Swisslinux.org

− Le carrefour GNU/Linux en Suisse −

 

Recherche

Menu

Accueil Association Documentation SLo Blog Projets Galerie

Forum

Langue

 

Le Forum

Vous n'êtes pas identifié.

Pages: 1

 

  • Index
  •  » Debian
  •  » [Info] solution serveur pour salle internet

#1 25 Oct 2006 15:08:15

ba_slayer
Affranchi(e)
 
Date d'inscription: 25 Oct 2006
Messages: 2

[Info] solution serveur pour salle internet

bonjour a tous, je me suis recement vu confié la tache de mettre en place une salle internet devant comprendre la possibilité d'éspionner les utilisateurs.

Je m'explique, je suis actuellement dans un internat, l'année dernière le meme service était à disposition mais des personnes très stupides sont allé sur des sites à caractère pédophiles, la police est intervenue et patati et patata, BREF, le directeur du centre ou je me trouve (c'est un centre de formation je vous rassure!) est plutot réticent à l'idée de restaurer ce service sans un minimum de sécurité (pour lui évidement).

Je me suis donc porté volontaire pour lui mettre en place une solution pas cher (donc sous linux et plus précisément debian).
Cela fait a peine 3mois que j'ai booté sur mon premier linux mais je fait de gros efforts ^^, j'ai donc plein d'idée qui me viennent en tête et je ne sait pas encore lesquels sont réalisables /cohérentes ou pas.
voila ce que je compte faire:

-proxy (SQUID)+dhcp dans un premier temps (le proxy est indispensable pour la sécurité que j'ai promis de mettre en place)
-La solution de mettre en place des terminaux X est intéressante vu que les clients vont tourner sur des pII avec 64mo de ram a tous casser.
- Si les terminaux X sont imposible a mettre en place dans les temps      (parcque je suis un amateur^^) pourquoi pas un serveur d'application histoire de soulager les vieilles machines.
-Dernier point, je veut que mes clients disposent de profils itinérants, avec leur /home/ sur le serveur donc >serveur NFS...

Quand je vous dit que sa fait beaucoup ! On m'a promis un serveur puissant donc de ce coté la je n'ai pas de problème, mais quand meme sa fait beaucoup.

Voila, donc ma question est est-ce que j'ai choisi les meilleurs solutions?
je vais avoir un peu près une dizaine de clients qui ferons exclusivement du net et de l'open office, mais je veut absolument etre capable de savoir ce que tel personne a fait au cas ou.
Si vous avez de meilleures idée je suis ouvert, des tutos, des suggestions..., je ne connait pas encore toutte les possibilités de Debian et je sais qu'il y'en a beaucoup!
Merci

Hors ligne

 

#2 26 Oct 2006 00:03:32

BOFH
Admin
Lieu: Ecublens, VD
Date d'inscription: 03 Feb 2005
Messages: 862
Site web

Re: [Info] solution serveur pour salle internet

Hello,

  Avant toute chose, je ne suis pas juriste mais je ne suis pas sûr qu'"espionner" les utilisateurs, au sens d'enregistrer leurs faits et gestes sans les avertir, soit légal en Suisse, donc attention.

  Ensuite, il faut savoir que façe a des utilisateurs malicieux et qualifié, il te sera quasiment impossible de les empêcher d'accéder à des sites illégaux, tellement les techniques d'évasion sont vastes. Le but est plutôt de pouvoir prouver que toutes les mesures raisonnables ont été prises pour éviter les abus.

  La solution des terminaux X est élégante, mais elle va aussi s'avérer difficile à administrer, si tu n'as qu'un seul serveur a disposition (par opposition à une configuration avec plusieurs clients réseau et un serveur routeur/passerelle filtrante). Il suffira qu'un utilisateur trouve une vulnérabilité locale permettant une escalation de privilèges, et ton système sera vaincu. Les escalations locales sont en général bien plus nombreuses et faciles que les attaques à distance. Même sans escalation vers root, il existe plusieurs manières de communiquer avec l'extérieur en évitant le proxy (par exemple en téléchargeant et en compilant soi même son browser qui ne passera pas par le proxy, etc). Le seul moyen fiable que je connaisse de se prémunir contre ça sont des patches de sécurité assez avancés comme grsecurity.

  Avec des clients en réseau, il te faudra bloquer tout le traffic direct avec l'extérieur, par exemple en utilisant une classe d'adresses privées et en désactivant le forwarding IP. En particulier, on peut très aisément tunneler du traffic par ssh, https, ipsec, socks, ftp, et j'en passe. Note que tu ne peux pas autoriser l'accès aux sites sécurisés par SSL (https), car leur contenu ne peut pas être inspecté. Ne te laisse pas tromper par l'appellation "proxy https", un proxy "https" est en fait un proxy transparent qui peut être utilisé pour relayer n'importe quoi (mail, ftp, etc).

  Même dans cette configuration là, tu restes vulnérable à certaines techniques, aux transfers par canal subliminal DNS par exemple. Mais c'est pas comme si les autorités locales avaient les moyens de détecter/analyser ce genre d'attaques.

  Tu peux aussi imposer des quotas disques ridiculement bas, pour leur empêcher de stocker du contenu multimédia de taille importante. Les documents de type bureautique sont de plusieurs ordres de grandeur plus petits.

  Pour le reste, sois créatif ! pour implémenter tout ça: google est ton ami, et n'hésite pas a poser d'autres questions ici au fur et a mesure que ton système se développera.

Hors ligne

 

#3 26 Oct 2006 08:35:46

ba_slayer
Affranchi(e)
 
Date d'inscription: 25 Oct 2006
Messages: 2

Re: [Info] solution serveur pour salle internet

Merci beaucoup, je vais de ce pas me documenter sur les solutions que tu vien de me donner

bonne journée wink

Hors ligne

 

 

Pages: 1

  • Index
  •  » Debian
  •  » [Info] solution serveur pour salle internet

Pied de page des forums

Powered by FluxBB