Guide de survie en environnement hostile
Introduction
Si vous êtes amené à travailler dans un environnement ou vous ne maitrisez pas les équipements réseaux, vous pouvez avoir des doutes sur la probité des ingénieurs réseaux. Ce petit texte (non exhaustif) vous donnera quelques trucs qui éviteront que vos données ne soit (trop facilement) accessibles aux ingénieurs réseaux indélicats.
Partage NFS
Le partage NFS avec NFSv4 et Kerberos. Le serveur de fichiers devra exportés les partages NFSv4 avec l'option krb5p (encryption des transactions et verification de l'intégrité des données). Les fichiers partagés par NFSv4 ne devront être montés que depuis une machine de confiance.
En effet, une fois que vous aurez le dossier monté, le ticket est en mémoire sur la machine, et le restera même après votre déconnexion, dans ce cas l'utilisateur root (local) pourra accéder à sa guise aux dossiers montés.
Navigation privée
Le plugin https everywhere disponible sur Chrome et Firefox utilise la version https (dès que possible) des sites vous visitez. L'encryption entre le site et votre navigateur garantie une certaine confidentialité des échanges. Cela rend beaucoup plus difficile le décodage des données. Un éventuel espion saura vers quels sites vous vous rendez mais ne pourra voir le contenu des échanges.
Courriels sécurisés
Utilisez exclusivement les version sécurisées des protocoles pop et imap. Le plus souvent ils sont associé à starttls ou ssl.
-
StartTLS utilise le port non sécurisé de pop ou imap mais fera une demande de connection sécurisée au serveur. Si ce dernier autorise la connexion sécurisé, l'échange se fera avec une encryption. Si ce dernier n'offre pas possibilité d'une connexion sécurisée, l'échange se fera en clair.
-
SSL n'utilise que la connection sécurisée.
Je vous conseille donc d'utiliser SSL ou lieu de STARTLS.
Pour tous les services disponibles, utiliser exclusivement les protocoles sécurisés. (imaps, pops, ldaps, ssh, etc ...)