sécurité

IPv6 et exposition de services via OpenWRT

Souvenez-vous, précédemment nous avions vu comment configurer le support IPv6 sur OpenWRT derrière une Freebox. Maintenant que nous pouvons surfer avec la v6 du protocole IP, on va voir comment exposer, toujours en v6, des services (web) et ce à travers OpenWRT. Configuration de l’IPv6 chez votre fournisseur de nom de domaine Tout d’abord il vous faut l’IPv6 de votre machine. Pour ceci, on va récupérer votre préfixe de délégation. Vous pouvez le retrouver sur votre Freebox ou sur OpenWRT, rubrique « Réseau / Interfaces« . C’est la ligne IPv6-PD (pour IPv6 Prefix Delegation) dans WAN6. Récupérer l’IPv6-PD (Prefix Delegation) sur OpenWRT. De là, il suffit de faire une recherche sur votre serveur du type ifconfig | grep…

OpenWRT

Lire la suite

Contrôle parental sur OpenWRT

La suite de ma série d’articles sur OpenWRT, le firmware Open-source pour votre routeur. Après la mise en œuvre avec Free, la gestion du Wi-Fi 802-11r, je m’attaque à présent au contrôle parental. Tout d’abord une rapide présentation de ma problématique : mon fils dispose d’un PC portable (mon ancien) qui lui sert pour écouter de la musique, travailler (classe numérique), suivre ses cours de musique en distanciel, etc… Bien entendu, le contrôle parental automatisé ne remplacera jamais la présence et le contrôle des parents mais ça rajoute une couche de sécurité supplémentaire. Ce contrôle, pour ma part se fait de 2 manières : Coupure d’internet à une heure donnée.Filtrage d’internet basé sur OpenDNS. Coupure d’internet…

OpenWRT

Lire la suite

Bien rooter son téléphone Android

Le net regorge de tutoriels sur « comment rooter son téléphone Android« … Mais attention ! ! ! La plupart de ces tutoriels sont mauvais. Il vous indique comment avoir un accès direct au compte root sans aucune précaution, un peu comme si vous lanciez votre session GNOME en root (faut pas le faire, je le rappel encore une fois…). Bref, ce que vous ne feriez pas avec votre ordinateur, ne le faites pas avec votre téléphone. C’est pour cela que pour bien rooter sont téléphone Android, je vous conseil la méthode Superuser.apk telle que proposée sur cette page. Une fois su & Superuser.apk installés, chaque appel à la commande su vous demandera confirmation. Vous voici…

Geek Attitude

Lire la suite

Chiffrage de mes partitions sur mes PC portables

Le mois dernier, lorsque j'ai installé Fedora 10 sur mon MSI Wind, je me suis posé la question du chiffrage de mon système. Je me suis juste posé la question car au final, j'ai choisi d'utiliser un système en clair. Le problème, c'est que comme évoqué lors de mon billet sur la synchronisation, je mirrore mes données à partir de ma station. J'ai donc sur mon ordinateur portable des données sensibles personnelles (mot de passe root de Borsalino ;-)) mais aussi professionnelles (sources, mot de passe, réponses à des appels d'offres, etc...). En cas de perte ou de vol de mon portable, cela pourrait avoir des conséquences catastrophiques si quelqu'un de mal intentionné le récupérait. J'ai donc entrepris de chiffrer ma partition de stockage où se trouve également mon répertoire /home. Comme je suis courageux, mais pas téméraire, j'ai d'abord fait des tests via VirtualBox. J'en ai également profité pour faire mumuse avec LVM mais ça sera l'occasion d'un prochain billet.

Sysadmin

Lire la suite

Pimp my Dotclear ;-)

Dotclear est un logiciel simple et léger permettant de créer son blog (comme ici) ou de mettre en place une plateforme de blog pouvant héberger plusieurs blogs comme c'est le cas sur la plateforme de blog de fedora-fr.

Dotclear

Lire la suite

Remi + Borsalino = php5.2 + MySQL 5 mis à jour

Devant la coupure de service, surement due à une monté en charge de Borsalino, et devant les failles récentes révélées pour php : j’ai décidé de basculer Borsalino sur le dépôt de l’ami Remi Collet qui maintient toujours les packages php et MySQL pour Fedora 6 alias Zod ! On install le…

Fedora-Fr

Lire la suite

Pourquoi n’ai je pas encore fais de billet sur Fedora 8 ?

Et oui, pourquoi ? La raison est simple et tient en 2 mots : « Kernel Panic ».

Fedora

Lire la suite

Les Dedibox seraient elles plus victimes d’attaques ?

Que ce soit professionnel ou personnel : je gère, à la louche, un parc de 15 serveurs dédiés. Si je mets de côté les serveurs sous Windows qui sont à eux seuls, à la fois une aberration et une faille de sécurité; je dois m’occuper d’une bonne dizaine de serveurs Linux. Ces serveurs sont variés et tournent sous des Debian Sarge et Etch, des CentOS 5 ou Fedora 5. On peut localiser ce parc par 8 serveurs chez Ikoula et 2 Dedibox. Après avoir décrit le parc, je vais décrire mes habitudes. Comme je suis…

Linux

Lire la suite

fail2ban et l’erreur « Please check the format and your locale settings. »

J’avais déjà parlé de fail2ban dans un précédent billet, hors depuis quelque temps, je ne reçoit plus de mail d’alerte de la part de ce scripts… Arrêterait-on de forcer les accès SSH de Borsalino ? C’est donc en contrôlant les logs (/etc/log/fail2ban.log), que je tombe sur près de 45.000 entrées. root@borsalino ~> wc -l /var/log/fail2ban.log 45 751 /var/log/fail2ban.log Un petit cat et je me rends compte d’une ligne récurant : ERROR: time data did not…

Sysadmin

Lire la suite

Protéger les accès SSH avec fail2ban

Après l’attaque de ce week-end et après une lecture des logs d’accès ssh, je me suis décidé à mettre en place une gestion automatique des bannissements d’IPs. L’idée est simple : bannir les IPs qui tentent de passer le compte root en « Brut de force« . Il est évident que l’accès root n’est pas autorisé en ssh (PermitRootLogin no) tout comme les mots de passe (PasswordAuthentication no), et que de telles attaques ne peuvent pas aboutir, mais c’est pour le principe ;-). root@borsalino ~> cat /var/log/secure.1 | grep "Failed password for root" --count 1812 Sur les conseils de Titax, je me suis penché sur fail2ban, mais à la différence de la méthode proposée par Thierry, j’ai préféré…

Sysadmin

Lire la suite