Sécuriser son serveur comme la NSA

Поделиться
HTML-код
  • Опубликовано: 10 дек 2024

Комментарии • 94

  • @benjamincallar6339
    @benjamincallar6339 4 года назад +65

    Hello Coca,
    Deux petites remarques :)
    1. En debut de video, le conseil "generique" n'est pas de mettre a jour son systeme, mais bien de limiter les softwares installes, bien plus que les services, les logiciels de compilation sont a prohiber, beaucoup d'exploit d'escalade de privilèges utilise la compilation d'un code C pour gagner les droits root.
    2. Ton Firewall manque de certaines regles de base :
    - autoriser en Input toutes les connexions sur l'interface lo
    - autoriser en entrée les paquets deja initiés ( --state RELATED,ESTABLISHED ), car dans ta config, aucune mise a jour ou aucune requete DNS ne peut etre fait. Si tu ne veut pas gerer le state, autoriser a ce moment comme pour le ssh en fonction du sport ( 53 et 80/443 )
    - mettre une policy DROP sur la chain FORWARD, meme si le routage n est pas active, si il l'est un jour ( malencontreusement ou par un hacker ), le rebond NAT est interdit. A savoir que la regle INPUT ne filtee pas les paquets "NATté"
    Sinon encore tres bonne vidéo ;) merci pour ton travail :)

    • @mariofadegnon9420
      @mariofadegnon9420 4 года назад

      Merci

    • @cocadmin
      @cocadmin  4 года назад +13

      Yep t'as raison je m'en suis rendu compte au montage mais jme mais comme j'en parle apres jme suis dit "ca passe " :p
      100% raison sur le firewall aussi j' ai pas vraiment testé mes regles.
      Je pin ton commentaire ;)

    • @benjamincallar6339
      @benjamincallar6339 4 года назад +1

      @@cocadmin quel honneur :D

    • @HiPh0Plover1
      @HiPh0Plover1 4 года назад +3

      Putin j'ai rien compris moi !

    • @foxbravo3682
      @foxbravo3682 4 года назад

      @@cocadmin La règle que tu as ajoutée dans la chaîne OUTPUT est inutile car sa policy est ACCEPT ;) .

  • @xavki
    @xavki 4 года назад +36

    Hello l’anssi en France a fait aussi un très beau travail sur ce domaine.

    • @cocadmin
      @cocadmin  4 года назад +6

      Thanks, jvai checker ca :)
      est-ce que t'as des exemples en tete ?

    • @sleipnir7446
      @sleipnir7446 4 года назад +1

      @@cocadmin L'ANSI conseille dans la mesure du possible de prendre des clés ECDSA plutôt que RSA par exemple.

    • @MrMarkham89
      @MrMarkham89 4 года назад +7

      @@cocadmin www.ssi.gouv.fr/administration/bonnes-pratiques/

    • @artbdrlt5175
      @artbdrlt5175 4 года назад +1

      @@MrMarkham89 Merci ! Ce lien envoie vers le document spécifique à l'admin linux : www.ssi.gouv.fr/administration/guide/recommandations-de-securite-relatives-a-un-systeme-gnulinux/

  • @penthium2
    @penthium2 4 года назад +6

    il y a l'outils portsentry qui évite les scans de port. cela permet donc de mettre le port SSH sur un port exotique et sans être trouvé.

  • @DavixXx972
    @DavixXx972 4 года назад +1

    Dans mon premier boulot j'avais comme client un organisme très sensible à la sécurité et toutes ces règles/méthodes m'ont été enseigné dès les premiers mois (petit clin d'oeil à AIDE qui est sympathique pour faire du scellement.)

  • @mariofadegnon9420
    @mariofadegnon9420 4 года назад +1

    Hello cocadmin, une petite pratique avec Openssh:
    1-Désactiver l'accès de root (lu dans la plupart des docs de best pratices)
    2- Creer un utilisateur pouvant se connecter par ssh mais n'est pas sudoer.
    3- Créer un autre qui est sudoer mais ne peut se connecter ssh.

    • @cocadmin
      @cocadmin  4 года назад

      Salut Mario!
      Comment tu fais pour passer root au final ?
      est-ce que tu condamne le serveur et en refait un autre si ya un problème ?

  • @Btoscani1
    @Btoscani1 4 года назад +21

    Il devrait aussi informer comment protéger un serveur contre la NSA :-p

  • @djcaesar9114
    @djcaesar9114 3 года назад +3

    Un document qu'on devrait donner dès qu'on touche un ordi!

  • @jejednb
    @jejednb 3 года назад

    Trop bien Super vidéo, bien expliqué posé et le son impec ! GG bonne continuation ! Merci !

  • @bertauxmaxence1578
    @bertauxmaxence1578 4 года назад

    Salut Coca,
    Ca fait 2 petit mois que je te suis et franchement toutes tes vidéos sont cool.
    Je suis admin syst & network junior et ca me permet de revoir quelques bonnes pratique que j'oublie,
    Continue comme ca bg,
    Force !

  • @christopheleroux6045
    @christopheleroux6045 4 года назад +1

    Parfait ! pour le projet 13 d'openclassrooms, en réalisant les sécurisations de cette vidéo je suis passé de "l'hardening index" 47% à 62%... et j'ai pas fini lol.

  • @Yaban-racing
    @Yaban-racing 4 года назад +2

    Est-ce que tu peut faire un tutoriel installation serveur local pour hébergé un site Web local avec un Ubuntu ou debian serveur ou autre. Sans outils de déploiement rapide. Avec les bonnes options de sécurité. Ou sur un serveur dédié vierge chez un ebergeur. Grafikart l'a fait mais son tuto est trop vieux maintenant.
    Merci

  • @NT-dk9zp
    @NT-dk9zp 3 года назад +4

    Salut ! J'ai découvert ta chaine récemment et c''est très intéressant ! A propos de ce genre de vidéos, pourquoi ne pas suivre les documents Livre Blanc de l'ANSSI ?
    Bonne continuation !

  • @quentin7343
    @quentin7343 2 года назад +1

    Le document de la NSA n'est plus disponible à la consultation en suivant le lien :/

  • @mokranemouzaoui28
    @mokranemouzaoui28 8 месяцев назад

    Hello, je cherche le pdf depuis 1h je trouve pas qqun pourrai me l'indiquer svp 😅

  • @panda-bs9bb
    @panda-bs9bb 4 года назад

    Ahah, ce drapeau.
    Merci pour la vidéo ;)
    Edit: En passant, perso je rajoute à fail2ban, un portsentry qui mets la règle iptable qui va bien et qui route add reject le malindrain qui à la bêtise de scanner. Ça parrait violent mais jusqu'à présent ça n'a pas posé de problèmes avec nos clients et au pire on a nos commandes de prête pour unban si y'a des faux positifs.

    • @cocadmin
      @cocadmin  4 года назад +1

      Pas bete j'y avait pas pensé.
      Le scan de port ca me derange moins si tous mes ports sont fermés, fail2ban c'est plus pour pas avoir 8go de log parce que des bot bruteforce mon ssh

  • @josue_nguimatio
    @josue_nguimatio 3 года назад +1

    Bonjour s'il te plait
    je n'arrive plus a accéder au site
    je peux avoir , le document ? ,stp

    • @josue_nguimatio
      @josue_nguimatio 3 года назад

      hey j'y suis toujours, je peux l'avoir

    • @cocadmin
      @cocadmin  3 года назад

      apps.nsa.gov/iaarchive/library/ia-guidance/security-configuration/operating-systems/guide-to-the-secure-configuration-of-red-hat-enterprise.cfm

    • @gau25702
      @gau25702 2 года назад

      @@cocadmin Heyy le Get link est cassé... pourrais-tu nous faire un petit lien weetransfer ou autre stp ? :) :) merci pour tes vidéos

  • @Towzlie
    @Towzlie 2 года назад

    On peut aussi utiliser ufw pour faire ses iptables rapidemment !
    Merci pour le travail

  • @eddybash1342
    @eddybash1342 4 года назад

    Bonjour,
    Il me semble que la clef de chiffrement symétrique est dans le noyau ram de l'hypervision après l'usage de la clef privée. En conséquence, la NSA ou un admin du cloud peut savoir ce que vous faites sur la machine présente dans le data center. Ils ont en plus accès à l'API de ce noyau. ;)

    • @cocadmin
      @cocadmin  4 года назад

      hmm. Est-ce que t'as un exemple ou un article qui parles de ca? Est-ce qu'il y a des contres mesures ?

    • @eddybash1342
      @eddybash1342 4 года назад

      @@cocadmin il faut chercher des réf.
      En tout logique la clef symétrique est en ram pour déchiffrer le disque on fly et Sans chip spécialisé, celle ci se balade bien dans un coin du RAM alloué à cet utilisateur.
      Ce n'est un secret pour personne que les agents sont ' assis ' sur l'API des hyperviseurs. Si on oriente les entreprises dans le cloud c'est pour en faciliter l'espionnage économique. ;)
      L'intelligence c'est de ne pas effectuer de calculs dans le cloud mais seulement d'y stocker des données chiffrées.
      Il y a des algorithmes crypto permettant d'effectuer des calculs sur des données chiffrées via fully homomorphic encryption. Il y a aussi le zero knowledge proof utilisé sur les blockchains.
      Il faut réfléchir à la sensibilité des données mises sur le cloud car le vol est instantané par l'admin du noyau de la Super-VM. ;)

    • @eddybash1342
      @eddybash1342 4 года назад

      @@cocadmin je ne crois pas non plus à la présence d'un chip physique pouvant stocker la clef privée d'un machine virtuelle. C'est vraiment prendre les gens pour des idiots. ;) Pourquoi le data centre ferait des frais dans ce type de hardware à l'heure de la virtualisation.
      Étant donné que les data soient dechiffrables via ce chip ' supposé ' physique, les données peuvent être volées, espionnées, etc... Et passent toujours dans le noyau de l'hyper viseur. ;) Donc aucun intérêt d'avoir cette couche cryptographique physique.

    • @eddybash1342
      @eddybash1342 4 года назад

      @@cocadmin pour le counter measure c'est la mise en place d' une architecture du cloud hybride avec un zone publique chez le gafa du coin et un cloud privé réservé aux calculs dans une structure interne de l'entreprise.
      Ça te fait rigoler mais amz etc... C'est du public computing car tu ne sais pas qui est assis sur le CPU et qui partage la RAM du serveur. ;)
      Idem même un contrat réservant des machines physiques ds un data centre à l'entreprise X, c'est un vrai pipo. ;)
      Ça nécessite un très haut niveau de trusting quand tu travailles sur des données non chiffrées. Ds le contexte de la blockchain ca ne viendrait pas à l'idée d'effectuer un calcul crypto utilisant ta clef privée sur un cpu distant. Lol
      J'ignore la sensibilité des données de ta crèmerie mais toi seul doit le savoir. A mon avis, c'est dangereux d'aller pleinement ds le cloud.

  • @GameOver-ge2hr
    @GameOver-ge2hr 4 года назад +2

    Comme toujours, très instructif merci Thomas 😉. une série de tutos sur Veeam serais vraiment super , tu en pense quoi ? 🤗

    • @cocadmin
      @cocadmin  4 года назад

      Content que ca te plaise ! J'ai jamais utilisé veeam, tu l'utilises pour backuper quoi toi ?

    • @GameOver-ge2hr
      @GameOver-ge2hr 4 года назад +1

      @@cocadmin Je devrais prochainement l'utilisé pour backuper des VM sous Hyper-V, d'ou mon intérêt soudain ;)

  • @gaiusbaltar7122
    @gaiusbaltar7122 4 года назад

    C'est juste un détail mais iptables est une interface pour le firewall qui est netfilter.

  • @PilYxe
    @PilYxe 3 года назад

    top la video comme d'hab, tu penses faire une video sur la sécurisation de k8 ?

  • @soker45
    @soker45 10 месяцев назад

    Merci

  • @st.0779
    @st.0779 2 года назад

    salut cocadmin j'ai cliquer sur ton lien et impossible d'avoir le doc.

  • @drissbenelkaid13
    @drissbenelkaid13 Год назад

    Minimiser les software permet de restreindre les accès aux applications installées, en conséquence cela permettra de réduire la surface d'attaque.

    • @mwlulud2995
      @mwlulud2995 10 месяцев назад

      Surtout priviligier des software openSource

  • @azuragaming5227
    @azuragaming5227 3 года назад

    Super intéressant

  • @breheem
    @breheem Год назад

    Salut, le lien ne marche est-ce normal ?

  • @_misterwhy
    @_misterwhy 4 года назад +1

    Hello ! Tout d abord merci pour tes idées de video et ta vulgarisation ;)
    Je pensais créer un serveur chez-moi avec un pc fixe. Pour quand je pars en vacance et si j ai besoin d un fichier, j accede a mon fichier ou je veux et quand je veux.
    T en pense quoi ? Trop risqué niveau sécurité ?
    Merci ;)
    PS: Tu connais l l'ubuntu cola ? Lol

    • @cocadmin
      @cocadmin  4 года назад +3

      Ubuntu cola ? lol nan j'ai jamais entendu parler :D
      Un serveur chez soi c'est sur que c'est pas top comparer a un datacenter (surtou coté uptime) mais pour des fichiers perso ca fait l'affaire :)
      Je ne pense pas que t'ai beaucoup plus de risque d'attaque chez toi que dans un dc

  • @nekcorp2579
    @nekcorp2579 4 года назад +1

    Salut, merci pour cette vidéo intéressante. Par contre t'as pas mit le lien vers le document. Merci

    • @cocadmin
      @cocadmin  4 года назад +2

      Yes jviens de le rajouter dans la description ;)

  • @Cutty853ify
    @Cutty853ify 4 года назад

    Pour SELinux c'est quand meme utilisé par défaut en enforcing par toutes les distributions RedHat (ya certaines choses qui ne sont pas confinées surtout celle de l'utilisateur) et Android utilise SELinux pour son système de permission me semble. Je dis pas que c'est facile, mais que c'est utilisé en "production".
    Après on va pas se mentir, pour moi SELinux est tellement compliqué que ce n'est à la portée que de grosse entreprises.

    • @cocadmin
      @cocadmin  4 года назад +3

      Ouai c’est par défaut mais c’est le premier truc que les gens désactive :p
      Après comme tu dit Jsuis sûr que certaines entreprises l’utilise mais j’en ai jamais vu

    • @DavixXx972
      @DavixXx972 4 года назад +4

      Pour t’entraîner il y a ce site qui est sympatique selinuxgame.org/

  • @sephyroth5559
    @sephyroth5559 2 года назад

    Ha merci car tout les gars qui font des tutos pour des formations , ils sont lol merci je peut enfin créer mon server proprement §.... comment je peut entrer dans ton cursus de formation ?

  • @vignemail1
    @vignemail1 4 года назад +1

    Autre source de conseils en Hardening (OS [serveur, desktop, mobile], applications [Kubernetes, Docker, PostgreSQL, MySQL, ...]) : www.cisecurity.org/cis-benchmarks/

  • @MrMarkham89
    @MrMarkham89 4 года назад

    Je m'attendais à un tuto sur le déploiement d'OpenSCAP sur les serveur, mais aucune mention de cet outils.

    • @cocadmin
      @cocadmin  4 года назад +1

      Je connais pas OpenSCAP donc peut-etre la prochaine fois ;)

    • @MrMarkham89
      @MrMarkham89 4 года назад

      @@cocadmin son intégration dans l'installeur des rhels est intéressante à étudier, cela permet d'appliquer des profils/paraemtrage de sécu gouvernementaux(ou reconnu), outofbox.

  • @k4rm664
    @k4rm664 4 года назад +1

    Salut
    Super intéressant ce fameux Best Practice je vais m'amuser avec ┗|`O′|┛

  • @jeanduriro553
    @jeanduriro553 2 года назад

    salut comment tu a installer ubuntu comme sa en mode powershell ( et ps : ta video est super comme les autre)

  • @Installator1
    @Installator1 4 года назад

    Super video ! Qu'est ce que tu suggères comme solution pour tester les backups? Autre qu'écraser ton instance de prod qui tourne bien avec le backup que tu viens de faire. Lancer une autre instance vierge à partir du backup ? Mais si c'est un serveur web par exemple, il va falloir que tu réassignes tes dns et changer de FQDN pour tester IRL non ? Ca semble bien galère 😅 Merci !

    • @cocadmin
      @cocadmin  4 года назад +2

      Lancer une nouvelle instance identique a celle de prod. C'est une des raison pour laquelle c'est important d'utiliser des outos comme ansible pour pouvoir facilement deployer des nouveau serveurs.
      Pour les DNS si c'est juste ca tu peux changer l'ip dans ton fichier /etc/hosts pour forcer ton ordi a aller sur le serveur de test ;)

    • @Installator1
      @Installator1 4 года назад

      @@cocadmin super, merci :)

    • @webmotril
      @webmotril 4 года назад +1

      Un serveur de test, en prod c'est le minimum. Même hardware, même config pour les tests ;)

  • @yoancyclomalin2453
    @yoancyclomalin2453 3 года назад

    Le mieux de desacliver dans le boos le son et le usb acec password dans le bios

  • @izizer1703
    @izizer1703 3 года назад

    Jmabonne l'ancien !

  • @terror403
    @terror403 4 года назад

    Pour tester votre server vous pouvez utiliser Lynis ;)

  • @marclouc3380
    @marclouc3380 2 года назад

    On veut une vidéo comment crée sont serveur

  • @MusicandRelaxation
    @MusicandRelaxation 4 года назад +1

    Salut, Selinux je l'ai imposé dans ma boite, ça été dure pour eux !

    • @59busta
      @59busta 3 года назад

      il est reputé pour être difficile, tu le maitrise bien j'imagine ? pas de soucis ?

  • @tommsla123
    @tommsla123 4 года назад

    Slt Thomas
    Tu as raison pour le backup mais moi je me suis confronté à un dilemme c'est de faire un restore sur un serveur qui est en prod.
    Pour toi, c'est quoi la meilleur approche parce que si ça tourne mal la prod est foutue tu vois :D

    • @cocadmin
      @cocadmin  4 года назад +2

      Il faudrais que tu puisse tester ton backup sur un autre serveur avant pour etre sur que ca va pas mettre la bordel sur ton serveur de prod.

    • @tommsla123
      @tommsla123 4 года назад

      @@cocadmin D'accord Merci bcp

    • @webmotril
      @webmotril 4 года назад +1

      Tu utilises un serveur de test, en prod il en faut toujours au moins 1

  • @philtoa334
    @philtoa334 4 года назад

    Nice,nice.

  • @madjpm
    @madjpm 4 года назад

    Sinon il existe un document similaire produit par l'anssi très bien foutu, en français et à jour.

  • @ony6026
    @ony6026 4 года назад

    Pas sûr que la moitié des gens aient compris pourquoi il fallait mettre UsePAM en "no" ça aurait été utile d'expliquer avec un langage compréhensible par les débutants. Pouvez vous s'il vous plait donner une explication ? J'ai bien un "PermitRooLogin no" et "PasswordAuthentication no", je me connecte avec une paire de clés, jusqu'à là je comprends. Cordialement.

    • @cocadmin
      @cocadmin  4 года назад +1

      PAM c'est pour gérer l'authentification autrement qu'avec les utilisateurs simples (si on veux utiliser ldap ou un truc du style)

    • @ony6026
      @ony6026 4 года назад

      @@cocadmin Merci

  • @emjizone
    @emjizone 4 месяца назад

    2:04 "Faire ses mises à jour, ça va corriger les bugs" : LOL
    Entendre ça juste après la panique mondiale causée par une mise à jour du logiciel de sécurité distribué par _CrowdStrike_ , c'est hilarant.

    • @mwlulud2995
      @mwlulud2995 3 месяца назад

      Ta oublié un détail, c'est du Windaube et non du Linux;)

  • @strangevetthezed7555
    @strangevetthezed7555 4 года назад

    si il est admin réseau ça craint .....
    des 2:00 il comprend plus son sujet ...
    Que des beau parleur, apres ca fait du taf pour les petesteur mdr

  • @tcgvsocg1458
    @tcgvsocg1458 4 года назад

    Domage cest pas plus long

  • @vince77120
    @vince77120 3 года назад

    Mdr ton serveur je rentre dedans en 1min max

  • @xavki
    @xavki 4 года назад +1

    Hello l’anssi en France a fait aussi un très beau travail sur ce domaine.

    • @benjamincallar6339
      @benjamincallar6339 4 года назад +1

      Je confirme, un peux plus generique comme conseil tout de même. Apres si je ne me trompe pas, Coca est au Canada :)

    • @xavki
      @xavki 4 года назад

      Benjamin CALLAR c’est vrai c’est son côté français anglo-saxon