Antichesse (o ^ω^ o)
Un reminder sur les bonnes pratiques en cryptographie. Pour Roudoudoutte
Liste de sites expliquant comment sécuriser son serveur SSH :
- https://korben.info/tuto-ssh-securiser.html
- http://howto.landure.fr/gnu-linux/trucs-et-astuces-dutilisations-de-ssh
- https://www.guillaume-leduc.fr/2-securiser-son-serveur-ssh.html
- https://openclassrooms.com/courses/reprenez-le-controle-a-l-aide-de-linux/la-connexion-securisee-a-distance-avec-ssh
- http://www.tuto-linux.com/tutoriel/acces-ssh-securise/
Utilisateur
** Changer le mot de passe par défaut
- Remplacer/Renommer l'utilisateur pi par un autre
Serveur SSH
- Changer le port par défaut (22) en autre chose
- Interdire les connexions SSH à root
- Mettre une clef RSA d'au moins 4096 (à partir de janvier 2017)
- Si possible white-lister les IP autorisées
- Mettre en place un fail2ban
- Désactiver toutes les formes d'authentification non supportées
Pare-feu
- Refermer tous les ports (REJECT)
OS
- Interdire l'écriture dans /tmp aux utilisateurs (à l'exception de deux exécutant des services)
- Tenir sa Raspbian à jour (apt upgrade)
-
Exécuter un contrôle d'intégrité périodique (calcul de hash régulier pour s'assurer que les fichiers n'ont pas été modifiés)
## Le script qui fait le taf (chopé sur internet) : #!/bin/bash /bin/mount /dev/fd0 /mnt/floppy trap "/bin/umount /dev/fd0" 0 1 2 3 9 13 15 if [ ! -f /usr/bin/md5sum ] ; then echo "Cannot find md5sum. Aborting." exit 1 fi /bin/cp /usr/bin/md5sum /mnt/floppy echo "Calculating md5 database" >/mnt/floppy/md5checksums.txt for dir in /bin/ /sbin/ /usr/bin/ /usr/sbin/ /lib/ /usr/lib/ do find $dir -type f | xargs /usr/bin/md5sum >>/mnt/floppy/md5checksums-lib.txt done echo "post installation md5 database calculated" if [ ! -f /usr/bin/sha1sum ] ; then echo "Cannot find sha1sum" echo "WARNING: Only md5 database will be stored" else /bin/cp /usr/bin/sha1sum /mnt/floppy echo "Calculating SHA-1 database" >/mnt/floppy/sha1checksums.txt for dir in /bin/ /sbin/ /usr/bin/ /usr/sbin/ /lib/ /usr/lib/ do find $dir -type f | xargs /usr/bin/sha1sum >>/mnt/floppy/sha1checksums-lib.txt done echo "post installation sha1 database calculated" fi exit 0 - Rendre les fichiers critiques immutables avec chattr +i
- Désactiver / Supprimer les services inutiles
# N.B : le $6$ dans le sel signifie utiliser l'algorithme SHA-512. $5$ c'est SHA-256 par exemple
# Et le sel doit finir par Salt$
python -c 'import crypt; print crypt.crypt("MON_MOT_DE_PASS", "$6$MON_SELSalt$")'Et oui, tous les algos de hash finissent par tomber. Un article pour Roudoudoutte qui devrait l'intéresser
Je résume ici : vous travaillez pour un grand groupe (aller au hasard une grosse banque) et vous devez utiliser yarn (un remake de npm mieux foutou). Jusque là aucun soucis sauf que le proxy de la grosse banque fait du man-in-the-middle aux yeux et à la vue de tout le monde. Donc yarn quand il veut choper des trucs pas forcément utiles en SSL (genre phantomjs, le bouzin qui fait juste tourner NOS TESTS UNITAIRES) bah il veut pas le p'tit chaton parce qu'il se rend bien compte que les mecs du proxy : ils font du man-in-the-middle comme des gros porcs.
Bref, voici comme détruire toute forme de sécurité dans yarn mais qui vous permettra (a minima momentanément) de récupérer des tools genre phantomjs :
yarn config set "strict-ssl" falseet pour restaurer la sécurité ce sera évidemment :
yarn config set "strict-ssl" trueOh ce poste ! Je crois que je vais l'imprimer !
Ou que l'un de vos amis va en garde à vue, ou que les forces de l'ordre (du chaos ? de la mafia ?) vous demandent de témoigner. Vous avez compris, il faut LA FERMER ET DEMANDER LA PRÉSENCE D'UN AVOCAT un document à lire et à garder chez soi.
Parce qu'un logiciel dont on a le code source, vous voyez, il est forcément moi fiable et moins sécurisé qu'un autre dont on n'a pas le code source, comme OpenSSH qui est un logiciel libre super pas sécurisé du tout...
La réflexion de Timo sur le Revenu de Base (RdB) est celle qu'il faut mettre en avant. Les politiques habitués à déformer notre vocabulaire vont tuer dans l'oeuf une idée formidable et protection et d’émancipation des peuples.
Pour toutes celles et ceux qui doivent sécuriser un Linux
Un vieux débat qui ressort... Le piratage, les DRM, toussa.
Beaucoup me disent : "je suis prêt à perdre un peu de liberté pour un peu de sécurité... C'est normal".
Le problème, c'est que sans liberté, vous n'avez plus de sécurité. Je vous invite à lire le commentaire de Bronco et l'article ensuite.
Whouuuuuuuuuuuuuuuuuuuuuuuuuuuhouuuuuuuuuuuuuu J'AVAIS RAISON !!!!!!!!!! Ahhhhhhhhh ça me fait tellement plaisiiiiiiiiiiiiiiiiir (^__^)
Les premiers vols d'argent, via les carte bancaires NFC, commencent à se faire remarquer dans les transports en communs... Parisiens parisiennes, désactivez cette contre-fonctionnalité !
Procotols de sécurité TLS, SSL, RSA et AES
Soyons clairs : LE SSLV3 est une pure saloperie bardée de failles de sécurités en tout genre. Il faut utiliser SSLV2 à la place. Mozilla l'a dont désactivé par défaut pour protéger ses utilisateurs d'un protocole qui donne l'impression d'avoir été défini par la NSA en personne. Cependant, comme la plupart des grands comptes mettront encore des mois à se mettre à jour, je vous file une astuce pour continuer d'accéder à leur site avec votre Firefox.