Sécuriser un Kernel avec GRSecurity

Sécuriser un Kernel avec Grsecurity

Vous allez rapidement comprendre pourquoi mon dernier billet expliquait comment compiler et installer un Kernel Linux. J’avais déjà dans l’idée de vous expliquer comment il est possible de sécuriser un Kernel avec grsecurity, je voulais simplement faire correctement les choses.

 

Sécuriser un Kernel avec grsecurity : grsecurity Késséssé ?

grsecurity est un patch permettant d’augmenter la sécurité d’un noyau Linux en renforcant le controle d’accès local et le confinement des applications. De plus il inclut PAX, un ensemble de correctifs rendant votre système plus résistant à l’exploitation de vulnérabilités.

Compiler et installer un Kernel

Compiler et installer un Kernel peut faire peur en effet même si la manipulation est assez simple elle n’est pas sans risque. Faites donc extrêmement attention à ce que vous faites.

 

Compiler et installer un Kernel : Kernel Késséssé ?

Le Kernel (noyau en français) est le coeur de votre distribution. Il assure la communication entre les logiciels et le matériel, la gestion des tâches d’une machine et la gestion du matériel. (Wikipédia pour plus d’informations)

 

Compiler et installer un Kernel : Mais pourquoi ?

Compiler et installer le dernier Kernel présente certains avantages :

  • support de nouveaux matériels
  • patchs de sécurité
  • ajout(s) de fonctionnalités
  • se la péter devant les copains
Configurer GitLab sur un sous-domaine

Configurer GitLab sur un sous-domaine NGinx

Configurer Gitlab sur un sous-domaine sans se retrouver avec du mixed content est assez chiant pour être franc. J’ai pas mal tâtonné, soit je me retrouvais avec une erreur 502 Bad Gateway soit Gravatar passait par le protocole HTTP. J’ai fini par trouver la solution et je souhaitais la partager dans un mémo.

Dans ce billet je pars du principe que :

Noobunbox – profond dans ton onion

Bon j’avoue que le titre de ce billet n’est pas très classe, et n’a rien à voir avec la réforme de l’orthographe, mais que je vous rassure j’aurai pu trouver bien pire 🙂

Voici donc un petit billet afin de vous prévenir que le site est désormais accessible via tor en utilisant l’adresse suivante noobunboxasnzzhv.onion

Recherche de vulnérabilités avec VULS

Future-Architect a crée un scanner de vulnérabilités nommé VULS (supporte Ubuntu, Debian, CentOS, Amazon Linux et RHEL). VULS vous permettra de partir à la recherche de vulnérabilités déjà connues (CVE) sur vos machines. Son installation est relativement facile, tout comme son utilisation.

Puisque VULS peut effectuer des scans sur des remote-server je vous propose de l’installer sur une machine virtuelle, ici j’utiliserai Debian.

Configurer Synology sur un sous-domaine NGinx

Depuis quelques temps déjà j’ai décidé de configurer mon NAS Synology sur un sous-domaine. Là vous allez surement me dire que cela ne sert absolument à rien puisque QuickConnect offre cette fonctionnalité. Je vous répondrai donc que je préfère désactiver QuickConnect pour des raisons de sécurité, en effet si une vulnérabilité est découverte sur DSM il suffira à des petits malins de scanner tous les sous-domaines de quickconnet.to et d’essayer d’exploiter cette faille.

Webtorrent Desktop : client streaming de torrents

Webtorrent est une application permettant de faire du streaming de torrents dans un navigateur. L’application est écrite en javascript et utilise le protocole WebRTC : c’est ce qui est utilisée sur Instant.io.

Les petits gars de Webtorrent ont encore développé un truc bien sympa : un client Desktop pour Webtorrent. Il vous suffit de charger le torrent de votre choix dans l’application et de profiter de votre film ou série. Le client est en bêta mais il fonctionne très bien.