Journal Le domaine linux.org détourné

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
50
9
déc.
2018

Vendredi 7 décembre, vers 0430 UTC, les serveurs de noms faisant autorité pour linux.org (à ne pas confondre avec linuxfr.org) ont été modifiés. Les nouveaux serveurs indiquaient comme adresse IP pour linux.org un serveur Web pirate (208.91.197.27, le serveur Web habituel étant chez Cloudflare, en 104.27.166.219 et 104.27.167.219). Apparemment (je n'ai pas pu le voir), le contenu comprenait diverses insultes contre Linux ("G3T 0WNED L1NUX N3RDZ") et Linus Torvalds, certaines reliées aux nouvelles conditions de participation à Linux.

Le service (…)

MySafeIP: un tiers de confiance pour votre pare-feu !

50
11
jan.
2023
Sécurité

Depuis quelques années (10/15, mince ça passe vite), j’héberge mes services à la maison au frais dans le garage sur un serveur physique, des VMs et depuis peu des instances cloud. Moi, ma petite famille et un cercle d’amis en sont les seuls utilisateurs. Un peu comme beaucoup de monde ici sans doute.

Un soir, j’installe Grafana/Prometheus pour me former et constate les scans en continu des bots sur tout ce qui est exposé. Bon, je ne suis pas un jeunot, je m’en doutais, mais quand même, ça se bouscule pas mal…

N’étant pas à l’abri de louper une mise à jour de temps en temps, ça ne me plaît pas beaucoup et je cherche comment améliorer tout ça, et voici comment…

Journal Allez, il fallait bien que ça arrive

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
50
9
avr.
2021

Bonjour 'Nal,

J'ai les boules, un peu les glandes, et les… ouais tu vois le genre.

Il y a chez moi un petit Eee PC qui nous sert de NAS et rend quelques autres menus services : il fait tourner Apt Cacher, Transmission, stocke quelques dépôts Git pour divers petits trucs perso, et surtout un partage NFS où nous mettons les trucs à partager (le KeyPass, les photos, quelques documents, etc.)

Histoire d'avoir un peu de crédit dans les dîners (…)

OpenSSL Cookbook est maintenant en libre diffusion (CC By NC)

Posté par  . Édité par Benoît Sibaud, gUI, Nÿco et Xavier Teyssier. Modéré par Nÿco. Licence CC By‑SA.
49
28
avr.
2023
Sécurité

OpenSSL est un des logiciels libres les plus réussis et les plus importants (oui, oui, pas la peine d’avoir des boutons !). Réussi de par sa large utilisation ; important parce que l’infrastructure d’internet en dépend.

Le projet OpenSSL contient une implémentation haute performance d’algorithmes cryptographiques clés, une pile TLS et PKI complète et une boîte à outils en ligne de commande.

Mais il a toujours manqué d’une documentation exhaustive. Et pourtant elle existe : Ivan Ristić a écrit une somme sur le sujet, dont ce petit livre pratique est extrait.
Couverture d’OpenSSL Cookbook

Journal Les performances d'un noyau avec le patch PaX

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
49
25
août
2012

PaX est un patch externe applicable sur le noyau Linux et qui vise à protéger les zones mémoires contre diverses attaques.
Une présentation intéressante, "20 years of PaX", a été donnée à la conférence SSTIC de cet été. Et un commentaire de cette présentation est disponible ici.

J'ai toujours été curieux de savoir quel pouvait être le coût en performances de PaX quand il est appliqué au noyau Linux. Le dernier document intéressant datait de 2005 (donc (…)

Sortie d'OpenBSD 5.1 « Bug Busters »

Posté par  . Édité par Nils Ratusznik, Benoît Sibaud, Nÿco, claudex, Florent Zara et patrick_g. Modéré par patrick_g. Licence CC By‑SA.
Étiquettes :
49
2
mai
2012
OpenBSD

Comme tous les six mois, une nouvelle version d'OpenBSD est sortie. La version 5.1 est sortie le 1er mai, permettant aux personnes ne voulant pas défiler de pouvoir mettre à jour leur serveur. La chanson accompagnant la version 5.1 est « Bug Busters ».

La liste des changements est assez longue, vous en trouverez une liste réduite en deuxième partie de dépêche.

Wapiti 3.0.0 : Nouvelle version du scanneur de vulnérabilités Web

Posté par  . Édité par Benoît Sibaud, palm123, Davy Defaud et bubar🦥. Modéré par bubar🦥. Licence CC By‑SA.
48
14
jan.
2018
Sécurité

Wapiti est un scanneur de vulnérabilités Web publié sous licence GNU GPL v2.

Il permet de détecter la présence de failles courantes (injection SQL, XSS, inclusion de fichier, exécution de code ou de commande, etc.) sur les sites Internet et les applications Web via différents modules d’attaque. L’exploitation des failles remontées n’est pas gérée par le logiciel, l’utilisateur doit donc procéder à l’exploitation lui‐même ou s’en remettre à un logiciel spécifique (comme sqlmap pour les failles SQL).

Wapiti génère des rapports de vulnérabilités dans différents formats (HTML, texte, JSON, XML). C’est un outil en ligne de commande qui a peu de dépendances et s’installe facilement.

Full disclosure, c'est fini

Posté par  . Édité par Benoît Sibaud, palm123, Nils Ratusznik et tuiu pol. Modéré par Nils Ratusznik. Licence CC By‑SA.
48
20
mar.
2014
Sécurité

John Cartwright a annoncé la fermeture de la liste de diffusion Full disclosure. Cette liste était destinée à la publication de failles de sécurité et à la discussion sur ce sujet. Dans son message de fermeture, John Cartwright annonce qu'il en a marre des membres de la « communauté » qui demandent la modération d'anciens messages et pense que ça devient de plus en plus difficile de maintenir un forum ouvert dans le climat légal actuel.

La liste a été créée le 9 juillet 2002 par Len Rose, et était administrée par John Cartwright. Elle était sponsorisée par Secunia, une boîte de sécurité elle aussi créée en 2002.

Wikipédia cite trois failles 0 day révélées initialement sur cette liste concernant Microsoft Windows Help and Support Center en 2010, Apache HTTP Server en 2011 et la base de données Oracle en 2012. Une petite recherche sur LinuxFr.org en signale aussi une sur FreeBSD en 2009, parmi diverses autres failles évoquées touchant des logiciels libres ou non.

Éternelle question autour du « full disclosure », de la divulgation publique opposée à la sécurité par l'obscurité ? 2002, procès Kitetoa, 2004, procès Guillermito « C'est le procès du full-disclosure », 2004, adoption de la loi sur la confiance dans l'économie numérique en France « Quel avenir pour le full-disclosure en France ? » Etc., etc.

Un peu plus de sécurité sous Linux

Posté par  (site web personnel) . Édité par Benoît Sibaud, palm123, bubar🦥, Xavier Teyssier et NeoX. Modéré par tuiu pol. Licence CC By‑SA.
Étiquettes :
48
5
mar.
2015
Debian

Un problème qui revient souvent lorsqu'on débute sous (GNU/)Linux concerne la sécurité de sa machine, que ce soit un serveur ou un ordinateur de bureau. Faut il installer un antivirus ? un firewall ? et les malwares ? les mises à jour ? Des sauvegardes ? Mais mon ordi va bien non ?

Certain-e-s d'entre vous ont sans aucun doute des configurations intéressantes et/ou exotiques, n'hésitez pas à les partager, tous le monde en sortira gagnant.

Et donc, au programme de cet article (testé sur Debian Wheezy) :

  • Mises à jour : cron-apt et checkrestart
  • Sécurité
    • virus : clamav,
    • malwares maldet,
    • rootkits rkhunter, chkrootkit, lynis
    • vérification de l'intégrité des paquets : debsums
  • nettoyage : deborphan, …
  • backups

Journal Computrace, une backdoor pour votre plus grand bien

Posté par  . Licence CC By‑SA.
47
20
mai
2014

Bon journal ? En tout cas mauvaise nouvelle.

Il y a de ça quelques mois, la société Kaspersky découvre un logiciel malveillant installé sur au moins 2 millions d'ordinateurs.
Computrace se divise en 3 modules présents dans l'option ROM PCI qui est chargée ensuite par le BIOS de la machine.

Par la suite il est capable :

  • De sécuriser les données d'un parc de postes à distance
  • De déployer toujours à distance des mises à jour, des licences ou de lancer (…)

Journal Avant c'est trop cher, après c'est trop tard

Posté par  . Licence CC By‑SA.
47
7
avr.
2016

Vu que cette petite phrase semble parler à beaucoup de monde cela peut-être l'occasion d'en profiter pour partager ses expériences autour de cette thématique.

Pour ma part c'était principalement dans le domaine de la sécurité informatique.

Visite chez des prospects et proposition de test d'intrusion, audit de sécurité et mise en place d'une politique de sécurité.
Tu sens que le prospect te considère comme un gros parasite qui ne rêve que de lui piquer son pognon et de mettre des (…)

Du chiffrement et de la sécurité sur LinuxFr.org (statut au 24/11/2013)

Posté par  (site web personnel) . Édité par Nils Ratusznik et NeoX. Modéré par patrick_g. Licence CC By‑SA.
47
25
nov.
2013
LinuxFr.org

En ces temps de PRISM/NSA et autres grandes oreilles, et aussi parce que c'est techniquement intéressant, nous essayons d'avoir sur LinuxFr.org des configurations pertinentes au niveau sécurité (pour nos serveurs et pour vos données genre adresses de courriel). Vous trouverez ci-dessous un petit statut de l'existant et les pistes d'améliorations, et nous sommes bien entendu ouverts à vos propositions sur le sujet.

Au sommaire, d'abord un descriptif de ce qui est commun à nos différents serveurs, puis les spécificités de chacun et quelques questionnements pour ouvrir le sujet.

Journal SSL EV, étendue oui, validation euh...

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
47
28
déc.
2015

On va parler d’ingénierie sociale… Non, je plaisante, pour notre sujet ce niveau est trop élevé, on va juste parler de chaîne de validation rigolote.

Tout part d'un prix pas trop cher pour un SSL EV (parce que le EV, on on voit à tous les prix, du simple au sextuple facile) directement chez un vendeur qui gère la chaîne complète (pas un revendeur, mais bien un qui a son certificat racine dans les navigateurs, ps n'importe qui donc), j'avais (…)

HTTP Strict Transport Security

Posté par  (site web personnel) . Modéré par Lucas Bonnet. Licence CC By‑SA.
47
26
avr.
2011
Internet

HTTP Strict Transport Security, ou HSTS, est un brouillon de norme Internet qui propose une méthode pour augmenter la sécurité des sites web en apportant une solution à une faille courante située entre la chaise et le clavier.

Il s'agit pour les sites web sécurisés d'indiquer au navigateur qu'il doit systématiquement forcer l'accès en HTTPS.