Mot-clé - Sécurité

Fil des billets - Fil des commentaires

mercredi, septembre 22 2021

Humeur – Sentiment de solitude avec GnuPG

René Magritte sima78, janv. 2018
René Magritte sima78

Humeur – Sentiment de solitude avec GnuPG

Je n’envisageais pas écrire un billet sur le sujet. Faire un Tuto sur GnuPG ? Certains en ont fait d’excellents et je ne vois pas ce que je peux y ajouter.

C’est un billet de ChezIceman "Tuto - Le mail sécurisé c'est pas si facile, sauf si…" qui m’a décidé de parler de mon expérience.

J’utilise GnuPG depuis déjà un certain temps.

J’ai plusieurs PC, tous sous linux, j’utilise sur tous GNOME Evolution (bah oui, j’aime bien) comme messagerie sauf sur l’un sur lequel j’utilise Thunderbird, car le pc a moins de ressource et Thunderbird est moins lourd qu’évolution… Me semble-t-il.

Lire la suite

dimanche, juillet 7 2019

Iptables - insserv: warning: script 'moniptables' missing LSB tags and overrides

Ces derniers temps j'avais le message suivant: insserv: warning: script 'moniptables' missing LSB tags and overrides Ceci-dit, cela n'empêchait pas de fonctionner. Je jette un oeil sur l'entête: $ more /etc/init.d/moniptables | less #!/bin/bash ## BEGIN INIT INFO # Provides:          moniptables #  […]

Lire la suite

Billets connexes

dimanche, mars 24 2019

Ghidra - La NSA libère son outil de rétro-ingénierie

ghidra sima78 logoDe temps en temps, quand ils s’ennuient à espionner, l'"intelligence agency" les agences de renseignements des États-Unis nous permettent de jeter un œil à certains de leurs jouets. Par exemple, le logiciel Ghidra, qui peut intéresser des experts en "reverse engineering" Rétro-Ingénierie et sécurité informatique.

Écrit en langage de programmation Java, il est distribué, sous forme incomplète mais sous licence libre Apache 2.0. De plus il est gratuit, ce qui en fait une alternative intéressante à IDA Pro, un programme fermé et pas vraiment bon marché.

Lire la suite

Billets connexes

vendredi, janvier 26 2018

Bien choisir son suffixe au nom de domaine

Toute l'attention sur le suffixe du nom de domaine. Le suffixe du nom de domaine ne se choisi pas à la légère et ne sert pas qu'à faire joli, rigolo ou original. Vous savez c'est le fameux ".truc" qui termine le nom de domaine, les .fr, .com, .net, .radio, bref, vous m'avez compris et je  […]

Lire la suite

Billets connexes

vendredi, novembre 10 2017

Copier-Coller - Danger!

Copier-coller-danger sima78Suite à un petit message de Hoper sur notre mailing liste des membres Root66.net, j'ai décidé de faire un billet sur le sujet.

Rendre à César ce qui appartient à César.

Hoper:
L'un des points fort de Linux c'est la capacité d'absolument tout faire en ligne de commande. Cela permet de dépanner ou d'indiquer quoi faire à une personne assez facilement.
Bien sûr tout le monde dit et répète qu'il ne faut jamais copier/coller sans lire et comprendre au moins un minimum ce qu'on met dans le terminal.

Malheureusement, c'est encore pire que ça... Des petits farceurs peuvent sans problème dissimuler des commandes, rendant la technique du copier/coller encore plus dangereuse.
Un très bon exemple de dissimulation se trouve ici:
https://thejh.net/misc/website-terminal-copy-paste
(essayez de faire un copier/coller de la première ligne dans votre terminal)
Le copier/coller reste très utile. Mais: ...

Lire la suite

Billets connexes

samedi, octobre 14 2017

Sauvegardes au quotidien - Rdiff-Backup et MySqlDump

rdiff-backup sauvegarde sima78J'avais déjà écrit un billet intitulé "Scripts de sauvegardes journalières et hebdomadaires" et un commentaire de Tetsumaki m'a donner à réfléchir.

Pourquoi je fais compliqué quand ont peut faire simple?

Soit, j'aime les scripts, et du coup il m'arrive de m'emballer et il fallait un disque de sauvegarde assez « gros »… Et j’ai décidé de regarder du côté de Rdiff-Backup. J’ai été séduit !

Je fais donc un nouveau billet sur le sujet de la sauvegarde sans pour autant supprimer l'autre...

Rdiff-Backup existe aussi pour Windows, je suppose qu'il doit exister une interface graphique , j'avoue ne pas avoir cherché puisque je m'en sert pour la sauvegarde d'un serveur, qui n'a pas d'interface graphique et de façon automatisée.

Bien entendu, une sauvegarde ne se fait pas sur une partition du disque dur, pas même sur un autre disque dur sur le même pc, mais sur un disque externe ou un pc distant...

Lire la suite...

Lire la suite

Billets connexes

mercredi, mars 15 2017

Geneweb en service et https (suite)

geneweb https stunnel4

Alors bien entendu comme je l'avais dit dans un billet précédent, il suffit d'utiliser Geneweb comme un site lambda avec un script cgi...

Sauf que moi je ne souhaite pas l'utiliser ainsi mais en service, via un port dédié.
J'ai donc sur le sujet fait un tutoriel, je l'ai proposé sur une liste de diffusion (mailling list) dédiée à Geneweb. On m'a proposé de le publier sur le site dédié.

Comme je n'avais pas vraiment le temps j'ai juste envoyé une compilation de mes deux tutoriels "https sous Apache - Même à l'école je n'ai jamais eu un A" et "https pour autres ports ou services ex Geneweb - stunnel4".

Henri G. l'a mis en forme, publié sur le site de geneweb, il en a fait aussi la traduction en anglais, et mis un petit lien de renvoie en fin d'article qui me touche beaucoup.
Un mois plus tard JM fait également une proposition différente de la mienne sur la mailling list, et que je trouve aussi très intéressante.

Lire la suite

Billets connexes

jeudi, janvier 26 2017

Protéger vos données personnelles en milieu professionnel

Vie privee en milieu profressionel

Votre hygiène numérique et le milieu professionnel.

Un billet tiré d'une anecdote qui remonte à plus de six mois, une amie qui venait de démissionner m'appelle:

Sima mon chef de service m'a demandé le mot de passe de mon ordinateur, je lui ai donné... Le souci, c'est que j'ai un dossier personnel, rien de bien grave ni compromettant, mais tout de même personnel. Et puis sur mon navigateur j'ai des favoris vers lesquels mes logins et mots de passe sont enregistrés...

Cette situation peut également arriver lors d'un congé maladie d'un employé.Voyons la suite...

Lire la suite

Billets connexes

mercredi, janvier 11 2017

https pour autres ports ou services ex Geneweb - stunnel4

geneweb https stunnel4

Si vous avez une application avec un protocole ne supportant pas SSL, la solution est de l'encapsuler dans un tunnel SSL.
Bien entendu, il s'agit là d'un exemple, qui fonctionne chez-moi, n'hésitez pas à améliorer.

Geneweb en https

Depuis que mon serveur est en https, geneweb restait en http. Geneweb se lance sur mon serveur en service (il est son propre serveur) sur un port dédié. Une des solutions aurait été de l'installer sur /var/www/ avec un script CGI... Ce que je ne souhaitais pas.
Donc mon exemple s'applique à Geneweb, mais en cherchant sur le web, vous trouverez comment encapsuler d'autres protocoles tels que smtp, pop, vpn, imap...
Habituellement, on se connecte sur Geneweb en mode service sur le port 2317 (http://leserveur.net:2317) donc pas en https...

Voyons comment procéder...

Lire la suite

Billets connexes

mercredi, janvier 4 2017

https sous Apache - Même à l'école je n'ai jamais eu un A

https sur serveur unbuntu facile

Depuis fin décembre le blog est enfin en accès https... Je devais le faire aux vacances de Pâques 2016, j'avais repoussé à juillet, puis aux vacances de la Toussaint.

Oui, je suis un fervent adepte de la procrastination, je suis de ceux qui remettent au sur-lendemain dans l'espoir qu'un autre le fera demain. Mais là, je dois me rendre à l'évidence, jamais personne ne le fera à ma place. Je l'ai donc fait entre Noël et le Jour de l'An.

Une fois fini, je fais un petit test sur SSL Server Test... Et là, j'ai un A!
Certains diront, et à raison, Let's Encrypt c'est pas non plus le top du top... Ok, mais m@rd@ alors! P#tain j'ai un A! Même à l'école j'ai jamais eu un A, alors laissez-moi savourer ce A.
Je vous mets la capture d'écran pour me la péter vous montrer et ensuite on passe à la configuration.

Lire la suite

Billets connexes

mardi, novembre 22 2016

Effacer définitivement la mémoire ram et swap – secure-delete

effacer ram et swapsVous perdez votre ordinateur portable, vous êtes cambriolé et on vous vole votre PC… Vous avez chiffré vos disques ou partitions, c’est déjà une bonne protection pour vos données personnelles, contre l’usurpation d’identité et autres malveillances.

Poussez la protection un peu plus loin… Vous êtes paranoïaque, vous avez sans doute raison, quelqu’un d’aussi pointu que votre niveau de parano peut aller fouiller dans la RAM (mémoire vive), le swap, les clusters du/des disque(s)…

Quelques pistes.

Lire la suite

Billets connexes

jeudi, juillet 21 2016

Arnaque sur smartphones et à qui profite les pétitions en ligne

Deux alertes, elles ne viennent pas de moi, mais j'en fais le relais ! Deux alertes, suivez les liens pour en être informé ! Arnaque sur smartphones Vous, vos enfants, vos amis avez un smartphone, soudain, vous avez un message d'alerte plus ou moins similaire à l'image ci-dessous… Si vous êtes  […]

Lire la suite

Billets connexes

mercredi, juin 3 2015

Changer son adresse MAC sous linux

changer son adresse MAC sous linux avec MacChangerTesté sur ubuntu 14.04

C'est quoi une adresse MAC ?

L'adresse MAC (Media Access Control address) est un identifiant, codé sur 6 octets en hexadécimales (base16). Cette adresse est censée être unique et propre à chaque carte ou périphérique réseau. Exemple d'adresse MAC : 00:1a:92:a8:55:ff

Pour en savoir plus sur ce qu'est une adresse MAC.

Pourquoi changer son adresse MAC ?

Si par exemple un serveur ou hotspots fait du filtrage MAC et vous vous êtes fait blacklister de façon incompréhensible et vous souhaitez vous reconnecter... Changer l'adresse MAC peut être une solution... C'est aussi une solution à d'autres obstacles.

Plusieurs façons de changer votre adresse MAC.

Une façon simple est de le faire à la main :

# ifconfig eth1 hw ether 00:0c:bc:b5:68:6e

Mais avec macchanger on peut faire plus...
Pour modifier l'adresse MAC nous allons faire appel au programme macchanger.
S'il n'est pas installé : apt-get install macchanger

Une fois installé, voyons les options

Lire la suite

Billets connexes

mardi, juin 2 2015

Crypsetup - Chiffrer la partition var

chiffrer partition varDéplacer la partition var dans une partition chiffrée

ATTENTION! La partition "var/" est solicitée très tôt au boot, la déplacer sans précaution sur une partition chiffrée, c'est vous assurer d'un plantage au démarrage... Sauvegardez et suivez les instructions sans sauter d'étape.

Ce billet est dans la catégorie "Serveur", mais on peut appliquer cette méthode à tout pc sous linux.

Partons d'un principe que vous ayez déjà une partition chiffrée nommée "d5" sur laquelle vous souhaitez déplacer le dossier "var" et tout ce qui s'y trouve… Étape par étape...

Pour en savoir plus sur le chiffrement de données allez faire un tour du côté de chez Hoper que je remercie!
Chiffrement-Theorie
Chiffrement-Pratique

Donc c'est fait! Vous avez une partition chiffrée prête à accueillir votre dossier "/var/"

Lire la suite

Billets connexes

mercredi, mai 27 2015

LVM et cryptsetup partitioner et chiffrer un disque dur

lvm crypsetupJ'ai mis ce billet dans la catégorie serveur, mais en réalité cela s'applique à n'importe quel PC

Vous venez d'installer un disque supplémentaire sur votre pc.

Vous souhaitez le partitionner avec LVM (logical volume management ou gestion par volumes logiques) puis chiffrer les partitions avec Cryptsetup.

Prenons ici un disque dur de 1To et que l'on souhaite faire deux partitions qu'on nommera "donnees" et "save"

Vérifier les disques montés, et éviter de se tromper de disque. :)
Deux commandes utiles
sudo fdisk -l
sudo df -h

Lire la suite

Billets connexes

mardi, mai 19 2015

https sur serveur unbuntu facile

https sur serveur unbuntu facileComment créer un accès https sur un serveur ubuntu 12.04.

Il s'agit d'un serveur LAMP (Linux, apache, Mysql, Php) ou autres...

Rapide, simple et efficace.

On active le module ssl, si ce n'est pas fait.

sudo a2enmod ssl

On redémarre apache:

sudo /etc/init.d/apache2 restart

ou

sudo service apache2 restart

Lire la suite

Billets connexes

lundi, mai 18 2015

Fail2ban - Bloquer les requetes phpmyAdmin w00tw00t et dos avec mod_evasive

Fail2Ban bloquer les requêtesFail2ban ou comment bloquer les requêtes phpmyAdmin w00tw00t et dos avec mod_evasive

Élément essentiel pour sécuriser son serveur, Fail2ban permet d'éviter des intrusions via force-brute. Il se charge d'analyser les logs des services installés et bannit automatiquement et pour une durée déterminée un hôte via iptables en cas d’échecs de connexion après X tentatives.

Installer Fail2ban:

Lire la suite

Billets connexes

dimanche, mai 17 2015

GnuPG - Signature électronique - chiffrer ses mails et pièces jointes

Chiffrer et déchiffrer des mails avec GnuPGLe but de ce billet n'est pas d'être un tutoriel GnuPG (pour cela, je donnerai, plus bas, plusieurs liens) mais plutôt d'essayer d'expliquer le principe de la signature électronique et de chiffrage avec GnuPG.

Bref ! Une initiation pour débutant en m'appuyant sur une présentation que j'avais fait, vous trouverez plus bas la présentation à télécharger.

À savoir!
Lorsque vous envoyez un courriel (mail), c'est comme si vous envoyez une carte postale. Il peut être lu par tout le monde et rien ne certifie l'expéditeur (pas même l'adresse mail de l'expéditeur sur l'en-tête du message, hé oui... Mais ce sera peut-être le sujet d'un autre billet). Imaginez s'il s'agit d'un courriel confidentiel... Il ne vous viendrait pas à l'idée d'envoyer une chaude déclaration d'amour par carte postale...

En utilisant régulièrement GnuPG (GPG) ou PGP, vous pourrez signer vos messages, vérifier les signatures des courriers que vous recevrez, envoyer des messages chiffrés... D'accord, mais comment ça fonctionne?

Les principes du chiffrage de mails, ce qu'est une signature électronique, chiffrer ses mails, pièces jointes... Chiffrer des fichiers pour soi... Alors lisez la suite...

Lire la suite

Billets connexes

jeudi, mai 14 2015

Sécuriser un accès ssh sur un serveur

Sécurisé un accès ssh sur un serveurCréer un double accès ssh

L'idée de départ était de modifier le port d'écoute du ssh (Secure SHell) "port 22" pour mettre, par exemple, 6721 et interdire la connexion en "root", soit:

vi /etc/ssh/sshd_config

Et modifier les 2 linges suivantes "Port 22" et "PermitRootLogin yes" comme suit:

Port 6721
PermitRootLogin no

Vous pouvez vérifier avec la commande suivante:

grep Port /etc/ssh/sshd_config
#Port 22
Port 6721

Un ami, Emile C., pour ne pas le nommé m'a dit:

puisque tu te connectes toujours du même pc local et du même pc distant, pourquoi ne ferais-tu pas un double ssh avec restriction sur ip?

C'est donc parti pour un double ssh.

Lire la suite

Billets connexes

mardi, mai 12 2015

Vie privée - mot de passe - justice

Doit-on donner notre mot de passe?   Pour préserver votre vie intime (vie privée) et par mesure de sécurité (en cas de vol de votre ordinateur et évité une usurpation d'identité ou autres) peut-être utilisez-vous un disque dur chiffré, un conteneur "TrueType" "VeraCrypt", des  […]

Lire la suite

Billets connexes

- page 1 de 2