Sécurité: Peut-on faire confiance à ces distributions ?

dezix · 16 sept. 2017, 13:57

Bonjour,
Comme certains l'auront déjà lu,
j'utilise depuis quelques temps SparkyLinux avec satisfaction,

mais je me pose tout de même la question-titre.

Car si l'on peut (je crois et je l'espère) avoir une (très) grande confiance en Debian stable,
quelles garanties avons-nous qu'il n'y ait pas de paquets vicieux dans une distribution dérivée ?

Et les petits plus ou la facilité d'installation valent-ils les éventuelles conséquences ?

Je pose la question car je vais me ré-installer une machine principale pour mon usage quotidien (perso & pro => je n'ai qu'une seule vie :004: )
et bien que j'apprécie Sparky/Testing => j'hésite avec une stable.

Je sens bien que la question est un peu ballote et pue le TROLL à plein Nez

Mais j’hésite vraiment et si j'opte pour Sparky en usage courant, il y aura aussi une stable à minima en cas de besoin... c'est certain.

Merci pour vos avis.

@+

16 sept. 2017, 17:14

Si la question, vraiment, de la sécurité de ton Linux t'intéresse réellement...
Tu trouveras sur ce poste, deux documentations montrant par A+B, qu'on peut franchement faire encore mieux... et qu'aucune distribution Linux n'est réellement sécurisée.

Elles ne sont pas pensées pour cela, mais s'il existe des techniques au niveau du noyau, ou de certaines surfaces logicielles, que l'on peut soit mettre en place, soit activé, etc...
Bref, ta Debian bien-aimée, préférée, n'est pas plus sécurisée que cela. Il existe vraiment des projets Linux, voire BSD, bien plus "sécurisés", mais aussi terriblement contraignant pour l'utilisateur final !
Parce que malheureusement la sécurité ne vas pas sans la contrainte ; certaines sont acceptables, d'autres bien moins...
(là, c'est tout un débat...)

dezix · 16 sept. 2017, 21:24

PengouinPdt a écrit : 16 sept. 2017, 17:14 Si la question, vraiment, de la sécurité de ton Linux t'intéresse réellement...

Oui, cela m'intéresse, mais... s'il faut un bac+12 en Sécurité Informatique cela ne sera pas à ma portée malheureusement.

Tu trouveras sur ce poste, deux documentations montrant par A+B, qu'on peut franchement faire encore mieux.

Merci pour la doc, je vais y regarder ce qui est aisément applicable.

... et qu'aucune distribution Linux n'est réellement sécurisée.

En fait mon questionnement (c'est peut-être naïf),

n'est pas tant de savoir si la distribution "out of box" offre un rempart infranchissable ?
Visiblement : non... ce n'est peut-être pas non plus une passoire totale (à condition de ne pas être la cible d'une attaque ciblée)
=> n'ayant pas de données Top Secret, enfin pas plus que Monsieur Tout-le-Monde

Mais de ne pas risquer d'installer "out of box" un système disons "Malveillant",
la malveillance pouvant revêtir des formes diverses.

Pour prendre un exemple purement fictif et puéril :

Qui peut être certain qu'une distribution ne soit pas une Debian Bling-Bling dont la seule motivation serait de récupérer un max de données bancaires en vue d'un siphonnage massif.

Ce genre de chose est certainement difficile à faire passer dans une grande distribution comptant avec une large communauté de mainteneurs,
qui doivent comparer systématiquement les versions sources pour examiner les modifications du code.

À l'opposé qui va inspecter les paquets spéciaux d''une distribution alternative : peu de gens,
surtout si c'est une distro ciblant des usagers non initiés au codage.

Parce que malheureusement la sécurité ne vas pas sans la contrainte ; certaines sont acceptables, d'autres bien moins...
(là, c'est tout un débat...)

Bien sur et là encore l'effort doit être en rapport avec ce que l'on souhaite protéger.

16 sept. 2017, 23:30

Comme déja expliquée, le niveau de sécurité est une notion assez relative. Si tu es un oposant dans une régime totalitaire, ou un journaliste travaillant sure des sujets très sensibles, tu ne vas pas avoir la même exigence que sur une machine servant uniquement à surfer.
et bon r=répondre à ta question principale, pas besoin d'outils compliqué pour avoir une première idée sur les activités malveillante d'une machine. Un simple coup wireshark te permet de savoir si ta machine se connecte à des serveurs louches.
tu as à mon avis bien plus de risque à te faire pirater via des pages web piégées, ou des emails malveillants, que par les créateurs d'une distribution. comme tu le dis, si c'est une distro grand public et qu'elle reste confidentielle, ce n'est pas rentable pour un pirate.

dezix · 19 sept. 2017, 11:07

@piratelab
merci,
je ne connais pas WireShark => je vais installer et essayer de comprendre ce qui se passe sur le réseau

j'ai lancé quelques fois iftop
et déjà remarqué des connexions à des serveurs autres que les domaines visités
et ce malgré NoScript installé sur firefox,
en ne permettant qu'un minimum de choses pour tout de même avoir accès aux pages.

En fait il est bien déplorable que les développeurs et maitres d'œuvre des sites
n'aient pas http://motherfuckingwebsite.com/
comme page d'accueil sur leur navigateur
... ne rêvons pas !

piratebab a écrit : 16 sept. 2017, 23:30 ... risque à te faire pirater ..... par les créateurs d'une distribution. comme tu le dis, si c'est une distro grand public et qu'elle reste confidentielle, ce n'est pas rentable pour un pirate.

Je ne pensais pas à une distribution pirate en soi,
mais à la possibilité qu'un contributeur-pirate parvienne discrètement à corrompre quelque(s) paquet(s)
et
je ne pensais pas non-plus à un service qui enverrait constamment/souvent des infos,
mais à un système discret qui stockerait l'info pour la transmettre de façon aléatoire et sporadique,
ce qui demanderait une surveillance constante pour être détecté sauf malchance pour le pirate.

Vous allez penser que je suis parano
... mais c'est tout de même ennuyeux de ne jamais savoir ce qui se cuisine (ou pas) dans nos boites à cafards.

19 sept. 2017, 11:22

Sans parler de malveillance de la part d'un mainteneur de paquet, il peut s'agir d'une erreur, comme il y a quelques années avecc SSL.
Mais là, personne n'est à l’abri.
C'est pour ça que les distributions "sécurisées" sont parties sur un cloisonnement. Si quelque chose est corrompu, les conséquences sont contenues.

dezix · 19 sept. 2017, 11:52

Merci,

quand j'aurai des questions plus précises et techniques, je posterai dans Support.

@+ et bonne journée.

21 sept. 2017, 12:03

Si tu veux durcir ton systeme, il y a bastille linux, mais il ne semble plus maintenu.
http://bastille-linux.sourceforge.net/
la suite serait https://linux-audit.com/alternatives-to ... ith-lynis/

21 sept. 2017, 13:38

Le top c'est d'être "PCI-DSS compliant"... https://github.com/ovh/debian-cis
https://linux-audit.com/linux-systems-g ... ification/

Je me suis amusé à essayer, j'ai atteint 99% de "compliance", mais à quel prix...
C'est tellement protégé qu'il devient difficile même pour l'admin d'accéder à la machine...

--gilles-- · 21 sept. 2017, 13:46

Il y a aussi le paquet lynis pour améliorer sa sécurité :

$ aptitude show lynis

Code : Tout sélectionner

Paquet : lynis                                          
Version : 2.4.0-1
État: installé
Automatiquement installé: non
Priorité : optionnel
Section : utils
Responsable : Francisco Manuel Garcia Claramonte <francisco@debian.org>
Architecture : all
Taille décompressée : 1 334 k
Recommande: menu
Suggère: dnsutils, apt-listbugs, debsecan, debsums, tripwire, samhain, aide, fail2ban
Description : outil d'audit de sécurité pour les systèmes à base Unix
 Lynis est un outil d'audit pour le raffermissement de sécurité des systèmes basés sur GNU/Linux ou Unix. Il analyse la configuration du
 système et crée un résumé des informations système et des problèmes de sécurité, utilisable par des auditeurs professionnels. Il peut aider
 à des audits automatisés. 
 
 Lynis peut être utilisé en plus d'autres logiciels comme les analyseurs de sécurité, les outils de mesures de performance du système et les
 outils de réglage fin.
Site : http://cisofy.com/lynis/
Étiquettes: interface::commandline, role::program, scope::utility, security::integrity, security::log-analyzer, use::checking, use::monitor

$ lynis
Après, il faut se lever de bonne heure pour arriver à suivre les recommandations.

# less /var/log/lynis.log | grep Suggestion

21 sept. 2017, 13:59

--gilles-- a écrit : 21 sept. 2017, 13:46Il y a aussi le paquet lynis pour améliorer sa sécurité :
...
Site : http://cisofy.com/lynis/
Étiquettes: interface::commandline, role::program, scope::utility, security::integrity, security::log-analyzer, use::checking, use::monitor
[/code]
$ lynis
Après, il faut se lever de bonne heure pour arriver à suivre les recommandations.

# less /var/log/lynis.log | grep Suggestion

Je ne connaissais pas. Très intéressant, merci pour cette info.

21 sept. 2017, 20:23

De toute façon, il n'y a pas photo, si tu veux faire ou avoir une distribution - quelque soit le système d'exploitation - sécurisée... elle ne sera en rien "user friendly", elle ne sera pas agréable à administrer... elle demandera plus de ressources, etc... etc...
C'est surtout très vite contraignant. à tel point qu'à moment donné, tu fais le choix de diminuer ton critère sécurité, pour que ce soit viable.

Rien qu'un petit détail, désactiver la gestion des modules dans le noyau, quand tu réalises les impacts, c'est viable sur un serveur, malgré certaines contraintes... mais une station où l'utilisateur final a beaucoup de desiderata...

Lynis est bien, oui... mais il y a des points qui soit demeurent obscurs, soit sont inatteignables...

--gilles-- · 24 sept. 2017, 16:59

PengouinPdt a écrit : 21 sept. 2017, 20:23 […]
Lynis est bien, oui... mais il y a des points qui soit demeurent obscurs, soit sont inatteignables...

C'est vrai que c'est du boulot de recherche d'abord pour clarifier, se documenter et ensuite appliquer. D'après les suggestions de Lynis pour renforcer les mots de passe, j'avais essayé d'installer pam_cracklib à partir des sources sur Mac OS X ( Lynis marche aussi là-bas ), je n'y étais pas arrivé, mais j'avais fini par installer pam_passwdqc à partir des sources. Quand tu l'as configuré, c'est bien : tu peux te faire jeter parce que le mot de passe que tu veux choisir est trop court, parce que sa période de validité est périmée etc.

C'est plus facile avec Debian, nous avons le paquet libpam-cracklib ( Je ne l'ai pas encore installé !) :
https://www.debian.org/doc/manuals/debi ... sword_rule

# aptitude show libpam-cracklib
Paquet : libpam-cracklib
Version : 1.1.8-3.6
État: non installé
Multiarchitecture : même
Priorité : optionnel
Section : admin
Responsable : Steve Langasek <vorlon@debian.org>
Architecture : amd64
Taille décompressée : 116 k
Dépend: libc6 (>= 2.14), libcrack2 (>= 2.8.12), libpam0g (>= 1.1.1), libpam-runtime (>= 1.0.1-6), cracklib-runtime, wamerican | wordlist
Remplace: libpam-modules (< 1.1.0-3), libpam0g-cracklib
Description : PAM module to enable cracklib support
This package includes libpam_cracklib, a PAM module that tests passwords to make sure they are not too weak during password change.
Site : http://www.linux-pam.org/
Étiquettes: devel::library, role::shared-lib, security::authentication, use::configuring

Même sans avoir installé ce module, on peut en avoir une idée de sa configuration en lisant la fin de # man pam_unix sauf qu'il faut pour être à jour remplacer md5 par sha512.

Des exemples de configuration expliquées : https://linux.die.net/man/8/pam_cracklib
https://www.debian.org/doc/manuals/debi ... sword_rule