Réseau et Sécurité
Réseau & Sécurité
Cette section regroupe mes notes et scripts autour de la configuration réseau et du durcissement de la sécurité sous Linux. On y trouve des astuces pratiques, des configurations types, et des outils que j’utilise pour protéger mes machines, superviser les accès, et limiter les failles.
nftables : pare-feu moderne
Remplaçant d’iptables, `nftables` permet de gérer un pare-feu de manière claire et structurée.
Exemple de configuration minimale
sudo nft add chain inet filter input { type filter hook input priority 0 \; policy drop \; }
sudo nft add rule inet filter input ct state established,related accept
sudo nft add rule inet filter input iifname lo accept
sudo nft add rule inet filter input tcp dport ssh accept
Cela permet de :
- Bloquer tout par défaut
- Autoriser les connexions déjà établies
- Permettre l'accès SSH
Pour lister les règles :
sudo nft list ruleset
dnsmasq : serveur DNS/DHCP local
`dnsmasq` est un petit démon pratique pour créer un serveur DNS et DHCP léger.
Exemple de configuration `/etc/dnsmasq.conf`
dhcp-range=192.168.1.100,192.168.1.150,12h
address=/lan/192.168.1.1
log-queries
log-dhcp
Il est particulièrement utile dans des environnements sans routeur dédié ou pour isoler un réseau de test.
FIDO2 : authentification sans mot de passe
L’utilisation d’une clé FIDO2 permet de renforcer considérablement l’authentification sans recourir aux mots de passe.
Mise en place sous Linux
- Installer `libpam-u2f` :
sudo apt install libpam-u2f
2. Enregistrer la clé :
pamu2fcfg > ~/.config/u2f_keys
3. Modifier `/etc/pam.d/sudo` :
auth required pam_u2f.so
Certaines clés permettent une authentification sans code PIN si configurées en “discouraged verification”. Attention toutefois à l'équilibre sécurité/confort.
Autres idées à approfondir
- Utilisation de fail2ban pour bloquer les connexions SSH abusives
- Surveillance réseau avec `iftop`, `nethogs`, ou `bmon`
- Partage de connexion avec `iptables` ou `nft`
- Protection système via `sysctl` : désactiver IP forwarding, limiter ICMP, etc.
Liens utiles
- [wiki.nftables.org](https://wiki.nftables.org)
- [dnsmasq manpage](https://thekelleys.org.uk/dnsmasq/doc.html)
- [Guide FIDO2 pam_u2f](https://developers.yubico.com/pam-u2f/)