Hello Coca, Deux petites remarques :) 1. En debut de video, le conseil "generique" n'est pas de mettre a jour son systeme, mais bien de limiter les softwares installes, bien plus que les services, les logiciels de compilation sont a prohiber, beaucoup d'exploit d'escalade de privilèges utilise la compilation d'un code C pour gagner les droits root. 2. Ton Firewall manque de certaines regles de base : - autoriser en Input toutes les connexions sur l'interface lo - autoriser en entrée les paquets deja initiés ( --state RELATED,ESTABLISHED ), car dans ta config, aucune mise a jour ou aucune requete DNS ne peut etre fait. Si tu ne veut pas gerer le state, autoriser a ce moment comme pour le ssh en fonction du sport ( 53 et 80/443 ) - mettre une policy DROP sur la chain FORWARD, meme si le routage n est pas active, si il l'est un jour ( malencontreusement ou par un hacker ), le rebond NAT est interdit. A savoir que la regle INPUT ne filtee pas les paquets "NATté" Sinon encore tres bonne vidéo ;) merci pour ton travail :)

Hello l’anssi en France a fait aussi un très beau travail sur ce domaine.

Hello cocadmin, une petite pratique avec Openssh: 1-Désactiver l'accès de root (lu dans la plupart des docs de best pratices) 2- Creer un utilisateur pouvant se connecter par ssh mais n'est pas sudoer. 3- Créer un autre qui est sudoer mais ne peut se connecter ssh.

Dans mon premier boulot j'avais comme client un organisme très sensible à la sécurité et toutes ces règles/méthodes m'ont été enseigné dès les premiers mois (petit clin d'oeil à AIDE qui est sympathique pour faire du scellement.)

il y a l'outils portsentry qui évite les scans de port. cela permet donc de mettre le port SSH sur un port exotique et sans être trouvé.

Merci pour la vid mais quelques points : 16:00 le fichier original ne devrait pas être modifié, une copie devrait être faite (car maj de failstoban va écraser le fichier) tu as une option ignoreip : liste d’adresses IP à ne jamais bannir

Salut Coca, Ca fait 2 petit mois que je te suis et franchement toutes tes vidéos sont cool. Je suis admin syst & network junior et ca me permet de revoir quelques bonnes pratique que j'oublie, Continue comme ca bg, Force !

Trop bien Super vidéo, bien expliqué posé et le son impec ! GG bonne continuation ! Merci !

Salut ! J'ai découvert ta chaine récemment et c''est très intéressant ! A propos de ce genre de vidéos, pourquoi ne pas suivre les documents Livre Blanc de l'ANSSI ? Bonne continuation !

Parfait ! pour le projet 13 d'openclassrooms, en réalisant les sécurisations de cette vidéo je suis passé de "l'hardening index" 47% à 62%... et j'ai pas fini lol.

Il devrait aussi informer comment protéger un serveur contre la NSA :-p

Merci encore cocadmin pour ta vidéo

Un document qu'on devrait donner dès qu'on touche un ordi!

Est-ce que tu peut faire un tutoriel installation serveur local pour hébergé un site Web local avec un Ubuntu ou debian serveur ou autre. Sans outils de déploiement rapide. Avec les bonnes options de sécurité. Ou sur un serveur dédié vierge chez un ebergeur. Grafikart l'a fait mais son tuto est trop vieux maintenant. Merci

Ahah, ce drapeau. Merci pour la vidéo ;) Edit: En passant, perso je rajoute à fail2ban, un portsentry qui mets la règle iptable qui va bien et qui route add reject le malindrain qui à la bêtise de scanner. Ça parrait violent mais jusqu'à présent ça n'a pas posé de problèmes avec nos clients et au pire on a nos commandes de prête pour unban si y'a des faux positifs.

Le document de la NSA n'est plus disponible à la consultation en suivant le lien :/

Bonjour, Il me semble que la clef de chiffrement symétrique est dans le noyau ram de l'hypervision après l'usage de la clef privée. En conséquence, la NSA ou un admin du cloud peut savoir ce que vous faites sur la machine présente dans le data center. Ils ont en plus accès à l'API de ce noyau. ;)

Hello ! Tout d abord merci pour tes idées de video et ta vulgarisation ;) Je pensais créer un serveur chez-moi avec un pc fixe. Pour quand je pars en vacance et si j ai besoin d un fichier, j accede a mon fichier ou je veux et quand je veux. T en pense quoi ? Trop risqué niveau sécurité ? Merci ;) PS: Tu connais l l'ubuntu cola ? Lol

top la video comme d'hab, tu penses faire une video sur la sécurisation de k8 ?

On peut aussi utiliser ufw pour faire ses iptables rapidemment ! Merci pour le travail

Bonjour s'il te plait je n'arrive plus a accéder au site je peux avoir , le document ? ,stp

Super video ! Qu'est ce que tu suggères comme solution pour tester les backups? Autre qu'écraser ton instance de prod qui tourne bien avec le backup que tu viens de faire. Lancer une autre instance vierge à partir du backup ? Mais si c'est un serveur web par exemple, il va falloir que tu réassignes tes dns et changer de FQDN pour tester IRL non ? Ca semble bien galère 😅 Merci !

Salut, merci pour cette vidéo intéressante. Par contre t'as pas mit le lien vers le document. Merci

Pour SELinux c'est quand meme utilisé par défaut en enforcing par toutes les distributions RedHat (ya certaines choses qui ne sont pas confinées surtout celle de l'utilisateur) et Android utilise SELinux pour son système de permission me semble. Je dis pas que c'est facile, mais que c'est utilisé en "production". Après on va pas se mentir, pour moi SELinux est tellement compliqué que ce n'est à la portée que de grosse entreprises.

Je m'attendais à un tuto sur le déploiement d'OpenSCAP sur les serveur, mais aucune mention de cet outils.

salut comment tu a installer ubuntu comme sa en mode powershell ( et ps : ta video est super comme les autre)

Minimiser les software permet de restreindre les accès aux applications installées, en conséquence cela permettra de réduire la surface d'attaque.

Slt Thomas Tu as raison pour le backup mais moi je me suis confronté à un dilemme c'est de faire un restore sur un serveur qui est en prod. Pour toi, c'est quoi la meilleur approche parce que si ça tourne mal la prod est foutue tu vois :D

C'est juste un détail mais iptables est une interface pour le firewall qui est netfilter.

Hello, je cherche le pdf depuis 1h je trouve pas qqun pourrai me l'indiquer svp 😅

Ha merci car tout les gars qui font des tutos pour des formations , ils sont lol merci je peut enfin créer mon server proprement §.... comment je peut entrer dans ton cursus de formation ?

Super intéressant

Merci

salut cocadmin j'ai cliquer sur ton lien et impossible d'avoir le doc.

Salut Super intéressant ce fameux Best Practice je vais m'amuser avec ┗|｀O′|┛

On veut une vidéo comment crée sont serveur

Salut, le lien ne marche est-ce normal ?

Le mieux de desacliver dans le boos le son et le usb acec password dans le bios

Salut, Selinux je l'ai imposé dans ma boite, ça été dure pour eux !

Pas sûr que la moitié des gens aient compris pourquoi il fallait mettre UsePAM en "no" ça aurait été utile d'expliquer avec un langage compréhensible par les débutants. Pouvez vous s'il vous plait donner une explication ? J'ai bien un "PermitRooLogin no" et "PasswordAuthentication no", je me connecte avec une paire de clés, jusqu'à là je comprends. Cordialement.

Nice,nice.

Pour tester votre server vous pouvez utiliser Lynis ;)

Sinon il existe un document similaire produit par l'anssi très bien foutu, en français et à jour.

Jmabonne l'ancien !

Autre source de conseils en Hardening (OS [serveur, desktop, mobile], applications [Kubernetes, Docker, PostgreSQL, MySQL, ...]) : www.cisecurity.org/cis-benchmarks/

2:04 "Faire ses mises à jour, ça va corriger les bugs" : LOL Entendre ça juste après la panique mondiale causée par une mise à jour du logiciel de sécurité distribué par _CrowdStrike_ , c'est hilarant.

si il est admin réseau ça craint ..... des 2:00 il comprend plus son sujet ... Que des beau parleur, apres ca fait du taf pour les petesteur mdr

Domage cest pas plus long

Mdr ton serveur je rentre dedans en 1min max

Hello l’anssi en France a fait aussi un très beau travail sur ce domaine.