Aide pour choix distribution "sécurisée"

Forum d'assistance et d'échange sur l'installation, la configuration, et l'utilisation des système Linux et BSD. Vous pouvez y poster vos questions concernant ces systèmes d'exploitation en faisant l'effort préalable de rechercher dans le forum, dans les manuels et les documentations que la réponse n'y figure pas.

Modérateur: modos Ixus

Aide pour choix distribution "sécurisée"

Messagepar cf » 20 Mai 2005 18:31

Bonjour à tous.
Je voudrais vous demander conseil pour le choix d'une distribution Linux (pas BSD, je préfère les manchots et la GPL) pour monter mon serveur (perso, pas en production), qui hébergerait un serveur ftp, web, samba, et tout ce qui me passerait par la tête (c'est surtout pour m'amuser en fait).
Bon, histoire de ne pas perdre de temps, je vous donne mes impressions sur celles que je connais:
-IPCOP: ne fait que firewall, donc non
-SME: pas mal, mais quelques inconvénients: choix des paquets (proftpd/vsftpd par exemple), système de templates, et surtout, à moins que je n'ai pas compris, pas de gestion de partitions (si je dois réinstaller ou la virer, je perds mes données, puisque le programme d'installation formate tout).

Bon, là, j'en vois venir qui me disent Debian:
j'utilise Debian tous les jours, sur deux pc différents. Je l'adore, mais j'ai du mal avec la politique de sécurité:
-avec une installation de base, on se retrouve avec exim, sshd, inetd, portmap, etc
-lancement de tous les serveurs installés
-présence de gcc
-noyau autorisant les modules

Bien sûr, en y passant du temps, je peux la "bétonner" (si je ne fais pas de bourdes :wink: ), mais c'est lourd...

J'ai trouvé une distribution qui me semble parfaite, adamantix (ex TrustedDebian), mais, d'après leur doc, elle n'a pas l'air tout à fait au point (des retours d'expériences de certains d'entre vous?)

Voila voila, et merci d'avance

cf
cf
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 217
Inscrit le: 01 Jan 2004 01:00

Messagepar vince83 » 20 Mai 2005 20:02

a tout hazard , tu t'es renseigné aussi sur la MNF

à moins que je n'ai pas compris, pas de gestion de partitions (si je dois réinstaller ou la virer, je perds mes données, puisque le programme d'installation formate tout).


exact mais rien ne t'empeche de rajouter un second disque pour tes données ( voir detail de la manip sur le site http://www.sme-fr.homelinux.net/cmdline.php
plus on creuse le probleme et .......plus le trou est gros .....
vince83
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 203
Inscrit le: 21 Oct 2004 18:39
Localisation: toulon

Messagepar Gandalf » 20 Mai 2005 21:40

La MNF ne fait que du firewalling, essaye peut-être une distrib Clarkconnect ! Elle répond mieux à tes attentes je pense ( FTP, web ... ).
Ceci dit je me permet de dire qu'il faut éviter de miltiplier les services différents sur un firewall ! Si tu veux un ftp, un serveur web .... tu mets tout ça dans ta DMZ bien au chaud derrière ... un MNF au hasard :lol: !
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar cf » 21 Mai 2005 08:10

Merci.
Non seulement elle ne fait que firewall, mais il me semble qu'elle est payante.
Pour la SME, je n'ai qu'un seul disque. et en plus c'est ******, puisque il faudrait le retirer avant toute réinstallation (voire upgrade).
Pour ce qui est de multiplier les services sur la même machine, c'est justement pour cela que je cherche une distro "solide". Si j'avais plusieurs machines, j'aurais utilisé une DMZ, mais ce n'est pas le cas.
cf
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 217
Inscrit le: 01 Jan 2004 01:00

Messagepar lembal » 21 Mai 2005 10:06

Tu as aussi la distribution Trustix (http://www.trustix.net/) justement développée pour installer un serveur linux ultra sécurisé...
lembal
Vice-Amiral
Vice-Amiral
 
Messages: 880
Inscrit le: 13 Jan 2003 01:00
Localisation: Paris

Re: Aide pour choix distribution "sécurisée"

Messagepar Breizh-Tux » 22 Mai 2005 11:50

cf a écrit:Bonjour à tous.
Je voudrais vous demander conseil pour le choix d'une distribution Linux (pas BSD, je préfère les manchots et la GPL)
Bon, là, j'en vois venir qui me disent Debian:
j'utilise Debian tous les jours, sur deux pc différents. Je l'adore, mais j'ai du mal avec la politique de sécurité:
-avec une installation de base, on se retrouve avec exim, sshd, inetd, portmap, etc
-lancement de tous les serveurs installés
-présence de gcc
-noyau autorisant les modules

Bien sûr, en y passant du temps, je peux la "bétonner" (si je ne fais pas de bourdes :wink: ), mais c'est lourd...

J'ai trouvé une distribution qui me semble parfaite, adamantix (ex TrustedDebian), mais, d'après leur doc, elle n'a pas l'air tout à fait au point (des retours d'expériences de certains d'entre vous?)


c'est une blague ??? Pas Debian mais Adamantix ??? Adamantix est basée sur une debian stable toute fraiche apres install ... Et quand à sécuriser Debian face aux arguments que tu avances, laisse moi rire ....
apt-get install postfix && apt-get remove --purge exim c'est si dur que ça ??? La présence de gcc doit pouvoir se contourner , je ne me suis jamais posé la question , pour ce que tu dis avoir besoin j'utilise des BSD :) et enfin le noyau autorisant les modules et bah recompile un kernel monolithique !
Si comme tu le prétends tu veux t'amuser alors il faut que tu te bouges , car avec tes souhaits (a part pour Admantix) , je vois pas ou tu vas t'amuser si tout est déja fait ...
Quand à ta petite phrase ' j'utilise Debian tous les jours, sur deux pc différents. Je l'adore, mais j'ai du mal avec la politique de sécurité: ' , no comment c'est du troll de bas étage ...
Il te reste les linux à construire toi mm, gentoo ou linux mage, ou bien aussi une slackware (distro binaire si vous me permettez de la nommer ainsi) ...

Cordialement,
-=]::BzhTux::[=-
In God we Trust -- all others must submit an X.509 certificate.
(Charles Forsythe)
Breizh-Tux
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 305
Inscrit le: 23 Fév 2003 01:00
Localisation: BZH , Degemer Mad

Re: Aide pour choix distribution "sécurisée"

Messagepar cf » 22 Mai 2005 15:26

Breizh-Tux a écrit:c'est une blague ??? Pas Debian mais Adamantix ??? Adamantix est basée sur une debian stable toute fraiche apres install ...


Oui, à ceci près qu'elle intègre PaX, SSP, qu'ils ont bossé sur la pile IP et que apt incorpore un système de signature des paquets... Va dire aux développeurs qu'ils ont juste repackagé une install de Debian par défaut, et écoute leur réponse...

Breizh-Tux a écrit:Et quand à sécuriser Debian face aux arguments que tu avances, laisse moi rire ....
apt-get install postfix && apt-get remove --purge exim c'est si dur que ça ??? La présence de gcc doit pouvoir se contourner , je ne me suis jamais posé la question , pour ce que tu dis avoir besoin j'utilise des BSD :) et enfin le noyau autorisant les modules et bah recompile un kernel monolithique !

Effectivement, j'ai un peu poussé. Mais je n'aime pas l'idée d'avoir à désactiver des services après l'installation, je trouverais plus logique que l'on demande AVANT quels services on veut activer, ça me semble logique. Enfin, tu penses ce que tu veux.

Breizh-Tux a écrit:Si comme tu le prétends tu veux t'amuser alors il faut que tu te bouges , car avec tes souhaits (a part pour Admantix) , je vois pas ou tu vas t'amuser si tout est déja fait ...

Bah, en même temps j'aimerais bien trouver une distribution qui me correspond, et j'ai déjà donné pour la configuration/sécurisation de mes Debian...

Breizh-Tux a écrit:Quand à ta petite phrase ' j'utilise Debian tous les jours, sur deux pc différents. Je l'adore, mais j'ai du mal avec la politique de sécurité: ' , no comment c'est du troll de bas étage ...

cf plus haut. Je ne comprends pas cette politique qui installe des serveurs à l'installation, et les lance. Il doit y avoir une raison, mais je ne vois pas.

Je vais essayer FreeBSD, je pense que ça pourrait être intéressant.

cf
cf
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 217
Inscrit le: 01 Jan 2004 01:00

Messagepar Gandalf » 22 Mai 2005 18:35

cf a écrit:Merci.
Non seulement elle ne fait que firewall, mais il me semble qu'elle est payante.


Non, elle est gratuite !
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar Breizh-Tux » 22 Mai 2005 20:07

Effectivement si tu veux vraiment t'amuser un FreeBSD 4.11 (dernière stable) sera un bon jouet , je te le confirme, et sans vouloir troller, la compil du noyau c'est un plaisir mm la première fois :)

Cordialement,
BzhTux :)
In God we Trust -- all others must submit an X.509 certificate.
(Charles Forsythe)
Breizh-Tux
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 305
Inscrit le: 23 Fév 2003 01:00
Localisation: BZH , Degemer Mad

Messagepar Chardhoo » 26 Juil 2005 23:48

Bonjour,
Pourquoi pas LFS ?(linux from scratch) (linux à partir de rien)
Certes il faut du courage mais au moins tu sais ce qui se trouve sur ta bécane et toutes les distributions au monde ne feront jamais le poid contre du LFS bien paramétrer.
enfin c'est mon point de vue !
dites moi si je me trompe... :shock:
Chardhoo
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 26 Juil 2005 23:12

Messagepar micjack » 27 Juil 2005 01:32

Chardhoo a écrit:Pourquoi pas LFS ?(linux from scratch) (linux à partir de rien)

Car y'a trop de compile derrire pour ce qu'il veux faire, alors qu'il existe déja des produits clé en main et securisés pour cela :wink:
Chardhoo a écrit:au moins tu sais ce qui se trouve sur ta bécane et toutes les distributions au monde ne feront jamais le poid contre du LFS bien paramétrer.

Je ne suis pas trop d'accord sur ta phrase "les distributions au monde ne feront jamais le poid contre du LFS "

Ben moi comme j'ai la fleme de metre en place une LFS (Linux bouquin) et quand l'on sais comment cela fonctionne, on install plutot une distrib au choix et au minimum avec de quoi compiler (de toute facon les outils de compiles sont necessaires pour construire LFS, si non pas de distrib maison )

Avec une distrib au minimum, on arrive à une install de 550 Mo sources comprises, compiler les drivers non pris en charge par la distrib et par la suite il faut virer les RPM inutiles, désinstaller les sources et les outils de compilation et au final on arrive à une distrib sécurisé de 450 Mo qui fait, Passerelle, Firewall, Routeur filaire, Routeur Wifi, Serveur d'impression.

Alors qu'avec LFS, c'est pour en revenir à la meme chose, mais en se faisant chi.er en partant de rien pour pas grand chose.

PS: Cela n'a rien avoir avec la question de Cf (quoi que) mais c'est juste pour demontrer qu'une install au minimum et selective d'une distrib suffit, et bien sûr, de savoir comment cela fonctionne, donc savoir quoi rajouter ou supprimer suivant l'usage :wink:
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar Chardhoo » 27 Juil 2005 14:57

Le BUT est d' apprendre !!
En commancant de rien c'est super mais bon c'est vrai que la gamme est reservé aux gens COURAGEUX et PARANOYAQUE ! :D

PS: Je ne savais pas qu'il y avait des distributions que pour le firewalking :o genre IPCop mais bon je ne dispose pas de plusieurs ordinateurs !
Ceci étant dit qu'il est préferable pour Vous de vous mettre sur du IPCop si vous ne disposez pas des caracteres requis (voire en haut)
moi en tout cas je me met dessus :lol: (y a pas photos!)

LFS : 8 mo serveur apache
Distrib. : 500 mo serveur apache (install minimal)
Chardhoo
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 26 Juil 2005 23:12

Messagepar micjack » 27 Juil 2005 15:17

Chardhoo a écrit:LFS : 8 mo serveur apache
Distrib. : 500 mo serveur apache (install minimal)

Ha, si on va dans le meme genre de comparaison, j'ai mieux :D

Firewall Coyotte Linux: Disquette 1.44 mo
IPCop : ~500 Mo (il me semble)
Et ma distrib multifonction plus haut: ~450 Mo

On peut aller loin comme ca à faire des comparaisons ... Une distrib de "jenesaitquoi" est en rapport de ce l'on veux faire...

Je ne vois pas la difference entre un Apache qui se trouve sur une distrib 8 Mo ou sur une de 500 Mo, mise à part que cela prend plus ou moins de place..

La securité mon sens n'est pas le poid de la distrib, mais connaitre et maitriser de ce qui tourne comme services dessus.
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar Chardhoo » 27 Juil 2005 16:28

si moi je vois le rapport ! :D :lol:
Des fichiers inutilisé !
d' ou la maitrise de connaitre son systeme par coeur fichier par fichier et donc apres ton OS fait quelque méga!
LOGIK
mais on s'écarte du sujet !
Chardhoo
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 26 Juil 2005 23:12

Messagepar Les_Marches » 27 Juil 2005 16:41

Hello!

" Plus le système est petit, plus on le connaît par coeur, plus il est secure " = vrai, il faut donc un bon pilote derrière

" Plus le système est petit, plus il est secure " = faux, les docs et autres modules ne sont pas des "failles"

On peut interpréter cela de différentes manières... Comme il a été souvent dit partout, la sécurité d'un système dépend de son utilisateur ( un bon gars sous mandrake peut rendre ça sécurisé, un gars pas motivé sous *BSD peut tourner ça en gruyère... )
"Will Install Needless Data On Whole System"
Avatar de l’utilisateur
Les_Marches
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 196
Inscrit le: 18 Juin 2004 16:05
Localisation: IDF


Retour vers Linux et BSD (forum généraliste)

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron