Utilisateur

** Changer le mot de passe par défaut

• Remplacer/Renommer l'utilisateur pi par un autre

Serveur SSH

• Changer le port par défaut (22) en autre chose
• Interdire les connexions SSH à root
• Mettre une clef RSA d'au moins 4096 (à partir de janvier 2017)
• Si possible white-lister les IP autorisées
• Mettre en place un fail2ban
• Désactiver toutes les formes d'authentification non supportées

Pare-feu

• Refermer tous les ports (REJECT)

OS

• Interdire l'écriture dans /tmp aux utilisateurs (à l'exception de deux exécutant des services)
• Tenir sa Raspbian à jour (apt upgrade)

• Exécuter un contrôle d'intégrité périodique (calcul de hash régulier pour s'assurer que les fichiers n'ont pas été modifiés)

  ## Le script qui fait le taf (chopé sur internet) :
  
   #!/bin/bash
   /bin/mount /dev/fd0 /mnt/floppy
   trap "/bin/umount /dev/fd0" 0 1 2 3 9 13 15
   if [ ! -f /usr/bin/md5sum ] ; then
      echo "Cannot find md5sum. Aborting."
      exit 1
   fi
   /bin/cp /usr/bin/md5sum /mnt/floppy
   echo "Calculating md5 database"
   >/mnt/floppy/md5checksums.txt
   for dir in /bin/ /sbin/ /usr/bin/ /usr/sbin/ /lib/ /usr/lib/
   do
      find $dir -type f | xargs /usr/bin/md5sum >>/mnt/floppy/md5checksums-lib.txt
   done
   echo "post installation md5 database calculated"
   if [ ! -f /usr/bin/sha1sum ] ; then
      echo "Cannot find sha1sum"
           echo "WARNING: Only md5 database will be stored"
   else
      /bin/cp /usr/bin/sha1sum /mnt/floppy
      echo "Calculating SHA-1 database"
      >/mnt/floppy/sha1checksums.txt
      for dir in /bin/ /sbin/ /usr/bin/ /usr/sbin/ /lib/ /usr/lib/
      do
         find $dir -type f | xargs /usr/bin/sha1sum >>/mnt/floppy/sha1checksums-lib.txt
      done
      echo "post installation sha1 database calculated"
   fi
   exit 0

• Rendre les fichiers critiques immutables avec chattr +i
• Désactiver / Supprimer les services inutiles

Je résume ici : vous travaillez pour un grand groupe (aller au hasard une grosse banque) et vous devez utiliser yarn (un remake de npm mieux foutou). Jusque là aucun soucis sauf que le proxy de la grosse banque fait du man-in-the-middle aux yeux et à la vue de tout le monde. Donc yarn quand il veut choper des trucs pas forcément utiles en SSL (genre phantomjs, le bouzin qui fait juste tourner NOS TESTS UNITAIRES) bah il veut pas le p'tit chaton parce qu'il se rend bien compte que les mecs du proxy : ils font du man-in-the-middle comme des gros porcs.

Bref, voici comme détruire toute forme de sécurité dans yarn mais qui vous permettra (a minima momentanément) de récupérer des tools genre phantomjs :

yarn config set "strict-ssl" false

et pour restaurer la sécurité ce sera évidemment :

yarn config set "strict-ssl" true

Ou que l'un de vos amis va en garde à vue, ou que les forces de l'ordre (du chaos ? de la mafia ?) vous demandent de témoigner. Vous avez compris, il faut LA FERMER ET DEMANDER LA PRÉSENCE D'UN AVOCAT un document à lire et à garder chez soi.

La réflexion de Timo sur le Revenu de Base (RdB) est celle qu'il faut mettre en avant. Les politiques habitués à déformer notre vocabulaire vont tuer dans l'oeuf une idée formidable et protection et d’émancipation des peuples.

PDF

Beaucoup me disent : "je suis prêt à perdre un peu de liberté pour un peu de sécurité... C'est normal".

Le problème, c'est que sans liberté, vous n'avez plus de sécurité. Je vous invite à lire le commentaire de Bronco et l'article ensuite.

via : http://sebsauvage.net/links/?sq87wQ

Soyons clairs : LE SSLV3 est une pure saloperie bardée de failles de sécurités en tout genre. Il faut utiliser SSLV2 à la place. Mozilla l'a dont désactivé par défaut pour protéger ses utilisateurs d'un protocole qui donne l'impression d'avoir été défini par la NSA en personne. Cependant, comme la plupart des grands comptes mettront encore des mois à se mettre à jour, je vous file une astuce pour continuer d'accéder à leur site avec votre Firefox.

Merci Oros ! Tu gères petite fougère :D