L’utilisation d’un gestionnaire de mot de passe est une très bonne pratique, à condition de choisir un bon outil. Je ne dirai pas le bon outil, car selon ses exigences, ses usages, différents outils peuvent convenir.
Continuer la lectureArchives de catégorie : Sécurisation
LAMP
Comment faire pour sécuriser une installation LAMP « standard » ? Voici quelques informations, à adapter ou à compléter.
Mise-à-jour automatique du système
Pour tout système informatique, la meilleure des hygiènes est de faire les mises-à-jour du système et des logiciels importants dès que possible.
Continuer la lectureRkhunter
rkhunter est un programme anti-rootkit, fonctionnant sur Linux. Il permet de vérifier l’intégrité des principaux fichiers système (dont les commandes principales) et de s’assurer qu’aucun des principaux rootkits n’est pas installé sur le système concerné.
Continuer la lectureOssec
OSSEC est un HIDS de niveau système, qui s’installe sur quasiment n’importe quelle distribution Linux du moment qu’un administrateur dispose d’un compilateur C sur la machine adéquate. Cet HIDS peut s’installer seul (il ne vérifie que ce qui se passe sur la machine) ou en tant que serveur/agent (c’est-à-dire qu’on l’installe sur une machine centrale ou serveur, qui contrôle tout un réseau de machines sur lesquelles on installe des agents ossec). Je décrirai ici l’installation dite « locale », à savoir qu’on ne surveille que son propre serveur.
Continuer la lectureShorewall
Shorewall est un excellent pare-feu simple à configurer. Pour être plus précis, cet outil permet de configurer facilement des règles iptables.
Continuer la lectureMod security
mod_security est filtre (pare-feu) applicatif se présentant sous le forme d(un module que l’on peut ajouter à son serveur web Apache. Son rôle est de filtrer les requêtes bizarroïdes. Certaines distributions récentes (comme Fedora) l’intègrent et ce module peut donc être installé très facilement.
L’installation automatique convient parfaitement, mais si vous voulez avoir la toute dernière version ou si votre distribution ne la contient pas, j’ai aussi décrit la procédure manuelle.
Continuer la lectureChkrootkit
Serveur FTP
Pour mettre en œuvre un serveur FTP, il faut penser à quelques éléments de sécurité. Par exemple :
- Cloisonner les utilisateurs
- Interdire les shells
- Contrôler la provenance des requêtes
DNS
Le protocole DNS permet de connaître l’adresse réelle d’un serveur web. Plus précisément cela transforme le nom de domaine inclus dans une URL (adresse symbolique du genre https://secu.si) en adresse technique (adresse IP).
Pour cela, de très nombreux serveurs se répartissent la tâche sur toute la planète web. Pour des raisons d’efficacité, nous nous retrouvons souvent connectés directement à un serveur géré par notre fournisseur d’accès internet. Rien de bien fameux, sauf que les fournisseurs d’accès gardent souvent des traces, pour leur usage propre ou parce qu’on leur demande1.
Continuer la lectureThreat Intelligence
La Threat Intelligence est la connaissance et les données qu’une entreprise collecte et analyse dans le but de comprendre dans quelle mesure une menaces peut impacter (ou avoir impacté) l’organisation concernée (définition de domaintools.com).
Continuer la lectureHIDS/HIPS
Un HIDS est un système de détection d’intrusion sur un serveur. Pour les puristes, il existe des IDS et des IPS (respectivement Intrusion Detection Systems et des Intrusion Prevention Systems). La différence ? L’un détecte uniquement et l’autre empêche (théoriquement) ces intrusions.
Pourquoi utiliser un HIDS ?
Parce que des zozos vont s’amuser sans relâche à tenter de trouver le mot de passe de vos utilisateurs ou de faire l’inventaire des dossiers et répertoires contenant vos sites web pour en connaître le contenu afin l’exploiter ou d’exploiter les failles du code PHP ou ASP (au autre) de vos pages web dynamiques.
Continuer la lectureMemcached
Memcached est un service de base de données en mémoire qui est principalement utilisé pour accélérer les applications web en mettant en cache le contenu statique et les résultats des requêtes des bases de données. Le mécanisme est très simple : c’est une base de données à clé-valeur en mémoire à stockage non persistant.
Memcached n’est toutefois pas protégé par authentification et, en cas de problème de configuration du serveurs, des hackers peuvent lire et écrire des données dans la base de données. C’est pour cela qu’il est important de sécuriser cette base de données. De par ses fonctionnalités, les serveurs ainsi vulnérables peuvent être utilisés pour des attaques de déni de service.
Source : l’excellent guide OVH.
Lien : https://docs.ovh.com/fr/dedicated/securiser-serveur-avec-service-memcache/
Ingénierie sociale
L‘ingénierie sociale est une forme de délinquance astucieuse consistant à manipuler une personne, en lui faisant croire qu’elle a affaire à un interlocuteur légitime, pour qu’elle réalise une action ou divulgue une information.
Le phénomène est ancien mais il est en plein expansion, notamment contre les entreprises françaises (indépendamment de leur banque). Les scenarii utilisés sont de plus en plus perfectionnés et font appel aux moyens techniques modernes.
Continuer la lectureNFS
NFS est un protocole couramment utilisé pour partager des fichiers entre deux machines distantes, avec pour avantage principal d’apparaitre, une fois que le système de fichier est monté via NFS, comme n’importe quel autre répertoire local sur la machine cliente.
Ainsi, une machine cliente peut écrire sur un répertoire situé physiquement sur une machine serveur, de façon assez transparente.
Continuer la lectureEBS
Elastic Bloc Store, ou EBS, est un service d’espace de stockage destiné à être utilisé par les machines virtuelles d’AWS (EC2).
Chiffrement
Un des principaux (seuls) moyens de protéger les informations stockées sur des volumes de données est de les chiffrer. Mais que peut-on chiffrer sur un volume EBS ? La règle fournie par Amazon est simple :
- Les volumes créés à partir d’images chiffrées sont chiffrées.
- Les volumes créés à partir d’images non chiffrées ne le sont pas.
- Les volumes crées vides peuvent être chiffrés.
Nginx
Nginx est un serveur web relativement léger qui est désormais assez répandu.
Passer en https
Un excellent article sur le sujet (en anglais) est disponible chez DigitalOcean. Un résumé se trouve ci-dessous.
Installer Certbot
Certbot est un utilitaire permettant d’avoir rapidement un certificat SSL reconnu par la plupart des navigateurs. Un petit tour sur le site officiel https://certbot.eff.org/ et c’est joué.
Continuer la lectureSauvegarde
Réaliser une sauvegarde de ses fichiers importants est la mesure de sécurité la plus importante qui soit. L’actualité de 2015-2016 en est la preuve, avec la prolifération de ransomwares.
Parmi les critères de choix d’un service de sauvegarde en ligne, il y en a un qui est essentiel : dans les conditions d’utilisation, vérifiez bien qu’il est écrit que si vous perdez votre mot de passe (ou votre clé de chiffrement), il sera impossible de récupérer vos données. En effet, la plupart des fournisseurs de service de sauvegarde s’engagent à ne jamais consulter ou diffuser vos données. Sous-entendu : ils peuvent le faire mais ne le feront pas.
Continuer la lectureOpenVZ (Sauvegarde)
La sauvegarde d’une machine virtuelle OpenVZ se fait très simplement, en étant administrateur (root) de la machine.
Préparation de la partition
Pour minimiser le downtime (le temps où le serveur est indisponible), il faut utiliser un paramètre spécial de sauvegarde (cf script ci-dessous) lequel nécessite un partionnement particulier.
Continuer la lectureSynthèse (Serveur Web)
Sécuriser un serveur web, et de manière générale gérer un serveur web, demande pas mal de connaissances et de disponibilité. Il n’existe pas de recette universelle pour sécuriser un serveur, sachant qu’en outre ils tournent souvent avec un système d’exploitation Linux dont les différentes versions comportent des particularités. Je me bornerai ici à donner quelques bases, dans le cadre d’un serveur web de type personnel, sans ambition de haute disponibilité ou autre exigence de niveau professionnel.
Continuer la lectureTrueCrypt
Que penser de TrueCrypt ? C’est l’un des plus étonnants mystères de ces dernières années dans le petit monde de l’informatique.
TrueCrypt est un utilitaire permettant de chiffrer ses documents, voire des volumes entiers sur vos disques plus ou moins durs. Très utilisé, et même recommandé par des personnes de confiance, l’utilitaire a disparu du jour au lendemain (littéralement), sans donner d’explication convaincante1. D’autant plus étonnant que des initiatives avaient abouti à la réalisation d’un audit du code (qui est à peu près en open source), sans que l’on trouve en première approche de grosse faille ou de faiblesse particulière, à peine un mois plus tôt. Par ailleurs, en 2013, l’ANSSI avait fait réaliser une certification de premier niveau (CSPN), c’est-à-dire que fonctionnellement il répond bien à la cible de sécurité choisie.
Continuer la lecture