Hello Coca, Deux petites remarques :) 1. En debut de video, le conseil "generique" n'est pas de mettre a jour son systeme, mais bien de limiter les softwares installes, bien plus que les services, les logiciels de compilation sont a prohiber, beaucoup d'exploit d'escalade de privilèges utilise la compilation d'un code C pour gagner les droits root. 2. Ton Firewall manque de certaines regles de base : - autoriser en Input toutes les connexions sur l'interface lo - autoriser en entrée les paquets deja initiés ( --state RELATED,ESTABLISHED ), car dans ta config, aucune mise a jour ou aucune requete DNS ne peut etre fait. Si tu ne veut pas gerer le state, autoriser a ce moment comme pour le ssh en fonction du sport ( 53 et 80/443 ) - mettre une policy DROP sur la chain FORWARD, meme si le routage n est pas active, si il l'est un jour ( malencontreusement ou par un hacker ), le rebond NAT est interdit. A savoir que la regle INPUT ne filtee pas les paquets "NATté" Sinon encore tres bonne vidéo ;) merci pour ton travail :)
Yep t'as raison je m'en suis rendu compte au montage mais jme mais comme j'en parle apres jme suis dit "ca passe " :p 100% raison sur le firewall aussi j' ai pas vraiment testé mes regles. Je pin ton commentaire ;)
@@MrMarkham89 Merci ! Ce lien envoie vers le document spécifique à l'admin linux : www.ssi.gouv.fr/administration/guide/recommandations-de-securite-relatives-a-un-systeme-gnulinux/
Dans mon premier boulot j'avais comme client un organisme très sensible à la sécurité et toutes ces règles/méthodes m'ont été enseigné dès les premiers mois (petit clin d'oeil à AIDE qui est sympathique pour faire du scellement.)
Est-ce que tu peut faire un tutoriel installation serveur local pour hébergé un site Web local avec un Ubuntu ou debian serveur ou autre. Sans outils de déploiement rapide. Avec les bonnes options de sécurité. Ou sur un serveur dédié vierge chez un ebergeur. Grafikart l'a fait mais son tuto est trop vieux maintenant. Merci
Hello cocadmin, une petite pratique avec Openssh: 1-Désactiver l'accès de root (lu dans la plupart des docs de best pratices) 2- Creer un utilisateur pouvant se connecter par ssh mais n'est pas sudoer. 3- Créer un autre qui est sudoer mais ne peut se connecter ssh.
Merci pour la vid mais quelques points : 16:00 le fichier original ne devrait pas être modifié, une copie devrait être faite (car maj de failstoban va écraser le fichier) tu as une option ignoreip : liste d’adresses IP à ne jamais bannir
Salut Coca, Ca fait 2 petit mois que je te suis et franchement toutes tes vidéos sont cool. Je suis admin syst & network junior et ca me permet de revoir quelques bonnes pratique que j'oublie, Continue comme ca bg, Force !
Salut ! J'ai découvert ta chaine récemment et c''est très intéressant ! A propos de ce genre de vidéos, pourquoi ne pas suivre les documents Livre Blanc de l'ANSSI ? Bonne continuation !
Parfait ! pour le projet 13 d'openclassrooms, en réalisant les sécurisations de cette vidéo je suis passé de "l'hardening index" 47% à 62%... et j'ai pas fini lol.
Ahah, ce drapeau. Merci pour la vidéo ;) Edit: En passant, perso je rajoute à fail2ban, un portsentry qui mets la règle iptable qui va bien et qui route add reject le malindrain qui à la bêtise de scanner. Ça parrait violent mais jusqu'à présent ça n'a pas posé de problèmes avec nos clients et au pire on a nos commandes de prête pour unban si y'a des faux positifs.
Pas bete j'y avait pas pensé. Le scan de port ca me derange moins si tous mes ports sont fermés, fail2ban c'est plus pour pas avoir 8go de log parce que des bot bruteforce mon ssh
Bonjour, Il me semble que la clef de chiffrement symétrique est dans le noyau ram de l'hypervision après l'usage de la clef privée. En conséquence, la NSA ou un admin du cloud peut savoir ce que vous faites sur la machine présente dans le data center. Ils ont en plus accès à l'API de ce noyau. ;)
@@cocadmin il faut chercher des réf. En tout logique la clef symétrique est en ram pour déchiffrer le disque on fly et Sans chip spécialisé, celle ci se balade bien dans un coin du RAM alloué à cet utilisateur. Ce n'est un secret pour personne que les agents sont ' assis ' sur l'API des hyperviseurs. Si on oriente les entreprises dans le cloud c'est pour en faciliter l'espionnage économique. ;) L'intelligence c'est de ne pas effectuer de calculs dans le cloud mais seulement d'y stocker des données chiffrées. Il y a des algorithmes crypto permettant d'effectuer des calculs sur des données chiffrées via fully homomorphic encryption. Il y a aussi le zero knowledge proof utilisé sur les blockchains. Il faut réfléchir à la sensibilité des données mises sur le cloud car le vol est instantané par l'admin du noyau de la Super-VM. ;)
@@cocadmin je ne crois pas non plus à la présence d'un chip physique pouvant stocker la clef privée d'un machine virtuelle. C'est vraiment prendre les gens pour des idiots. ;) Pourquoi le data centre ferait des frais dans ce type de hardware à l'heure de la virtualisation. Étant donné que les data soient dechiffrables via ce chip ' supposé ' physique, les données peuvent être volées, espionnées, etc... Et passent toujours dans le noyau de l'hyper viseur. ;) Donc aucun intérêt d'avoir cette couche cryptographique physique.
@@cocadmin pour le counter measure c'est la mise en place d' une architecture du cloud hybride avec un zone publique chez le gafa du coin et un cloud privé réservé aux calculs dans une structure interne de l'entreprise. Ça te fait rigoler mais amz etc... C'est du public computing car tu ne sais pas qui est assis sur le CPU et qui partage la RAM du serveur. ;) Idem même un contrat réservant des machines physiques ds un data centre à l'entreprise X, c'est un vrai pipo. ;) Ça nécessite un très haut niveau de trusting quand tu travailles sur des données non chiffrées. Ds le contexte de la blockchain ca ne viendrait pas à l'idée d'effectuer un calcul crypto utilisant ta clef privée sur un cpu distant. Lol J'ignore la sensibilité des données de ta crèmerie mais toi seul doit le savoir. A mon avis, c'est dangereux d'aller pleinement ds le cloud.
Ha merci car tout les gars qui font des tutos pour des formations , ils sont lol merci je peut enfin créer mon server proprement §.... comment je peut entrer dans ton cursus de formation ?
@@cocadmin son intégration dans l'installeur des rhels est intéressante à étudier, cela permet d'appliquer des profils/paraemtrage de sécu gouvernementaux(ou reconnu), outofbox.
Hello ! Tout d abord merci pour tes idées de video et ta vulgarisation ;) Je pensais créer un serveur chez-moi avec un pc fixe. Pour quand je pars en vacance et si j ai besoin d un fichier, j accede a mon fichier ou je veux et quand je veux. T en pense quoi ? Trop risqué niveau sécurité ? Merci ;) PS: Tu connais l l'ubuntu cola ? Lol
Ubuntu cola ? lol nan j'ai jamais entendu parler :D Un serveur chez soi c'est sur que c'est pas top comparer a un datacenter (surtou coté uptime) mais pour des fichiers perso ca fait l'affaire :) Je ne pense pas que t'ai beaucoup plus de risque d'attaque chez toi que dans un dc
Super video ! Qu'est ce que tu suggères comme solution pour tester les backups? Autre qu'écraser ton instance de prod qui tourne bien avec le backup que tu viens de faire. Lancer une autre instance vierge à partir du backup ? Mais si c'est un serveur web par exemple, il va falloir que tu réassignes tes dns et changer de FQDN pour tester IRL non ? Ca semble bien galère 😅 Merci !
Lancer une nouvelle instance identique a celle de prod. C'est une des raison pour laquelle c'est important d'utiliser des outos comme ansible pour pouvoir facilement deployer des nouveau serveurs. Pour les DNS si c'est juste ca tu peux changer l'ip dans ton fichier /etc/hosts pour forcer ton ordi a aller sur le serveur de test ;)
Pour SELinux c'est quand meme utilisé par défaut en enforcing par toutes les distributions RedHat (ya certaines choses qui ne sont pas confinées surtout celle de l'utilisateur) et Android utilise SELinux pour son système de permission me semble. Je dis pas que c'est facile, mais que c'est utilisé en "production". Après on va pas se mentir, pour moi SELinux est tellement compliqué que ce n'est à la portée que de grosse entreprises.
Ouai c’est par défaut mais c’est le premier truc que les gens désactive :p Après comme tu dit Jsuis sûr que certaines entreprises l’utilise mais j’en ai jamais vu
Slt Thomas Tu as raison pour le backup mais moi je me suis confronté à un dilemme c'est de faire un restore sur un serveur qui est en prod. Pour toi, c'est quoi la meilleur approche parce que si ça tourne mal la prod est foutue tu vois :D
Pas sûr que la moitié des gens aient compris pourquoi il fallait mettre UsePAM en "no" ça aurait été utile d'expliquer avec un langage compréhensible par les débutants. Pouvez vous s'il vous plait donner une explication ? J'ai bien un "PermitRooLogin no" et "PasswordAuthentication no", je me connecte avec une paire de clés, jusqu'à là je comprends. Cordialement.
2:04 "Faire ses mises à jour, ça va corriger les bugs" : LOL Entendre ça juste après la panique mondiale causée par une mise à jour du logiciel de sécurité distribué par _CrowdStrike_ , c'est hilarant.
Hello Coca,
Deux petites remarques :)
1. En debut de video, le conseil "generique" n'est pas de mettre a jour son systeme, mais bien de limiter les softwares installes, bien plus que les services, les logiciels de compilation sont a prohiber, beaucoup d'exploit d'escalade de privilèges utilise la compilation d'un code C pour gagner les droits root.
2. Ton Firewall manque de certaines regles de base :
- autoriser en Input toutes les connexions sur l'interface lo
- autoriser en entrée les paquets deja initiés ( --state RELATED,ESTABLISHED ), car dans ta config, aucune mise a jour ou aucune requete DNS ne peut etre fait. Si tu ne veut pas gerer le state, autoriser a ce moment comme pour le ssh en fonction du sport ( 53 et 80/443 )
- mettre une policy DROP sur la chain FORWARD, meme si le routage n est pas active, si il l'est un jour ( malencontreusement ou par un hacker ), le rebond NAT est interdit. A savoir que la regle INPUT ne filtee pas les paquets "NATté"
Sinon encore tres bonne vidéo ;) merci pour ton travail :)
Merci
Yep t'as raison je m'en suis rendu compte au montage mais jme mais comme j'en parle apres jme suis dit "ca passe " :p
100% raison sur le firewall aussi j' ai pas vraiment testé mes regles.
Je pin ton commentaire ;)
@@cocadmin quel honneur :D
Putin j'ai rien compris moi !
@@cocadmin La règle que tu as ajoutée dans la chaîne OUTPUT est inutile car sa policy est ACCEPT ;) .
Hello l’anssi en France a fait aussi un très beau travail sur ce domaine.
Thanks, jvai checker ca :)
est-ce que t'as des exemples en tete ?
@@cocadmin L'ANSI conseille dans la mesure du possible de prendre des clés ECDSA plutôt que RSA par exemple.
@@cocadmin www.ssi.gouv.fr/administration/bonnes-pratiques/
@@MrMarkham89 Merci ! Ce lien envoie vers le document spécifique à l'admin linux : www.ssi.gouv.fr/administration/guide/recommandations-de-securite-relatives-a-un-systeme-gnulinux/
il y a l'outils portsentry qui évite les scans de port. cela permet donc de mettre le port SSH sur un port exotique et sans être trouvé.
Dans mon premier boulot j'avais comme client un organisme très sensible à la sécurité et toutes ces règles/méthodes m'ont été enseigné dès les premiers mois (petit clin d'oeil à AIDE qui est sympathique pour faire du scellement.)
Est-ce que tu peut faire un tutoriel installation serveur local pour hébergé un site Web local avec un Ubuntu ou debian serveur ou autre. Sans outils de déploiement rapide. Avec les bonnes options de sécurité. Ou sur un serveur dédié vierge chez un ebergeur. Grafikart l'a fait mais son tuto est trop vieux maintenant.
Merci
Hello cocadmin, une petite pratique avec Openssh:
1-Désactiver l'accès de root (lu dans la plupart des docs de best pratices)
2- Creer un utilisateur pouvant se connecter par ssh mais n'est pas sudoer.
3- Créer un autre qui est sudoer mais ne peut se connecter ssh.
Salut Mario!
Comment tu fais pour passer root au final ?
est-ce que tu condamne le serveur et en refait un autre si ya un problème ?
Trop bien Super vidéo, bien expliqué posé et le son impec ! GG bonne continuation ! Merci !
Merci pour la vid mais quelques points :
16:00 le fichier original ne devrait pas être modifié, une copie devrait être faite (car maj de failstoban va écraser le fichier)
tu as une option ignoreip : liste d’adresses IP à ne jamais bannir
Le document de la NSA n'est plus disponible à la consultation en suivant le lien :/
Salut Coca,
Ca fait 2 petit mois que je te suis et franchement toutes tes vidéos sont cool.
Je suis admin syst & network junior et ca me permet de revoir quelques bonnes pratique que j'oublie,
Continue comme ca bg,
Force !
Bonjour s'il te plait
je n'arrive plus a accéder au site
je peux avoir , le document ? ,stp
hey j'y suis toujours, je peux l'avoir
apps.nsa.gov/iaarchive/library/ia-guidance/security-configuration/operating-systems/guide-to-the-secure-configuration-of-red-hat-enterprise.cfm
@@cocadmin Heyy le Get link est cassé... pourrais-tu nous faire un petit lien weetransfer ou autre stp ? :) :) merci pour tes vidéos
Un document qu'on devrait donner dès qu'on touche un ordi!
Il devrait aussi informer comment protéger un serveur contre la NSA :-p
Hello, je cherche le pdf depuis 1h je trouve pas qqun pourrai me l'indiquer svp 😅
Salut ! J'ai découvert ta chaine récemment et c''est très intéressant ! A propos de ce genre de vidéos, pourquoi ne pas suivre les documents Livre Blanc de l'ANSSI ?
Bonne continuation !
Merci encore cocadmin pour ta vidéo
Parfait ! pour le projet 13 d'openclassrooms, en réalisant les sécurisations de cette vidéo je suis passé de "l'hardening index" 47% à 62%... et j'ai pas fini lol.
salut cocadmin j'ai cliquer sur ton lien et impossible d'avoir le doc.
Ahah, ce drapeau.
Merci pour la vidéo ;)
Edit: En passant, perso je rajoute à fail2ban, un portsentry qui mets la règle iptable qui va bien et qui route add reject le malindrain qui à la bêtise de scanner. Ça parrait violent mais jusqu'à présent ça n'a pas posé de problèmes avec nos clients et au pire on a nos commandes de prête pour unban si y'a des faux positifs.
Pas bete j'y avait pas pensé.
Le scan de port ca me derange moins si tous mes ports sont fermés, fail2ban c'est plus pour pas avoir 8go de log parce que des bot bruteforce mon ssh
On peut aussi utiliser ufw pour faire ses iptables rapidemment !
Merci pour le travail
Bonjour,
Il me semble que la clef de chiffrement symétrique est dans le noyau ram de l'hypervision après l'usage de la clef privée. En conséquence, la NSA ou un admin du cloud peut savoir ce que vous faites sur la machine présente dans le data center. Ils ont en plus accès à l'API de ce noyau. ;)
hmm. Est-ce que t'as un exemple ou un article qui parles de ca? Est-ce qu'il y a des contres mesures ?
@@cocadmin il faut chercher des réf.
En tout logique la clef symétrique est en ram pour déchiffrer le disque on fly et Sans chip spécialisé, celle ci se balade bien dans un coin du RAM alloué à cet utilisateur.
Ce n'est un secret pour personne que les agents sont ' assis ' sur l'API des hyperviseurs. Si on oriente les entreprises dans le cloud c'est pour en faciliter l'espionnage économique. ;)
L'intelligence c'est de ne pas effectuer de calculs dans le cloud mais seulement d'y stocker des données chiffrées.
Il y a des algorithmes crypto permettant d'effectuer des calculs sur des données chiffrées via fully homomorphic encryption. Il y a aussi le zero knowledge proof utilisé sur les blockchains.
Il faut réfléchir à la sensibilité des données mises sur le cloud car le vol est instantané par l'admin du noyau de la Super-VM. ;)
@@cocadmin je ne crois pas non plus à la présence d'un chip physique pouvant stocker la clef privée d'un machine virtuelle. C'est vraiment prendre les gens pour des idiots. ;) Pourquoi le data centre ferait des frais dans ce type de hardware à l'heure de la virtualisation.
Étant donné que les data soient dechiffrables via ce chip ' supposé ' physique, les données peuvent être volées, espionnées, etc... Et passent toujours dans le noyau de l'hyper viseur. ;) Donc aucun intérêt d'avoir cette couche cryptographique physique.
@@cocadmin pour le counter measure c'est la mise en place d' une architecture du cloud hybride avec un zone publique chez le gafa du coin et un cloud privé réservé aux calculs dans une structure interne de l'entreprise.
Ça te fait rigoler mais amz etc... C'est du public computing car tu ne sais pas qui est assis sur le CPU et qui partage la RAM du serveur. ;)
Idem même un contrat réservant des machines physiques ds un data centre à l'entreprise X, c'est un vrai pipo. ;)
Ça nécessite un très haut niveau de trusting quand tu travailles sur des données non chiffrées. Ds le contexte de la blockchain ca ne viendrait pas à l'idée d'effectuer un calcul crypto utilisant ta clef privée sur un cpu distant. Lol
J'ignore la sensibilité des données de ta crèmerie mais toi seul doit le savoir. A mon avis, c'est dangereux d'aller pleinement ds le cloud.
top la video comme d'hab, tu penses faire une video sur la sécurisation de k8 ?
Salut, le lien ne marche est-ce normal ?
Ha merci car tout les gars qui font des tutos pour des formations , ils sont lol merci je peut enfin créer mon server proprement §.... comment je peut entrer dans ton cursus de formation ?
C'est juste un détail mais iptables est une interface pour le firewall qui est netfilter.
Salut, merci pour cette vidéo intéressante. Par contre t'as pas mit le lien vers le document. Merci
Yes jviens de le rajouter dans la description ;)
Je m'attendais à un tuto sur le déploiement d'OpenSCAP sur les serveur, mais aucune mention de cet outils.
Je connais pas OpenSCAP donc peut-etre la prochaine fois ;)
@@cocadmin son intégration dans l'installeur des rhels est intéressante à étudier, cela permet d'appliquer des profils/paraemtrage de sécu gouvernementaux(ou reconnu), outofbox.
Hello ! Tout d abord merci pour tes idées de video et ta vulgarisation ;)
Je pensais créer un serveur chez-moi avec un pc fixe. Pour quand je pars en vacance et si j ai besoin d un fichier, j accede a mon fichier ou je veux et quand je veux.
T en pense quoi ? Trop risqué niveau sécurité ?
Merci ;)
PS: Tu connais l l'ubuntu cola ? Lol
Ubuntu cola ? lol nan j'ai jamais entendu parler :D
Un serveur chez soi c'est sur que c'est pas top comparer a un datacenter (surtou coté uptime) mais pour des fichiers perso ca fait l'affaire :)
Je ne pense pas que t'ai beaucoup plus de risque d'attaque chez toi que dans un dc
Super intéressant
Super video ! Qu'est ce que tu suggères comme solution pour tester les backups? Autre qu'écraser ton instance de prod qui tourne bien avec le backup que tu viens de faire. Lancer une autre instance vierge à partir du backup ? Mais si c'est un serveur web par exemple, il va falloir que tu réassignes tes dns et changer de FQDN pour tester IRL non ? Ca semble bien galère 😅 Merci !
Lancer une nouvelle instance identique a celle de prod. C'est une des raison pour laquelle c'est important d'utiliser des outos comme ansible pour pouvoir facilement deployer des nouveau serveurs.
Pour les DNS si c'est juste ca tu peux changer l'ip dans ton fichier /etc/hosts pour forcer ton ordi a aller sur le serveur de test ;)
@@cocadmin super, merci :)
Un serveur de test, en prod c'est le minimum. Même hardware, même config pour les tests ;)
salut comment tu a installer ubuntu comme sa en mode powershell ( et ps : ta video est super comme les autre)
regarde WSL
Pour SELinux c'est quand meme utilisé par défaut en enforcing par toutes les distributions RedHat (ya certaines choses qui ne sont pas confinées surtout celle de l'utilisateur) et Android utilise SELinux pour son système de permission me semble. Je dis pas que c'est facile, mais que c'est utilisé en "production".
Après on va pas se mentir, pour moi SELinux est tellement compliqué que ce n'est à la portée que de grosse entreprises.
Ouai c’est par défaut mais c’est le premier truc que les gens désactive :p
Après comme tu dit Jsuis sûr que certaines entreprises l’utilise mais j’en ai jamais vu
Pour t’entraîner il y a ce site qui est sympatique selinuxgame.org/
Merci
Minimiser les software permet de restreindre les accès aux applications installées, en conséquence cela permettra de réduire la surface d'attaque.
Surtout priviligier des software openSource
Slt Thomas
Tu as raison pour le backup mais moi je me suis confronté à un dilemme c'est de faire un restore sur un serveur qui est en prod.
Pour toi, c'est quoi la meilleur approche parce que si ça tourne mal la prod est foutue tu vois :D
Il faudrais que tu puisse tester ton backup sur un autre serveur avant pour etre sur que ca va pas mettre la bordel sur ton serveur de prod.
@@cocadmin D'accord Merci bcp
Tu utilises un serveur de test, en prod il en faut toujours au moins 1
Le mieux de desacliver dans le boos le son et le usb acec password dans le bios
Salut
Super intéressant ce fameux Best Practice je vais m'amuser avec ┗|`O′|┛
On veut une vidéo comment crée sont serveur
Nice,nice.
Pour tester votre server vous pouvez utiliser Lynis ;)
Salut, Selinux je l'ai imposé dans ma boite, ça été dure pour eux !
il est reputé pour être difficile, tu le maitrise bien j'imagine ? pas de soucis ?
Jmabonne l'ancien !
Autre source de conseils en Hardening (OS [serveur, desktop, mobile], applications [Kubernetes, Docker, PostgreSQL, MySQL, ...]) : www.cisecurity.org/cis-benchmarks/
Sinon il existe un document similaire produit par l'anssi très bien foutu, en français et à jour.
Lien stp
Pas sûr que la moitié des gens aient compris pourquoi il fallait mettre UsePAM en "no" ça aurait été utile d'expliquer avec un langage compréhensible par les débutants. Pouvez vous s'il vous plait donner une explication ? J'ai bien un "PermitRooLogin no" et "PasswordAuthentication no", je me connecte avec une paire de clés, jusqu'à là je comprends. Cordialement.
PAM c'est pour gérer l'authentification autrement qu'avec les utilisateurs simples (si on veux utiliser ldap ou un truc du style)
@@cocadmin Merci
2:04 "Faire ses mises à jour, ça va corriger les bugs" : LOL
Entendre ça juste après la panique mondiale causée par une mise à jour du logiciel de sécurité distribué par _CrowdStrike_ , c'est hilarant.
Ta oublié un détail, c'est du Windaube et non du Linux;)
si il est admin réseau ça craint .....
des 2:00 il comprend plus son sujet ...
Que des beau parleur, apres ca fait du taf pour les petesteur mdr
Domage cest pas plus long
Mdr ton serveur je rentre dedans en 1min max
Hello l’anssi en France a fait aussi un très beau travail sur ce domaine.
Je confirme, un peux plus generique comme conseil tout de même. Apres si je ne me trompe pas, Coca est au Canada :)
Benjamin CALLAR c’est vrai c’est son côté français anglo-saxon