Creation de groupe avec restriction

swizerman · 08/12/2011, 14h53

Bonjour,

Je dois cree des groupes avec des restrictions specifique que je ne trouve pas.

c'est quoi exactement un compte anti-hacking ?

Comment est ce que je peux mettre des restriction au niveau des heures d access sur le reseau des groupes ?

Merci bien !

frp31 · 08/12/2011, 17h06

Avec autant d'information : mission impossible.

méthode de sécurisation basiques
-chrooted environnement pour tout utilisateur.
-password encryptage fort pour tout utilisateur.
-file systemes des home-directories encryptés (innacessible donc quand l'utilisateur n'est pas logué sur au moins 1 session)
-protocoles autorisés SSH par clef uniquement pas de frappe clavier de password autorisés
-autorisation d'accès stricte aux IP du sous-réseau local et uniquement
-interdiction absolue du DHCP
-pas de black-liste mais au contraire une white-liste pour les accès vers/depuis le web
etc...

après faut voir avec tes besoins et tes restrictions pour voir plus loin...

swizerman · 08/12/2011, 23h47

Citation:

Envoyé par frp31

Avec autant d'information : mission impossible.

méthode de sécurisation basiques
-chrooted environnement pour tout utilisateur.
-password encryptage fort pour tout utilisateur.
-file systemes des home-directories encryptés (innacessible donc quand l'utilisateur n'est pas logué sur au moins 1 session)
-protocoles autorisés SSH par clef uniquement pas de frappe clavier de password autorisés
-autorisation d'accès stricte aux IP du sous-réseau local et uniquement
-interdiction absolue du DHCP
-pas de black-liste mais au contraire une white-liste pour les accès vers/depuis le web
etc...

après faut voir avec tes besoins et tes restrictions pour voir plus loin...

Je pensais que pour les restrictions dur les groupes, il suffisais de modifier un fichier non ? j avais besoin de plus info sur les detailsdu fichier mais a moins que jm trompe...

frp31 · 09/12/2011, 08h47

ta définition "un compte anti-hacking" indique le contraire

ou alors tu as pas décrit correctement ton besoin et j'ai compris de travers ...

pour moi ta demande c'est quoi faire pour que tes users soient protégés

donc travailler sur le group ou les droits chmod/chown est ridiculement inssufisant.

Marc3001 · 09/12/2011, 16h41

Citation:

Envoyé par frp31

interdiction absolue du DHCP

J'trouve pas la raison de celui-là. Tu peux préciser ?

frp31 · 09/12/2011, 16h55

quand tu reçoit l'offre DHCP tu reçoit aussi avec le DNSserveur et une passerelle

donc si la source DHCP qui répond est corrompue/malveillante, tu obtiens comme passerelle l'adresse d'une machine malveillante qui logue et sniff tout ce qui passe y compris bien sur les passwords ...

le coup classique : le pirate insert via un rootkit un accès, de là il peut setup un DHCP à lui et hop...plus qu'à attendre d'aspirer les informations

interdire le DHCP protége de cette (vielle) méthode d'attaque

unedone · 20/12/2011, 15h22

oui effectivement, eviter au maximum les methodes de rogue DHCP mais malheureusement la demande de swizerman parait "utopique", cela depend de l'envirronement dans lequel tu travailles, le materiel, le fonctionnel, les gens qui travaillent avec toi, tu as beau lancé des campagnes de securisation, la moitié des gens essayeront tjs de bypasser les preco de l'equipe securité =/ le conseil etant de suivre au maximum l'activité sur ton/tes systemes. Tout tracer, tout verifier, un maximum de comptes nominatifs pour un minimum d'applicatif (exemple de bastion unix..) bref lourde tache =)

frp31 · 20/12/2011, 15h25

Citation:

Envoyé par unedone

oui effectivement, eviter au maximum les methodes de rogue DHCP mais malheureusement la demande de swizerman parait "utopique", cela depend de l'envirronement dans lequel tu travailles, le materiel, le fonctionnel, les gens qui travaillent avec toi, tu as beau lancé des campagnes de securisation, la moitié des gens essayeront tjs de bypasser les preco de l'equipe securité =/ le conseil etant de suivre au maximum l'activité sur ton/tes systemes. Tout tracer, tout verifier, un maximum de comptes nominatifs pour un minimum d'applicatif (exemple de bastion unix..) bref lourde tache =)

raison de plus pour insister sur la sécu pour minimiser les contournements dues aux utilisateurs qui se sentent restraints...

unedone · 20/12/2011, 15h55

+1

mais les users percoivent tres mal les campagnes de securité leur expliquant les biens fondés d'une utilisation saine de leur SI =////

frp31 · 20/12/2011, 16h48

hélas....

sinon il y a simple pour faire de la sécurité : éliminer l'utilisateur.

08/12/2011, 14h53	#1
swizerman Invité régulier Inscription : novembre 2011 Messages : 45 Détails du profil Informations personnelles : Sexe : Informations forums : Inscription : novembre 2011 Messages : 45 Points : 6 Points : 6	Creation de groupe avec restriction Bonjour, Je dois cree des groupes avec des restrictions specifique que je ne trouve pas. c'est quoi exactement un compte anti-hacking ? Comment est ce que je peux mettre des restriction au niveau des heures d access sur le reseau des groupes ? Merci bien !
	11

08/12/2011, 17h06	#2
frp31 Expert Confirmé Sénior francois Ingénieur systèmes et réseaux Inscription : juillet 2006 Messages : 3 538 Détails du profil Informations personnelles : Nom : francois Âge : 35 Localisation : France, Haute Garonne (Midi Pyrénées) Informations professionnelles : Activité : Ingénieur systèmes et réseaux Secteur : Aéronautique - Marine - Espace - Armement Informations forums : Inscription : juillet 2006 Messages : 3 538 Points : 7 754 Points : 7 754	Avec autant d'information : mission impossible. méthode de sécurisation basiques -chrooted environnement pour tout utilisateur. -password encryptage fort pour tout utilisateur. -file systemes des home-directories encryptés (innacessible donc quand l'utilisateur n'est pas logué sur au moins 1 session) -protocoles autorisés SSH par clef uniquement pas de frappe clavier de password autorisés -autorisation d'accès stricte aux IP du sous-réseau local et uniquement -interdiction absolue du DHCP -pas de black-liste mais au contraire une white-liste pour les accès vers/depuis le web etc... après faut voir avec tes besoins et tes restrictions pour voir plus loin... __________________ Communauté OpenBSD francophone Communauté de collectionneur d'ordinateurs antiques
	00

09/12/2011, 08h47	#4
frp31 Expert Confirmé Sénior francois Ingénieur systèmes et réseaux Inscription : juillet 2006 Messages : 3 538 Détails du profil Informations personnelles : Nom : francois Âge : 35 Localisation : France, Haute Garonne (Midi Pyrénées) Informations professionnelles : Activité : Ingénieur systèmes et réseaux Secteur : Aéronautique - Marine - Espace - Armement Informations forums : Inscription : juillet 2006 Messages : 3 538 Points : 7 754 Points : 7 754	ta définition "un compte anti-hacking" indique le contraire ou alors tu as pas décrit correctement ton besoin et j'ai compris de travers ... pour moi ta demande c'est quoi faire pour que tes users soient protégés donc travailler sur le group ou les droits chmod/chown est ridiculement inssufisant. __________________ Communauté OpenBSD francophone Communauté de collectionneur d'ordinateurs antiques
	00

09/12/2011, 16h55	#6
frp31 Expert Confirmé Sénior francois Ingénieur systèmes et réseaux Inscription : juillet 2006 Messages : 3 538 Détails du profil Informations personnelles : Nom : francois Âge : 35 Localisation : France, Haute Garonne (Midi Pyrénées) Informations professionnelles : Activité : Ingénieur systèmes et réseaux Secteur : Aéronautique - Marine - Espace - Armement Informations forums : Inscription : juillet 2006 Messages : 3 538 Points : 7 754 Points : 7 754	quand tu reçoit l'offre DHCP tu reçoit aussi avec le DNSserveur et une passerelle donc si la source DHCP qui répond est corrompue/malveillante, tu obtiens comme passerelle l'adresse d'une machine malveillante qui logue et sniff tout ce qui passe y compris bien sur les passwords ... le coup classique : le pirate insert via un rootkit un accès, de là il peut setup un DHCP à lui et hop...plus qu'à attendre d'aspirer les informations interdire le DHCP protége de cette (vielle) méthode d'attaque __________________ Communauté OpenBSD francophone Communauté de collectionneur d'ordinateurs antiques
	10

20/12/2011, 15h22	#7
unedone Membre à l'essai Inscription : décembre 2011 Messages : 10 Détails du profil Informations forums : Inscription : décembre 2011 Messages : 10 Points : 22 Points : 22	oui effectivement, eviter au maximum les methodes de rogue DHCP mais malheureusement la demande de swizerman parait "utopique", cela depend de l'envirronement dans lequel tu travailles, le materiel, le fonctionnel, les gens qui travaillent avec toi, tu as beau lancé des campagnes de securisation, la moitié des gens essayeront tjs de bypasser les preco de l'equipe securité =/ le conseil etant de suivre au maximum l'activité sur ton/tes systemes. Tout tracer, tout verifier, un maximum de comptes nominatifs pour un minimum d'applicatif (exemple de bastion unix..) bref lourde tache =)
	10

20/12/2011, 15h55	#9
unedone Membre à l'essai Inscription : décembre 2011 Messages : 10 Détails du profil Informations forums : Inscription : décembre 2011 Messages : 10 Points : 22 Points : 22	+1 mais les users percoivent tres mal les campagnes de securité leur expliquant les biens fondés d'une utilisation saine de leur SI =////
	10

20/12/2011, 16h48	#10
frp31 Expert Confirmé Sénior francois Ingénieur systèmes et réseaux Inscription : juillet 2006 Messages : 3 538 Détails du profil Informations personnelles : Nom : francois Âge : 35 Localisation : France, Haute Garonne (Midi Pyrénées) Informations professionnelles : Activité : Ingénieur systèmes et réseaux Secteur : Aéronautique - Marine - Espace - Armement Informations forums : Inscription : juillet 2006 Messages : 3 538 Points : 7 754 Points : 7 754	hélas.... sinon il y a simple pour faire de la sécurité : éliminer l'utilisateur. __________________ Communauté OpenBSD francophone Communauté de collectionneur d'ordinateurs antiques
	20

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email