Salut à toi, moustachu du LDAP,
Sais-tu comment protéger un serveur OpenLDAP des attaques par dictionnaire ou par brute force.
Autrement dit, existe-il un moyen :
- d'interdire les requètes pendant un certain temps au bout de plusieurs erreurs ?
- de limiter la fréquence des requètes ?
Merci d'avance,
Librement
Deux histoires d'informatique à l'hôtel traduites en français :
Bonjour à tous :)
Pour mon premier journal, je viens vous présenter la conférence que nous organisons au sein de notre école, l'ESIEA, sur le thème de la sécurité informatique, intitulée ESE 2016 (ESIEA Secure Edition 2016).
C'est actuellement la quatrième édition, et elle est intégralement pilotée par des élèves de l'école passionnés par la sécurité informatique sous toutes ses formes. Dans la lignée de ses grandes soeurs comme la journée SSTIC ou les RMLL-Sec, c'est une conférence (...)
Salut les gens!
Une faille a été découverte dans ImageMagick, permettant l’exécution de code caché dans une image mal-formée.
Ça concerne principalement les personnes qui babysit des serveurs accessibles au public et qui permettent l’upload d’images.
Et il semble que le bug soit déjà bien connu, voir peut être même déjà exploité!
Il y a une méthode pour contenir la chose, publiée par l’équipe d’ImageMagick, en attendant le correctif qui devrait venir en fin de semaine.
Bonjour à tous,
Je poste ce message afin de vous présenter mon site internet.
J’ai très récemment créé un site web autour du monde de Linux en général et plus particulièrement autour de la sécurité informatique.
Ce site a pour but d’en apprendre un peu plus sur le monde de Linux et de la sécurité informatique à nos visiteurs grâce au partage de projets réalisés en cours ou lors de sessions de recherches personnelles.
Deux amis et moi-même nous chargeons (...)
Inverse annonce la sortie de la version 6 de PacketFence. PacketFence est une solution de conformité réseau (NAC) entièrement libre (GPL v2), supportée et reconnue. Procurant une liste impressionnante de fonctionnalités, telles qu’un portail captif pour l’enregistrement ou la remédiation, une gestion centralisée des réseaux filaire et sans fil, le prise en charge du 802.1X, l’isolation niveau 2 des composantes problématiques, l’intégration au détecteur d’intrusions Snort et au détecteur de vulnérabilités Nessus — elle peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.
La version 6 de PacketFence apporte de nombreuses améliorations telles une refonte complète du portail captif, la prise en charge de CentOS/RHEL 7 et Debian 8, FreeRADIUS 3 ainsi qu’un lot important d’optimisations de la performance de la solution.
La licence professionnelle ADSILLH ouvre ses portes à l'Université de Bordeaux à la rentrée 2016 !
Il en avait déjà été question les années passées, et elle n'avait pas pu ouvrir, mais cette fois-ci c'est la bonne !
Cette licence vise à former les étudiants à intégrer des logiciels libres et hybrides en un ensemble cohérent répondant aux besoins des entreprises, un système d'information complet par exemple. Il s'agit également de s'impliquer dans les communautés de développeurs de logiciels libres, pour remonter les bugs, corriger les bugs, contribuer des fonctionnalités (c'est tout l'objet du projet tuteuré).
On savait que les miniurls étaient déjà un risque pour la pérennité des liens hypertextes : un service qui tombe et c'est des millions de lien mort. Maintenant des chercheurs ont brute-forcé les principaux services et ont récupéré pas mal d'informations sensibles.
Bref, ces services sont à éviter. Perso, je pense que les vrais responsables sont les devs webs avec leurs mauvaises manières qui génèrent des urls de 1500 caractères.
L'article : http://www.silicon.fr/hyperlien-court-mini-taille-mais-maxi-risque-de-securite-145076.html
Vu que cette petite phrase semble parler à beaucoup de monde cela peut-être l'occasion d'en profiter pour partager ses expériences autour de cette thématique.
Pour ma part c'était principalement dans le domaine de la sécurité informatique.
Visite chez des prospects et proposition de test d'intrusion, audit de sécurité et mise en place d'une politique de sécurité.
Tu sens que le prospect te considère comme un gros parasite qui ne rêve que de lui piquer son pognon et de mettre des (...)
Dans un courrier envoyé à l'ensemble de ses hébergés, TuxFamily.org propose une approche novatrice pour promouvoir les mises à jour de vos sites web hébergés, notamment du point de vue des failles de sécurité corrigées dans des versions plus récentes des produits que vous avez mis en ligne.
TuxFamily.org est un hébergeur de projets libres proposant des gestionnaires de version pour le code (git, svn… même si certains sont encore sur cvs o_O), espace web permettant de mettre en place forum / wiki / CMS / ce que vous voulez, espaces de téléchargement de 1 Go mais pouvant être augmenté à la demande.
À ce titre, l'équipe de joyeux mythos^W^W^Wde modérateurs et admins dévoués de TuxFamily veut mettre en place dans les prochains jours un système rappelant les bienfaits d'avoir un site à jour avec votre CMS / framework préféré, dans un contexte d'état d'urgence pour éviter les failles qui traîneraient dans de vieilles versions.
À titre expérimental, un exemple est donné sur certains sites sélectionnés(*) avant un déploiement plus général : vous avez de l'ordre d'un mois pour actualiser, avant mise en place effective. Sinon, vous aurez à subir la présence (l'omniprésence) de la trombine d'un des membres de l'équipe si votre site n'a pas été mis à jour : concrètement, elle apparaîtra sur toutes les pages de votre site et suivra le curseur de votre souris (oui, oui, c'est joueur).
Que pensez-vous de cette initiative ?
Bonjour,
Je travaille dans une petite association et depuis quelques jour des bénévoles qui s'inscrivent sur notre site reçoivent des emails frauduleux les invitants à renvoyer des informations personnelles.
Notre site Web s'appuie sur 2 frontaux APACHE et une bases MySQL.
Savez vous comment je peux détecter des piratages de notre base de données?
Est-ce qu'il y a une possibilité d'obtenir les logs des requêtes Mysql effectuées depuis 20 jours avec l'adresse IP qui a envoyé ces requêtes et la (...)
Root-me est un MOOC (Massive Open Online Course) de sécurité informatique. Root Me permet à chacun de tester et d’améliorer ses connaissances dans le domaine de la sécurité informatique et du hacking. Cette communauté met librement à disposition une plateforme dédiée à l’apprentissage du ethical hacking.
Pour répondre aux fortes demandes des entreprises, notamment pour des challenges inter-entreprises et d'autres spécificités, Root-me.pro est né :
LemonLDAP::NG est un logiciel libre d'authentification unique (SSO), contrôle d'accès et fédération d'identités. La version 1.9.0 a été publiée le 2 mars 2016.
LemonLDAP::NG est écrit en Perl et publié sous licence GPL. Cette nouvelle version majeure apporte de grands changements au logiciel comme le support OpenID Connect, une nouvelle interface d'administration et la compatibilité Nginx.
La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.
La version 1.10 de Docker est sortie la semaine dernière et apporte de nombreuses fonctionnalités intéressantes. La fonctionnalité la plus intéressante est sans aucun doute l'ajout des Users Namespaces.
Les namespaces permettent de créer des groupes de processus isolés du reste de la machine, c'est l'outil de base pour création des containers sous Linux.
Docker supportait déjà la plupart des namespaces:
