[SECU] Completer une installation de base

[Gatsu]

Bonjour,

Mis à part quelques petits détails( liés à l'imprimante),mon Arch tourne convenablement, et je vous en remercie . Du coup pour un usage quotidien "secure", que me conseillez vous d'ajouter?

Aujourd'hui, j'ai en gros ARCH+Xorg+GDM+Gnome(et Xfce), etc.. Me conseillez vous de configurer un parefeu type IPTable par exemple ou d'autres services à ajouter pour un usage "bureautique" de base , navigation internet, etc..?

Merci d'avance,

[Kristen]

Salut
Pour ma part, j'ajoute ufw et c'est tout. Mais je ne suis pas du tout expert en sécurité.

[laurent85]

Bonjour,
Je me suis intéressé à nftables à la place d'iptables ça remonte assez loin et j'avais installé firewalld. Et depuis il est toujours en service.

[Gatsu]

Salut,

j'ai installé ufw puis gufw.. le soucis c'est que je n'arrive pas à ajouter de règle.

j'ai tenté de faire un " start et enable" de ufw, ainsi que de iptables avec systemctl et cela ne fonctionne toujours pas..dans les logs de ufw, j'ai ceci:

Code : Tout sélectionner

[23/08/2020 12:49:00] Error running: /usr/sbin/ufw allow out proto tcp from any to any port 80 > WARN: initcaps | [Errno 2] iptables v1.8.5 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?) | Perhaps iptables or your kernel needs to be upgraded. |  | 
[23/08/2020 12:48:38] Error running: /usr/sbin/ufw allow out proto tcp from any to any port 80 > WARN: initcaps | [Errno 2] iptables v1.8.5 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?) | Perhaps iptables or your kernel needs to be upgraded. |  | 
[23/08/2020 12:48:24] Error running: /usr/sbin/ufw allow out proto tcp from any to any port 80 > WARN: initcaps | [Errno 2] iptables v1.8.5 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?) | Perhaps iptables or your kernel needs to be upgraded. |  | 
[23/08/2020 12:46:53] Outgoing: Deny
[23/08/2020 12:45:20] Status: Enabled

une idée?

[Gatsu]

J'ajoute ceci:

Code : Tout sélectionner

sudo ufw status
[sudo] Mot de passe de gatsu : 
ERROR: problem running iptables: iptables v1.8.5 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

Edit: j'avance, j'ai juste tout redémarré et cela semble fonctionner.. comme si systemctl start n'avait pas fonctionnné, mais le enable au démarrage aurait fonctionné???

Pour l'instant je l'ai configuré comme ceci :

Code : Tout sélectionner

sudo ufw status
[sudo] Mot de passe de gatsu : 
Status: active

To                         Action      From
--                         ------      ----
80/tcp                     ALLOW OUT   Anywhere                  
443/tcp                    ALLOW OUT   Anywhere                  
53                         ALLOW OUT   Anywhere                  
80/tcp (v6)                ALLOW OUT   Anywhere (v6)             
443/tcp (v6)               ALLOW OUT   Anywhere (v6)             
53 (v6)                    ALLOW OUT   Anywhere (v6)  

Si vous voyez autre chose d'utilie à ajouter, sachant que le reste je ne le rajouterau que si besoin (genre ssh)

Enfin, est ce que selon vous j'ai fait une erreur en faisant cela:

Code : Tout sélectionner

sudo systemctl start ufw
sudo systemctl enable ufw
sudo systemctl start iptables
sudo systemctl enable iptables

est ce que c'est juste redondant, est ce qu'il serait mieux de désactiver iptables ( j'ai un doute, car à la base j'ai en têtre que ufw ne serait qu'un interface simplifié d'iptables non?
ps : détail, mais de moindre importance, gufw n'apparait pas dans gnome, je suis obligé de le lancer en ligne de commande

[laurent85]

Désactive le service iptables, c'est l'un ou l'autre, pas les deux en même temps.

[Gatsu]

Ok, c'est bien ce que je pensais, mais dans ce cas comme expliques-tu la référence à IPTables (avant que je l'active) dans les log de ufw ?

[laurent85]

ufw est une interface utilisateur à iptables, c'est ufw qui gère la rédaction des règles iptables.

iptables comme service c'est à l'utilisateur de rédiger les règles. En activant les deux services chacun va envoyer ses règles au noyau Linux, ce qui crée un conflit.

[Gatsu]

ok, merci pour la précision.