Avant de plonger dans le vif du sujet, c’est à dire sécuriser SSH avec SSHFP, quelques explications sont nécessaires. Tout d’abord parlons du système SSH, celui-ci utilise un système d’empreinte de clé pour vérifier l’authenticité du serveur lorsque le client se connecte. Lors des futures connexions, l’empreinte de la clé sauvegardé Lire la suite…
Je souhaitais installer, configurer et sécuriser un serveur FTP : voilà donc un nouveau mémo détaillant cette manipulation avec proftpd. Notre serveur FTP devra autoriser la connexion d’utilisateurs virtuels enfermés (chroot) dans un dossier. Le serveur FTP devra aussi leur permettre d’accéder à des ressources présentes sur d’autres disques.
J’ai enfin pensé à continuer ma série de mémo expliquant comment installer une seedbox. Mieux vaut tard que jamais 😀
Un petit lien vers les deux premiers billets que j’avais rédigé, ils datent un peu mais sont toujours valables :
Vous allez rapidement comprendre pourquoi mon dernier billet expliquait comment compiler et installer un Kernel Linux. J’avais déjà dans l’idée de vous expliquer comment il est possible de sécuriser un Kernel avec grsecurity, je voulais simplement faire correctement les choses.
grsecurity est un patch permettant d’augmenter la sécurité d’un noyau Linux en renforcant le controle d’accès local et le confinement des applications. De plus il inclut PAX, un ensemble de correctifs rendant votre système plus résistant à l’exploitation de vulnérabilités.
Let’s encrypt offre depuis un petit moment déjà la possibilité de générer des certificats ECDSA. Comme je suis un peu feignant je me suis demander comment je pouvais renouveler automatiquement un certificat ECDSA Let’s Encrypt, j’en profite donc pour rédiger un petit mémo.
Configurer Gitlab sur un sous-domaine sans se retrouver avec du mixed content est assez chiant pour être franc. J’ai pas mal tâtonné, soit je me retrouvais avec une erreur 502 Bad Gateway soit Gravatar passait par le protocole HTTP. J’ai fini par trouver la solution et je souhaitais la partager dans un mémo.
Dans ce billet je pars du principe que :
Future-Architect a crée un scanner de vulnérabilités nommé VULS (supporte Ubuntu, Debian, CentOS, Amazon Linux et RHEL). VULS vous permettra de partir à la recherche de vulnérabilités déjà connues (CVE) sur vos machines. Son installation est relativement facile, tout comme son utilisation.
Puisque VULS peut effectuer des scans sur des remote-server je vous propose de l’installer sur une machine virtuelle, ici j’utiliserai Debian.
Après un premier mémo consacré à WordPress, intitulé Sécuriser WordPress : comment protéger un blog ?, je me suis décidé à en publier un second expliquant comment optimiser WordPress.
Après avoir décidé de me passer de Cloudflare, j’ai cherché le moyen de bloquer les attaques DDOS avec NGinx via fail2ban : voici donc un mémo détaillant la mise en place d’une protection (ddos mitigation) basique.
Pourquoi vouloir bloquer l’accès à votre site depuis certains pays ? Hé bien parce que les attaques (DoS, Flood, Spam) ont une grande tendance à venir des mêmes pays (Ukraine, Biélorussie, Chine, etc.)
Voici donc un petit mémo vous permettant d’apprendre à bloquer l’accès à votre site depuis certains pays avec Apache et NGinx