Archives de catégorie : reseau et sécu

Sujets de réseau pur, ou de firewalling, VPN, sécurité, tout ça.

Mots de passe, Chrome, Firefox, Keepass : ne faire confiance qu’à soi ?

cadenas

Le constat peu reluisant

Google Chrome stocke les mots de passe de manière lamentable (c’est un fait, pas une question) et la protection contre l’affichage est un leurre (base SQLLite décryptable assez facilement). De plus, pour des raisons de commodités (synchro entre PC et tablettes/téléphones, très pratique il faut l’avouer), la base est stockée chez l’ami Google… en clair.
Bon c’est pratique pour nous, certes, mais aussi pour eux si des fois « quelqu’un » leur demandait un mot de passe… bon, c’est certainement pas le genre de Big Google hein. Continuer la lecture

3G, régions surpeuplées et filtrage discrétos => VPN

Le blocage

Salut,
Imaginez un opérateur (dernièrement de téléphonie mobile) toujours balaise côté technique, qui apporte de sacrés trucs, qui fait plier commercialement les autres, qui est un opérateur vraiment impressionnant chaque fois qu’il lance un truc, mais avec qui parfois c’est la lutte et là ça peut vraiment te gonfler à l’usage.

Alors avant te barrer chez un autre opérateur sans engagement qui a de meilleures infrastructures en place, tu cherches à sortir la tête du troupeau et faire en sorte que le service marche comme il devrait.
Et le tout sans rooter mon téléphone flambant neuf que je n’ai pas encore envie de massacrer en changeant la ROM. Pour les iphoneux, euh… ça doit aussi exister un client openvpn
free

L’idée

Bref, aujourd’hui, comment faire passer tout son trafic 3G dans un VPN (openvpn) Continuer la lecture

SFTP, chroot et pas de SSH : bloquer un utilisateur dans un répertoire

Salut,
Un petit article sur ce sujet récurrent car il y a plein de méthodes, dont une assez simple, mais avec 2/3 points de paramétrage précis.
Le but est de permettre à un client/fournisseur d’envoyer/récupérer des fichiers sur un serveur, en SFTP, sans pour autant lui donner accès en SSH (exécuter des commandes) et sans voir autre part que son « home ».
Le tout sur un serveur SSH déjà monté et par ailleurs utilisé pour du SSH normal en interne, avec du SFTP normal aussi.

Il y a 3 méthodes courantes pour commencer à jouer avec les chroot ssh/sftp :

  • Héberger un serveur SSH en chroot normal : c’est chiant. Créer un « home », reproduire un minimum d’arborescence standard, d’utilisateurs etc.
  • Utiliser rssh comme shell alternatif, c’est un shell qui limite l’utilisateur à du SFTP, SCP, CVS, RSYNC etc. On choisit ce qu’on veut tolérer. Mais, l’utilisateur peut quand même se promener dans le système (tout « / »).
  • Enfin, ce que je vais décrire : utiliser la fonctionnalité de « chroot » intégrée aux serveurs SSH (serveur ssh >= 4.8, donc n’importe quel SSH d’une Debian stable de nos jours). On va simplement brider quelques comptes et mettre quelques permissions bien senties.

Continuer la lecture

SFTP : mot de passe en ligne de commande

Petit souci du jour : utiliser sftp en ligne de commande, avec un mot de passe, en mode batch, MAIS sans passer par une authentification par clef. Sachant que sftp n’accepte pas de mot de passe en ligne de commande (ni via une redirection depuis STDIN).

Pourquoi donc me direz-vous ? simplement parce-que dans l’éventualité où faire bouger le prestataire en face de vous (celui qui héberge le serveur SSH) coûterait trop d’énergie, on va supposer qu’on ne peut pas facilement faire avaler notre clef publique à l’hébergeur du serveur SSH.

Bref, la commande traditionnelle est :

sftp utilisateur@serveur
Connecting to serveur...
utilisateur@serveur's password:
sftp>

J’ai trouvé une méthode simple : utiliser le client SFTP de « PuTTY ».
Je pensais au départ utiliser celui de « lftp » et sauvegarder ma connexion (avec mot de passe) en bookmark, mais comme mon login dans l’histoire est un utilisateur de domaine windows (ouais, le serveur SSH en face est sous windows O_o), y’a un \ dans le login et même en le doublant, lftp semble mal le digérer, ben j’étais aussi bloqué.

Bref, en installant les outils de PuTTY :

aptitude install putty-tools

On peut alors taper :

psftp -pw mon_pass utilisateur@serveur
Using username "utilisateur".
Remote working directory is /
psftp>

Attention : le mot de passe est en clair dans la ligne de commande, donc dans les processus etc etc. Donc c’est pas idéal comme condition.
Enfin, je n’ai pas mis le paramètre -b pour mon batch, car ce n’est pas le propos là.

Monter un serveur NTP, configurer les clients Windows et Linux

Bon, un p’tit billet aide-mémoire sur la configuration d’un serveur NTP Linux et des postes Windows et Linux de votre LAN.
C’est un sujet tout bête, mais entre les postes Windows qui ne sont pas très bavards à ce sujet et l’amalgame, côté Linux, entre les paquets ntp et ntpdate utilisant ou pas des fichiers communs de conf, on peut être momentanément perdu. J’espère être clair par la suite. Continuer la lecture

Limiter la bande passante entre 2 hosts (dont l’un en Linux)

Dans la série aide-mémoire.
Imaginez : approbation d’une tonne de patchs de sécurité Windows en retard sur un WSUS avec des réplicats. Immédiatement, il commence à downloader, via un proxy Squid sous Linux, donc via une machine Linux.
Et là, votre bande passante est réduite à de la poussière car WSUS, via le proxy, pompe tout, à fond.
Raaaaaaaaaa. M’énerve.

Vite, iptables doit pouvoir m’aider. Je suis une buse en QoS, mais bon, j’ai confiance en Google 🙂 Continuer la lecture

Mise en place de Nagios : en partant de rien

Introduction

Gros guide de mise en place de Nagios sur Debian, avec comme principal objectif de vous amener petit à petit à monitorer tout ce qu’on peut imaginer sur un parc de serveurs Linux, Windows, des équipements réseaux etc. Ca part d’un exemple bien détaillé (je l’espère) pour bien faire comprendre les principes et l’esprit Nagios pour espérer à la fin, vous avoir donné de quoi évoluer facilement pour ajouter n’importe quel test.
Au départ, je voulais faire un guide super complet, mais avec Nagios, on ajoute des tests tous les jours, pour ainsi dire. Bref, ça fait 3 mois que j’attendais pour faire ce guide. Finalement je l’écourte un peu et j’ajouterai (peut-être) des chapitres plus tard sur ce blog.
Après un premier exemple bien complet, je donne des exemples rapides de contrôles courants.

J’ai eu l’idée de rédiger cet article sachant que je ne connaissais rien à Nagios (rien de sa mise en place, rien des fichiers de conf, rien de sa syntaxe, rien des outils de base, rien des plug-ins supplémentaires et rien des contributions à gogo sur le web etc). L’intérêt, n’y connaissant rien justement, est que j’explique pas à pas, notamment les principes de l’outil pour comprendre comment le configurer, en détaillant parfois toutes les panneaux que j’ai pu me prendre, mais en donnant la solution rapidement 🙂

A la fin, je donne mes fichiers de conf, un peu anonymisés et allégés, ils peuvent vous servir pour de la mise en place de certains morceaux ou pour vous guider dans la syntaxe. Exemple, vous voulez surveiller vos serveurs DNS, cherchez le mot « dns » dans tous les fichiers, comprenez ce qui y est fait et copiez-collez-modifiez les bons blocs. Reste à changer les noms de hostname 🙂 Hum, ça, ce sera plus tard lorsque j’aurai complété par d’autres articles (cf. ci-dessus), je n’ai pas trop le temps, et sinon, je ne publierai jamais cet article… il traîne depuis 3 mois…

Je ne compte pas faire de l’ombre 😀 à Nicolargo (passionné du sujet Nagios) mais mon approche est différente : je pars de ce que Debian a fait pour moi, pas des sources à compiler pour avoir l’absolue dernière version. Les répertoires de configuration et de chemins des binaires sont différents, tous les plug-ins classiques sont directement disponibles.
Après, une fois l’outil fonctionnel sur quelques cas, ça reste du Nagios pur. Allez voir son site, il y a de bonnes docs et le forum peut aider aussi. Sans compter d’autres sites d’outils de monitoring complémentaires, notamment http://www.monitoringexchange.org/, et évidemment la doc officielle qui est très bien foutue. J’y ferai référence autant de fois que j’y penserai.

La version actuellement packagée sous Debian « stable » (Lenny) est Nagios 3.0.6. Comme d’habitude avec Debian, un peu en retard sur la version officielle, mais il y a d’autres intérêts à utiliser tout de même la version packagée, à mon avis. Continuer la lecture

OpenVPN les doigts dans le nez

Mmmmm, j’angoissais à l’idée d’installer à nouveau un serveur OpenVPN en urgence (psychose de la grippe A-H1N1-truc oblige, ‘faut que le pékin lambda puisse bosser à distance…). En effet, la génération des certificats, ce genre de trucs, ça m’énerve, je ne me souviens jamais des lignes de commandes.
Renseignements pris, ça tombe bien, les choses ont dû évolué depuis… euh… la dernière fois. Et le projet OpenVPN fournit un bel outil « easy-rsa » pour générer facilement les clefs serveurs, client, les inscrire dans la base de clefs autorisées, les révoquer etc.
Ca rend OpenVPN installable et exploitable facilement en 10 minutes + le temps de faire un peu de firewalling propre à votre configuration (et de prendre un café).

Toujours à mon habitude, j’essaye d’utiliser ce qu’a fait Debian pour moi. Point de compilation, de création de machin-bidule à la main lorsque ce n’est pas une absolue nécessité.

Pour le contexte, on va dire que le VPN va être installé sur une machine de type passerelle Internet-LAN. Pourquoi pas une Debian avec shorewall et 2 pattes : loc, net (et $FW of course). Je parlerai rapidement des modifications de firewall à la fin. Vous pouvez trouver une introduction à shorewall sur ma doc d’initiation à Debian. Continuer la lecture

Concept de « Port knocking »

Je ne vais pas plagier, je profite de ce qui est écrit là : http://www.commandlinefu.com/commands/view/2785/port-knocking pour résumer en quelques mots et surtout faire connaître ce site (www.commandlinefu.com) qui rassemble des commandes parfois bien sympathiques. On découvre des choses.
A vos aggrégateurs RSS, voici son flux.

Port knocking :
– tant que votre poste client n’a pas fait une bonne séquence au guichetier (knock-daemon :), tel ou tel service est bloqué pour votre IP, via iptables.
– à la fin, vous jouez une séquence pour fermer, ou pas.

Bon j’avoue, je n’ai pas testé. M’enfin, ça doit marcher tout ça. A voir, comme avec le genre fail2ban, si ça ne peut pas être utilisé pour provoquer des dénis de service – le genre je fais bannir/fermer telle IP que je ne suis pas, évidemment.

Ca + du changement de port sur certains services (SSH notamment), et votre machine devrait être une tombe, normalement. Reste les services publics (http…) pour chercher une faille.

(et puis si vous adorez mon site, ce dont je ne doute pas, voici mon flux – façon de parler ; mais je doute que vous aviez besoin de mon aide pour le trouver)

Bonnes vacances