Prendre un Café - Tag - sécurité - Commentaires

[ping] Sécuriser son Ubuntu-server - Krusaf's Blog

Krusaf's Blog — Fri, 16 Feb 2007 11:21:03 +0100

Denyhosts est un programme qui bloque les attaques ssh en ajoutant les IP dans /etc/hosts.deny. Denyhosts informe aussi les administrateurs (par mail) des attaques d'utilisateurs ou de login suspicieux....

Sécuriser son Ubuntu-server - Laurent - CyberSDF

Laurent - CyberSDF — Sun, 11 Feb 2007 14:54:20 +0100

Changer le port de SSH ? Bof... un nmap -vvA donnera le bon port.

Ne pas oublier non plus le manuel de sécurisation de Debian http://www.debian.org/doc/manuals/s... qui, pour pas mal de choses, s'applique aussi à Ubuntu.

Sécuriser son Ubuntu-server - NiKo

NiKo — Thu, 08 Feb 2007 17:52:43 +0100

NiCoS> Apache dans un premier temps, bien sûr.

Sécuriser son Ubuntu-server - NiCoS

NiCoS — Thu, 08 Feb 2007 16:40:06 +0100

Pour le chroot, tu enfermes au niveau d'apache je présume ou de tout (ssh, ftp, mail, home des users) ?

Sécuriser son Ubuntu-server - NiKo

NiKo — Wed, 07 Feb 2007 21:08:04 +0100

Exact. De plus nosuid empêche MySQL de créer certaines tables temporaires. Je suis en train de me dire que cette manipulation n'est finalement pas une si bonne idée que ça.

J'édite le billet en conséquence.

Sécuriser son Ubuntu-server - laOuine

laOuine — Wed, 07 Feb 2007 19:08:53 +0100

Le pb avec /tmp en noexec, c'est qu'apt y exécute des scripts pendant certaines maj.

Sécuriser son Ubuntu-server - arnod'mental

arnod'mental — Tue, 06 Feb 2007 22:32:04 +0100

Merci bien pour ce qui semble etre de bonnes bases pour la sécurité d'un serveur. Et pas seulement valable pour ubuntu je pense, mon imac va passer à la moulinette billet-de-niko-pour-pas-que-les-mechants-script-kiddies-y-viennent-trifouiller-dans-ma-machine.

Sécuriser son Ubuntu-server - NiCoS

NiCoS — Tue, 06 Feb 2007 19:38:00 +0100

en lieu et place de shorewall, j'utilise arno-iptable-firewall.

En plus de logcheck, il y a aussi logwatch.

bon résumé sinon, va falloir que je pique 2/3 trucs

Sécuriser son Ubuntu-server - wildmary

wildmary — Tue, 06 Feb 2007 18:26:36 +0100

merci

juste une petite remarque, tu devrais corriger ta phrase (au moins rajouter le "pas" manquant) :
> Attention, ne prenez un numéro de port utilisé par un des autres services que vous utilisez sur le serveur (80 pour http, 25 pour smtp, 443 pour https, etc.)

j'ai mis un moment à comprendre "ne prenez PAS un numéro de port déjà utilisé par un autre service (80 etc." x_x (3 ou 4 lectures mais pour une fois j'ai fini par comprendre avant de poser la question

Sécuriser son Ubuntu-server - NiKo

NiKo — Tue, 06 Feb 2007 17:08:06 +0100

Wildmary> Les fichiers de logs situés dans /var/log sont une aide précieuse. Comme énoncé plus haut, des outils comme netstat (que j'associe systématiquement à lsof) ou ps sont précieux pour remonter à l'origine du mal.

Sécuriser son Ubuntu-server - gismo

gismo — Tue, 06 Feb 2007 16:51:27 +0100

Voilà mon petit conseil à moi pour laisser ssh sur le port 22 sans trop de problèmes:

/sbin/iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
/sbin/iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 300 --hitcount 3 -j DROP

Cela limite les tentatives de connexions à 3 et bloque l'ip pendant 10 min si elle n'a pas reussit à s'authentifier.

Sécuriser son Ubuntu-server - wildmary

wildmary — Tue, 06 Feb 2007 15:51:17 +0100

je n'ai pas de dedibox mais il serait peut-être temps que je devienne un peu parano et que je suive te conseils : j'ai tendance à laisser tourner mon ordi à la maison avec serveur ssh pour pouvoir m'y connecter... d'ailleurs comment sait-on qu'on est victime de tentatives d'intrusion sous Ubuntu ??

Sécuriser son Ubuntu-server - Clochix

Clochix — Tue, 06 Feb 2007 09:58:09 +0100

... installer des softs d'analyse des logs, histoire d'avoir un rapport synthétique tous les matins de ce qui s'est passé sur la machine. Le tout est bien sûr de prendre le temps tous les matins de lire ce genre de mail passionnant...

Amha, le risque le plus courant est les tentatives d'attaque du serveur web. On n'est jamais à l'abri d'un exploit "0 day" dans dotclear ou autre. D'où l'utilité de chrooter Apache par exemple, et d'installer des petits trucs tout simple pour blacklister les script-kiddies. Des directives dans ce genre dans un htaccess peuvent être utiles:

<IfModule mod_rewrite.c>
  RewriteEngine on 
  RewriteRule ^(.*)xmlrpc(.*)$ /blacklist.php [L]
  RewriteRule ^(.*)awstat(.*)$ /blacklist.php [L]
</IfModule>

Sécuriser son Ubuntu-server - David, biologeek

David, biologeek — Tue, 06 Feb 2007 09:51:45 +0100

Ne pas oublier de redémarrer sshd après avoir changé le port, sinon ça sert pas trop

root c'est le mal (sauf quand on a foiré son /etc/sudoers ok)

Je connaissais pas fail2ban, intéressant !

Autre conseil : pensez à mettre à jour tous les serveurs du parc si vous en avez plusieurs connectés, surtout si certains ont des clés vers les autres (vécu inside :/).

Sécuriser son Ubuntu-server - kNo'

kNo' — Tue, 06 Feb 2007 09:21:41 +0100

"Touchez du bois"

Le grand Asimov (Isaac) disait "touchons du plastique !".

Sécuriser son Ubuntu-server - PiTiLeZarD

PiTiLeZarD — Tue, 06 Feb 2007 07:53:17 +0100

un truc tout simple que je fais régulièrement aussi ... suivant les choses qu'on installe, un petit nmap de loin pour voir ce qu'on a d'ouvert sur le monde... Surtout pour voir s'il y en a plus que de raison !

Mais merci pour ce billet ! superbe ... je découvre d'autres de tes billets a travers lequel j'ai du passer je ne sais comment ! Cool =)

Sécuriser son Ubuntu-server - Bob

Bob — Tue, 06 Feb 2007 07:33:12 +0100

Chrooter pas chrooté... (désolé, c'est tôt )

Sécuriser son Ubuntu-server - Bob

Bob — Tue, 06 Feb 2007 07:32:28 +0100

Malheureusement, même tout ça ne suffit pas à contrer les attaques par injection de code si on héberge des sites codés n'importe comment donc chrooté Apache serait un plus ainsi que l'installation d'un IPS (logcheck va bien en coulpe avec logwatch)...

Sécuriser son Ubuntu-server - mEga

mEga — Tue, 06 Feb 2007 01:59:47 +0100

conseil #1 utiliser un vrai truc sécurisé : comme OpenBsd ... ok je sais je sors mais pourtant c'est le bien et c'est mieux qu'UbuntU ^^

Sécuriser son Ubuntu-server - kolter

kolter — Tue, 06 Feb 2007 00:50:15 +0100

j'aurais des conseils différents :
+ le noexec sur le /tmp ça sert pas à grand chose, ça se contourne très facilement (de plus quid du /var/tmp?)
+ installer logcheck
+ install arpwatch car l'arpspoofing sur les dedibox c'est assez simple à faire aussi
+ netstat est ton ami
+ un firewall n'est pas vraiment utile suffit de savoir ce qu'on fait tourner
+ la directive AllowGroup dans sshd_config devrait être fortement envisagé
+ rkhunter en plus de chkrootkit, + d'autres solutions de monitoring (tiger, etc...)
+ une debian à la place d'une ubuntu
+ chrooter ses utilisateurs?
+ et plus encore ....

Installer sa clé SSH sur un serveur distant - Yannick

Yannick — Thu, 08 Dec 2005 21:42:28 +0000

Deux modestes remarques:

>générer une clé privée et une clé publique, toutes deux cryptées

- Tout d'abord il convient d'utiliser le mot "chiffrées" (déchiffrer et décrypter ne voulant pas du tout dire la même chose)

- La clé publique est par définition "publique" et donc non chiffrée.

Et en étant pinailleur, je préciserais peut etre "clé publique" dans le titre..au cas ou..

Me donne des idees de faire une petite suite ... on verra..

Installer sa clé SSH sur un serveur distant - NiKo

NiKo — Fri, 11 Nov 2005 17:44:37 +0000

Corrigé, merci

Installer sa clé SSH sur un serveur distant - Nico

Nico — Fri, 11 Nov 2005 13:14:19 +0000

La commande pour générer la clé ssh est "ssh-keygen" et non "ssh keygen"... Le tiret a été oublié

Installer sa clé SSH sur un serveur distant - NiKo

NiKo — Fri, 02 Sep 2005 09:01:17 +0000

Guillaume > Ben si, il suffit de copier ses clés sur l'autre machine

[ping] Installer sa clé SSH sur un serveur distant - TitaX[Addictive]

TitaX[Addictive] — Thu, 01 Sep 2005 20:51:52 +0000

Fedora Core 3 et SSH

Si comme moi vous avez plusieurs machine Unix à gérer, avec bien entendu plusieurs mot de pass pour chancun de vos comptes root sur le serveur, vous connaissez la difficulté et la perte de temps liée à se demander : " c'est quoi déjà le passe sur...

Installer sa clé SSH sur un serveur distant - Guillaume

Guillaume — Thu, 01 Sep 2005 10:18:21 +0000

tres bon ton billet Niko , mais si l'on veut se connecter d'une autre machine ( une machine nouvelle ) , c'est plus possible. ( d'apres ce que j'ai lu ... )

Installer sa clé SSH sur un serveur distant - Motarion

Motarion — Thu, 01 Sep 2005 10:04:46 +0000

Pratique ! Je testerais ça ce week end

Installer sa clé SSH sur un serveur distant - pickupjojo

pickupjojo — Wed, 31 Aug 2005 00:51:42 +0000

Vraiment très pratique, merci !

Installer sa clé SSH sur un serveur distant - NiKo

NiKo — Tue, 30 Aug 2005 11:17:01 +0000

On peut aussi utiliser rsync avec ssh pour synchronier deux machines. Cela fera certainement l'objet d'un prochain billet.

Installer sa clé SSH sur un serveur distant - Younes

Younes — Tue, 30 Aug 2005 11:14:20 +0000

La technique peut être utiliser aussi pour faire communiquer deux machines avec ssh, comme par exemple pour faire des copies sécurisés entre deux machines avec "scp" en passant par un script bash en cron. a+

Installer sa clé SSH sur un serveur distant - Lucas

Lucas — Tue, 30 Aug 2005 09:56:12 +0000

Et si vous avez souvent besoin de rebondir sur une machine avant de vous connecter sur la machine sur laquelle vous voulez vraiment aller, ce billet vous intéressera : http://www.lucas-nussbaum.net/blog.php/?2005/05/03/115-rebondir-avec-ssh (et si vous voulez voir ce genre de billets sur planet ubuntu-fr, vous pouvez toujours faire du forcing auprès de szdavid

Installer sa clé SSH sur un serveur distant - kNo'

kNo' — Tue, 30 Aug 2005 09:17:42 +0000

tiens tiens... Mais je les connais ces commandes, je suis sûr de les avoir lues quelque part... ;o)

Bon. A part ça, tu peux me rappeler pourquoi il est TRES vilain de se connecter directement en root sur un serveur ? Je vois pas bien la différence entre un user qui connaît le mot de passe root et root tout court. Ca revient au même non ?

Installer sa clé SSH sur un serveur distant - jief

jief — Tue, 30 Aug 2005 09:10:47 +0000

mieux que de créer des alias dans le .bashrc, on peu créer un fichier config dans .ssh/ qui se présente comme suit :

Host          toto
Hostname      toto.host.org
User          titi

Il suffit ensuite de faire un ssh toto et le tour est joué.

On peut bien entendu créer plusieurs Host différents

Installer sa clé SSH sur un serveur distant - r3d

r3d — Tue, 30 Aug 2005 09:06:38 +0000

pour éviter d'avoir à retaper justement la passphrase, il y la commande ssh-agent et ssh-add Il y a profusion de tuts à ce sujet...

Installer sa clé SSH sur un serveur distant - Tatane

Tatane — Tue, 30 Aug 2005 08:09:01 +0000

Excellent ! Ca c'est de la bonne astuce bien pratique, je vais tester dès aujourd'hui ! Merci bien

Redéfinir de force le mot de passe root de MySQL - solo

solo — Thu, 18 Aug 2005 12:47:40 +0000

Je blogmarks

Redéfinir de force le mot de passe root de MySQL - Play

Play — Wed, 17 Aug 2005 21:29:43 +0000

Joli ! Billet à bookmarker impérativement. Done. Merci NiKo.

Redéfinir de force le mot de passe root de MySQL - NiKo

NiKo — Wed, 17 Aug 2005 20:53:09 +0000

Tu as tout à fait raison, on pourrait également opérer ainsi :

$ sudo -s
# /etc/init.d/mysql stop
# mysqld -u mysql --skip-grant
# mysql
  mysql> DELETE FROM mysql.user WHERE User='root';
  mysql> GRANT ALL PRIVILEGES ON *.* TO 'root'@'localhost' IDENTIFIED BY 'nouveau_mot_de_passe' WITH GRANT OPTION;
  mysql> FLUSH PRIVILEGES;
  mysql> quit
  Bye
# /etc/init.d/mysql restart

Je modifie néamoins le billet pour intégrer le flush

Redéfinir de force le mot de passe root de MySQL - Romain

Romain — Wed, 17 Aug 2005 20:46:29 +0000

Mmh, je flusherai quand même :
mysqladmin -u root password 'nouveau_mot_de_passe' flush-privileges
Astuce repéché ici

Mais où s'arrêtera Google ? - Benoit

Benoit — Mon, 25 Apr 2005 12:15:50 +0000

Sinon en se basant strictement sur le texte, le "tierces parties" est temporisé par le "toutefois" qui suit, et le "etc." est limité à "procédures légales".

Pour ce qui est du JavaScript de GMail il me semble que c'est clairement pour des raisons de bande passante qu'il est "compressé", et puis bon tu peux toujours uiliser la version sans si tu as un doute dessus. En tout cas cela ne t'empêche en aucun cas d'accéder à tes messages par d'autres moyens. J'aimerais bien par exemple (au même hasard) qu'on m'indique le serveur POP3 et la version sans JavaScript de Hotmail. Pour moi toute la différence est là et elle est suffisamment importante.

Mais où s'arrêtera Google ? - Mitternacht

Mitternacht — Sun, 24 Apr 2005 14:56:06 +0000

Bon bah... politique habituelle: on ne prend que ce qui rend - vraiment - service. Donc pas le système de gestion d'historique, qui ne sert de façon à rien du tout, sauf en effet aux dictatures diverses et variées. Un chose genre del.icio.us ou blogmarks fait très bien l'affaire (parce qu'un historique, c'est toujours un foutoir monstre).
Mais tu vas me rendre parano, je vais arrêter d'utiliser ma boîte Gmail pour communiquer avec mes potes de complot pour la conquête du monde.