Serveur : window manager ou pas ?

Support Debian
#1

Bonjour à tous,

déjà utilisateur de Linux depuis un pti moment : Mandrake puis Mandriva et maintenant Ubuntu sur ma machine, j’ai aussi un PC qui me sert de “serveur”. Depuis toujours il tourne sous windows mais j’ai le projet de le transformer en un veritable serveur sous Debian pour faire de l’hebergement chez moi (pour mon propre usage, au moins au debut).

J’ai fait un certain nombre de recherches sur le net mais impossible de trouver une réponse claire et nette a la question que je me pose.

Pour mon serveur, est ce que j’installe un windows manager ou pas du tout ?

quels sont les avantages, les inconvenients ou meme les risques d’une ou de l’autre situation ? Sachant que :

  • je suis plutot a l’aise en ligne de commande (meme s’il me reste beaucoup des trucs a apprendre)
  • mon serveur est suffisament puissant pour faire tourner un WM (CPU AMD 1800+ avec 512 RAM et GeForce MX400)
  • j’aimerais aussi votre avis sur des WM “lights” comme Wmii par exemple
  • je voudrais la solution qui sera la plus sécurisée possible pour mon systeme et mon hebergement

Je sais que c’est un peu bateau comme question mais je voudrais vraiment pouvoir faire une synthese de vos avis et de vos experiences persos avant de me lancer dans l’aventure.

#2

avec les éléments que tu donnes: non.
Un serveur ne doit être installé qu’avec l’indispensable, et l’interface graphique ne sert pas.

#3

bon bah merci pour la réponse

#4

pour être plus précis en terme de sécurité: tout composant en plus est une nouvelle source de failles potentielles.

#5

si tu est bon en ligne de commande,non.

mais moi j’ai été obligé,je pense qu’aujourd’hui je m’en serais sorti bien plus difficillement sans.
mais j’ai été obligé de passer pas le base-config,donc tout ce qui avec ca,là par contre je ne suis pas content,c’est sur que j’ai un tas de truc inutiles installés,ne serais-ce que le gdm-kdm qui est inutile pour moi,…

donc si tu peux t’en passer n’en met pas

@+

#6

Oui effectivement.
Moi je voyais plutot les choses comme ça : avec un WM installé et qui tourne si qq’un arrive a se connecter a la becane il pourra plus facilement pourrir mon serveur, non ?

#7

C’est TOUT ce que tu installes qui est dangereux.
Seule une machine éteinte est sure :wink:
plus sérieusement, les applis graphiques sont plus susceptibles d’être défectueuses et de fournir des possibilités de débordement ou autre dos que les applis non graphiques qui ont en général peu d’entrées (au sens boite noire).
Mais chaque bout de code que tu installes est susceptible de contenir une faille, graphique ou pas.
On peut se passer d’interface graphique complète avec webmin, pour pallier des faiblesses en ligne de commande, mais il faut IMPERATIVEMENT le déconnecter au boot et ne le lancer que quand on en a besoin (en oubliant pas de l’arrèter aprés).

#8

[quote=“iktose”]Oui effectivement.
Moi je voyais plutot les choses comme ça : avec un WM installé et qui tourne si qq’un arrive a se connecter a la becane il pourra plus facilement pourrir mon serveur, non ?[/quote]

bof,si il choppe le root,ca changeras pas grand chose a mon avis.

#9

@matt : lol malheureusement une machine eteinte est sure, mais elle n’est pas tres utile ^^ En meme temps tu as tout a fait raison et quand j’etais sous Windows je passais mon temps a le dire.
Ce que tu dis a propos de Webmin m’interesse, j’avais pensé justement installer un WM léger qui ne se lancerait pas au boot pour me simplifier la vie à certains niveaux. Je le lance quand j’en ai besoin et je le coupe ensuite, mais franchement je trouve ce processus un peu “lourd”.

@dupdup : faut pas le prendre pour un défi mais pour chopper le root il faudra déjà qu’il trouve mon pass qui n’est ni le nom de ma copine, ni ma date de naissance, ni le nom de mon chien… c’est un vrai pass koi !

#10

dupdup17: quasiment toutes les attaques ont de toutes les manières pour but de choper des droits super, mais la faille est en général humaine.
Exemple:
iktose: ton “vrai” mot de passe root, c’est le même pour ton utilisateur ?
Est ce que tu l’utilises ailleurs ?
Combien de personnes le connaissent ?

Le forum ici même a été cassé par une bête erreur de ma part: un jour, en configurant une gentoo, je suis allé m’inscrire sur un forum écrit en cyrillique. J’ai fait la bêtise d’utiliser le login et le mot de passe que j’utilisais sur le forum. Dans la journée, le forum était détruit, en utilisant mes credentials.

Kevin Mitnick disait que le code le plus efficace pour s’introduire sur un systême était le numero de téléphone de la responsable des sauvegardes, et que le mot de passe était "Allo ? Ici le petit stagiaire de l’informatique. Vous n’auriez pas le mot de passe avec lequel vous faites vos sauvegardes ? Je suis tout seul, on a des problêmes avec le matériel et il faudrait que je verifie si ça marche."
90% des intrusions reposent sur des failles humaines. :wink:

#11

Et Mitnick avait tout a fait raison !! D’ailleurs le social engeneering marche encore tres bien des années plus tard. Et avec tout ce qui a été fait en matiere de sécurité informatique (vulgarisation des anti virus, firewalls, regles elementaires de sécu informatique etc…) la faille la plus facile a exploiter reste la faille humaine. Et je le vois tous les jours dans mon boulot, c’est consternant :imp:

pour reprendre sur le sujet de mon pass :
ce n’est pas un mot qu’on trouve dans le dico
il est long
il melange lettres chiffres et caracteres de ponctuation
je ne l’utilise nulle part ailleurs
il ne ressemble pas a un autre de mes pass
je suis le seul a le connaitre

il me semble que c’est deja pas mal niveau securité :slightly_smiling:
De toute façon je me suis dit des le debut que le plus gros de mon travail sur ce serveur allait etre la securité et je ne le mettrais pas en service avant qu’il soit blindé.

#12

[quote=“iktose”]Et Mitnick avait tout a fait raison !! D’ailleurs le social engeneering marche encore tres bien des années plus tard. Et avec tout ce qui a été fait en matiere de sécurité informatique (vulgarisation des anti virus, firewalls, regles elementaires de sécu informatique etc…) la faille la plus facile a exploiter reste la faille humaine. Et je le vois tous les jours dans mon boulot, c’est consternant :imp:

pour reprendre sur le sujet de mon pass :
ce n’est pas un mot qu’on trouve dans le dico
il est long
il melange lettres chiffres et caracteres de ponctuation
je ne l’utilise nulle part ailleurs
il ne ressemble pas a un autre de mes pass
je suis le seul a le connaitre

il me semble que c’est deja pas mal niveau securité :slightly_smiling:
De toute façon je me suis dit des le debut que le plus gros de mon travail sur ce serveur allait etre la securité et je ne le mettrais pas en service avant qu’il soit blindé.[/quote]Il a combien de caractere??? ca me restreindra mes recherches avec john :smiley: ok c’est pas drole je sors :arrow_right: :arrow_right:

#13

mdr Ash ^^reviens reviens c’etait (un peu ?) drole kan meme :wink:

#14

Tiens ca me fait penser que j’avais trouvé un tableau précisant environ le temps nécessaire au cracking d’un pass avec john suivant le pc sur lequel il est installé par méthode brute force. Je ne le trouve plus malheureusemetn, si vous avez des infos la dessus, n’hésitez pas a me les faires parvenir :smiley:

Et si vous voulez savoir si votre mot de passe est bon donnez moi votre fichier /etc/shadow je regarderais en combien de temps je les cracks :laughing:

Non sans rire pour vos mots de passe faites un test chez vous avec vos mots de passe et john ca peux donner une idée de la difficulté a trouver votre pass et de savoir si il vaut mieux l’améliorer ou non :wink:

#15

et dire qu’avant j’avais un password qui se craquait en quelques secondes avec john :open_mouth:
Bon deja il faut avoir acces a mon /etc/shadow c’est pas gagné

Sinon quelqu’un a un exemple de faille de window manager qui a entrainé une intrusion dans un système ?
J’ai une serveur personnel avec XFCE car j’utilise aussi cette machine via VNC pour graver et télécharger. Pourtant je ne considère pas cela comme une faille de sécurité , (en tout cas pas dans mon cas , ce n’est pas un serveur pro)

Je suis d’accord avec le fait que chaque programme peut contenir des failles mais prenons K3B par exemple , comment pourrais t’il présenter une faille sachant qu’il n’interagit pas avec le web?
Idem avec un WM ? pas d’interaction avec le web normalement

#16

Bah n’importe quel programme peut avoir des bugs susceptible de provoquer des débordements de piles ou autres sauts incongrus vers des routines pirates.
L’utilisation de VNC est dangereuse parcequ’elle fait circuler des données en clair sur le réseau, et que c’est toujours un moyen pour un auditeur de s’interposer pour écouter le flux, et le décrypter à tête reposée.
La consultation du mail root sur un serveur en non crypté est un moyen super simple de se faire niquer grave: une simple écoute du réseau sans même que ce soit détectable permet de récupèrer le mot de passe en clair. Et même en crypté, c’est super simple à récupèrer.
Pourquoi les applis graphiques sont elles plus dangereuses que les autres ?
Simplement parcequ’elles font appel à beaucoup plus de fonctionnalités s’executant en service (privilèges root à récupèrer) et aussi au noyau du fait du graphisme(execution de code malicieux dans l’espace mêmoire physique).

Ceci étant dit, même toute nue, une machine linux est trés difficile à plomber. Ce n’est pas pour autant qu’il ne faut pas être parano.
PS: on grave trés bien en ligne de commande, et la mule dispose d’une interface web (même wap, si tu veux)
Strider: evites vnc autrement que sur un lan protègé, c’est dangereux et superflu.

#17

La fameuse technique du MITM (Man In The Middle)
plus d’info la dessus sur wikipediafr et wikipediaen voir aussi giac.org/certified_professio … c/0455.php

#18

merci pour ces infos , je fais me documenter la dessus .

Sinon VNC n’est utilisé qu’en local et via mon réseau gigabit , pour plus de sécurité je pourrais interdire son utilisation sur le réseau routeur / internet.
Pour l’exterieur j’utilise SSH , d’une part c’est beaucoup plus rapide , et puis ca permet quand meme d’utiliser des applis graphiques si le besoin s’en fait ressentir (mais c’est rare)

Je sais qu’il est possible de tout faire en ligne de commande, d’ailleurs ssh me permet de faire beaucoup de choses mais en local je ne suis pas pret a sacrifier l’ergonomie d’un K3B ou d’un Azureus par pure paranoia. Si vraiment je devais avoir un serveur sans mode graphique je cesserais simplement le gravage et le telechargement sur cette machine.

#19

quote=“strider” VNC[/quote]Penses à ne le démarrer par ssh que quand tu en as besoin :wink:[quote=“strider”]Je sais qu’il est possible de tout faire en ligne de commande, d’ailleurs ssh me permet de faire beaucoup de choses mais en local je ne suis pas pret a sacrifier l’ergonomie d’un K3B ou d’un Azureus par pure paranoia. Si vraiment je devais avoir un serveur sans mode graphique je cesserais simplement le gravage et le telechargement sur cette machine.[/quote]Tu as aussi une interface webmin pour le gravage, et je suis sûr qu’azureus a aussi son interface web, mais je ne sais pas si c’est plus secure que VNC.