• Sécurité-Confidentialité-Vie Privée

    La notion de protection de la vie privée est très relative, elle va de la permissivité totale proposée par Ubuntu (qui n'installe pas de firewall par défaut) jusqu'à la paranoia de Tails qu'utilisait Snowden pour échapper au FBI. Entre les deux, OpenSuSE est un judicieux intermédiaire,,,,,,,,,,
    Après avoir installé votre Linux préféré (ici Open SuSE 13,1) on va voir comment personnaliser le niveau de filtrage des informations échangées sur le net,
    ---------------------------------------------------------------------------------------

    ~~ Commençons par le Firewall qui est en première ligne sur le web, Il s'agit de l'ensemble IPTABLE/NETFILTER , Le SuSE Firewall étant un GUI dans Yast qui permet de gérer cet ensemble, mais on peut en changer, par exemple pour ufw (ou Gufw) pour Netfilter ou encore Shorewall pour Iptable. Chacun opérera selon ses besoins et ouvrira ensuite les ports adéquats à ses applications. Par défaut, on va dire que le SuSE Firewall est suffisant tel qu'il arrive au moment de l'installation.


    D'excellentes explications sur les firewall ici :

    http://olivieraj.free.fr/fr/linux/in.../firewall.html

    Et une liste là :
    https://en.wikipedia.org/wiki/List_o..._distributions

    ~~En complément au Firewall, OpenSuSE propose AppArmor

    Il faut l'activer dans Yast. Les afficionados préfèreront configurer SELinux,,,,,,,,,,,,,,,,,,,
    SELinux est un projet de la NSA conjoint avec Fedora :

    Ce ne sont pas toutes les distributions qui le proposent. Mais ATTENTION : mauvais réglages = paralysie du système

    ~~Ensuite, vient le navigateur . Il est prudent, aisé et conseillé de filtrer ses connexions via un ou plusieurs Proxy tels que Squid et Privoxy, disponibles dans Yast. Ensuite pour avoir un Flashplayer à jour vous pouvez utiliser le plugin pipelight (il lance un flashplayer pour windows via Wine). Un grand merci à Antoine pour son tuto :

    Installation par 1-Click (home:rbos) : attention, 432 Mo de dépendances chez moi !


    1. Mettre à jour les scripts d'installation :
      Code:
      $ sudo pipelight-plugin --update
    2. Activer flash :
      Code:
      $ sudo pipelight-plugin --disable-all # parce que je ne veux pas de plugin activé par défaut (silverlight)
      $ sudo pipelight-plugin --enable flash
    3. À partir de là, on peut démarrer firefox. Il va y avoir des fenêtres qui vont s'ouvrir pour l'installation de flash, pas de difficulté particulière.
    4. Éventuellement essayer avec un nouveau profil si firefox persiste à dire "un plugin est nécessaire pour afficher cette page"
    5. Pour les sites avec DRM comme 6play, penser à changer de user-agent (il faut se faire passer pour un ordinateur sous windows). Personnellement, je suis passé par l'extension user-agent-switcher et j'ai créé ce nouvel ua : Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20120101 Firefox/29.0



    Note : j'ai supprimé les anciens plugins flash (flash-player 11.2 et gnash) mais on peut créer des alternatives avec update-alternatives. En tout cas, vérifier que c'est bien le flash de pipelight qui est fonctionnement (par exemple en faisant un clic droit sur une vidéo flash et en regardant la version).

    Je vais maintenant regarder pour Chromium.
    EDIT
    Je n'ai pas trouvé de solution pour les vidéos avec DRM avec chromium et pepperflash. Sur la doc d'ubuntu, ils disent :

    Note pour Google Chrome :
    Même après l'installation du paquet HAL [libhal1-flash], et bien que ce navigateur soit le seul à posséder la version la plus récente de Flash player, Chrome (dans sa version Linux) ne gère pas les DRM dans Flash, seul le direct est accessible.
    Pour enlever FP : # zypper rm -u flash-player


    Un navigateur comme Firefox présente l'avantage d'être équipé de modules qui vont contribuer à la confidentialité : Better Privacy (pour ceux qui conservent FP) , AdblockPlus, Ghostery, + No Google Analytics + Remove Google Tracking et tant qu'on y est -search in youtube + youtube high definition + S3 Google Translator

    https everywhere & opquast pour les amateurs de websites . Ensuite passez le cache de Firefox a 0, et dans about:config, mettre la variablenetwork.http.sendRefererHeader, qui par defaut est egale a 2, sur 0.

    ~~Le fichier etc/hosts
    Ce fichier permet de passer a la trappe certains hyperliens de pub qui ralentissent votre connection. On peut aussi passer a la trappe des liens que le Controle Parental ne souhaite pas voir actifs (a vous de rajouter toutes les adresses porno). Dans l'immediat, vous pouvez vous contenter de commencer par remplacer l'existant par un autre plus évolué selon explications : http://assiste.com.free.fr/p/hosts/h..._de_hosts.html
    Vous trouverez là un exemple de fichier hosts:

    http://sourceforge.net/projects/adzhosts/ Il y en a aussi chez korben. Une fois l’archive téléchargée, vous trouverez dans le dossier un fichier HOSTS copiez-le à la place du fichier hosts original dans /etc

    Une fois cela effectué, vous pouvez essayer de vous rendre sur n’importe quel site où vous trouviez de la publicité. Elle ne devrait plus s'afficher, vous aurez un encart d'erreur de chargement, sauf si vous avez un serveur qui tourne sur votre pc. Si, par exemple, certains sites sont inaccessibles, il est possible que cela vienne de ce fichier (genre m6Replay). La méthode pour y accéder serait de supprimer le nom du site du fichier hosts. Pour cela, éditez le fichier avec un éditeur comme kate , puis, une fois le fichier ouvert, supprimer la ligne.

    ~~Mise à jour : pour éviter les requêtes insidieuses, mettez à jour votre système (Yast-Mise à jour en ligne)

    ~~Cryptage : Crypter votre partition « home » permet d'être à l'abri des copieurs, C'est transparent à l'usage, mais une fois le PC éteint, personne ne pourra lire le contenu de votre /home même avec un live CD. Vous pouvez en plus, d'un clic droit, créer un dossier crypté dans lequel vous glisserez vos documents sensibles

    ~~Bleachbit : Logiciel qui permet de faire le ménage en mode user aussi bien qu'en mode root

    ~~Antivirus : Pour l'instant, les anti-virus permettent de ne pas envoyer de virus vers des ordinateurs windows

    Mettez à jour votre base de données par exemple avec clamav

    #freshclam la commande pour mettre a jour vos bases#clamscan /home/toto --bell --recursive pour scanner les dossiers

    ~~Le fichieretc/securettyIl ressemble a :
    # This file contains the device names of tty lines (one per line,
    # without leading /dev/) on which root is allowed to login.
    #
    tty1
    tty2
    tty3
    tty4
    tty5
    tty6
    # for devfs:
    vc/1
    vc/2
    vc/3
    vc/4
    vc/5
    vc/6
    Il vous faut mettre un diese devant les tty pour empecher l'usage d'une fenetre a l' insu de votre plein gres
    # This file contains the device names of tty lines (one per line,
    # without leading /dev/) on which root is allowed to login.
    #
    #tty1
    #tty2
    #tty3
    #tty4
    #tty5
    #tty6
    # for devfs:
    vc/1
    vc/2
    vc/3
    vc/4
    vc/5
    vc/6

    ------------------------------------------------------------------------------------------------------------------------


    ~~Le fichier etc/services
    Changez le port Telnet (prenez un Numero non attribue)
    ------------------------------------------------------------------------------------------------------------------------
    Evitez qu'on ne regarde par dessus votre epaule : Empechez la lecture de vos dossiers par les "non-autorises"
    Par exemple faites un clic droit / proprietes sur votre dossier /home/toto, et modifiez les droits comme suit





    ~~Rootkits : Testez vous avec les commandes
    #rkhunter -c (faites unrkhunter --update avant)
    Puis la commande #chkrootkit


    ~~Surveillez vos connexions internet avec IPTRAF, La commande whois vous permettra de savoir qui est connecte a votre PC La commande nmap vous permettra de scanner les ports laisses ouverts par votre firewall
    Commentaires 5 Commentaires
    1. Avatar de Syvolc
      Syvolc -
      Merci Torrent pour toutes ces explications. On en a bien besoin vu la complexité de la chose. Je me prend toujours la tête avec ces réglages quand je veux créer un partage.

      (tu as écrit ArrArmor au lieu de AppArmor, sous l'image)

      pipelight-plugin ne remplace pas Flashplayer par silverlight, à la base il proposait un "tunel" pour utiliser un silverlight qui tourne avec Wine, maintenant il fait la même chose avec Flash, mais donc c'est bien un Flashplayer qui tourne derrière.
    1. Avatar de Antoine
      Antoine -
      Citation Envoyé par Syvolc Voir le message
      pipelight-plugin ne remplace pas Flashplayer par silverlight, à la base il proposait un "tunel" pour utiliser un silverlight qui tourne avec Wine, maintenant il fait la même chose avec Flash, mais donc c'est bien un Flashplayer qui tourne derrière.
      +1, c'est tout à fait ça.

      Et puis ça n'aurait pas de sens de "remplacer" flashplayer par silverlight. Le plugin silverlight ne peut gérer que du contenu silverlight, pas du contenu flash…
    1. Avatar de Torrent
      Torrent -
      Désolé, j'ai lu un peu trop en diagonale. Je reprends les corrections à mon retour la semaine prochaine
    1. Avatar de Syvolc
      Syvolc -
      Je me suis permis de l'éditer. Merci encore pour cet article.
    1. Avatar de squid-f
      squid-f -
      C'est un article très utile car je ne pense pas que la configuration soit si trivial pour un néophyte. Merci !

      Si je peux me permettre, je suggère d'ajouter la configuration des imprimantes en réseau. Personnellement, j'ai fini par m'en sortir mais cela a été un peu laborieux et je ne suis pas certain d'avoir été très "académique" (j'ai fini par désactiver le pare-feu pour l'installation pour le réactiver une fois terminé).
      Je me demande aussi si parfois il n'y a pas des conflits entre les utilitaires YaST et les outils de paramétrages disponibles dans le menu Gnome ?