Journal Dédier une clé SSH au rebond sur un serveur

Posté par  (site web personnel) . Licence CC By‑SA.
42
8
déc.
2023

Bonjour nal,

Pour du développement, j'ai besoin d'administrer en SSH un serveur cible accessible depuis un serveur bastion. Dans ce document, j'explique comment dédier une clé SSH pour se connecter au bastion sans que cette clé ne puisse servir à rien d'autre qu'à rebondir vers d'autres serveurs.

On va parler de plein d'autres choses avant d'arriver au résultat.

Rebondir avec ProxyJump

On connaît l'option -J de SSH (ou ProxyJump dans ~/.ssh/config) qui permet de faire ça simplement (…)

Journal Predator files : surveillez les logs Certificate transparency sur vos domaines

34
7
oct.
2023

Le 5 octobre, le réseau de médias European Investigative Collaborations a publié les Predator Files (en), documentant la commercialisation d'outil de piratage et de cybersurveillance à destination d'états ou d'autorités pas toujours démocratiques, par l'Alliance Intellexa, animée notamment par l'entreprise française Nexa, le nouveau nom d'Amesys, mise en examen pour complicité de torture suite à la vente de logiciels espions au gouvernement de Mouammar Kadhafi il y a plus de 10 ans maintenant.

Dans le premier document d'analyse (en), le (…)

Journal Multiples vulnérabilités dans exim4 (alerte de sécurité CERT-FR)

Posté par  (site web personnel) . Licence CC By‑SA.
14
3
oct.
2023

Le CERT-FR a publié hier l'alerte CERTFR-2023-ALE-010 invitant à mettre à jour l'agent email exim (si ça n'est pas fait automatiquement) et à mettre en place des mitigations si on est concerné par les failles non corrigées.

Exim4 est un agent mail qui permet d'envoyer et de recevoir des mails.

Les avis publiés par Zero Day Initiative contiennent assez peu d'informations et font peur : 23-1468, 23-1469, 23-1470, 23-1471, 23-1472 et 23-1473

La documentation officielle ( (…)

Journal Déchiffrement de disque racine avec carte à puce GPG sous Debian

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
31
9
fév.
2022

Une installation standard de Debian permet de déchiffrer son disque / au démarrage à l'aide d'une carte à puce GPG (type yubikey, nitrokey, librem key ou autre). Ce journal vise à mettre en avant cette option méconnue.

Configuration

En partant d'une installation Debian standard avec chiffrement (le disque / est alors placé sous /dev/sda5, le déverrouillage se fait initialement par mot de passe), il faut modifier le fichier /etc/crypttab :

sda5_crypt UUID=... /etc/cryptsetup-initramfs/root_key.asc luks,discard,keyscript=/lib/cryptsetup/scripts/decrypt_gnupg-sc

Il faut ensuite (…)

Journal Durcir nginx et PHP avec systemd

Posté par  (site web personnel) . Licence CC By‑SA.
55
3
fév.
2022

Dans une installation Linux-nginx-PHP classique, on a:

  • systemd qui doit orchestrer les services et s'exécute en root (inévitable)
  • nginx qui reçoit les les requêtes web et les répartit, notamment vers php-fpm. Il fonctionne avec un processus maître qui fonctionne en root pour se mettre en écoute sur le port 443 et des workers, non privilégiés, qui traitent les requêtes
  • php-fpm qui tourne sous root, reçoit les requêtes vers des scripts PHP de la part de nginx et les répartit vers (…)

Journal SQL Server sous Linux : enjeux de sécurité

Posté par  (site web personnel) . Licence CC By‑SA.
42
16
mar.
2021

TL;DR: Avec Microsoft SQL Server, la sécurité est une option. Et une option payante.

Microsoft aime Linux, nous dit-il, et il nous permet maintenant d'installer nativement son serveur de base de données SQL Server (cf. cette vidéo technique pour comprendre comment ils on fait le portage). Seulement, la configuration par défaut n'est pas sécurisée du tout. Petite revue de quelques éléments à rectifier quand vous installez et utilisez SQL Server. La plupart de ces conseils sont aussi valables (…)

Journal Assurer la sécurité informatique sur le modèle de la sécurité alimentaire

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
12
2
fév.
2021

En regardant ce qui permet aux attaquants de réussir à pénétrer ou altérer des systèmes informatiques, on constate qu'une des causes principales est l'utilisation de logiciels ou technologies obsolètes. Nous, développeurs et administrateurs, savons identifier les outils trop vieux et plus assez sécurisés, donc dangereux, mais cette culture est difficilement partagée avec les utilisateurs et décideurs.

Pour pallier à ce problème, je propose qu'on se mette à utiliser deux outils simples et efficaces en matière de sécurité alimentaire :

Journal Repartitionnement d'un disque distant à chaud

Posté par  (site web personnel) . Licence CC By‑SA.
20
30
avr.
2020

Quelques outils pratiques pour repartitionner à distance un disque dur en minimisant l'interruption de service : losetup, rsync --copy-devices et dd.

Le problème

  1. j'ai récemment dû installer un serveur dans le cloud un peu rapidement.
  2. du coup, j'ai foiré le partitionnement et j'ai utilisé tout un disque pour une partition (en faisant mkfs.ext4 /dev/sdb) : pas de table de partition, pas de LVM donc aucune flexibilité, pas de sauvegarde "propre" possible (instantanés lvm ou btrfs ou autre).

(…)

Journal Les clients graphiques FTP par défaut sous Debian ne gèrent pas TLS/SSL

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
2
11
juil.
2017

Ce matin, j'ai été surpris de constater que lorsqu'on se connecte à un serveur FTP distant via gvfs (donc via Nautilus, PCManFM, …), le chiffrement TLS n'est pas pris en charge. Conséquence : les identifiants et les données sont transmis en clair sur le réseau. La commande suivante permet de le vérifier :

$ sudo tcpdump "port 21" -vvv

Plutôt attentif à la sécurité et étant sous Debian stable, je suis surpris de constater que TLS/SSL n'est pas activé par (…)

Journal Diplomatie, faux-site : et la neutralité ?

Posté par  (site web personnel) .
Étiquettes : aucune
6
23
juil.
2010
Bonjour journal,

Certains médias se sont fait récemment l'écho de la supercherie du CRIME (Comité pour le Remboursement Immédiat des Milliards Envolés d'Haïti), qui a monté une réplique du site www.diplomatie.gouv.fr à l'addresse diplomatiegov.fr . La réplique n'était pas parfaite, puisque sur le site du CRIME, on pouvait lire un communiqué annonçant le remboursement par la France de l'argent extorqué à Haïti en 1825, au moment de la décolonisation (en préjudice du dommage commercial subi), dette qui a pesé sur (…)

Journal Informatique fondamentale : chemins dans un graphe

Posté par  (site web personnel) .
Étiquettes : aucune
8
17
juil.
2009
Bonjour,

Après trois années de prépa maths, j'ai passé quelques concours, dont celui d'informatique de l'ENS (ça s'est bien passé), pour lequel on a une épreuve d'informatique fondamentale.
Voici l'extrait de l'énoncé (la seule partie que j'ai traitée) :

« On définit un graphe orienté comme un ensemble de points (sommets) et un ensemble de couples de points (arêtes orientées). Un chemin est une suite d'arêtes telles que l'origine d'une arête soit toujours l'extrémité de la précédente. On suppose que (…)

Journal Militer pour le cryptage des mails

Posté par  (site web personnel) .
Étiquettes : aucune
0
16
juil.
2008
Bonjour,

Nous sommes tous conscients des problèmes que pose la création du fichier Edvige, dont le décret est paru récemment au JO, et nous avons bien entendu signé la pétition pour s'opposer à ce décret.

Seulement, j'ai des doutes sur l'utilité de cette pétition, et je crains que toutes les manifestations contre ce décret soient vouées à l'échec (ce qui ne veut pas dire qu'il ne faut pas les tenter, loin de là). À ce propos, il semblerait que (…)

Journal Vidéo-surveillance : sécurité ou menace ?

Posté par  (site web personnel) .
Étiquettes : aucune
0
11
avr.
2008
Les dérives sécuritaires de ces derniers temps me font peur : fichage ADN, RFID, flicage massif, vidéo-surveillance, etc. J'estime que ces systèmes sont dangereux, et peuvent causer plus de problèmes qu'ils n'en résolvent, notamment au sujet de la vie privée. Je suis donc fermement opposé à tout ces systèmes, estimant qu'ils peuvent remettre en cause certains principes de notre démocratie, et qu'ils présentent un effroyable danger s'ils étaient mis entre de mauvaises mains (et nous ne savons pas qui sera (…)

Journal RedHat discute avec Microsoft

Posté par  (site web personnel) .
Étiquettes : aucune
0
5
juil.
2007
Un sujet aussi trollesque que celui-là, et personne ici n'en parle ? Mais que devient LinuxFR ? Microsoft et Red Hat assis à la même table pour parler intéropérabilité, c'est pas rien !

C'est ce que rapporte un récent article d'eweek. L'information est importante : que va-t-il ressortir de cette discussion ? Ce n'est certes pas un pacte avec le diable[1] (de la même nature que l'accord avec Novell), car la propriété intellectuelle n'est apparemment pas concernée par ces discussions, (…)