Bonjour, Je ne l'ai jamais utilisé mais lynis me semble être un bon point de départ pour faire de l'audit de sécurité. Sinon, il y a « checksecurity » en plus basique. Sinon, concernant les processeurs, on peut utiliser « spectre-meltdown-checker » pour vérifier les failles. Ce script vérifie aussi d'autres failles comme « zombieload, foreshadow et ridl ». « apticron » envoie un courriel quand des mise à jour sont disponibles et les télécharge. Sinon il y a « unattended-upgrades » qui lui installe les mise à jour. Cordialement, -- Guillaume Clercin On Tue, 16 Jul 2019 11:59:27 +0200 (CEST) roger.tarani@free.fr wrote: > Bonjour, > > Après avoir installé Debian 10 assez facilement, il me vient une > question générale : comment vérifier que la machine est configurée > pour garantir sa "totale" sécurisation ? > > Ma première Debian c'était Jessie. J'ai découvert, fait des erreurs > et corrigé au fur-et-à-mesure. Heureusement, ce n'était pas pour un > serveur de production ! Encore aujourd'hui je complète régulièrement > mes connaissances limitées et je corrige des erreurs. Tant que les > erreurs me ralentissent, ça va : oubli d'utiliser LVM qui simplifie > beaucoup la gestion des partitions VS Gparted, problème de réseau > créé par resolv.conf et sa bande de paquets douteux, réglages fins > d'openvpn aux conséquences majeures pas immédiatement visibles...). > Mais je ne suis jamais certain à 100% que la machine est sécurisée. > > Pour vérifier qu'une machine est correctement configurée, cad que le > système est stable (paquets fiables) et est très sécurisé (en bref, > seule les personnes autorisées ont accès aux ressources; les > ressources sont soigneusement isolées), je vois deux manières : soit > j'ai une (check-)list des points à vérifier et des commandes > nécessaires (et je les répète jusqu'à ce que ça devienne naturel) > soit j'utilise un logiciel qui sait tout ça et qui me dit au moins ce > qui ne va pas, et idéalement qui m'indique ce qu'il faut faire, voire > me propose de le faire sans me le cacher > > Existe-t-il un outil de diagnostic pour vérifier l'état d'une machine > sans rien oublier (ou devoir rester plongé la tête dans un manuel > Debian dont on ne comprend jamais tout à 100%, faute d'expérience) ? > > Si tout le monde sait qu'il faut faire attention, la taille des > systèmes et le nombre des machines rend la tâche délicate. Cet > article (parmi tant d 'autres) rappelle des règles basiques > régulièrement oubliées : > > "Les 10 failles de sécurité qui représentent 99 % des cas" > https://www.informatiquenews.fr/les-10-failles-securite-representent-99-cas-jean-nicolas-piotrowski-ittrust-19224 > > FAI ou GLPI sont prévus pour déployer des machines en masse et > obligent au préalable à définir une configuration. Pensez-vous qu'ils > puissent permettre de régler ce problème en vérifiant la > configuration par rapport à des règles de sécurité et à des failles > de sécurité connues ? Je ne sais pas s'ils fournissent une > configuration des machines pré-établie ou si on doit définir la > sienne à partir d'une feuille blanche. https://wiki.debian.org/FAI > https://fai-project.org http://glpi-project.org/ > > > Merci > Bonne journée >
Attachment:
pgpsY05Lg5hi7.pgp
Description: Signature digitale OpenPGP