• # Vision globale sur les deux video.

    Posté par . En réponse à la dépêche Webinaires (29 oct et 5 nov 2015) - choisir et installer un serveur Linux sécurisé. Évalué à 3.

    Alors, donc, petit retour sur la vidéo 2 et, du coup, l'ensemble des vidéos.

    Je vais diviser en deux parties, pas exhaustives parce que ça sera déjà très tl;dr, le fond et la forme.
    Je précise aussi que j'ai rien contre toi, et c'est même au contraire parce que je pense que ca peut te servir que je prends le temps de faire ce texte. C'est vraiment une discussion entre professionnels, même si je vais être critique sur plusieurs parties.

    Sans aborder tous les points donc, je vais essayer de me focaliser sur les gros trucs ou les parties qui me paraissent importantes

    Alors, a un moment, tu te poses la question du "pourquoi les connaisseurs et/ou experts viendraient voir ta vidéo"? Alors, ca peut être pour se gausser des éventuels mauvais conseils mais je pense que, pour la plupart, c'est pour avoir une autre vision du sujet. Confronter ses connaissances et convictions dans de la vulgarisation, donc logiquement assez simple à comprendre.
    Un expert qui ne prend pas le temps de se maintenir au courant, c'est plus un expert, c'est un mauvais.

    Concernant la problématique du partitionnement, pour moi tu ne réponds pas aux débutants, ni même aux spécialistes. Tu expliques en substance que tu le faisais avant, que c’était chiant pour les VPS (et peut être les autres) et que maintenant, tu le fais plus, c'est plus simple.
    Il n'y a pas d'explication la dedans et un débutant prendra juste l'avis une personne (toi) qui a dit que. Faiblard non? C'est pas ça, l'enseignement (j'y reviendrait un peu après sur la forme).
    Voici comment moi, j'aurais fait:
    "Le partitionnement systématique des systèmes linux et unix est historique, lié au fait qu'a l'origine, l'outil de sauvegarde était dump, qui ne sauvegardait QUE des partitions (et pas un répertoire) et qu'il était nécessaire de faire un reboot du système pour sauvegarde sur bandes. Il existe encore la relique de ce système dans /etc/fstab puisqu'encore maintenant, la colonne est toujours présente."
    "Est ce que c'est obligatoire désormais? Pour la sauvegarde, non. Mais il y a au moins deux cas ou c'est utile:
    _Pour identifier rapidement un répertoire principal (donc /home, /var voir /tmp) qui serait gros consommateur de ressources, voir même utilisant l’intégralité du disque. En effet, avec "df -h", vous avez une vision rapide des partitions montées et cela permet de voir si un log dans /var/log prends toute la place. Pas primordial, mais pratique.
    _L'autre cas est en cas de sécurité avancé. En effet, il est possible de régler le montage des partition en "noexec", interdisant l’exécution d’exécutable sur la partition. Imaginez que vous avez mis en place /tmp en noexec et qu'un pirate ait exploité une faille PHP (genre) pour envoyer sur /tmp (toujours en accès 777) un fichier exécutable. Avec /tmp en noexec, l’exécution sera interdite. Toutefois, dans le cadre d'une initiation, nous n'irons pas jusque la".
    "L'autre point important est la nécessite du SWAP, qui permet de palier a un manque de mémoire. Il y a 20 ans, la taille mémoire était faible et il pouvait être intéressant d'avoir un peu de rab, très lent mais possiblement salvateur, pour les charges mémoires exceptionnelles. Il existait même une règle qui voulait que le SWAP doit faire 2xla taille de la ram."
    "Actuellement, et pour un serveur, une taille de swap de 512Mo ou 1Go est largement suffisante, car le swap doit être utilisé le moins possible (la différence de vitesse ram/hdd est beaucoup plus grande qu'il y a 20 ans), sinon vous avez merdé votre dimensionnement mémoire (plus que le dimensionnement swap)"
    "De plus, Linux intègre un système de kill automatique quand un logiciel réclame beaucoup de mémoire et que celle ci est pleine. Si vous mettez trop de swap, et qu'il y a un leak mémoire important, le système va continuer a allouer de la mémoire dans le swap, ralentissant voir rendant inutilisable le serveur. Avec un swap faible, l’élimination du leak sera plus rapide".
    "Pourquoi mettre du swap alors? Parce que linux optimise la mémoire et place en swap les deux ou trois processus qui ne font rien."

    Pour moi, ca correspond a ca, l'enseignement:
    _Tu dis pourquoi on faisait ça avant
    _Tu donnes des exemples ou c'est encore utile, avec un cas avancé pour les personnes voulant aller plus loin
    _Tu expliques le cas primordial (swap) en donnant des raisons a son utilisation.
    C'est donc des données techniques, avec des vrais arguments, qui sont fournis, mais la personne qui écoute aura les éléments pour faire SON choix.

    Pour les mots de passe, c'est juste le concept, et notamment a des débutants: NE JAMAIS dire aux gens de mettre un mot de passe faible PARCE que tu as mis un firewall. C'est la même chose que les gens qui mettent un mot de passe de merde parce qu'ils ont changé le port ssh. Well done, dude.
    Donc oui, mot de passe fort, c'est chiant a mémoriser, donc OUI, un logiciel de coffre fort de mot de passe mais ne pas expliquer aux gens qu'il faut mettre un mot de passe de merde.
    Jamais.

    Donc oui le parefeu. C'est pas une assurance. C'est souvent une erreur. En tout cas dans un serveur web. Parce que dans 95% des cas, les gens croient qu'avec un firewall, ils seront protégé. Tu en parles aussi (que c'est pas magique) mais tu insistes pas assez sur le fait que le firewall, c'est comme les antibiotiques, c'est pas automatique.
    Dans le cas d'un tuto débutant, c'est beaucoup plus simple de parler de fail2ban plutôt que du firewall qui, encore une fois pour les débutants, donnera une fausse impression de sécurité (genre mettre des mot de passe moins fort wink wink)

    Mais bon, admettons, parefeu, Je voudrais revenir sur trois règles:
    _La règle sur 127/8 interdit en destination sauf sur la loopback. Il doit y avoir une raison, un cas pratique ou c'est utile mais j'arrive pas avoir lequel car c'est juste pas routable. Donc je veux bien un exemple de cas ou c'est utile, genre un trou de secu qui laisse passer du spoofing IP sur la loopback.
    _La règle type "backdoor" qui ouvre tout sur ton adresse perso, donc qui pose problème en cas de spoofing IP mais aussi de changement d'ip chez toi. Ou même plus simplement t'es pas chez toi, t'as un soucis sur le serveur et t'es... ben dans la merde.
    Alors, je crois que tu parlais a un moment d'un VPS que tu utilises pour te connecter sur tes serveurs, et c'est bien mais... comment tu le sécurises avec ce système la?

    Concernant le FTP, j'ai pas compris d'ou sortait 40110:40210 mais quand on recherche ce range sur le net, ouais ça revient tout le temps mais je sais pas trop pourquoi. C'est pas par défaut dans pureftp (puisqu'il y a systématiquement une commande pour le rajouter, peut être proftpd?), donc... pourquoi?
    Après, j'avoue, j’utilise plus ftp depuis belle lurette, sftp étant intégré a ssh.

    Bon, je passe sur le dpkg-reconfigure, utilisé pour tzdata mais pas pour les locales (WHY???) et surement d'autres trucs que j'ai oublié.

    Alors, concernant la forme, tu expliques que tu débutes et que tu essayes de mettre en place des techniques de marketing.
    Je suis une burne en marketing mais je pourrais quand même citer les inconnus:
    Il ne faut pas prendre les gens pour des cons mais il ne faut pas oublier qu'ils le sont.
    Alors ouais, en marketing ok, mais en enseignement, nan. Je pense pas qu'on puisse transposer le marketing dans l'enseignement parce que c'est justement tout l'inverse. Et dans beaucoup de cas, tu expliques que tu fais comme ça parce que voila, c'est comme ca <--marketing.
    Et quand on voit ton site web, ouais, c'est clairement du marketing (et tu mets pas vraiment en avant linux - je dis ca, je dis rien)

    Si tu veux progresser en enseignant/conférencier, je te donne trois noms (no particular order) que je respecte au plus haut point, car ils sont TRÈS fort dans leur domaine ET ils savent très bien enseigner:
    _Stephane Bortzmeyer
    _Jeremy Zimmerman
    _Benjamin Bayart

    Fouille (Fouillez les autres aussi hein) sur le net pour trouver leurs conférences, tu vas apprendre des trucs ET tu vas voir comment faire correctement une conférence. Je suis pas forcement toujours d'accord avec eux (quoi que) mais en tant que conférenciers, je connais pas mieux en français