Tout ou presque sur les logiciels libres, linux, protection de la vie privée... et aussi Humeur!

Aller au contenu | Aller au menu | Aller à la recherche

Mot-clé - Sécurité

Fil des billets - Fil des commentaires

vendredi 10 novembre 2017

Copier-Coller - Danger!

Copier-coller-danger sima78Suite à un petit message de Hoper sur notre mailing liste des membres Root66.net, j'ai décidé de faire un billet sur le sujet.

Rendre à César ce qui appartient à César.

Hoper:
L'un des points fort de Linux c'est la capacité d'absolument tout faire en ligne de commande. Cela permet de dépanner ou d'indiquer quoi faire à une personne assez facilement.
Bien sûr tout le monde dit et répète qu'il ne faut jamais copier/coller sans lire et comprendre au moins un minimum ce qu'on met dans le terminal.

Malheureusement, c'est encore pire que ça... Des petits farceurs peuvent sans problème dissimuler des commandes, rendant la technique du copier/coller encore plus dangereuse.
Un très bon exemple de dissimulation se trouve ici:
https://thejh.net/misc/website-terminal-copy-paste
(essayez de faire un copier/coller de la première ligne dans votre terminal)
Le copier/coller reste très utile. Mais: ...

Lire la suite...

Articles à lire sur des sujets Similaires

samedi 14 octobre 2017

Sauvegardes au quotidien - Rdiff-Backup et MySqlDump

rdiff-backup sauvegarde sima78J'avais déjà écrit un billet intitulé "Scripts de sauvegardes journalières et hebdomadaires" et un commentaire de Tetsumaki m'a donner à réfléchir.

Pourquoi je fais compliqué quand ont peut faire simple?

Soit, j'aime les scripts, et du coup il m'arrive de m'emballer et il fallait un disque de sauvegarde assez « gros »… Et j’ai décidé de regarder du côté de Rdiff-Backup. J’ai été séduit !

Je fais donc un nouveau billet sur le sujet de la sauvegarde sans pour autant supprimer l'autre...

Rdiff-Backup existe aussi pour Windows, je suppose qu'il doit exister une interface graphique , j'avoue ne pas avoir cherché puisque je m'en sert pour la sauvegarde d'un serveur, qui n'a pas d'interface graphique et de façon automatisée.

Bien entendu, une sauvegarde ne se fait pas sur une partition du disque dur, pas même sur un autre disque dur sur le même pc, mais sur un disque externe ou un pc distant...

Lire la suite...

Lire la suite...

Articles à lire sur des sujets Similaires

mercredi 15 mars 2017

Geneweb en service et https (suite)

geneweb https stunnel4

Alors bien entendu comme je l'avais dit dans un billet précédent, il suffit d'utiliser Geneweb comme un site lambda avec un script cgi...

Sauf que moi je ne souhaite pas l'utiliser ainsi mais en service, via un port dédié.
J'ai donc sur le sujet fait un tutoriel, je l'ai proposé sur une liste de diffusion (mailling list) dédiée à Geneweb. On m'a proposé de le publier sur le site dédié.

Comme je n'avais pas vraiment le temps j'ai juste envoyé une compilation de mes deux tutoriels "https sous Apache - Même à l'école je n'ai jamais eu un A" et "https pour autres ports ou services ex Geneweb - stunnel4".

Henri G. l'a mis en forme, publié sur le site de geneweb, il en a fait aussi la traduction en anglais, et mis un petit lien de renvoie en fin d'article qui me touche beaucoup.
Un mois plus tard JM fait également une proposition différente de la mienne sur la mailling list, et que je trouve aussi très intéressante.

Lire la suite...

Articles à lire sur des sujets Similaires

jeudi 26 janvier 2017

Protéger vos données personnelles en milieu professionnel

Vie privee en milieu profressionel

Votre hygiène numérique et le milieu professionnel.

Un billet tiré d'une anecdote qui remonte à plus de six mois, une amie qui venait de démissionner m'appelle:

Sima mon chef de service m'a demandé le mot de passe de mon ordinateur, je lui ai donné... Le souci, c'est que j'ai un dossier personnel, rien de bien grave ni compromettant, mais tout de même personnel. Et puis sur mon navigateur j'ai des favoris vers lesquels mes logins et mots de passe sont enregistrés...

Cette situation peut également arriver lors d'un congé maladie d'un employé.Voyons la suite...

Lire la suite...

Articles à lire sur des sujets Similaires

mercredi 11 janvier 2017

https pour autres ports ou services ex Geneweb - stunnel4

geneweb https stunnel4

Si vous avez une application avec un protocole ne supportant pas SSL, la solution est de l'encapsuler dans un tunnel SSL.
Bien entendu, il s'agit là d'un exemple, qui fonctionne chez-moi, n'hésitez pas à améliorer.

Geneweb en https

Depuis que mon serveur est en https, geneweb restait en http. Geneweb se lance sur mon serveur en service (il est son propre serveur) sur un port dédié. Une des solutions aurait été de l'installer sur /var/www/ avec un script CGI... Ce que je ne souhaitais pas.
Donc mon exemple s'applique à Geneweb, mais en cherchant sur le web, vous trouverez comment encapsuler d'autres protocoles tels que smtp, pop, vpn, imap...
Habituellement, on se connecte sur Geneweb en mode service sur le port 2317 (http://leserveur.net:2317) donc pas en https...

Voyons comment procéder...

Lire la suite...

Articles à lire sur des sujets Similaires

mercredi 4 janvier 2017

https sous Apache - Même à l'école je n'ai jamais eu un A

https sur serveur unbuntu facile

Depuis fin décembre le blog est enfin en accès https... Je devais le faire aux vacances de Pâques 2016, j'avais repoussé à juillet, puis aux vacances de la Toussaint.

Oui, je suis un fervent adepte de la procrastination, je suis de ceux qui remettent au sur-lendemain dans l'espoir qu'un autre le fera demain. Mais là, je dois me rendre à l'évidence, jamais personne ne le fera à ma place. Je l'ai donc fait entre Noël et le Jour de l'An.

Une fois fini, je fais un petit test sur SSL Server Test... Et là, j'ai un A!
Certains diront, et à raison, Let's Encrypt c'est pas non plus le top du top... Ok, mais m@rd@ alors! P#tain j'ai un A! Même à l'école j'ai jamais eu un A, alors laissez-moi savourer ce A.
Je vous mets la capture d'écran pour me la péter vous montrer et ensuite on passe à la configuration.

Lire la suite...

Articles à lire sur des sujets Similaires

mardi 22 novembre 2016

Effacer définitivement la mémoire ram et swap – secure-delete

effacer ram et swapsVous perdez votre ordinateur portable, vous êtes cambriolé et on vous vole votre PC… Vous avez chiffré vos disques ou partitions, c’est déjà une bonne protection pour vos données personnelles, contre l’usurpation d’identité et autres malveillances.

Poussez la protection un peu plus loin… Vous êtes paranoïaque, vous avez sans doute raison, quelqu’un d’aussi pointu que votre niveau de parano peut aller fouiller dans la RAM (mémoire vive), le swap, les clusters du/des disque(s)…

Quelques pistes.

Lire la suite...

Articles à lire sur des sujets Similaires

jeudi 21 juillet 2016

Arnaque sur smartphones et à qui profite les pétitions en ligne

News et paranoDeux alertes, elles ne viennent pas de moi, mais j'en fais le relais ! Deux alertes, suivez les liens pour en être informé !

Arnaque sur smartphones
Vous, vos enfants, vos amis avez un smartphone, soudain, vous avez un message d'alerte plus ou moins similaire à l'image ci-dessous… Si vous êtes parano comme moi, vous allez réinitialiser votre téléphone et repartir de "zéro". Si vous cliquez, vous vous retrouverez avec une facture téléphonique qui risque de dépasser l'entendement.

Pour bien comprendre, lire l'article que je souhaite relayer pour son importance (j'ai aussi pompé son image, mais il me pardonnera, j'espère).

Il s'agit d'androïde, mais on peut imaginer sur d'autres systèmes :
Sécurité des mobiles : anatomie d'une arnaque sur Android
Article très bien décrit par Philippe Macia.

arnaque_sous_android_12.jpg

À qui profitent les pétitions en ligne ?
J'ai toujours été dubitatif vis-à-vis les pétitions en ligne… Que valent les valeurs apportées à de telles signatures, certains signent parce qu'ils ont vu leurs amis des réseaux sociaux la signer, ils ont lu en diagonale, le titre plaît… Mais où est le véritable acte militant ? La pétition papier nécessite un engagement, enclenche le débat, le contact… À mon avis, 10 signatures papiers valent plus que 100 en ligne… Mais au-delà, que deviennent nos données ? Lors des pétitions en ligne, il faut mettre notre mail, nos noms et prénoms, voire notre adresse. Nos données ont une valeur… Lisez l'article :
Ce que valent nos adresses quand nous signons une pétition

Articles à lire sur des sujets Similaires

mardi 2 juin 2015

Crypsetup - Chiffrer la partition var

chiffrer partition varDéplacer la partition var dans une partition chiffrée

ATTENTION! La partition "var/" est solicitée très tôt au boot, la déplacer sans précaution sur une partition chiffrée, c'est vous assurer d'un plantage au démarrage... Sauvegardez et suivez les instructions sans sauter d'étape.

Ce billet est dans la catégorie "Serveur", mais on peut appliquer cette méthode à tout pc sous linux.

Partons d'un principe que vous ayez déjà une partition chiffrée nommée "d5" sur laquelle vous souhaitez déplacer le dossier "var" et tout ce qui s'y trouve… Étape par étape...

Pour en savoir plus sur le chiffrement de données allez faire un tour du côté de chez Hoper que je remercie!
Chiffrement-Theorie
Chiffrement-Pratique

Donc c'est fait! Vous avez une partition chiffrée prête à accueillir votre dossier "/var/"

Lire la suite...

Articles à lire sur des sujets Similaires

mercredi 27 mai 2015

LVM et cryptsetup partitioner et chiffrer un disque dur

lvm crypsetupJ'ai mis ce billet dans la catégorie serveur, mais en réalité cela s'applique à n'importe quel PC

Vous venez d'installer un disque supplémentaire sur votre pc.

Vous souhaitez le partitionner avec LVM (logical volume management ou gestion par volumes logiques) puis chiffrer les partitions avec Cryptsetup.

Prenons ici un disque dur de 1To et que l'on souhaite faire deux partitions qu'on nommera "donnees" et "save"

Vérifier les disques montés, et éviter de se tromper de disque. :)
Deux commandes utiles
sudo fdisk -l
sudo df -h

Lire la suite...

Articles à lire sur des sujets Similaires

mardi 19 mai 2015

https sur serveur unbuntu facile

https sur serveur unbuntu facileComment créer un accès https sur un serveur ubuntu 12.04.

Il s'agit d'un serveur LAMP (Linux, apache, Mysql, Php) ou autres...

Rapide, simple et efficace.

On active le module ssl, si ce n'est pas fait.

sudo a2enmod ssl

On redémarre apache:

sudo /etc/init.d/apache2 restart

ou

sudo service apache2 restart

Lire la suite...

Articles à lire sur des sujets Similaires

lundi 18 mai 2015

Fail2ban - Bloquer les requetes phpmyAdmin w00tw00t et dos avec mod_evasive

Fail2Ban bloquer les requêtesFail2ban ou comment bloquer les requêtes phpmyAdmin w00tw00t et dos avec mod_evasive

Élément essentiel pour sécuriser son serveur, Fail2ban permet d'éviter des intrusions via force-brute. Il se charge d'analyser les logs des services installés et bannit automatiquement et pour une durée déterminée un hôte via iptables en cas d’échecs de connexion après X tentatives.

Installer Fail2ban:

Lire la suite...

Articles à lire sur des sujets Similaires

dimanche 17 mai 2015

GnuPG - Signature électronique - chiffrer ses mails et pièces jointes

Chiffrer et déchiffrer des mails avec GnuPGLe but de ce billet n'est pas d'être un tutoriel GnuPG (pour cela, je donnerai, plus bas, plusieurs liens) mais plutôt d'essayer d'expliquer le principe de la signature électronique et de chiffrage avec GnuPG.

Bref ! Une initiation pour débutant en m'appuyant sur une présentation que j'avais fait, vous trouverez plus bas la présentation à télécharger.

À savoir!
Lorsque vous envoyez un courriel (mail), c'est comme si vous envoyez une carte postale. Il peut être lu par tout le monde et rien ne certifie l'expéditeur (pas même l'adresse mail de l'expéditeur sur l'en-tête du message, hé oui... Mais ce sera peut-être le sujet d'un autre billet). Imaginez s'il s'agit d'un courriel confidentiel... Il ne vous viendrait pas à l'idée d'envoyer une chaude déclaration d'amour par carte postale...

En utilisant régulièrement GnuPG (GPG) ou PGP, vous pourrez signer vos messages, vérifier les signatures des courriers que vous recevrez, envoyer des messages chiffrés... D'accord, mais comment ça fonctionne?

Les principes du chiffrage de mails, ce qu'est une signature électronique, chiffrer ses mails, pièces jointes... Chiffrer des fichiers pour soi... Alors lisez la suite...

Lire la suite...

Articles à lire sur des sujets Similaires

jeudi 14 mai 2015

Sécuriser un accès ssh sur un serveur

Sécurisé un accès ssh sur un serveurCréer un double accès ssh

L'idée de départ était de modifier le port d'écoute du ssh (Secure SHell) "port 22" pour mettre, par exemple, 6721 et interdire la connexion en "root", soit:

vi /etc/ssh/sshd_config

Et modifier les 2 linges suivantes "Port 22" et "PermitRootLogin yes" comme suit:

Port 6721
PermitRootLogin no

Vous pouvez vérifier avec la commande suivante:

grep Port /etc/ssh/sshd_config
#Port 22
Port 6721

Un ami, Emile C., pour ne pas le nommé m'a dit:

puisque tu te connectes toujours du même pc local et du même pc distant, pourquoi ne ferais-tu pas un double ssh avec restriction sur ip?

C'est donc parti pour un double ssh.

Lire la suite...

Articles à lire sur des sujets Similaires

mardi 12 mai 2015

Vie privée - mot de passe - justice

Doit-on donner notre mot de passeDoit-on donner notre mot de passe?


Pour préserver votre vie intime (vie privée) et par mesure de sécurité (en cas de vol de votre ordinateur et évité une usurpation d'identité ou autres) peut-être utilisez-vous un disque dur chiffré, un conteneur "TrueType" "VeraCrypt", des fichiers chiffrés sous "GnuPG", etc.


A ceux qui disent... (je l'ai trop souvent entendu):

  • "Pourquoi tout ça? Je n'ai rien à cacher!". Donnez votre disque dur à quelqu'un de mal intentionné, il vous démontrera l'inverse!
  • "Je n'ai rien à cacher, donc rien à me reprocher!" Or l'un n'a rien à voir avec l'autre. Vous ne souhaitez pas divulguer, les photos de famille en maillot de bain sur la plage, le premier bain de votre enfant, des copies de vos courriers avec votre dulcinée, des papiers bancaires, etc. sans avoir pour autant quoi que se soit à vous reprocher!

Et si c'est la police qui vous demande de donner votre mot de passe, qu'en est-il?

"Je ne suis ni juriste ni avocat, donc pas compétant pour vous conseiller. Je donne juste des pistes, mais aussi pose une interrogation."

Le code pénal dit que vous devez le donner : Article 434-15-2
Est puni de trois ans d'emprisonnement et de 45 000 euros d'amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.
Si le refus est opposé alors que la remise ou la mise en oeuvre de la convention aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets, la peine est portée à cinq ans d'emprisonnement et à 75 000 euros d'amende

Droit au silence :
En lisant un article sur le site Rue89 je découvre que La Cour européenne des droits de l’homme reconnaît à toute personne le droit de ne pas participer à sa propre incrimination.

Le code pénal pose tout de même un problème…

Par exemple, j'ai un disque dur qui me sert qu'à faire des tests de tous genres, un billet sur mon blog sur comment récupérer des fichiers involontairement effacés (finalement, j'avais un souci de docking j'ai fait ce billet en utilisant une carte SD "Récupérer des images effacées sur carte SD"), tester des distributions…. Il y a quelques mois, j'envisageais de faire un billet sur crypsetup en testant différents cyphers (j'ai abandonné l'idée du billet après en avoir lu d'autres très bien faits) ceci dit, mon disque dur reste dans l'état, chiffré, jusqu'au jour où j'en aurai un autre usage… Si on me demandait le mot de passe aujourd'hui, je serais bien embêté, je ne me souviens ni du dernier cypher utilisé ni du mot de passe… Et d'ailleurs, je m'en fiche complètement. Mais comment prouver sa bonne foi ?

Articles à lire sur des sujets Similaires

Suivre son serveur avec Logwatch

regardez vos logs avec logwatchInstaller et configurer Logwatch

Pourquoi plutôt logwatch qu'une autre application de surveillance?

Je trouve logwatch très explicite, facile à configurer, simple et agréable à lire, il livre les logs bien structurés sous forme de chapitres, bref, pas besoin d'être un pro de la sécurité pour déchiffrer les logs... Qu'on peut recevoir par mail.

Logwatch sur ubuntu 14.04 server

Lire la suite...

Articles à lire sur des sujets Similaires