Quels sont vos conseils en terme de Sécurité pour un NOOB (Débutant) sous Debian

Bonjour à tous et à toutes,

je suis un débutant sous Linux,
bien qu’ayant testé pas mal de distribution
je préfère rester modeste,

pendant très longtemps j’ai utilisé Microsoft
et aujourd’hui j’ai décidé de passer à autre chose,
je n’ai pas les moyens d’avoir un MAC, donc la meilleure alternative est Linux,
le système BSD est encore trop complexe pour moi ,
voila pourquoi j’ai choisi Debian parmi toutes les autres

Donc ma question est que j’aimerais savoir comment je dois sécuriser Debian

de la mème façon que si j’installer Windows 10, il faudra obligatoirement installer une suite de sécurité, puis faire divers scans de sécurité (spyware, malware, ect…)

je suis bien conscient que Linux et Windows ne sont pas comparable,
c’est juste pour me faire comprendre!!!

comment en tant que débutant, utilisant Debian sur mon PC portable
à mon domicile pour me connecter sur le net en utilisation basique.
(traitement de texte, leboncoin, forum divers, emails, films streaming, youtube, ect.)

Car j’ai cru comprendre que mème sous Linux les menaces sont réel mais différentes de Windows, Donc quel est le minimum vital.

j’ai telechargé plusieurs manuels, guide et livre pdf sous Debian que j’ai commencé à lire, mais cela ne remplace pas l’expérience réel et concrète.

j’espére avoir été assez précis et merci d’avance pour vos réponses

Salut,

• un firewall sans se prendre la tête: ufw et son interface graphique gufw
• le minimum d’extensions dans le navigateur, j’ai choisi
  AdGuard AdBlocker
  HTTPS partout
• j’utilise Thunderbird comme client mail avec spamassassin pour marquer les indésirables
• Eventuellement un anti-virus, j’ai choisi Sophos https://community.sophos.com/kb/en-us/14378

Mais c’est un sujet très vaste

https://www.debian.org/doc/manuals/debian-handbook/security.fr.html

même , très très vaste
https://www.debian.org/doc/manuals/securing-debian-howto/index.fr.html#contents

Sans me prévaloir d’une expertise particulière en la matière, je pense comprendre tes interrogations, étant moi-même passé récemment sous debian/Linux (une grosse année au compteur) pour des raisons similaires (sécurité/privacy).

Comme dit plus haut, la sécurité est un très vaste sujet. Il faut déjà s’entendre sur ce que tu entends par “sécurité”.

Si tu parles de sécurité physique, c’est-à-dire te protéger contre un accès indû physique à ton ordinateur (exemple: quelqu’un sort ton disque dur pour en extraire les données en ton absence, où y installe des logiciels malveillants), la solution est simple: cryptage complet du disque lors de l’installation de debian (full disk encryption) avec un mot de passe bien complexe. Ainsi, si tu perds, te fais voler ton ordinateur, ou que quelqu’un y accède en ton absence, tu n’as rien à craindre pour tes données ni pour l’intégrité de ton système.

Si tu parles de sécurité au sens navigation internet, virus, malware etc., ça dépendra plutôt de ton utilisation. La première chose à savoir, c’est que tout ce qui a accès à des droits root sur ta machine, que ce soit un hypothétique hacker ou un script ou un programme quelconque, peut théoriquement faire ce qu’il veut sur ta machine. Donc la première règle, c’est de ne pas installer n’importe quoi, de ne pas lancer de scripts avec droits root sans être sûr de leur provenance et/ou les avoir inspectés au préalable, et de ne pas copier-coller au hasard des commandes trouvées sur des forums.

De même, faire attention à ne pas entrer n’importe quoi dans ton terminal, un rm -r * dans ton dossier /home alors que tu croyais être dans un autre répertoire est vite arrivé… Je parle en connaissance de cause

En dehors de ça, pour ce qui est de la sécurité web de façon plus générale, à ma connaissance le plus gros vecteur d’instructions malveillantes ce sont des failles dans les navigateurs et javascript. S’il est peu probable qu’ils parviennent à obtenir des droits root sur ta machine, on peut toujours imaginer la possibilité de récupérer des identifiants que tu aurais entré sur une autre page web, ton historique de navigation, des données personnelles, etc.

Personnellement, j’ai opté pour une solution radicale, la virtualisation. Dès que je dois faire un peu de web sérieux, que j’ai envie de tester des sites dont je ne suis pas sûr, ou même des scripts et programmes un peu olé-olé, je lance ma session dans une machine virtuelle (debian évidemment), soit en live session, soit sur une session permanente dont je fais des clones que je supprime régulièrement. Avec VirtualBox c’est vraiment facile. De cette façon, même si un assaillant obtenait des droits root sur cette machine, les risques qu’il puisse contaminer le reste de mon ordinateur sont extrêmement faibles. Parfois je m’amuse même à contaminer des machines virtuelles Windows avec des malwares et des virus pour voir le résultat

Si en plus de ces quelques considérations tu mets à jour régulièrement ton système (très important), alors à mon sens tu cours peu de risques.

Salut grandtoubab et merci pour votre réponse

en gros, je dois prendre le temps de bien les deux liens
et de les appliquer consciencieusement
et ensuite tester encore et encore
jusqu’a atteindre un certain degré de sécurité acceptable

Salut mamuvu
et merci d’avoir pris le temps de me répondre encore

je voulais parler sécurité au niveau navigation internet,
je fréquente beaucoup de site de streaming, de téléchargement de films.

pour la sécurité physique, je ne laisse plus rien sur mon PC
depuis bien longtemps déjà, vu le nombre de fois ou mon pc à crashé
et ou j’avais perdu toutes mes données, au bout de la troisième fois, ça n’arrive plus jamais, je conserve mes données sur USB uniquement

pour le cryptage, étant donnée que je n’ai aucune donnée sensible
je ne crypte jamais, j’ai un ami inconditionnelle du cryptage qui à déjà perdu
des fichiers cryptés accidentellement, comme quoi!!!

De plus , le cryptage peut être casse en plusieurs minutes, heures, voir journée
en fonction de la clé de cryptage (ça me rappelle le jeu splinter cell, lol)

Mais en fait, je me prend peut être trop la tète sur la sécurité

en fait les concepteurs de Debian, ce sont pris la tète à créer de la documentation
donc un minimum pour moi de prendre le temps de la lire

on peut considérer en réalité que ce sujet n’a pas de sens
si ce n’est ma stupide ignorance de débutant.

Pour ce qui est du cryptage, à ma connaissance il n’existe aucune technologie connue pour décrypter un disque linux “full disk encrypted” en un temps raisonnable (c’est-à-dire moins de plusieurs années, voire dizaines ou centaines d’années) pour autant que le mot de passe soit de qualité.

Pour ce qui est de ton utilisation internet, du type streaming et téléchargements de films, c’est typiquement le genre de sites truffés de malwares, spywares, trackers et adwares en tous genres que j’ouvre uniquement dans des machines virtuelles, et jamais sur mon ordinateur “en direct”. Même si le risque est faible, je n’ai aucune envie de polluer ma machine avec ça. C’est un principe de base de ma sécurité informatique.

Je ne sais pas quelle est ta situation au point de vue légal pour le téléchargement, mais tu aurais peut-être intérêt de penser aussi à un VPN pour te livrer à ce genre d’activités. Pour moi cela rentre aussi dans une réflexion sur la sécurité.

en fait, je voulais parler des fichiers cryptés par des logiciels
sous Windows comme truecrypt par exemple

il existe aussi d’autres logiciels pour décrypter des fichiers cryptés

la durée du décryptage est bien entendu en fonction:
*Du type de cryptage
*De la clé de cryptage
*et de la taille du fichier crypté
si je ne me trompe pas bien entendu!!!

donc rien à voir avec un disque dur entièrement cryptés bien entendu
après les services de police peuvent quand mème le décrypter dans le cas
d’un terroriste ou d’un hacker par exemple et heureusement d’ailleurs!!!

Sinon j’ai choisi le livre de Raphaël hertzog et de Roland maz
The admistrator’s handbook en français chez Eyrolles, 573 pages

et Debian 8 Jessie, de la découverte à la maitrise, 518 pages

je pense que lorsque j’aurais bien compris et assimiler toutes ces données
j’aurai un niveau correct de connaissance sur Debian

D’après ce que je sais, il n’existe pas de méthode connue pour décrypter un volume truecrypt (ou son successeur, veracrypt).

Ca m’intéresserait de savoir lesquels.

Pas à ma connaissance, sauf si le mot de passe est ridiculement facile à trouver.

Attention tout de même, la version stable actuelle est debian 9 “stretch”.

Crypter entièrement son disque, ce n’est pas seulement pour éviter de se faire piquer ses données, ça empêche aussi que quelqu’un de malintentionné installe des logiciels malveillants (genre keyloggers, backdoors, etc.) sur ta machine à ton insu! Ce qui est un grave problème de sécurité.

Rebonjour à tous et à toutes
juste pour clôturer ce sujet, comme la très bien préciser grandtoubab
c’est un sujet très très vaste, mais comme je l’avais préciser clairement;
je suis débutant, et un débutant ç toujours une vision limité des choses

Pour répondre à mamuvu concernant le cryptage intégrale du disque dur
effectivement c’est toujours mieux, surtout pour un PC portable
et surtout si les fichiers sont confidentielles (entreprise par exemple)
sous réserve je suppose d’avoir un code qui tient la route (combinaison divers)

Sinon juste pour les débutants comme moi,
j’ai eu des infos sur le net intéressante et primordiale:

la sécurisation d’un PC passe aussi par le bios
et par le modem du fournisseur d’accès internet via l’interface du navigateur web, avant mème le système d’exploitation,

Bon ben j’ai encore 1000 pages à lire avant de pouvoir
commencer réellement l’installation de Debian

Bonne continuation au site et à ses forumeurs, à plus!!!

Sujet clos pour ma part et sans intérêt sauf peut être pour un débutant.

Ps: j’aurai souhaiter savoir qui est le modérateur du forum, Merçi

quelques conseils de bon sens

Bonjour

Allez aussi
régulièrement consulter : https://www.cert.ssi.gouv.fr/

D’accord pour la perte ou le vol, mais pas forcément pour l’intégrité.

Le défaut dans la cuirasse, c’est que tout le disque ne peut pas forcément être chiffré. Dans une installation typique de Debian avec chiffrement, le MBR ou la partition EFI et /boot ne sont pas chiffrés car il faut bien que le firmware (BIOS ou UEFI) puisse les lire pour amorcer le système. Or ils contiennent le chargeur d’amorçage, le noyau et la racine initiale (initramfs) qui sont les éléments les plus importants du système. Sans autre précaution, un attaquant ayant un accès physique à la machine pourrait donc y injecter un logiciel malveillant.

En bidouillant un peu, on peut chiffrer /boot aussi, mais une partie du chargeur d’amorçage, et notamment celle qui demande le mot de passe de déchiffrement, n’est pas chiffrée.

Pour empêcher ou au moins détecter une altération des fichiers de démarrage, il y a quelques solutions :

• chiffrer vraiment tout et utiliser une machine avec un firmware capable de déchiffrer. Voir du côté de LibreBoot et CoreBoot.
• placer le chargeur d’amorçage sur un support amovible qu’on garde en lieu sûr (pas avec le PC)
• utiliser un mécanisme permettant de détecter une altération d’un fichier de démarrage (signature, métrique) via le secure boot ou le TPM.

A défaut, la vérification des fichiers de démarrage en clair peut être faite après le démarrage par un programme présent sur la partie chiffrée. Mais ce sera inefficace si l’attaquant a installé un rootkit qui fait voir les fichiers originaux à la place des fichiers modifiés. Cependant il s’agirait d’une attaque particulièrement sophistiquée.

Et je ne parle que des attaques sur le contenu du disque, pas sur le matériel lui-même (installation d’un keylogger sur le clavier, altération du BIOS…)

Alors, ce qu’ont dit les autres utilisateurs du forum est très bien, mais j’ai une question par rapport à ce que tu as dit : Tu sauvegardes tes données sur USB ??? Parles-tu de disque dur externe ou de clé USB ? Parce que dans ce cas là, ce n’est vraiment pas fiable et très risqué.

Sans contredire mes estimés collègues, il me semble important de préciser un point par rapport à ta question initiale: ton ordinateur est déjà sécurisé puisqu’il est sous Debian!

Oui, comme ils l’ont dit, on peut imaginer des scénarios d’attaque compliqués même sur une machine Debian.

Mais tu viens de Windows, c’est équivalent de passer d’un hôtel de passe situé dans un quartier borgne et où les portes ne ferment pas à un appartement privé muni d’une serrure trois-points dans une petite ville de campagne…
Tu peux si besoin est te préoccuper de blinder les murs et de remplacer les fenêtres par de l’acier recouvert de titane, mais dans l’immédiat tu peux aussi considérer que tu as enfin le droit de te sentir en sécurité!

Ce que t’ont dit les autres est vrai et est bon à savoir pour ta culture générale, mais dans l’immédiat le seul point dont tu dois te préoccuper pour ta sécurité est de ne pas lancer de programmes en root quand tu peux l’éviter.
Eventuellement aussi d’éviter les dépôts tiers tant que tu ne sais pas ce que tu fais.
C’est franchement suffisant pour un début!

Oui tu peux aussi installer un plugin sur ton navigateur comme uMatrix ou NoScript + Adblock, ça ne fait jamais de mal.

Pour aller sur les sites vraiment sales le faire en VM pourquoi pas (bretelles+ceinture comme on dit), mais normalement en étant sur Debian tu cours quand même vraiment peu de risques.

Quels que soit les mesures de sécurité mise en place rien ne pourra empêcher une compromission si l’utilisateur à un comportement à risque.

La première sécurité c’est un cerveau branché et alerte sur ce qu’il fait.

J’ai déjà rencontré nombre de gens ayant chiffré leurs données et qui suite à la perte de la clé sont venu ici ou sur d’autre forum pleurer car il ne pouvais pas récupérer l’accès à leur système …

La sécurité est un vaste sujet, qui ne peux être abordé sur un forum à l’aide d’un simple fil, le plus importants c’est de référencer les risques possibles et de valider si une solution pour s’en prémunir est envisageable et nécessaire.

Un proverbe chinois précise que :

Chaque dragon trouve son maître

En soit il est nul protection suprême dans l’informatique, la preuve avec le dernier gros souci lié à la conception des processeur mas au jour dernièrement.

Et par pitié ne mettez pas d’accent à Debian

PS : N’ayant pas le choix de mon système à mon travail, je peux dire que sans comportement à risque il n’est nulle besoin d’antivirus ou d’anti-malware sur un poste de travail ayant accès à internet sous Windows.
Il faut se retenir de vouloir faire croire qu’un système d’exploitation comme Windows est un nids à emmerdes (et pourtant à la maison je n’utilise quasiment exclusivement du GNU/Linux ou de l’Unix like).

Salut à tous pour répondre dans l’ordre,
Déjà merci à grandtoubab et MicP, j’ai copier coller les liens
et je les ajoutés à mes favoris dans firefox

je partage entièrement l’avis de pascalHambourg,
tous système est faillible, un bon hacker trouvera toujours une astuce

Eman je conserve tous mes fichiers sur simple clé USB
je n’utilise jamais de cryptage, d’ailleurs je n’ai jamais utilisé un logiciel de cryptage je n’en vois pas du tout l’intérêt, simplement parcque les fichiers que je possède sont sans importance, aucune données confidentielles ou sensibles .

mème si quelqu’un me vole ma clé USB
il pourra toujours reformaté la clé pour la ré-utilisé

Lien_Rag, ton exemple me semble un peu exagéré, non??
je ne partage pas trop ton opinion, elle était peut être vrai il y’a 10 ans,
je pense d’après ce que j’ai pu lire sur des sites concrets,
que les risques sont quasi similaire, aujourd’hui

puisque la plupart des serveurs sont sous Linux, et ils sont pourtant souvent hacké, non?? d’ailleurs la plupart des hackers utilisent linux, non??

Et enfin clochette, je partage ton opinion, en fait ce qui compromet
la sécurité d’un PC c’est son utilisateur, c’est clair que si un personne
ne fréquente que des sites de films telechargés, de streaming, de porno, ou de crack et logiciels et jeux hackés , comme la plupart des jeunes sous Windows ou autres dans ce genre, le risque augmente considérablement

sinon on prononce deubian (Debian) et non débian
je ne savais pas du tout je croyait qu’on disait débian, désolé!!

je suis débutant, donc si j’ai des erreurs dans ma perception des choses
ne m’en veuillez pas trop, expliquez moi simplement.

1.2 Comment prononcer Debian ?
La prononciation officielle de Debian est « déb-yann ». Le nom tire son origine des prénoms du créateur de Debian, Ian Murdock, et de son épouse, Debra

https://www.debian.org/doc/manuals/project-history/ch-intro.fr.html#s1.1

Ian Murdock est décédé

Les clefs USB ne sont pas les supports les plus fiables. En gros, tu as plus de chances de perdre des données sur une clef USB que sur un disque dur de manière spontanée. Après, si comme tu le dis, les données dessus ne sont pas importantes, tu peux te contenter d’une clef USB. Mais dans le cas contraire, investis dans un disque dur.

salut
comme programmes de sécurité, je rajoute fail2ban rkhunter chkrootkit