Sécurité

Mise en œuvre d’OSSEC sous Debian : théorie

Je travaille en ce moment sur OSSEC et comme je n’ai pas publié d’article depuis un moment déjà, je me suis dit que c’était l’occasion ou jamais ! Sauf qu’avant de mettre les mains dans les lignes de shell il nous faut poser quelques bases théoriques sur ce qu’est OSSEC, à quoi ça sert et comment ça marche. Et nous allons nous intéresser plus particulièrement à la manière dont OSSEC traite les logs qu’il reçoit pour en extraire des modèles et en déduire des événements anormaux.

(suite…)

Cet article vous a plu ? Partagez-le sur les réseaux sociaux !

Twitter Facebook Google Plus email

Sécuriser Secure Shell (SSH)

wallhaven-204494

Vous avez peut-être entendu dire que la NSA serait capable de décrypter SSH, ou en tout cas, sous certaines conditions. Si ce n’est pas le cas, je vous conseille de jeter un œil aux récentes informations dévoilées par Edward Snowden. Toutes. Pas de panique, ce billet sera toujours là lorsque vous aurez terminé. Mon objectif ici avec cet article est de rendre les analystes de la NSA… tristes.

Attention cet article risque d’être un peu long et technique. Si vous n’avez pas le temps, l’essentiel se cache dans les cadres avec une police à chasse fixe. Tous les snippets et les commandes y seront présents.
Pour mener à bien nos expériences, nous aurons besoin d’une version récente d’OpenSSH.

(suite…)

Cet article vous a plu ? Partagez-le sur les réseaux sociaux !

Twitter Facebook Google Plus email

Mise à jour du certificat SSL du blog

Le certificat SSL du blog arrivant à expiration le 3 novembre, j’ai pris le temps de le changer ce matin. Pas de bol, à deux semaines près j’aurais pu tester les certificats gratuits et reconnus qui vont être proposés par Let’s Encrypt.

Cette mise à jour devrait être totalement transparente pour les visiteurs du site. Pour information c’est le deuxième certificat que j’achète chez Namecheap et l’opération est très rapide : environ 20 minutes pour tout valider. Et j’en ai eu pour un peu moins de 9€ (certificat valable un an).

Je reviendrai quand même sur Let’s Encrypt parce que j’ai prévu de jouer un peu avec. Ça sera l’occasion peut-être d’un nouvel article afin d’apprendre à utiliser cette nouvelle autorité de certification et générer des certificats reconnus par tous les navigateurs pour nos services auto-hébergés.

La sécurité et la protection des données, c’est important !

Cet article vous a plu ? Partagez-le sur les réseaux sociaux !

Twitter Facebook Google Plus email

Le blog se dote d’un certificat SSL valide !

Google a récemment annoncé que le bon référencement d’un site dépendrait aussi de la qualité de son certificat SSL. Je bloquais jusqu’à maintenant le Googlebot sur la version HTTPS du blog puisque j’utilisais un certificat auto-signé. Mais aujourd’hui j’ai décidé de doter le blog d’un certificat signé par une autorité de certification connue, afin de renforcer la protection de les lecteurs (bien qu’il n’y ait pas grand chose à cacher ici..).

(suite…)

Cet article vous a plu ? Partagez-le sur les réseaux sociaux !

Twitter Facebook Google Plus email

Protéger Prosody / Metronome avec fail2ban

You_shall_not_pass

Nous avons récemment installé ensemble le serveur XMPP Mêtronôme, fork de Prosody, afin de goûter aux joies des services de communication auto-hébergés.

Comme la sécurité et la confidentialité des données est un point très important en matière d’auto-hébergement, je vous propose aujourd’hui de paramétrer fail2ban pour qu’il bannisse automatiquement toute adresse IP ayant un comportement suspect sur votre serveur XMPP (entendez : poutrer tous les bots cherchant à se connecter à votre serveur).

(suite…)

Cet article vous a plu ? Partagez-le sur les réseaux sociaux !

Twitter Facebook Google Plus email

Tunnel SSH permanent sous Linux

L'IP publique de mon PC devient celle de mon serveur puisque tout le trafic du PC transite par le serveur.

Note : ceci est un vieux schéma…

Je travaille en ce moment en R&D et aujourd’hui dans mes recherches j’ai du mettre en place des tunnels SSH entre différentes machines CentOS. Comme je bricole pas mal, la connexion entre mes machines n’est pas forcément stable et donc mes tunnels non plus. J’ai donc cherché un moyen à peu près efficace de m’assurer que mon tunnel existe toujours et comme j’ai trouvé, je partage !

(suite…)

Cet article vous a plu ? Partagez-le sur les réseaux sociaux !

Twitter Facebook Google Plus email

Ouverture d’un ZeroBin sur le blog de Guillaume

C’est la dernière nouveauté sur le site : j’ai le plaisir de vous annoncer qu’une instance de Zerobin est disponible sur le blog de Guillaume !

Zéro quoi ?!

Zerobin est un outil qui n’est pas sans rappeler pastebin, et qui vous permet de partager du texte, du code ou des conversations de manière anonyme et sécurisée. En effet, Zerobin utilise un procédé (détaillé dans la documentation) qui fait en sorte que je ne suis pas au courant de qui stocke quoi !

De plus, seul le(s) détenteur(s) du lien correspondant à votre zerobin peuvent accéder à son contenu.

Ce nouveau service que je vous offre gracieusement est accessible à l’adresse zerobin.guillaume-leduc.fr. Une version HTTPS avec un certificat auto-signé et le perfect forward secrecy arrivera prochainement.

(suite…)

Cet article vous a plu ? Partagez-le sur les réseaux sociaux !

Twitter Facebook Google Plus email

Sauvegarde chiffrée d’un serveur dédié vers FTP

Je sais pas chez vous mais ici aujourd’hui c’est après-midi pluvieux. Et qui dit après-midi pluvieux dit maintenance sur mon petit serveur !
Je me suis attelé à la réécriture du script de sauvegarde du serveur, car mon vieux truc moisi avec rsync commençait à me faire un peu honte…

Dernière mise à jour le 17/07/2014 (mise à jour mineure)

(suite…)

Cet article vous a plu ? Partagez-le sur les réseaux sociaux !

Twitter Facebook Google Plus email

[PKI] Installez votre autorité de certification sur votre Debian

PKI - Installer une CA chez soi

Après vous avoir fait un petit briefing sur les infrastructures à clés publiques, je vous propose de mettre en place votre propre autorité de certification sur votre serveur Debian. Cette CA vous permettra entre autres d’auto-signer les certificats que vous seriez amenés à générer pour vos propres services.

Comme je vous prépare un petit tas d’articles sur l’auto-hébergement et que je chiffre tout ce que je peux, je me suis dit que de noter cette démarche dans un coin ne pourrait pas faire de mal…

(suite…)

Cet article vous a plu ? Partagez-le sur les réseaux sociaux !

Twitter Facebook Google Plus email