Les fails VNC reviennent à la mode. Après Aeris qui a récemment scanné l’intégralité de la plage IPv4, et trouvé 2246 serveurs non protégés, c’est au tour de Певольвер de s’y mettre et il ne fait pas non plus les choses à moitié : il a décidé de monter VNC Roulette un site affichant le résultat de ses scans. Flippant…
Après avoir optimisé le blog j’ai décidé de sécuriser WordPress. On trouve pas mal de guides sur ce thème sur internet mais peu d’entre eux recensent toutes les manipulations à effectuer. On est donc parti pour un mémo assez long détaillant comment sécuriser WordPress (efficacement) et sa configuration web / mysql.
L’ANSI et Aeris conseillent de sécuriser SSH avec une authentification par clé Ed25519 lorsque c’est possible (votre version d’OpenSSH doit etre ≥ 6.5). Ubuntu precise et Debian 7 utilisant OpenSSH en version 5 il vous est conseillé d’utiliser des clés ECDSA.
A noter que pour vous connecter, sous Windows, à un serveur SSH avec une authentification par clé Ed25519 ou EDSCA vous devrez utiliser la version development snapshot de PuTTY
Un petit mémo afin de détailler l’installation d’un certificat ssl StartSSL sous nginx et apache.
Je pars du principe que vous avez déjà générer votre clef privée ainsi que votre certificat et que ces deux fichiers ont été sauvegardées sous ssl.key (clef privée) et ssl.crt (certificat) dans le dossier /etc/nginx/ssl/www.domain.tld ou etc/apache2/ssl/www.domain.tld. Vous avez aussi télécharger les certificats StartCom sub.class1.server.ca.pem et ca.pem nécessaire lors de la concaténation.
POODLE (Padding Oracle On Downgraded Legacy Encryption) est une faille de sécurité dans la version du protocole SSLv3 pourrait permettre à des pirates de s’insérer entre un serveur et un client pour récupérer des informations chiffrées (pour en savoir plus c’est ici). Cette faille toucherait aussi le protocole TLS (voir ici).
Pour continuer notre série je vous propose aujourd’hui un petit guide permettant de mieux sécuriser un serveur SSH avec une authentification par clés. Une authentification par mot de passe peut se révéler compromise si une personne venait a connaitre votre mot de passe ou si votre mot de passe n’était pas assez fort.
Tenir sa distribution à jour c’est important puisque cela vous permet de vous prémunir des différentes failles de sécurité comblées lors de la mise à jour de vos paquets. Cette « option » n’est pas activée par défaut puisqu’il est préférable de tester une mise a jour avant de la mettre en Lire la suite…
OpenVPN est un logiciel libre permettant de créer un réseau privé virtuel (VPN). Utiliser un VPN est entre autre une excellente solution pour contourner les restrictions de certains réseaux (universités, certains pays, etc…). La navigation web au travers d’un VPN est beaucoup plus rapide, confortable et sécurisée en comparaison avec l’utilisation d’un proxy.
Il existe différents protocoles VPN, PPTP IPsec et bien sur OpenVPN qui propose le chiffrement le plus élevé mais aussi de meilleures performances en termes de débit et de stabilité.
Portsentry est une application qui permet a votre serveur de detecter un scan de ports mais aussi d’agir :
– Les attaques seront inscrites dans vos logs
– le scanneur est automatiquement bloque puisque sont ip sera rajouté dans /etc/hosts.deny
– Avec ipchains, toutes les communications venant de l’hôte « attaqueur » seront bloquées
– L’interface de communication peut être coupée en cas d’attaque.
La double authentification repose sur un principe simple. Pour se connecter à son compte, il faut deux éléments: votre mot de passe et un code chiffré à usage limite dans le temps, habituellement une vingtaine de seconde. Google le fait mais voila il existe aussi Authy qui a l’avantage de proposer des applications de haute qualité (extension chrome, une application iOS iPhone et iPad). Et excellente nouvelle vous pouvez vous servir d’authy pour configurer une authentification en deux étapes sur SSH !