Journal EASYLAN - Mise en place simplifiée et personnalisable d'un intranet sécurisé avec Docker

Posté par  . Licence CC By‑SA.
Étiquettes :
16
15
juin
2019

Bonjour, passé un temps à devoir réaliser les mêmes choses lors de déploiement d'application conteneurisées, à savoir configurer un proxy HTTPS, générer des certificats SSL (CA local ou passant par Let's Encrypt), je me suis lancé dans la réalisation d'un projet, EasyLAN, dans le but de simplifier tout ça.

Globalement, cette solution vise à déployer une application conteneurisée rapidement sans avoir à gérer différents aspects récurent, voir rébarbatif, comme la mise en place d'un proxy HTTP, un certificat SSL ou (…)

Forum Linux.général Réseau : Passer du HTTPS à un conteneur Docker

Posté par  (site web personnel) . Licence CC By‑SA.
0
10
oct.
2018

Bonjour,

Suite à mon problème que j'ai résolu grâce à ce post j'ai voulu passer à niveau supérieur, le https.

Du coup naturellement j'ai généré des certificats avec le script deshydrated dans le conteneur Docker et ensuite j'ai appliqué la même recette qu'en http côté Nginx (proxy)

  server {
    listen 443;
    server_name nextcloud.reynum.eu;

    location / {
      proxy_pass http://nextcloud.reynum.eu:6443;
      #proxy_redirect http://nextcloud.reynum.eu:6443/ https://nextcloud.reynum.eu;
      proxy_set_header Host $host;
    }
  }

Et du côté conteneur Docker et apache

Alias /nextcloud /var/www/nextcloud/
(…)

Forum Linux.général Squid : Certains sites TLS ne traversent pas

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
3
3
juil.
2018

Bonjour,

Je rencontre un problème avec mon serveur Squid pour afficher quelques sites en HTTPS.
Je n'arrive pas à comprendre la logique car la plupart passent bien et d'autre me retournent une erreur type "Échec de la connexion sécurisée".

Quelques exemples de sites qui ne traversent pas le proxy : https://bitly.com, https://www.velomacchi.com, https://www.raise3d.com/

J'imagine que leur configuration TLS est différente d'autres sites mais je ne sais pas en quoi.

Je remarque des différences avec Wget et openssl connect.

(…)

Post‐mortem de l’incident du 3 juin 2018

Posté par  (site web personnel, Mastodon) . Édité par Davy Defaud, ZeroHeure et Florent Zara. Modéré par Pierre Jarillon. Licence CC By‑SA.
50
5
juin
2018
LinuxFr.org

Beaucoup d’entre‐vous s’en sont rendus compte, le certificat X.509 utilisé par LinuxFr.org a expiré ce 3 juin 2018. Retour sur cet incident et sur le renouvellement de ce certificat dans la seconde partie de cette dépêche.

Journal DLFP hacké

Posté par  (site web personnel) . Licence CC By‑SA.
11
3
juin
2018

Pendant plusieurs heures ce matin le certificat TLS de linuxfr.org s'est trouvé invalide. Moult moules ont fait fi de l'avertissement de sécurité de leur navigateur et ont malgré tout accédé au site soit en utilisant un protocole insécurisé soit en acceptant le certificat obsolète. Bien évidemment cela a mis en péril la vie privée de nombre d'utilisateurs de ce site.

Cette situation insoutenable exige des administrateurs du site un compte rendu détaillé des événements qui ont conduit à une telle (…)

Forum Linux.debian/ubuntu Erreur Firefox: «la connexion n'est pas sécurisée»

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
3
2
mar.
2018

Bonjour!
J'ai ce message lorsque je souhaite accéder à la page https://snap.berkeley.edu/ :

La connexion n'est pas sécurisée

Les propriétaires de snap.berkeley.edu ont mal configuré leur site web. Pour éviter que vos données ne soient dérobées, Firefox ne s'est pas connecté à ce site web.

Le problème, c'est que sur un autre ordinateur avec un système identique, je n'ai pas ce message. La configuration des deux ordinateurs:
Linux Mint 18.3 à jour, Firefox des dépôts, 58.0.2, en 64 bits.

D'où (…)

Journal À quand l'HTTPS par défaut sur LinuxFR ?

Posté par  . Licence CC By‑SA.
Étiquettes :
29
14
fév.
2017

Bonjour'nal

Jusqu'à présent pour mouler sur LinuxFR de manière sécurisée avec mon copain TLS on est obligé d'utiliser les services de l'EFF, on est maintenant en 2k17 et ça nous déçois un peu…
Administrateurs, si vous nous lisez ne voulez-vous pas déposer une petite redirection 301 de http://linuxfr.org vers https://linuxfr.org ?

Si non, voulez-vous bien éclairer ma lanterne fort cabossée ? Qu'est-ce qui serait limitant pour forcer HTTPS aujourd'hui ?

La bise.

Forum Linux.général Let's encrypt et plusieurs serveurs sur la même IP

Posté par  . Licence CC By‑SA.
Étiquettes :
0
6
nov.
2016

Je cherche un moyen de certifier des certificat TLS avec cette m…. de Let's encrypt.
Trois serveurs se trouvent sur la même IP publique et un seul des trois (qu'on nommera server1) occupe les ports publique 80/443.

Donc la grande question : comment certifier les certificat de server2 et server3 alors que let's encrypt ne permet PAS de choisir d'autres ports que les deux principaux des 4 ports web (car oui, même 8080 et 8443 ne sont pas autorisé, oh (…)

Journal Qui traite des autorités SSL WoSign, Startcom et du peu de professionnalisme qui a causé leur perte

Posté par  (site web personnel) . Licence CC By‑SA.
50
27
sept.
2016

Chers lectrices, lecteurs, auditrices et auditeurs pour les éventuel(le)s aveugles et autres malvoyant(e)s qui utilisent un lecteur d’écran,



Je souhaite aujourd’hui vous parler de ce que vient d’annoncer Mozilla (en anglais et avec JavaScript, cookies et tout le bataclan, disponible ici en PDF ou en PNG pour les réfractaires à l’overkill) au sujet de Starcom et WoSign.

Pour ceux qui ignoreraient l’identité de ces deux organismes, Startcom est une autorité de certification SSL (…)

Forum général.général Sécurité, https, et Doku Wiki

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
0
22
sept.
2016

Bonjour,

2 questions pour le prix d'une ;-)

Ecouter aux portes le trafic internet

Je sais qu'en théorie, si on a des données sensibles dans des pages web, un pirate pourrait intercepter le trafic réseau et lire le contenu des pages webs.

Mais en pratique, pour lire le trafic réseau, à part en cas d'utilisation par appareils mobile (et donc en wifi) avec lecture du trafic wifi, y a t'il possibilité pour un pirate d'écouter le trafic internet ?

https et DokuWiki

(…)

Les temps sont durs chez TuxFamily.org

Posté par  (site web personnel) . Édité par Benoît Sibaud et palm123. Modéré par Benoît Sibaud. Licence CC By‑SA.
19
1
avr.
2016
Humour

Dans un courrier envoyé à l'ensemble de ses hébergés, TuxFamily.org propose une approche novatrice pour promouvoir les mises à jour de vos sites web hébergés, notamment du point de vue des failles de sécurité corrigées dans des versions plus récentes des produits que vous avez mis en ligne.

TuxFamily.org est un hébergeur de projets libres proposant des gestionnaires de version pour le code (git, svn… même si certains sont encore sur cvs o_O), espace web permettant de mettre en place forum / wiki / CMS / ce que vous voulez, espaces de téléchargement de 1 Go mais pouvant être augmenté à la demande.

À ce titre, l'équipe de joyeux mythos^W^W^Wde modérateurs et admins dévoués de TuxFamily veut mettre en place dans les prochains jours un système rappelant les bienfaits d'avoir un site à jour avec votre CMS / framework préféré, dans un contexte d'état d'urgence pour éviter les failles qui traîneraient dans de vieilles versions.

À titre expérimental, un exemple est donné sur certains sites sélectionnés(*) avant un déploiement plus général : vous avez de l'ordre d'un mois pour actualiser, avant mise en place effective. Sinon, vous aurez à subir la présence (l'omniprésence) de la trombine d'un des membres de l'équipe si votre site n'a pas été mis à jour : concrètement, elle apparaîtra sur toutes les pages de votre site et suivra le curseur de votre souris (oui, oui, c'est joueur).

Que pensez-vous de cette initiative ?

  • mytho : franchement, ce n'est fait que pour mettre en avant l'équipe !
  • logique : pour promouvoir la sécurité, il faut savoir en arriver à des mises en abîme
  • vous croyez vraiment que je vais mettre à jour mon site qui fonctionne très bien en python 2.4 ? (vécu)
  • hein, TuxFamily.org existe encore alors que tout le monde est sur github^Wgitorious voire auto-hébergé !?
  • autre : les commentaires sont là pour donner votre avis (même si vous n'êtes pas hébergé(e))

Sondages sur les serveurs web Netcraft et SecuritySpace de décembre 2015

Posté par  (site web personnel, Mastodon) . Édité par Benoît Sibaud et BAud. Modéré par ZeroHeure. Licence CC By‑SA.
16
15
jan.
2016
Internet

Netcraft est un site web connu pour sa réalisation de sondages sur le logiciel utilisé par les serveurs web sur Internet, ainsi que pour la détection (et l'historique) de ces mêmes logiciels sur requête de ses visiteurs.

Chaque mois, Netcraft publie le résultat de son sondage. Le sondage du mois de décembre est donc disponible, et la deuxième partie de dépêche vous propose un commentaire de ce sondage.

Security Space publie aussi un sondage chaque mois sur les serveurs web (qui aurait besoin d'un peu de toilettage ceci dit).

Forum Linux.général Auto-hébergement, docker et HTTPS

Posté par  . Licence CC By‑SA.
2
28
nov.
2015

Bonjour,
Je jette un peu une bouteille à la mer, c'est juste une idée qui me passe par la tête, j'ai pas vraiment pris le temps de chercher, j'aimerais échanger sur la question avec des connaisseurs, et d'ailleurs cette idée est peut-être complètement débile, voyons ça…

Je m'intéresse à l'auto-hébergement pour mes besoins propres. Je connais Cozy, Yuno, etc, les projets en pointe sur le sujet. Et dès qu'on aborde la question de HTTPS avec l'utilisation de son propre certificat (…)