[a-h-aide] Supprimer les utilisateurs ayant des droits administrateurs
J'aimerai connaître votre avis. On imagine que le serveur est plutôt stable, et que tout les services voulu sont installés: serait-il une bonne idée si par la suite, on retirait toutes les possibilitées de se connecter sur des super-user ou même utilisé des super-droits? Si un service doit-être installé, on ira se connecter brancher en local, lancer un environnement non connecté sur Internet (ou du moins n'offrant pas de services) et venir se lancer en chroot pour virtualiser le home server pour ensuite faire ce que l'on veut. Bonne ou mauvaise idée pour un home server? Je profite pour savoir s'il est conseillé ou non, de monter /var sur rien? Comment le faire proprement, et est-ce vraiment souhaitable? L'idée est de ne rien permettre de récupérer de comprometant sur la machine, que ça soit les données offrant les services, que les logs et les traces de ces derniers. Merci. -- Pascal Diogo Antunes <antunes-pascal@sfr.fr>
Afficher les réponses par date
Pascal Diogo Antunes, 2014-03-13 11:28+0100:
J'aimerai connaître votre avis. On imagine que le serveur est plutôt stable, et que tout les services voulu sont installés: serait-il une bonne idée si par la suite, on retirait toutes les possibilitées de se connecter sur des super-user ou même utilisé des super-droits? Si un service doit-être installé, on ira se connecter brancher en local, lancer un environnement non connecté sur Internet (ou du moins n'offrant pas de services) et venir se lancer en chroot pour virtualiser le home server pour ensuite faire ce que l'on veut. Bonne ou mauvaise idée pour un home server?
Question sécurité, c'est une approche originale et intéressante, mais question pratique, ça risque d'être très pénible tout de même.
Je profite pour savoir s'il est conseillé ou non, de monter /var sur rien? Comment le faire proprement, et est-ce vraiment souhaitable?
Comment ça « sur rien » ? -- . o . Tanguy Ortolo, internaute auto-hébergé . . o <http://www.auto-hebergement.fr/> o o o
On Thu, 13 Mar 2014 14:07:10 +0100 Tanguy Ortolo <tanguy+a-h@ortolo.eu> wrote:
Pascal Diogo Antunes, 2014-03-13 11:28+0100:
J'aimerai connaître votre avis. On imagine que le serveur est plutôt stable, et que tout les services voulu sont installés: serait-il une bonne idée si par la suite, on retirait toutes les possibilitées de se connecter sur des super-user ou même utilisé des super-droits? Si un service doit-être installé, on ira se connecter brancher en local, lancer un environnement non connecté sur Internet (ou du moins n'offrant pas de services) et venir se lancer en chroot pour virtualiser le home server pour ensuite faire ce que l'on veut. Bonne ou mauvaise idée pour un home server?
Question sécurité, c'est une approche originale et intéressante, mais question pratique, ça risque d'être très pénible tout de même. Je verrai. Mais pour le moment, je préfère pas le faire, quelques petit trucs que j'aimerai faire auparavant. Mais une fois que tout les services sont installés et configurés correctement, pourquoi pas tenter.
Je profite pour savoir s'il est conseillé ou non, de monter /var sur rien? Comment le faire proprement, et est-ce vraiment souhaitable?
Comment ça « sur rien » ? Faire de tel sorte qu'il enregistre rien. Monter sur /dev/null par exemple. Bonne idée, ça marche?
Pascal Diogo Antunes, 2014-03-13 14:36+0100:
Tanguy Ortolo <tanguy+a-h@ortolo.eu> wrote:
Pascal Diogo Antunes, 2014-03-13 11:28+0100:
Je profite pour savoir s'il est conseillé ou non, de monter /var sur rien? Comment le faire proprement, et est-ce vraiment souhaitable?
Comment ça « sur rien » ? Faire de tel sorte qu'il enregistre rien. Monter sur /dev/null par exemple. Bonne idée, ça marche?
On ne peut pas monter /dev/null, qui n'est pas un système de fichiers. Le plus proche serait de laisser /var sur /, de le vider et de mettre des permissions nulles dessus. Mais c'est une très mauvaise idée, ce répertoire étant utilisé par de nombreux services. Il pourrait éventuellement être pertinent de monter quelque chose en lecture seule sur /var, mais c'est en réalité également une mauvaise idée, ce répertoire étant comme son nom l'indique destiné à contenir des données /variables/, telles que les logs par exemple. -- - Maraud, faquin, butor de pied plat ridicule. < o Tanguy - Ah ? Et moi, Cyrano-Savinien-Hercule // de /--)---- Bergerac / > -+- Edmond Rostand, Cyrano de Bergerac -+-
13 mars 2014 14:56 "Tanguy Ortolo" <tanguy+a-h@ortolo.eu> a écrit:
Pascal Diogo Antunes, 2014-03-13 14:36+0100:
Tanguy Ortolo <tanguy+a-h@ortolo.eu> wrote:
Pascal Diogo Antunes, 2014-03-13 11:28+0100:
Je profite pour savoir s'il est conseillé ou non, de monter /var sur rien? Comment le faire proprement, et est-ce vraiment souhaitable?
Comment ça « sur rien » ?
Faire de tel sorte qu'il enregistre rien. Monter sur /dev/null par exemple. Bonne idée, ça marche?
On ne peut pas monter /dev/null, qui n'est pas un système de fichiers. Le plus proche serait de laisser /var sur /, de le vider et de mettre des permissions nulles dessus. Mais c'est une très mauvaise idée, ce répertoire étant utilisé par de nombreux services.
Il pourrait éventuellement être pertinent de monter quelque chose en lecture seule sur /var, mais c'est en réalité également une mauvaise idée, ce répertoire étant comme son nom l'indique destiné à contenir des données /variables/, telles que les logs par exemple.
Personnellement, j'ai déjà monté /var/log et d'autres trucs à l'intérieur de /var en tmpfs Jamais eu de problème. Tout en RAM et vidé au redémarrage. Par contre, mettre tout ça en lecture seule, je pense que c'est une mauvaise idée : les programmes enregistrent des choses dessus. Rien que le pid des services qui tournent, par exemple. Les lock aussi, sans parler des fichier log
-- - Maraud, faquin, butor de pied plat ridicule. < o Tanguy - Ah ? Et moi, Cyrano-Savinien-Hercule // de /--)---- Bergerac / > -+- Edmond Rostand, Cyrano de Bergerac -+-
_______________________________________________ auto-hebergement-aide mailing list auto-hebergement-aide@listes.auto-hebergement.fr http://listes.auto-hebergement.fr/listinfo/auto-hebergement-aide
On Thu, 13 Mar 2014 14:56:44 +0100 Tanguy Ortolo <tanguy+a-h@ortolo.eu> wrote:
Pascal Diogo Antunes, 2014-03-13 14:36+0100:
Tanguy Ortolo <tanguy+a-h@ortolo.eu> wrote:
Pascal Diogo Antunes, 2014-03-13 11:28+0100:
Je profite pour savoir s'il est conseillé ou non, de monter /var sur rien? Comment le faire proprement, et est-ce vraiment souhaitable?
Comment ça « sur rien » ? Faire de tel sorte qu'il enregistre rien. Monter sur /dev/null par exemple. Bonne idée, ça marche?
On ne peut pas monter /dev/null, qui n'est pas un système de fichiers. Le plus proche serait de laisser /var sur /, de le vider et de mettre des permissions nulles dessus. Mais c'est une très mauvaise idée, ce répertoire étant utilisé par de nombreux services.
Il pourrait éventuellement être pertinent de monter quelque chose en lecture seule sur /var, mais c'est en réalité également une mauvaise idée, ce répertoire étant comme son nom l'indique destiné à contenir des données /variables/, telles que les logs par exemple.
-- - Maraud, faquin, butor de pied plat ridicule. < o Tanguy - Ah ? Et moi, Cyrano-Savinien-Hercule // de /--)---- Bergerac / > -+- Edmond Rostand, Cyrano de Bergerac -+- Comment font certains services sur Internent se présentant comme ne rien enregistrer? Rien c'est vague, certes. Mais pour moi c'est ne pas enregistrer qui passe sur le site. À souhaiter, ou fausse bonne idée?
-- Pascal Diogo Antunes <antunes-pascal@sfr.fr>
Pascal Diogo Antunes, 2014-03-13 15:20+0100:
Comment font certains services sur Internent se présentant comme ne rien enregistrer? Rien c'est vague, certes. Mais pour moi c'est ne pas enregistrer qui passe sur le site. À souhaiter, ou fausse bonne idée?
Ça dépend du service en question. Mais mauvaise idée, je dirais, parce qu'illégal, en France en tout cas, où il y a une obligation de conservation de logs minimaux. -- Maxi maxi ça respire l'air : __o Maximum et maxibus, _<_\,_ Tanguy Maxitère et termaxus ! (_)|'(_) -+- Jacques Dutronc, Mini, mini, mini -+-
On Thu, 13 Mar 2014 15:22:04 +0100 Tanguy Ortolo <tanguy+a-h@ortolo.eu> wrote:
Pascal Diogo Antunes, 2014-03-13 15:20+0100:
Comment font certains services sur Internent se présentant comme ne rien enregistrer? Rien c'est vague, certes. Mais pour moi c'est ne pas enregistrer qui passe sur le site. À souhaiter, ou fausse bonne idée?
Ça dépend du service en question. Mais mauvaise idée, je dirais, parce qu'illégal, en France en tout cas, où il y a une obligation de conservation de logs minimaux.
-- Maxi maxi ça respire l'air : __o Maximum et maxibus, _<_\,_ Tanguy Maxitère et termaxus ! (_)|'(_) -+- Jacques Dutronc, Mini, mini, mini -+-
Pour vous, mauvaise idée à cause de la loi, ou de la maintenance? -- Pascal Diogo Antunes <antunes-pascal@sfr.fr>
Pascal Diogo Antunes, 2014-03-13 15:54+0100:
Pour vous, mauvaise idée à cause de la loi, ou de la maintenance?
Mauvaise idée à cause de la loi et parce que ça ne va pas marcher. Des tas de services, notamment le log système, vont essayer d'écrire dans /var, échouer et se compoter Dieu sait comment. Pour concevoir un service qui ne conserve pas de traces, ce n'est pas la solution, ce qu'il faut, c'est le configurer pour cela. -- ,--. Patali dirapata, cromba cromba ripalo, : /` ) Tanguy Pata pata, ko ko ko ! | `-' -+- Chanson des éléphants, Jean de \_ Brunhoff -+-
Le 13 mars 2014 15:54, Pascal Diogo Antunes <antunes-pascal@sfr.fr> a écrit :
On Thu, 13 Mar 2014 15:22:04 +0100 Tanguy Ortolo <tanguy+a-h@ortolo.eu> wrote:
Pour vous, mauvaise idée à cause de la loi, ou de la maintenance?
Salut, Les 2 ! La loi : Comme te l'a très bien rappelé Tanguy c'est une obligation. La maintenance : Le jour où un de processus à un comportement anormal les log sont vital pour savoir ce qui se passe. Je rajouterais un autre point, l'examen "post-mortal" après une attaque ; pour savoir comment est rentré une personne et comment mieux se protéger dans le futur. /var-ement, -- Optitech
Bonjour, Techniquement c'est largement faisable, Je l'ai fais pour un petit routeur qui portait l'OS sur une carte SD - pour économiser la carte on monte tout le FS en ReadOnly sauf exception - (Avec Centos c'est natif : https://plone.lucidsolutions.co.nz/linux/io/using-centos-5.2-stateless-linux...) Tu peux très bien monter ton /var/[log|cache|...] en "tmpfs" par exemple... Comme ça tu as tes logs, ton cache... ton système fonctionne comme si de rien n'était et, après reboot par exemple, c'est tout propre... Juridiquement je serais pas aussi tranché. Tu n'es pas une entité, entreprise "hébergeur" ! A ce niveau là je penses que l'auto-hébergement c'est une zone grise... David Quoting Pascal Diogo Antunes <antunes-pascal@sfr.fr>:
On Thu, 13 Mar 2014 15:22:04 +0100 Tanguy Ortolo <tanguy+a-h@ortolo.eu> wrote:
Pascal Diogo Antunes, 2014-03-13 15:20+0100:
Comment font certains services sur Internent se présentant comme ne rien enregistrer? Rien c'est vague, certes. Mais pour moi c'est ne pas enregistrer qui passe sur le site. À souhaiter, ou fausse bonne idée?
Ça dépend du service en question. Mais mauvaise idée, je dirais, parce qu'illégal, en France en tout cas, où il y a une obligation de conservation de logs minimaux.
-- Maxi maxi ça respire l'air : __o Maximum et maxibus, _<_\,_ Tanguy Maxitère et termaxus ! (_)|'(_) -+- Jacques Dutronc, Mini, mini, mini -+-
Pour vous, mauvaise idée à cause de la loi, ou de la maintenance?
-- Pascal Diogo Antunes <antunes-pascal@sfr.fr> _______________________________________________ auto-hebergement-aide mailing list auto-hebergement-aide@listes.auto-hebergement.fr http://listes.auto-hebergement.fr/listinfo/auto-hebergement-aide
Bonjour, Techniquement c'est largement faisable, Je l'ai fais pour un petit routeur qui portait l'OS sur une carte SD - pour économiser la carte on monte tout le FS en ReadOnly sauf exception - (Avec Centos c'est natif : https://plone.lucidsolutions.co.nz/linux/io/using-centos-5.2-stateless-linux...) Tu peux très bien monter ton /var/[log|cache|...] en "tmpfs" par exemple... Comme ça tu as tes logs, ton cache... ton système fonctionne comme si de rien n'était et, après reboot par exemple, c'est tout propre... Juridiquement je serais pas aussi tranché. Tu n'es pas une entité, entreprise "hébergeur" ! A ce niveau là je penses que l'auto-hébergement c'est une zone grise... David Quoting Pascal Diogo Antunes <antunes-pascal@sfr.fr>:
On Thu, 13 Mar 2014 15:22:04 +0100 Tanguy Ortolo <tanguy+a-h@ortolo.eu> wrote:
Pascal Diogo Antunes, 2014-03-13 15:20+0100:
Comment font certains services sur Internent se présentant comme ne rien enregistrer? Rien c'est vague, certes. Mais pour moi c'est ne pas enregistrer qui passe sur le site. À souhaiter, ou fausse bonne idée?
Ça dépend du service en question. Mais mauvaise idée, je dirais, parce qu'illégal, en France en tout cas, où il y a une obligation de conservation de logs minimaux.
-- Maxi maxi ça respire l'air : __o Maximum et maxibus, _<_\,_ Tanguy Maxitère et termaxus ! (_)|'(_) -+- Jacques Dutronc, Mini, mini, mini -+-
Pour vous, mauvaise idée à cause de la loi, ou de la maintenance?
-- Pascal Diogo Antunes <antunes-pascal@sfr.fr> _______________________________________________ auto-hebergement-aide mailing list auto-hebergement-aide@listes.auto-hebergement.fr http://listes.auto-hebergement.fr/listinfo/auto-hebergement-aide
On Thu, 13 Mar 2014 16:15:21 +0100 admin@zici.fr wrote:
Bonjour,
Techniquement c'est largement faisable, Je l'ai fais pour un petit routeur qui portait l'OS sur une carte SD - pour économiser la carte on monte tout le FS en ReadOnly sauf exception - (Avec Centos c'est natif : https://plone.lucidsolutions.co.nz/linux/io/using-centos-5.2-stateless-linux...) Tu peux très bien monter ton /var/[log|cache|...] en "tmpfs" par exemple... Comme ça tu as tes logs, ton cache... ton système fonctionne comme si de rien n'était et, après reboot par exemple, c'est tout propre...
Juridiquement je serais pas aussi tranché. Tu n'es pas une entité, entreprise "hébergeur" ! A ce niveau là je penses que l'auto-hébergement c'est une zone grise...
David
Quoting Pascal Diogo Antunes <antunes-pascal@sfr.fr>:
On Thu, 13 Mar 2014 15:22:04 +0100 Tanguy Ortolo <tanguy+a-h@ortolo.eu> wrote:
Pascal Diogo Antunes, 2014-03-13 15:20+0100:
Comment font certains services sur Internent se présentant comme ne rien enregistrer? Rien c'est vague, certes. Mais pour moi c'est ne pas enregistrer qui passe sur le site. À souhaiter, ou fausse bonne idée?
Ça dépend du service en question. Mais mauvaise idée, je dirais, parce qu'illégal, en France en tout cas, où il y a une obligation de conservation de logs minimaux.
-- Maxi maxi ça respire l'air : __o Maximum et maxibus, _<_\,_ Tanguy Maxitère et termaxus ! (_)|'(_) -+- Jacques Dutronc, Mini, mini, mini -+-
Pour vous, mauvaise idée à cause de la loi, ou de la maintenance?
-- Pascal Diogo Antunes <antunes-pascal@sfr.fr> _______________________________________________ auto-hebergement-aide mailing list auto-hebergement-aide@listes.auto-hebergement.fr http://listes.auto-hebergement.fr/listinfo/auto-hebergement-aide
_______________________________________________ auto-hebergement-aide mailing list auto-hebergement-aide@listes.auto-hebergement.fr http://listes.auto-hebergement.fr/listinfo/auto-hebergement-aide
Ça me semble intéressant le fait de monter sur tmpfs. Je pense faire ainsi. Merci. -- Pascal Diogo Antunes <antunes-pascal@sfr.fr>
Le 13/03/2014 16:26, Pascal Diogo Antunes a écrit :
On Thu, 13 Mar 2014 16:15:21 +0100 admin@zici.fr wrote:
Bonjour,
Techniquement c'est largement faisable, Je l'ai fais pour un petit routeur qui portait l'OS sur une carte SD - pour économiser la carte on monte tout le FS en ReadOnly sauf exception - (Avec Centos c'est natif : https://plone.lucidsolutions.co.nz/linux/io/using-centos-5.2-stateless-linux...) Tu peux très bien monter ton /var/[log|cache|...] en "tmpfs" par exemple... Comme ça tu as tes logs, ton cache... ton système fonctionne comme si de rien n'était et, après reboot par exemple, c'est tout propre...
Juridiquement je serais pas aussi tranché. Tu n'es pas une entité, entreprise "hébergeur" ! A ce niveau là je penses que l'auto-hébergement c'est une zone grise...
David
Quoting Pascal Diogo Antunes <antunes-pascal@sfr.fr>:
On Thu, 13 Mar 2014 15:22:04 +0100 Tanguy Ortolo <tanguy+a-h@ortolo.eu> wrote:
Pascal Diogo Antunes, 2014-03-13 15:20+0100:
Comment font certains services sur Internent se présentant comme ne rien enregistrer? Rien c'est vague, certes. Mais pour moi c'est ne pas enregistrer qui passe sur le site. À souhaiter, ou fausse bonne idée? Ça dépend du service en question. Mais mauvaise idée, je dirais, parce qu'illégal, en France en tout cas, où il y a une obligation de conservation de logs minimaux.
-- Maxi maxi ça respire l'air : __o Maximum et maxibus, _<_\,_ Tanguy Maxitère et termaxus ! (_)|'(_) -+- Jacques Dutronc, Mini, mini, mini -+- Pour vous, mauvaise idée à cause de la loi, ou de la maintenance?
-- Pascal Diogo Antunes <antunes-pascal@sfr.fr> _______________________________________________ auto-hebergement-aide mailing list auto-hebergement-aide@listes.auto-hebergement.fr http://listes.auto-hebergement.fr/listinfo/auto-hebergement-aide
_______________________________________________ auto-hebergement-aide mailing list auto-hebergement-aide@listes.auto-hebergement.fr http://listes.auto-hebergement.fr/listinfo/auto-hebergement-aide Ça me semble intéressant le fait de monter sur tmpfs. Je pense faire ainsi.
Merci.
Pas mal d'astuces dans le guide de sécurisation de Debian, ça peut toujours donner des idées http://www.debian.org/doc/manuals/securing-debian-howto/index.fr.html
On Thu, 13 Mar 2014 19:13:39 +0100 Fred <fred@fredo1.info> wrote:
Le 13/03/2014 16:26, Pascal Diogo Antunes a écrit :
On Thu, 13 Mar 2014 16:15:21 +0100 admin@zici.fr wrote:
Bonjour,
Techniquement c'est largement faisable, Je l'ai fais pour un petit routeur qui portait l'OS sur une carte SD - pour économiser la carte on monte tout le FS en ReadOnly sauf exception - (Avec Centos c'est natif : https://plone.lucidsolutions.co.nz/linux/io/using-centos-5.2-stateless-linux...) Tu peux très bien monter ton /var/[log|cache|...] en "tmpfs" par exemple... Comme ça tu as tes logs, ton cache... ton système fonctionne comme si de rien n'était et, après reboot par exemple, c'est tout propre...
Juridiquement je serais pas aussi tranché. Tu n'es pas une entité, entreprise "hébergeur" ! A ce niveau là je penses que l'auto-hébergement c'est une zone grise...
David
Quoting Pascal Diogo Antunes <antunes-pascal@sfr.fr>:
On Thu, 13 Mar 2014 15:22:04 +0100 Tanguy Ortolo <tanguy+a-h@ortolo.eu> wrote:
Pascal Diogo Antunes, 2014-03-13 15:20+0100:
Comment font certains services sur Internent se présentant comme ne rien enregistrer? Rien c'est vague, certes. Mais pour moi c'est ne pas enregistrer qui passe sur le site. À souhaiter, ou fausse bonne idée? Ça dépend du service en question. Mais mauvaise idée, je dirais, parce qu'illégal, en France en tout cas, où il y a une obligation de conservation de logs minimaux.
-- Maxi maxi ça respire l'air : __o Maximum et maxibus, _<_\,_ Tanguy Maxitère et termaxus ! (_)|'(_) -+- Jacques Dutronc, Mini, mini, mini -+- Pour vous, mauvaise idée à cause de la loi, ou de la maintenance?
-- Pascal Diogo Antunes <antunes-pascal@sfr.fr> _______________________________________________ auto-hebergement-aide mailing list auto-hebergement-aide@listes.auto-hebergement.fr http://listes.auto-hebergement.fr/listinfo/auto-hebergement-aide
_______________________________________________ auto-hebergement-aide mailing list auto-hebergement-aide@listes.auto-hebergement.fr http://listes.auto-hebergement.fr/listinfo/auto-hebergement-aide Ça me semble intéressant le fait de monter sur tmpfs. Je pense faire ainsi.
Merci.
Pas mal d'astuces dans le guide de sécurisation de Debian, ça peut toujours donner des idées http://www.debian.org/doc/manuals/securing-debian-howto/index.fr.html _______________________________________________ auto-hebergement-aide mailing list auto-hebergement-aide@listes.auto-hebergement.fr http://listes.auto-hebergement.fr/listinfo/auto-hebergement-aide
Merci je vais voir ça. -- Pascal Diogo Antunes <antunes-pascal@sfr.fr>
Hello !
J'aimerai connaître votre avis.
Ce serait plus facile si le projet était mieux décrit mais ça, sans passer par PGP, cela me semble difficile. Tanguy a raison sur deux points : - en France, faut conserver tout et n'importe quoi (LCEN) - ne pas laisser de traces sur un système, c'est de la configuration L'idéal serait de pouvoir chiffrer les partitions mais pour cela il faut avoir un accès KVM pour saisir le mot de passe lors du boot. Donc, à vue de nez, je te conseillerais : - d'utiliser un VPS/dédié dans un pays plus "neutre" - de payer par Bitcoin - d'utiliser TOR au dessus d'un VPN pour administrer le bousin - et enfin, de configurer les services pour ne rien loguer Ce n'est pas excessivement compliqué mais cela nécessite pas mal de rigueur. Comme dit plus haut, tout dépend du degré de "sensibilité" du service proposé. Ne rien loguer est une chose mais cela implique que même toi ne saura pas ce qui s'est passé sur le système. A l'inverse, l'hébergeur ou le loueur de VPS peut très bien conserver une trace des IP connectés ou plus (DPI). A+ -- tranxene50 tranxene50@developpeur-neurasthenique.fr
participants (8)
-
admin@zici.fr -
Alexandre Goyard -
David Mercereau -
Etienne -
Fred -
Pascal Diogo Antunes -
Tanguy Ortolo -
Tranxene50