[Ubuntu-QC] Guide pour sécuriser une serveur Ubuntu 10.04 LTS

Etienne Savard savard.etienne at gmail.com
Mer 23 Juin 20:37:51 BST 2010 

Merci Mathieu,

Je ne connaissais pas le guide de la NSA, c'est assez complet.  Je vais
regarder Bastille aussi.

La problématique c'est que nous louons un local dans une école, donc
facilement accessible et avec beaucoup de va et viens.  Le le serveur sera
dans nos bureaux.  Il y a une caméra de surveillance et des gardiens mais
pas de bergers allemands! ;)

Pour ce qui est des backups sur le cloud, c'est parce que je trouve que
c'est relativement peu coûteux et que nous n'avons pas besoin d'acheter du
matériel supplémentaire (tapes + tape backup).  Je sais que c'est un peu
"artisanal" mais nous sommes une startup avec des moyens limités! :)

Étienne.

Le 23 juin 2010 15:22, Mathieu Trudel-Lapierre <mathieu.tl at gmail.com> a
écrit :

> On mer, 2010-06-23 at 12:52 -0400, Etienne Savard wrote:
> > Bonjour,
> >
> > Je voudrais monter un serveur pour mon employeur pour lui démontrer
> > qu'il est possible de sécuriser une installation d'Ubuntu 10.04
> > serveur.
> >
> > Ce que j'aimerai :
> >
> >      1. Encrypter l'information sur les disques durs (code source,
> >         documentation, wiki, etc.) pour s'assurer que celle-ci n'est
> >         pas accessible en cas de vol.
>
> LVM/LUKS ou ecryptfs? Les deux ont différentes raisons d'être plus ou
> moins utile... LVM/LUKS requiet l'entrée d'un mot de passe au démarrage,
> alors que ecryptfs chiffre un répertoire d'usagé et doit être ouvert
> avant l'utilisation...
>
> Dans la majorité des cas d'entreprises "normales", l'encryption du
> disque n'est pas si nécessaire. Vaut mieux, à mon avis, investir dans un
> centre de données bien équipé et bien sécurisé.
>
> >      1. Backup automatique (et encrypter) sur le "cloud" (soit sur
> >         Amazon S3 ou ailleurs) pour ne pas tout perdre en cas de
> >         catastrophe (incendie, inondation, etc.)
> >      2. Tout ce qui peut éviter que le serveur soit facilement
> >         "hackable" (présentement, le LAN est derrière un firewall
> >         (router) mais j'aimerai pouvoir y accéder par SSH de
> >         l'extérieur)
>
> Backup sur le cloud? À mon avis il serait plus simple de faire des
> sauvegardes sur cassettes, puis les envoyer à un fournisseur de
> solutions de sécurité de documents; comme DocuDépot, à Verdun.
>
> Pour ce qui est de la sécurisation:
>
> - Utiliser bastille: https://help.ubuntu.com/community/BastilleLinux
> - Générer des règles nécessaires pour iptables et apparmor.
> - etc.
>
> Pour SSH, tu peux monter un serveur de VPN pour n'avoir qu'un accès à
> ouvrir pour le VPN afin d'avoir accès à tout le réseau, ou alors ouvrir
> chacune des machines avec une IP publique sur le net (moins recommandé),
> ou alors n'en ouvrir qu'une et utiliser SSH avec un ProxyCommand... Il y
> a plusieurs moyens peu coûteux et simples à implémenter.
>
> > Si il y avait un guide ou bien une genre de "checklist" des opérations
> > à faire pour bien sécuriser un serveur Ubuntu, j'apprécierai beaucoup.
>
> C'est pas spécifique à Ubuntu, mais la NSA ont un bon guide de
> sécurisation Linux, écrit pour RedHat EL 5:
>
>
> http://www.nsa.gov/ia/guidance/security_configuration_guides/operating_systems.shtml#linux2
>
> L'information y est évidemment tout à fait réutilisable.
>
> Aussi, il existe différents guides plus ou moins complets sur le net:
>
> http://www.securenetwork.it/ricerca/whitepaper/download/Debian-Ubuntu_hardening_guide.pdf
>
> Le lien proposé par Fabian est un excellent point de départ.
>
> Un détail par contre: il faut se rappeler que la sécurité est un
> procédé... Il est important de réviser les options utilisées, de faire
> des mises à jour fréquentes et de rester à l'affût des changements dans
> le domaine. Pour cela, tu peux t'inscrire aux annonces de sécurité pour
> Ubuntu:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-security-announce
>
> Ou alors suivre les listes de diffusion de Secunia, SecurityFocus, ISC
> SANS, etc.
>
> --
> Mathieu Trudel-Lapierre <mathieu.tl at gmail.com>
> Freenode: cyphermox, Jabber: mathieu.tl at gmail.com
> 4096R/EE018C93 1967 8F7D 03A1 8F38 732E  FF82 C126 33E1 EE01 8C93
>
>
> --
> Ubuntu-quebec mailing list
> Ubuntu-quebec at lists.ubuntu.com
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-quebec
>
>
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: https://lists.ubuntu.com/archives/ubuntu-quebec/attachments/20100623/46d6020b/attachment.htm

Plus d'informations sur la liste de diffusion Ubuntu-quebec