Discussion :

[swizerman]

Bonjour,

Je dois cree des groupes avec des restrictions specifique que je ne trouve pas.

c'est quoi exactement un compte anti-hacking ?

Comment est ce que je peux mettre des restriction au niveau des heures d access sur le reseau des groupes ?

Merci bien !

[frp31]

Avec autant d'information : mission impossible.

méthode de sécurisation basiques
-chrooted environnement pour tout utilisateur.
-password encryptage fort pour tout utilisateur.
-file systemes des home-directories encryptés (innacessible donc quand l'utilisateur n'est pas logué sur au moins 1 session)
-protocoles autorisés SSH par clef uniquement pas de frappe clavier de password autorisés
-autorisation d'accès stricte aux IP du sous-réseau local et uniquement
-interdiction absolue du DHCP
-pas de black-liste mais au contraire une white-liste pour les accès vers/depuis le web
etc...

après faut voir avec tes besoins et tes restrictions pour voir plus loin...

[swizerman]

Avec autant d'information : mission impossible.

méthode de sécurisation basiques
-chrooted environnement pour tout utilisateur.
-password encryptage fort pour tout utilisateur.
-file systemes des home-directories encryptés (innacessible donc quand l'utilisateur n'est pas logué sur au moins 1 session)
-protocoles autorisés SSH par clef uniquement pas de frappe clavier de password autorisés
-autorisation d'accès stricte aux IP du sous-réseau local et uniquement
-interdiction absolue du DHCP
-pas de black-liste mais au contraire une white-liste pour les accès vers/depuis le web
etc...

après faut voir avec tes besoins et tes restrictions pour voir plus loin...

Je pensais que pour les restrictions dur les groupes, il suffisais de modifier un fichier non ? j avais besoin de plus info sur les detailsdu fichier mais a moins que jm trompe...

[frp31]

ta définition "un compte anti-hacking" indique le contraire ou alors tu as pas décrit correctement ton besoin et j'ai compris de travers ...

pour moi ta demande c'est quoi faire pour que tes users soient protégés

donc travailler sur le group ou les droits chmod/chown est ridiculement inssufisant.

[Marc3001]

interdiction absolue du DHCP

J'trouve pas la raison de celui-là. Tu peux préciser ?

[frp31]

quand tu reçoit l'offre DHCP tu reçoit aussi avec le DNSserveur et une passerelle

donc si la source DHCP qui répond est corrompue/malveillante, tu obtiens comme passerelle l'adresse d'une machine malveillante qui logue et sniff tout ce qui passe y compris bien sur les passwords ...

le coup classique : le pirate insert via un rootkit un accès, de là il peut setup un DHCP à lui et hop...plus qu'à attendre d'aspirer les informations

interdire le DHCP protége de cette (vielle) méthode d'attaque

[unedone]

oui effectivement, eviter au maximum les methodes de rogue DHCP mais malheureusement la demande de swizerman parait "utopique", cela depend de l'envirronement dans lequel tu travailles, le materiel, le fonctionnel, les gens qui travaillent avec toi, tu as beau lancé des campagnes de securisation, la moitié des gens essayeront tjs de bypasser les preco de l'equipe securité =/ le conseil etant de suivre au maximum l'activité sur ton/tes systemes. Tout tracer, tout verifier, un maximum de comptes nominatifs pour un minimum d'applicatif (exemple de bastion unix..) bref lourde tache =)

[frp31]

oui effectivement, eviter au maximum les methodes de rogue DHCP mais malheureusement la demande de swizerman parait "utopique", cela depend de l'envirronement dans lequel tu travailles, le materiel, le fonctionnel, les gens qui travaillent avec toi, tu as beau lancé des campagnes de securisation, la moitié des gens essayeront tjs de bypasser les preco de l'equipe securité =/ le conseil etant de suivre au maximum l'activité sur ton/tes systemes. Tout tracer, tout verifier, un maximum de comptes nominatifs pour un minimum d'applicatif (exemple de bastion unix..) bref lourde tache =)

raison de plus pour insister sur la sécu pour minimiser les contournements dues aux utilisateurs qui se sentent restraints...