement workstation qui effraie des
  • 00:24:00
    messies d'accord voilà donc rien de rien
  • 00:24:05
    d'extraordinaire mais c'est quand même
  • 00:24:06
    une révolution on demande souvent ça
  • 00:24:08
    existe windows je ne sais pas répondre
  • 00:24:10
    donc ça existe
  • 00:24:13
    alors maintenant comment on fait pour
  • 00:24:17
    désactiver le contrôle de l'extérieur
  • 00:24:19
    donc c'est très simple par défaut sur
  • 00:24:23
    debian le fichier d'administration donc
  • 00:24:26
    c'est ssh config d'accord et par défaut
  • 00:24:30
    le paramètre qui permet d'autoriser ou
  • 00:24:33
    pas le l'accès aux comptes route s'est
  • 00:24:36
    permis trop de login alors permis trop
  • 00:24:39
    de login par défaut il ya prohibited
  • 00:24:41
    password haut qu'est ce que ça veut dire
  • 00:24:43
    ça ça veut dire qu'en fait le compte
  • 00:24:46
    root est autorisé à se connecter mais
  • 00:24:48
    seulement par échange de clés c'est à
  • 00:24:51
    dire ça bloque
  • 00:24:52
    on peut pas se connecter de l'extérieur
  • 00:24:54
    aux comptes route avec un mot de passe
  • 00:24:56
    d'accord donc déjà ça ça bloque les
  • 00:24:59
    attaques par brute force donc c'est déjà
  • 00:25:01
    pas mal
  • 00:25:02
    après s'ils ont choisi de totalement
  • 00:25:04
    bloquer l'accès aux comptes route même
  • 00:25:06
    parc laissé ça de l'extérieur on eut
  • 00:25:09
    comparé à mettra père mitro de login un
  • 00:25:12
    no d'accord ok donc et bien sûr aux
  • 00:25:18
    courses du restart ssh
  • 00:25:20
    ok ok donc voilà tout ça c'est très
  • 00:25:23
    simple à faire et ça se met en place
  • 00:25:24
    très rapidement après il suffit juste de
  • 00:25:27
    faire au sud au et pour avoir accès aux
  • 00:25:30
    tâches d'administration d'accor
  • 00:25:34
    maintenant on va s'intéresser à autre
  • 00:25:36
    chose alors ça alors les ça ils vont
  • 00:25:40
    être de plus en plus complexes d'accord
  • 00:25:41
    mais je vais essayer de vulgariser au
  • 00:25:44
    maximum une des failles de sécurité
  • 00:25:45
    qu'on trouve beaucoup dans les
  • 00:25:47
    challenges route nice et de
  • 00:25:49
    cybersécurité c'est le suio dit what is
  • 00:25:52
    the issuer dit en fait il est possible
  • 00:25:54
    de donner à certains
  • 00:25:57
    un certain exécutable des droits sur
  • 00:26:01
    lequel un utilisateur en utilisant cet
  • 00:26:03
    exécutable va récupérer les droits de
  • 00:26:06
    l'utilisateur pour lequel il a été créé
  • 00:26:08
    ça veut dire quoi si par exemple ici je
  • 00:26:12
    veux je suis un utilisateur et je veux
  • 00:26:14
    changer mon mot de passe qu'est ce qui
  • 00:26:16
    se passe je vais utiliser l'exécutable
  • 00:26:19
    passe wd et cet exécutable va devoir
  • 00:26:23
    accéder au fichier des mots de passe
  • 00:26:25
    chiffrés qui est au tc shadow d'accord
  • 00:26:29
    où les mots de passe ont haché ange
  • 00:26:31
    chasse 512 mais ce fichier l'utilisateur
  • 00:26:35
    n'y a pas que c'est donc pour faire ça
  • 00:26:37
    on va rajouter ici une chose spéciale
  • 00:26:42
    qui les ai sué dis donc ici il est pur
  • 00:26:45
    passe wd et avec l'utilisateur route
  • 00:26:48
    c'est à dire que les utilisateurs qui
  • 00:26:50
    vont accéder à ce programme deviendront
  • 00:26:53
    route en utilisant alors ça veut dire
  • 00:26:56
    quoi
  • 00:26:56
    c'est à dire qu' il existe sur votre
  • 00:27:00
    serveur debian tout un ensemble de
  • 00:27:03
    fichiers programmes qui essaye d'y
  • 00:27:06
    positionner et qui sont sur route
  • 00:27:08
    donc on pesant et c'est pas une faille
  • 00:27:11
    de sécurité majeure alors en prenant du
  • 00:27:14
    recul j'ai trouvé dans un bouquin que
  • 00:27:17
    c'était necessary evil
  • 00:27:19
    bon pourquoi pas mais donc du coup c'est
  • 00:27:23
    nécessaire mais ça reste dangereux alors
  • 00:27:25
    dangereux pourquoi parce que si d'autres
  • 00:27:28
    utilisateurs arrive temporairement avoir
  • 00:27:31
    des accès root et vous rajoute des déçus
  • 00:27:35
    a dit un peu partout sur au système sans
  • 00:27:36
    vous voyez ça peut faire des portes
  • 00:27:39
    d'entrée pour des attaques futures
  • 00:27:41
    donc ça mérite d'être auditées alors la
  • 00:27:46
    question c'est comment on regarde sur un
  • 00:27:47
    système qu'elles sont tous les fichiers
  • 00:27:49
    qui inclut ceux ce flag y en a qui
  • 00:27:55
    savent comment find me voilà encore un
  • 00:28:02
    find un joli find donc on fait comme ça
  • 00:28:05
    avec à partir de la racine du serveur on
  • 00:28:08
    cherche les fichiers qui ont la
  • 00:28:09
    permission 4000
  • 00:28:11
    ou la permission de 1000 pilotes par
  • 00:28:12
    exemple on dirait que ça vers un fichier
  • 00:28:13
    texte pour premier regardez là je me
  • 00:28:15
    suis amusé audités juste debian 10 il y
  • 00:28:20
    en a treize de base sur un système où il
  • 00:28:23
    ya juste ssh d'installer voilà système
  • 00:28:28
    natif il y en a 13 ça peut être une
  • 00:28:31
    faille de sécurité aussi donc c'est
  • 00:28:33
    quelque chose qu'il faut surveiller
  • 00:28:34
    d'accord alors qu'est ce qu'on peut
  • 00:28:40
    mettre comme mesures pour empêcher des
  • 00:28:42
    utilisateurs ont protégé des systèmes de
  • 00:28:44
    réaliser des ddd suis dit ou dsg a dit
  • 00:28:49
    pour le groupe on va créer par exemple
  • 00:28:51
    ici une partition donc ici c'est la
  • 00:28:54
    partition slash tempo et on va la montée
  • 00:28:57
    en eaux et suez ne sera pas possible
  • 00:28:59
    dans la partition temporaire de deux ou
  • 00:29:03
    qui est beaucoup utilisé pour des
  • 00:29:04
    attaques avec des scripts
  • 00:29:06
    déjà on va empêcher les scripts de
  • 00:29:08
    s'exécuter sur sa tempe et en plus on
  • 00:29:10
    empêchera de m déçu il dit sur sur les
  • 00:29:14
    fichiers là pour des attaques futures
  • 00:29:15
    d'accord donc ça ça ce paramètre dans au
  • 00:29:19
    tcf est stable le fichier des points de
  • 00:29:22
    montage du système d'accord ensuite
  • 00:29:28
    j'avais pensé parler un peu de système d
  • 00:29:31
    mais je me suis rendu compte que c'est
  • 00:29:33
    encore un monde tout ça et sur une
  • 00:29:35
    présentation de 40 minutes c'est
  • 00:29:36
    vraiment trop court donc je le lis tout
  • 00:29:39
    juste pour de garde en mémoire que les
  • 00:29:42
    services aussi peuvent être des bases
  • 00:29:44
    d'attac et il faut toujours avoir en
  • 00:29:48
    mémoire qu'est ce qui tourne comme
  • 00:29:49
    service sur son serveur donc vous allez
  • 00:29:52
    l'audit et avec la commande système
  • 00:29:54
    s'était elle est pour regarder les
  • 00:29:57
    services active tirs étaient servis ce
  • 00:29:58
    statut sont actifs il y en a vraiment
  • 00:30:01
    toute une palanquée mêmes même sur un
  • 00:30:04
    système qui est fraîchement installé
  • 00:30:07
    comme la d'accord donc on va retrouver
  • 00:30:09
    apparmor pour le mac tout ce qui est le
  • 00:30:13
    crown le réseau et cetera et cetera
  • 00:30:16
    il ya plein de choses voilà maintenant
  • 00:30:20
    on va rentrer dans des choses un peu
  • 00:30:21
    plus complexe alors comment on attaque
  • 00:30:24
    un cerne linux de l'extérieur sur des
  • 00:30:26
    failles
  • 00:30:27
    on va utiliser ce qu'on appelle des
  • 00:30:29
    bouffeurs overflow des attaques barber
  • 00:30:32
    overflow c'est-à-dire enveloppe on va
  • 00:30:34
    utiliser une faille qui est lié à la
  • 00:30:40
    compilation beaucoup des programmes ans
  • 00:30:42
    et qui fait qu' on va pouvoir écraser
  • 00:30:46
    des variables mais des choses dans ce
  • 00:30:47
    qu'on appelle la pile pour pouvoir
  • 00:30:49
    injecter du code qu'on va pouvoir
  • 00:30:51
    réussir à faire exécuter pour pouvoir
  • 00:30:53
    prendre la main sur les serveurs les
  • 00:30:55
    attaques d'arnaud fleurent overflow sont
  • 00:30:56
    un fléau sur sur le sur les systèmes
  • 00:30:59
    ça touche tout le monde comment on se
  • 00:31:02
    protège de ça on va utiliser une
  • 00:31:06
    fonction qui s'appelle as l air pur
  • 00:31:09
    address space layout randomization où à
  • 00:31:11
    chaque lancement du programme
  • 00:31:12
    le système va le mettre les endroits
  • 00:31:15
    différents ce qui fait que l'adresse où
  • 00:31:17
    on va injecter notre notre shellcode son
  • 00:31:20
    appel entre autres malwares on m'a dit
  • 00:31:22
    rentre enfin notre code malveillant
  • 00:31:24
    ça voudra sans arrêt on sera pas
  • 00:31:26
    exactement où il est à chaque fois du
  • 00:31:28
    coup ça va complexifier les attaques
  • 00:31:29
    d'accord donc par défaut si vous
  • 00:31:33
    regardez sur votre buster vous faites un
  • 00:31:35
    4 sur ce fichier randomisée à space et
  • 00:31:38
    voiliers de ses actifs donc au système
  • 00:31:40
    nativement et prog et protéger contre
  • 00:31:43
    les attaques de basiques on va dire bof
  • 00:31:47
    heures overflow on va voir qui n'est pas
  • 00:31:48
    protégée contre l'europe
  • 00:31:50
    le return orient ty programme digne donc
  • 00:31:56
    me reste huit minutes
  • 00:31:59
    alors comment le système va compiler ces
  • 00:32:04
    package pour prendre en compte des
  • 00:32:07
    directives de sécurité
  • 00:32:08
    alors là on rentre un peu dans la
  • 00:32:10
    technique on est sur ce qu'on appelle
  • 00:32:12
    les flags de compilation et par défaut
  • 00:32:16
    aux recherches en faisant une recherche
  • 00:32:18
    sur internet je suis tombé sur un forum
  • 00:32:21
    de
  • 00:32:21
    2010deux ou ou raphaël avec rick non
  • 00:32:25
    j'en ai profité pour copier des
  • 00:32:27
    commandes c'était très marrant
  • 00:32:29
    sachant que j'allais voir aujourd'hui
  • 00:32:31
    voilà donc la commande des p4 g8 flag
  • 00:32:34
    donc en fait quand on la joue par défaut
  • 00:32:37
    sur buster elles donnent tous ces choses
  • 00:32:39
    à peu près incompréhensible
  • 00:32:40
    on va essayer de juste d'en traiter 2 3
  • 00:32:44
    pour expliquer ce qu'il faut se rendre
  • 00:32:46
    compte c'est que donc là ici on a des
  • 00:32:48
    fonctions de protection on est un stade
  • 00:32:50
    protection de taxer la pile plus
  • 00:32:51
    d'autres choses des protections contre
  • 00:32:52
    le format string mais j'ai comparé entre
  • 00:32:55
    debian 9 et des biens 10 ya peu de
  • 00:32:58
    changements d'accord donc on a pas eu
  • 00:33:00
    d'amélioration clair à ce niveau là donc
  • 00:33:05
    si si on veut regarder ce qui se passe
  • 00:33:10
    par exemple si vous voulez compiler vos
  • 00:33:13
    package vous utilisez la directive de
  • 00:33:16
    compilation c'est flag sur lequel vous
  • 00:33:18
    allez ajouter ce qui est donné par la
  • 00:33:20
    distrib ici et on voit quand on joue
  • 00:33:23
    cette commande là ça nous donne donc la
  • 00:33:27
    protection la stac doublé format et w
  • 00:33:30
    error égale format de security alors
  • 00:33:32
    qu'est-ce que par défaut tout ça nous
  • 00:33:34
    amène ça nous amène déjà stade protector
  • 00:33:37
    ici nous ajoute un canari dans la pile
  • 00:33:42
    dans le préambule de la fonction alors
  • 00:33:44
    pour l'anecdote le canari ckoi sénat une
  • 00:33:48
    analogie avec les coleman les mines de
  • 00:33:50
    charbon sur lequel on a une mais tu es
  • 00:33:53
    un petit oiseau dans une cage et quand
  • 00:33:55
    il commençait à être pas bien c'est
  • 00:33:56
    qu'on allait avoir un coup de grisou
  • 00:33:57
    d'accord et ce terme a été repris
  • 00:34:00
    donc on le met dans la stac c'est un
  • 00:34:01
    nombre aléatoire qui générait
  • 00:34:03
    dynamiquement et qui va permettre de
  • 00:34:04
    vérifier que la pile n'a pas été écrasé
  • 00:34:07
    par un code malveillant sur une partie
  • 00:34:09
    donc ça c'est nativement dans tous les
  • 00:34:12
    package qui sont compilés sur gloucester
  • 00:34:14
    qui existait déjà dans des biens neufs
  • 00:34:17
    ensuite on retrouve est double et
  • 00:34:19
    formate ça ça permet de vérifier que on
  • 00:34:22
    n'a pas de faille sur printf et skf qui
  • 00:34:25
    sont des fonctions du section utilisé
  • 00:34:27
    partout du langage c est de façon à
  • 00:34:31
    éviter une autre faille qui s'appelle
  • 00:34:33
    les attaques parfum
  • 00:34:34
    string d'accord donc nativement les
  • 00:34:38
    protéger et le dernier ici w au régal
  • 00:34:42
    format security ça veut dire si on a un
  • 00:34:43
    warning un avertissement comme quoi il y
  • 00:34:46
    aurait possiblement une erreur type
  • 00:34:50
    format string
  • 00:34:51
    on l'a le warning on le passe en erreur
  • 00:34:53
    en bloc la continuation d'accord donc du
  • 00:34:57
    coup voilà ce qu'on a en activement ça
  • 00:35:00
    c'était pour la compilation pour le leak
  • 00:35:02
    donc le ld flags
  • 00:35:04
    alors je peux pas rentrer dans le détail
  • 00:35:06
    de ce que c'est que le linksys et vous
  • 00:35:07
    parle pas mais je vous invite à
  • 00:35:09
    reprendre et sly plus tard il est
  • 00:35:10
    regardé sur internet ici sur les flag
  • 00:35:14
    ici en jouant la commande des pkg but
  • 00:35:16
    flag et en entendant les ailes des flag
  • 00:35:18
    on voit que l'on a tiré z et zèle rôle
  • 00:35:22
    réel réseau je ré rainero voilà
  • 00:35:27
    dyslexiques je ne sais pas d'où ça sort
  • 00:35:29
    mais qu'est ce que ça veut dire ça veut
  • 00:35:31
    dire que en fait pour empêcher que la
  • 00:35:35
    pile la stac soit aussi attaqué on va la
  • 00:35:40
    mettre en réseau ni à la fois
  • 00:35:48
    tout ce qui concerne donc l'application
  • 00:35:50
    d'accords et je crois que ses
  • 00:35:52
    dépendances aussi voilà donc ça c'est ce
  • 00:35:58
    qui existe actuellement
  • 00:36:01
    mais il manque des choses il manque le
  • 00:36:04
    pe
  • 00:36:05
    alors il existe une attaque qui permet
  • 00:36:09
    de contourner toutes les protections de
  • 00:36:12
    buffer overflow qui s'appelle europe
  • 00:36:13
    return en riant ty programming c'est un
  • 00:36:17
    système assez complexe à mettre en place
  • 00:36:18
    mais qui marche assez bien quand on le
  • 00:36:21
    maîtrise et qui permet donc de
  • 00:36:24
    d'exploiter de nouvelles vulnérabilités
  • 00:36:26
    et la protection
  • 00:36:28
    ce serait une directive de compilation
  • 00:36:30
    qui serait c'est la fpf pareil et c'est
  • 00:36:35
    existe dans gcc 8 donc le compilateur en
  • 00:36:38
    version 8 qui est dans qui est dans
  • 00:36:42
    buster mais actuellement cette directive
  • 00:36:45
    de compilation n'est pas utilisé pour
  • 00:36:46
    générer les package d'accord on la voit
  • 00:36:51
    pas ah il a fait par défaut d'accord
  • 00:37:00
    d'accord ok
  • 00:37:06
    ces lingettes si on la désactive zoug
  • 00:37:08
    cpb
  • 00:37:10
    ok d'accord donc elle est par défaut bon
  • 00:37:13
    ben c'est donc du coup on est sécurisé
  • 00:37:15
    par contre apparemment celle là ne sont
  • 00:37:18
    pas activés par défaut et elle pourrait
  • 00:37:21
    l'être donc ça c'est des protections sur
  • 00:37:24
    au niveau de nouvelles protections sur
  • 00:37:26
    sur la stack qui font référence à des
  • 00:37:28
    attaques très récente qui sont
  • 00:37:29
    référencés par qualys là et je vous
  • 00:37:33
    invite à regarder les slides si ça vous
  • 00:37:36
    intéresse de d'aller plus loin tac
  • 00:37:44
    voilà alors par rapport à tout ce qu'on
  • 00:37:48
    a vu il ya aussi tout un ensemble de
  • 00:37:50
    choses qui sont faites
  • 00:37:51
    keane keane qui n'apparaissent pas dans
  • 00:37:54
    le kernel de base alors debian en fait
  • 00:37:57
    donc rage ou tout un ensemble de
  • 00:37:59
    protections donc dans la dans l'aspect
  • 00:38:01
    de sécurité en profondeur pour sécuriser
  • 00:38:03
    un kernel
  • 00:38:04
    il me reste deux minutes où je vais
  • 00:38:05
    essayer accéléré sans que ce soit
  • 00:38:07
    incompréhensible voilà donc première
  • 00:38:10
    chose à faire c'est que il est un
  • 00:38:14
    fichier de configuration qui s'appelle
  • 00:38:15
    cissé tel point qu'on qui est lui au
  • 00:38:17
    démarrage du système et qui va prendre
  • 00:38:19
    en compte tout un ensemble de variables
  • 00:38:20
    pour les impliquer au kernel alors ici
  • 00:38:22
    je vous donne un exemple donc j'ai juste
  • 00:38:24
    affiché que quelques lignes et à partir
  • 00:38:28
    de là on voit qu'on peut si on active ce
  • 00:38:31
    paramètre ici en les commentant on peut
  • 00:38:32
    se protéger contre des attaques par
  • 00:38:34
    spoofing ce qui ce qui n'est pas fait
  • 00:38:36
    par défaut
  • 00:38:37
    voilà donc il ya tout un ensemble de
  • 00:38:39
    variables sur lequel on peut renforcer
  • 00:38:41
    la sécurité du kernel sur lequel vous
  • 00:38:44
    pouvez agir ensuite dans la dans le
  • 00:38:49
    renforcement de la sécurité du carnet de
  • 00:38:52
    base il ya tout un ensemble de patch qui
  • 00:38:55
    sont appliquées par les mainteneurs de
  • 00:38:57
    la distribution dès maintenant du kernel
  • 00:38:59
    de la distribution par exemple pour
  • 00:39:02
    désactiver les nine space d'accord par
  • 00:39:05
    défaut donc ce qui va bloquer
  • 00:39:07
    certainement l'utilisation de nos coeurs
  • 00:39:08
    donc il faut après utiliser cette
  • 00:39:11
    commande là si c'est elle qui permet de
  • 00:39:13
    configurer dynamiquement éternelle pour
  • 00:39:15
    réactiver
  • 00:39:16
    cette fonctionnalité d'accord et aussi
  • 00:39:20
    debian intègre les patchs lockdown qui
  • 00:39:24
    ont apparemment porté un mener un débat
  • 00:39:29
    dans la communauté du kernel linux à
  • 00:39:31
    savoir si on devait les appliquer ou pas
  • 00:39:33
    et qui permettent de se protéger en
  • 00:39:36
    trodes contre des le chargement de
  • 00:39:38
    modules non signés ou ou des commandes
  • 00:39:42
    cas exec le secure boot est maintenant
  • 00:39:48
    fonctionnel sur sur buster alors avant
  • 00:39:54
    pouvait pas savez pourquoi parce que
  • 00:39:56
    c'est la notion de chim le firmeware qui
  • 00:39:59
    est chargée au démarrage était signée
  • 00:40:03
    par l'autorité de certification
  • 00:40:04
    microsoft d'accord donc apparemment ça
  • 00:40:07
    s'entendait pas donc maintenant le
  • 00:40:11
    secure boot doit être fonctionnel
  • 00:40:12
    j'avoue je n'ai pas encore testé voilà
  • 00:40:17
    si il existe un outil qui s'appelle cas
  • 00:40:20
    config arts denys tchèque qui permet de
  • 00:40:23
    vérifier tout un ensemble de points de
  • 00:40:26
    sécurité sur votre système debian est
  • 00:40:30
    ici par exemple sur en le passant sur
  • 00:40:33
    donc la buster on trouve 50 erreur sur
  • 00:40:37
    51 compliance ichou d'accord mais il ya
  • 00:40:42
    aussi des faux positifs donc tout ça est
  • 00:40:44
    bien sûr un modéré voilà ensuite j'aurai
  • 00:40:52
    pas trop trop le temps d'en parler il me
  • 00:40:54
    reste cinq secondes sur 6 et l on voit
  • 00:40:58
    que on parlait tout à l'heure les
  • 00:41:00
    utilisateurs maintenant ne peuvent plus
  • 00:41:01
    taper des msg pour voir les loques du
  • 00:41:04
    kernel la sécurité a été renforcée
  • 00:41:07
    ici et j'aurais juste terminée par ça
  • 00:41:09
    c'est toute la difficulté entre un
  • 00:41:15
    projet s'appelle ksp pki qui va lister
  • 00:41:19
    tout un ensemble de bonnes pratiques
  • 00:41:20
    pour sécuriser le kernel sur lequel on
  • 00:41:23
    peut se référer pour les appliquer et ce
  • 00:41:25
    n'est pas appliquée de base pourquoi
  • 00:41:26
    parce que
  • 00:41:27
    linus est envahie de les a refusées
  • 00:41:29
    d'accord voilà si vous voulez aller plus
  • 00:41:33
    loin je vous ai mis deux liens qui
  • 00:41:34
    proviennent de debian toi org
  • 00:41:36
    et voilà je suis overtime donc cinq
  • 00:41:41
    salles et oui la naphtaline focntion est
  • 00:41:44
    sous pression
タグ
  • Debian
  • beveiliging
  • hardening
  • gebruikersbeheer
  • wachtwoordcomplexiteit
  • SSH
  • firewall
  • encryptie
  • PAM
  • cybersecurity