Forum Linux.général liste des fichiers linux à "sécuriser" (owner:group, permissions, setuid/setgid, sticky bit)

Posté par  . Licence CC By‑SA.
Étiquettes :
1
23
juil.
2023

Bonjour,
J'ai cherché sur les moteurs de recherche et demandé à chatgpt, mais je ne trouve pas une liste "générique" de fichiers à vérifier sous linux pour des questions de sécurité.

J'entend par sécurité notamment le fait que si un utilisateur accède à l'os avec un utilisateur non root, qu'il ne puisse pas faire n'importe quoi.

Jai trouvé ce lien qui est pas mal : https://refspecs.linuxfoundation.org/FHS_3.0/fhs-3.0.html mais il n'y a pas tout, des commandes aussi basiques que useradd/adduser, groupadd/addgroup ou (…)

Décès de Kevin Mitnick

Posté par  (site web personnel, Mastodon) . Édité par Florent Zara et Benoît Sibaud. Modéré par Julien Jorge. Licence CC By‑SA.
Étiquettes :
47
21
juil.
2023
Sécurité

Kevin Mitnick est mort le 16 juillet 2023. Légende dans le monde de la sécurité informatique. Il est connu pour avoir entre autre popularisé les techniques d'ingénierie sociale, un moyen d'obtenir des accès ou des informations basé non pas sur une exploitation de vulnérabilités techniques, mais sur le comportement humain.

Il fut aussi propulsé sur le devant de la scène médiatique en étant pendant deux ans en fuite, recherché par le FBI. Durant cette cavale il s'attirera le 25 décembre 1994 les foudres de Tsutomu Shimomura, en piratant une des machines de l'expert américano-japonais grâce à une technique d'IP spoofing, jusque-là inutilisée. L'arrestation et l'incarcération furent suivis par le mouvement de soutien « Free Kevin ».

Après sa libération, il a mis à profit ses talents en tant que consultant en sécurité des systèmes d'information et fondé sa propre entreprise, Mitnick Security Consulting. Il a aussi co-écrit un total de quatre ouvrages. Parmi ceux-ci, on retrouve sa biographie, Ghost in the Wires: My Adventures as the World's Most Wanted Hacker, dans laquelle il revient sur ses années de cavale et livre sa version des faits, s'opposant à celle de John Markoff et Tsutomu Shimomura.

Repose en paix, Kevin !

Journal Kevin Mitnick bronsonisé

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
Étiquettes :
29
20
juil.
2023
Ce journal a été promu en dépêche : Décès de Kevin Mitnick.

Cher journal,

j'apprends avec énormément de tristesse le départ de Kevin Mitnick. Légende dans le monde de la sécurité informatique, il est connu pour avoir entre autre popularisé les techniques d'ingéniérie sociale, un moyen d'obtenir des accès ou des informations basé non pas sur une exploitation de vulnérabilités techniques, mais sur le comportement humain.

Il fut aussi propulsé sur le devant de la scène médiatique en étant pendant deux ans en fuite, recherché par le FBI. L'arrestation (…)

Journal Vous hébergez un serveur Mastodon ? Mettez-le à jour !

Posté par  (site web personnel, Mastodon) .
Étiquettes :
20
10
juil.
2023

Si vous avez un serveur Mastodon qui traine quelque part, vous devez le mettre à jour au plus vite, en version 3.5.9, 4.0.5 ou 4.1.3 selon votre branche.

Ces versions corrigent quatre failles :

  1. https://nvd.nist.gov/vuln/detail/CVE-2023-36462 de sévérité 5.4 (ça va encore) ;
  2. https://nvd.nist.gov/vuln/detail/CVE-2023-36461 de sévérité 7.5 (ça commence à pouvoir poser problème) ;
  3. https://nvd.nist.gov/vuln/detail/CVE-2023-36459 de sévérité 9.3 (argh) ;
  4. Mais surtout https://nvd.nist.gov/vuln/detail/CVE-2023-36460 de sévérité 9.9 qui permet de faire du déni de service ou de l’exécution de code arbitraire, à (…)

Forum général.général Piratage site web

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
11
26
juin
2023

Bonjour à tous,

J'ai eu la désagréable surprise de voir que le site dont je m'occupe a été piraté.
Je suis chez un hébergeur mutualisé et j'avais plusieurs mini-site et un site principale sur cet espace.

Me demandant si l'attaquant, content de son exploit pourrait me laisser tranquille, j'ai restauré une sauvegarde datant de quelques jours avant l'attaque où je ne voyais pas de traces évidentes de l'intrusion. Ayant auparavant sauvegarder les fichiers douteux…

J'ai désactivé les tous comptes FTP (…)

Journal Les banques et l'authentification à deux facteurs

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
10
13
juin
2023

Comme vu récemment, les banques sont dans l'obligation d'implémenter une authentification à deux facteurs pour certains trucs. Je n'ai pas très bien compris pour quels trucs, mais bref, ça s'applique visiblement pour certains achats en ligne et pour certains opérations particulières comme par exemple l'ajout de bénéficiaires de virement. Je crois que ça dépend des banques.

Pour rappel, l'authentification à deux facteurs consiste à demander à l'usager deux types de preuves de son identité, parmi trois types : une connaissance (…)

Journal Ma Sécurité

Posté par  . Licence CC By‑SA.
Étiquettes :
13
7
juin
2023

Le ministère de l'intérieur fait la promotion, via les mairies, de sa nouvelle application Ma Sécurité. Une bonne initiative, améliorable puisque cette application contient un mouchard Google.
https://play.google.com/store/apps/details?id=com.masecuriteapp
https://reports.exodus-privacy.eu.org/fr/reports/search/com.masecuriteapp/