Authentification SSH par clés à partir de Linux

Pour s’authentifier sur un serveur, on utilise essentiellement des couples d’identifiants / mots de passe. Il faut savoir qu’il existe des méthodes d’authentification fortes qui permettent de mieux sécuriser vos accès, notamment l’authentification par clé publique. On génère une paire de clés, composée :

  • d’une clé publique (que tout le monde peut connaître),
  • d’une clé privée (que vous devez conserver secrète, propre à vous) : cette dernière vous permettra de créer des signatures, qui pourront être vérifiées grâce à la clé publique.

J’ai déjà traité de la création d’une paire de clé SSH sur Windows, voyons maintenant comment faire sur un OS Linux.

Cryptographie

(suite…)

Sécurisation de base d’un serveur MySQL avec mysql_secure_installation

Il est relativement facile d’installer un serveur MySQL, que ce soit pour faire un environnement de développement ou de production. En effet, un simple yum/apt-get/aptitude install mysql-server (suivant votre gestionnaire de paquets) vous installe en quelques minutes ce serveur de base de données avec une configuration par défaut.

Pourtant, un serveur MySQL n’est pas exploitable tout de suite : le mot de passe root n’est pas initialisé, des privilèges anonymes existent, etc. Il est préférable d’accorder de l’importance à la sécurité au début d’un projet, que d’essayer d’y revenir plus tard.

La commande mysql_secure_installation va apporter un minimum de sécurité pour vos nouvelles installations. Elle vous permet (selon vos choix) :

  • de changer le mot de passe root,
  • de supprimer les comptes anonymes,
  • de désactiver la connexion du compte root à distance,
  • de supprimer la base de données « test » à laquelle tout le monde peut avoir accès.

L’outil finit sur un rechargement des privilèges (« Flush privileges ») afin d’appliquer les changements de droits au serveur.

Pour lancer la commande : /usr/bin/mysql_secure_installation.

Sécurisation de base d'un serveur MySQL avec mysql_secure_installation

Sécurisation de base d'un serveur MySQL avec mysql_secure_installation

Bien entendu, ceci n’exclut pas une politique de sécurisation globale (présence d’un firewall, port MySQL changé, filtrage des privilèges par adresse source, etc.). Cette commande vous permet juste de passer sur les points critiques en quelques secondes.

Note : je traite uniquement de Linux, je déconseille l’utilisation de MySQL sur un OS Windows. Par ailleurs, je ne sais pas si la commande mysql_secure_installation existe sur Windows.

Comment savoir si votre serveur SSL est vulnérable à la faille DDos ?

Depuis quelques jours on ne parle plus de ça : il est possible de (très) facilement faire tomber des serveurs via une faille du protocole SSL. Très rapidement, et sans rentrer dans les détails, une groupe de hacker allemand (THC) a publié un outil permettant d’exploiter rapidement une faille du protocole SSL connue depuis 2003 (et jamais corrigée). Cette faille tire son origine dans le fait qu’une négociation SSL demande 15 fois plus de puissance au serveur qu’au client.

L’outil publié permet de surcharger les serveurs de son choix en renégociations.

Exemple : ici, un serveur de test non protégé (acceptant la renégociation). Après quelques secondes, la charge du serveur commençait déjà à monter : j’ai volontairement arrêté le test. Que dire d’un hacker avec un nombre important de machines à sa disposition ?

Faille SSL DDos

Faille SSL DDos

Exemple : ici, un serveur de test protégé (avec la renégociation désactivée).

Serveur protégé, avec la renégotiation désactivée

Serveur protégé, avec la renégotiation désactivée

Mais comment savoir rapidement (comprendre « sans vérifier la configuration ») si votre serveur est vulnérable ou protégé ?

SSL Labs (Qualys) fournit un outil de test, SSL Server Test : celui-ci décrypte et analyse votre configuration SSL. Il suffit d’indiquer l’adresse du serveur, et d’attendre quelques secondes.

Serveur ayant échoué au test et vulnérable à l'attaque DDos SSL

Serveur ayant échoué au test et vulnérable à l'attaque DDos SSL

Serveur ayant échoué au test et vulnérable à l'attaque DDos SSL

Serveur ayant échoué au test et vulnérable à l'attaque DDos SSL

Pour un serveur avec la renégociation désactivée, le résultat est assez différent :

Serveur non vulnérable

Serveur non vulnérable

Le test se situe sur cette page : SSL Server Test.

Note : désactiver la renégociation ne corrige pas la faille, mais permet de restreindre fortement son utilisation.

Comment créer une authentification SSH par clé publique à partir de Windows

Pour s’authentifier sur un serveur, on utilise essentiellement des couples d’identifiants / mots de passe. Il faut savoir qu’il existe des méthodes d’authentification fortes qui permettent de mieux sécuriser vos accès, notamment l’authentification par clé publique. On génère une paire de clés, composée :

  • d’une clé publique (que tout le monde peut connaître),
  • d’une clé privée (que vous devez conserver secrète, propre à vous) : cette dernière vous permettra de créer des signatures, qui pourront être vérifiées grâce à la clé publique.

Je vais traiter dans cet article de la création d’une paire de clé (publique et privée) sur Windows, et de la configuration nécessaire pour se connecter à un serveur SSH à l’aide de ces clés.

Cryptographie

(suite…)

Découvrez qui est connecté à votre réseau Wifi

Vous avez l’impression que votre bande passante diminue chez vous ? Peut-être qu’un voisin a réussi à se connecter à votre réseau Wifi et utilise toute votre bande passante ?



Il existe quelques petits outils qui vous permettent de voir qui est connecté au même réseau que vous, par exemple Wireless Network Watcher. Il se base sur un scan de la plage d’adresse concernée et renvoi plusieurs informations :

  • adresse IP,
  • nom du poste si disponible,
  • adresse MAC,
  • fabricant de la puce wifi (permet de reconnaître certain appareils, comme les iPhone),
  • etc.
Découvrez qui est connecté à votre réseau Wifi avec Wireless Network Watcher

Découvrez qui est connecté à votre réseau Wifi avec Wireless Network Watcher

Le bon point : il n’est pas nécessaire de l’installer, l’application peut être lancée en tant que simple exécutable.

Pour le téléchargement, c’est par ici : Wireless Network Watcher.

Déshabillez une fille pour créer un mot de passe complexe

Trouvaille de la journée, un plugin jQuery qui permet d’encourager les utilisateurs masculins à créer des mots de passes plus complexes. Le fonctionnement est simple : « Sally », une pin-up de quelques pixels, se déshabillera au fur et à mesure que le mot de passe devient complexe. Astucieux non ? :)

Exemple d'utilisation du plugin jQuery "Naked Password"

Exemple d'utilisation du plugin "Naked Password"

Son intégration est hyper simple : elle ne nécessite qu’une seule ligne de code dans vos formulaires.

Plus d’info et téléchargement du plugin sur le site officiel : Naked Password.

Info via Manu.