Quotidien Shaarli
06/14/17
A shell script mirror remote server named server1.cyberciti.biz and /backups directory to another server. The script use rsync command and also make sure a special directory mounted in local server. You must setup ssh keys (see “How To Set Up SSH Keys” for more info).
After setting up Puppet in an agent/master configuration, you may need some help writing Puppet manifests and modules. In order to use Puppet effectively, you must understand how manifests and modules are constructed.
Macs don’t get much love in the forensics community, aside from @iamevltwin (Sarah Edwards), @patrickolsen (Patrick Olsen), @patrickwardle (Patrick Wardle), and a few other incredibly awesome pioneers in the field.
I found on Twitter an interesting blog post on breaking (EC)DSA and was writing a lengthy comment when some weird combination of keystrokes shutdown my browser and ate my comment, so I thought I'd write a blog post instead.
Lynis est un outil de sécurité open source. Utilisé par de nombreux administrateurs systèmes, il a pour objectif d’évaluer le niveau de sécurité de votre système.
Avec l’optique de monter plusieurs micro-VMs chez moi, donc derrière une seule adresse IP publique, je ne me vois pas m’amuser à ajouter autant de redirections de ports que j’ai de machines, d’autant plus que les mouvements seront peut-être nombreux. Alors pour me faciliter la vie, et profiter pleinement de la puissance d’SSH, je vais monter un serveur de rebond à partir duquel distribuer toutes mes connexions en fonction du nom de la machine que je choisirai.
Ubuntu Server LTS est la 2e distribution Linux que j’utilise après CentOS. Les clients que je forme ou chez qui j’installe cette distribution la choisissent pour la richesse et la fraîcheur de ses paquets, la vitalité de sa communauté.
« Darknet, deep web… les dangers du web »
Aujourd'hui nous parlons de la neutralité du net, avec Jérémie Zimmermann, cofondateur de la Quadrature du Net.
Protects your data by inspecting incoming queries from your application server and rejecting abnormal ones.
Plusieurs milliers d’internautes ont afflué sur le nouveau réseau social à la mode, souvent à la recherche d’une simplicité et d’une bonne humeur disparues.
This is the story of how members of Google’s make-tcp-fast project developed and deployed a new congestion control algorithm for TCP called BBR (for Bandwidth Bottleneck and Round-trip propagation time), leading to 2-25x throughput improvement over the previous loss-based congestion control CUBIC algorithm.
Historiquement, mettre à jour son système NetBSD se fait via le logiciel d'installation, sysinst. Cependant, cette méthode a le principal désavantage de nécessiter de redémarrer sur l'installeur, et donc de rendre le système indisponible pendant toute la mise à jour.
The goal of this simple python script is to analyze a Twitter profile through its tweets by detecting:
Average tweet activity, by hour and by day of the week
Timezone and language set for the Twitter interface
Sources used (mobile application, web browser, ...)
Geolocations
Most used hashtags, most retweeted users and most mentioned users
Friends analysis based on most frequent timezones/languagesNous allons aujourd’hui étudier d’un peu plus près un angle d’attaque des services DHCP qui se nomme le DHCP Starvation, nous étendrons ensuite notre attaque vers le DHCP Rogue et verrons la différence, de but et de procédure, entre ces deux attaques.
Les méthodes pour partager des dossiers/fichiers sont nombreuses pour nos machines, que ce soit sous Windows ou Linux : CIFS/Samba, SSH, FTP, NFS… et mine de rien, ce bon vieux HTTP. Aussi surprenant que ça paraisse, pour du partage simple, c’est probablement la méthode la plus simple, la plus rapide, si l’on dispose de Python.
La supervision est désormais ancrée dans les habitudes des entreprises. Cela permet de garder un œil sur les systèmes, les applications et d’anticiper éventuellement les incidents. Parmi les outils permettant de faire de la supervision, on a tous en tête le célèbre Nagios.
Un mémo sur comment installer et configurer un serveur iSCSI avec LVM sur un serveur Debian Jessie, qui aura pour but à terme d’héberger les données vivantes séparées de la partition système sur mes serveur de fichiers virtualisés sous Proxmox.
This document tries to give an overview how recent versions of OpenBSD run best as VM on an hypervisor. It is centered on Linux/KVM/qemu, but some of it is also valid for other hypervisors.
« Je suis l'iPhone de Jean-Luc ! » Traditionnellement, les ordinateurs connectés à l'Internet ont un nom, et ce nom est souvent annoncé à l'extérieur par divers protocoles. Cette pratique très répandue, dont l'origine remonte à l'époque où on n'avait que quelques gros serveurs partagés, et fixes, est dangereuse pour la vie privée, dans un monde de mobilité et de machines individuelles.
Yes, a good list to getting started with Linux commands for monitoring your Linux server in cloud.
Le vote électronique est un serpent de mer qui refait régulièrement surface à l’occasion des différentes élections. Selon ses promoteurs, il coûte moins cher que le vote classique à bulletins papiers, est plus rapide à dépouiller, augmente la fréquentation des bureaux de vote, évite d’avoir à trouver assesseurs et scrutateurs dans les petites communes, et fait définitivement plus moderne.
Aujourd’hui, la disponibilité d’une connexion à Internet dans un milieu professionnel est devenue un enjeu critique.
Dans certaines entreprises, un perte de connexion de quelques minutes peut engendrer des pertes financières considérables.
Nous allons voir comment configurer pfSense pour assurer une redondance des routeurs à l’aide du protocole CARP.
Some of the most compelling advantages of systemd are those involved with process and system logging. When using other tools, logs are usually dispersed throughout the system, handled by different daemons and processes, and can be fairly difficult to interpret when they span multiple applications.
Cette note a été produite dans le cadre d'une réunion à l'initiative de l'ARCEP et de la Direction générale des entreprises autour du Paquet Télécom, qui a eu lieu le 14 novembre 2016. Nous restituons ici le texte communiqué à l'occasion aux participants.
J’ai mis hier en ligne un script de mise à jour du logiciel SquidGuard, à partir de la blacklist fournie par l’université de Toulouse et mise à jour par Fabrice Prigent. Merci à lui.
Debian/Stretch has been frozen. Before the freeze I got almost all the bugs in policy fixed, both bugs reported in the Debian BTS and bugs that I know about. This is going to be one of the best Debian releases for SE Linux ever.
How do I read a text file line by line under a Linux or UNIX-like system using KSH or BASH shell?
Choose two works you wish to combine or remix. Find the license of the first work on the first row and the license on the first column. You can combine the works if there is a check mark in the cell where the row and column intersect.
I‘m a new user and networking newbie. I need help with network settings. I’m looking for a tool for calculating available host address ranges with CIDR using Linux command prompt. How do I use subnet calculator under a Linux or UNIX-like systems without visiting 3rd party websites?
I need of opening necessary files in reading (read-only) mode to avoid accidental editing of files such as /etc/resolv.conf or a large config or programming file on a production server.
Hello everyone, in this post we are going to use DNS for data ex-filtration to fasten (time based) blind sql injection attacks or make exploitation possible even on random delayed networks/applications. So let us start with basics of DNS.
ProtonMail, le plus large fournisseur de service d’email chiffré a annoncé hier une nouvelle adresse Onion que les utilisateurs pourront désormais utiliser.
Here is a small bash script for extracting the text and media content from a docx file. Might be useful if you do not want to open the file with word. Works with cygwin, should work with linux.
C’est assez malheureux, mais voilà, pour qui n’avait pas suivi l’actualité, le développement de TueCrypt s’était arrêté en 2014 dans des circonstances toujours douteuses aujourd’hui. Si dans certains cas l’utilisation de la version 7.1a est toujours sécurisée, l’idéal est d’envisager dès maintenant des alternatives fiables, et si possible au même niveau de portabilité.
Dans ce tutoriel, nous apprendrons à utiliser Terminator, une application proposant plusieurs terminaux de commandes dans une même fenêtre qui peut facilement enregistrer leurs dispositions pour une utilisation ultérieure.
Vous n'avez pas été convoqué à un 1er ou 2ème entretien de recrutement ? Le site Careerealism.com propose d'analyser les principales causes de cet échec.
10 awesome features of Python that you can't use because you refuse to upgrade to Python 3
Un mémo sur la mise en place d’un cluster haute disponibilité d’hyperviseurs Proxmox avec un serveur NFS.
Avoir l'ensemble de ses sites accessibles en https, avec des certificats letsencrypt ( gratuits et surtout renouvelés automatiquement ) et un serveur de cache ( varnish ) pour augmenter la capacité de charge ( bref optimiser les perfs des sites ) pour enfin passer le relais au backend ( Apache, Nginx .. peu importe ).
LetsEncypt est une autorité de certification utilisant une API basée sur des appels HTTP et un client côté serveur qui va générer des tokens lus par les serveurs LetsEncrypt.
Nous allons ici voir une architecture LetsEncrypt typique dans laquelle nous allons utiliser le client acme-client d’OpenBSD disponible dans les ports et les packages FreeBSD.
Intervention de l'ANSSI au SSTIC 2017 sur le piratage de TV5 Monde en 2015
Troll - Le débat Tanenbaum Torvalds
This Linux based firewall is controlled by the program called iptables to handles filtering for IPv4, and ip6tables handles filtering for IPv6. I strongly recommend that you first read our quick tutorial that explains how to configure a host-based firewall called Netfilter (iptables) under CentOS / RHEL / Fedora / Redhat Enterprise Linux. This post lists most simple iptables solutions required by a new Linux user to secure his or her Linux operating system from intruders.
It has often been told how the Bell Labs law department became the first non-research department to use Unix, displacing a newly acquired stand-alone word-processing system that fell short of the department's hopes because it couldn't number the lines on patent applications, as USPTO required.
Dans un précédent billet, j’expliquais comment j’avais publié mon CV LaTeX sur GitHub. C’était ma première expérience LaTeX et quand on connaît pas et qu’on apprend, on a besoin de voir ce que l’on fait en temps réel. Je modifie une ligne, ça change le PDF généré, … Je m’étais alors tourné vers Gummy. Léger, pratique, pour les deux pages de mon CV c’est très bien. Mais déjà il y avait quelques points gênant comme un affichage pas toujours fidèle à mon PDF de sortie.
Lors de sa dernière session le 18 octobre 2016, la Conférence mondiale des autorités de protection des données, rappelant que l’éducation des jeunes à la protection des données personnelles était un enjeu de première importance, a adopté à cet effet, pour la première fois, un référentiel de formation des élèves à la protection des données personnelles.
Domain Keys Identified Mail, or DKIM, is another security mechanism available to us that allows us to prevent spoofing or forging of emails from our domain. Using public key cryptography to assure the integrity and authenticity of emails, properly configured DKIM is an excellent protection.
Le protocole HIP n'avait pas à l'origine de mécanisme pour trouver l'identificateur d'une machine distante. Cela avait été fait dans le RFC 5205, qui permettait de trouver l'identificateur dans le DNS. Ce nouveau RFC remplace le RFC 5205.
Tut's pfSense Archives - computerz.solutions
Il est fréquent aujourd'hui sur l'Internet qu'une application cherche à accéder à un contenu (mettons un film, ou bien la mise à jour d'un gros logiciel) qui est disponible à plusieurs endroits. Dans ce cas (qui est notamment fréquent pour le téléchargement en pair-à-pair), quelle source utiliser ? La « meilleure », bien sûr, mais comment la connaître ? Le but du protocole ALTO est de permettre de distribuer de l'information sur la topologie du réseau, afin que les applications puissent choisir la source la plus proche d'elles.
Samba is a free Open Source software which provides a standard interoperability between Windows OS and Linux/Unix Operating Systems.
GitHub - drduh/macOS-Security-and-Privacy-Guide: A practical guide to securing macOS.
PowerShell decoder by @JohnLaTwC · GitHub
Je ferai un article dans mon Wiki récapitulant les touches pour faire fonctionner et piloter chacun des outils. Mais voici mon TOP10 des outils tip TOP sous Linux pour le monitoring et performance système ponctuelle
La cryptologie expliquée à mon voisin qui n'y connait rien mais qui voudrait savoir... Comme dans toutes mes rubriques "Le coin du cryptologue", un conseil pratique se trouve à la fin.
Infographie : les usages de la cryptographie
Vim is a highly configurable text editor built to enable efficient text editing. It is an improved version of the vi editor distributed with most UNIX systems. Vim is distributed free as charityware.
I recently tried out OpenBSD as a possible answer to recent Linux engineering. I thought I’d share my notes here on my results, from a beginner’s and Linux user’s perspective. (I tried FreeBSD briefly before as well.) If you’ve used OpenBSD more extensively on the desktop, your feedback on any of this is welcome too – I’d like to know what you think of my opinions, you being a longer-term user.
Rich Salz and Tim Hudson started off their LinuxCon Europe 2016 talk by stating that April 3, 2014 shall forever be known as the "re-key the Internet date." That, of course, was the day that the Heartbleed vulnerability in the OpenSSL library was disclosed. A lot has happened with OpenSSL since that day, to the point that, Salz said, this should be the last talk he gives that ever mentions that particular vulnerability. In the last two years, the project has recovered from Heartbleed and is now more vital than ever before.
I've used Linux containers directly and indirectly for years, but I wanted to become more familiar with them. So I wrote some code. This used to be 500 lines of code, I swear, but I've revised it some since publishing; I've ended up with about 70 lines more.
My 10 UNIX Command Line Mistakes
12 règles essentielles pour sécuriser
vos équipements numériques
Over the last few years, static type checkers have become available for popular dynamic languages like PHP (Hack) and JavaScript (Flow and TypeScript), and have seen wide adoption. Two years ago, a provisional syntax for static type annotations was added to Python 3. However, static types in Python have yet to be widely adopted, because the tool for checking the type annotations, mypy, was not ready for production use… until now!
Run Docker containers on embedded devices
Si aujourd’hui depuis un cybercafé de Macao vous pouvez consulter le solde de votre compte sur le site de votre banque française, ainsi que l’état de votre commande chez Amazon en Virginie, c’est grâce à l’Internet, bien sûr, mais si vous pouvez le faire facilement c’est grâce au système de noms de domaines, le DNS.
Par définition, un serveur est accédé de manière distante. C’est à dire qu’on doit pouvoir l’administrer sans être physiquement devant. Alors qu’il soit dans un datacenter à l’autre bout du globe ou dans le grenier de la maison, SSH nous permettra de gérer tout ça depuis notre ordinateur de bureau (ou laptop).
A script to manage the forwarding of tweets from Twitter accounts to a Mastodon one.
L'autorité des télécoms vient d'actualiser son observatoire faisant état de la transition IPv6 en France.
Mastodon est un nouveau réseau social qui reprend les codes et usages de Twitter et qui a connu un vif engouement ces derniers jours, sa particularité étant qu’il ne dépend pas d’une entreprise privée mais qu’il est dit décentralisé.
I want to share my web server DocumentRoot /var/www/html/ across 2 Apache web server. Both of my web servers are behind load balanced reverse proxy powered by Nginx.
Yesse is an effortless and instant web hosting service to temporarily share the projects you've been working.
Aux Etats-Unis, le Congrès a autorisé les opérateurs à vendre les données personnelles de leurs abonnés, dont leur historique de navigation, sans leur consentement. En France et en Europe, le cadre légal est heureusement beaucoup plus contraignant. [...]
We’re excited to introduce you to Twitter Lite, a Progressive Web App that is available at mobile.twitter.com. Twitter Lite is fast and responsive, uses less data, takes up less storage space, and supports push notifications and offline use in modern browsers.
"Un aide-mémoire des balises #HTML5
For security reasons and to save bandwidth I would like to configure Squid proxy server such way that my users should not download all of the following files:
You can use iptables to block any string including DNS requests. This is pretty awesome way to block certain domain or dns queries on Linux.
Logcheck est un logiciel qui analyse les logs du serveur et renvoi par mail des infos sur les problèmes rencontrés.
Malgré le paramétrage qui semble être correct, les règles d'évitement (ignorance) des log de sSMTP n'étaient pas appliquées et je recevais toutes les heures un message du type :
Depuis quelques temps je souhaitais ajouter le mode HA (High Availability) à mon routeur PFSense. Mais avec ma connexion Free (ou une autre) qui n’a qu’une seule IP publique, cela me semblait impossible. Car en effet, dans une HA de type « Carp » il faut toujours 3 IPs (deux IP réelles et une virtuelle). Je vous propose donc de vous expliquer en quelques mots le moyen que j’ai utilisé pour y arriver.
Ce papier fait suite au précédent Chiffrer ses requêtes DNS avec DNScrypt et le complète en donnant une recette afin d'installer DNScrypt. Contrairement à ce que je déclarai dans ce papier, je suis revenu à une installation à la main, plutôt que de recourir à un script.
Tmux session manager
En lisant un article sur le fait qu’il est désormais possible de faire l’installation de Docker sur Raspberry pi je vois que l’installation passer par la commande
How you can very easily use Remote Desktop Services to gain lateral movement through a network, using no external software — and how to defend against it.
Un résolveur DNS ne connait au début, rien du contenu du DNS. Rien ? Pas tout à fait, il connait une liste des serveurs de noms faisant autorité pour la racine, car c'est par eux qu'il va commencer le processus de résolution de noms.
Conférence de Lunar - Informatique et Libertés
HTTP/2 Frequently Asked Questions
L’offre de certificats gratuits proposée par Let’s Encrypt est généralement vue comme une aubaine qui a permis aux administrateurs de site web de facilement adopter le chiffrement HTTPS sur leurs sites. Mais ces certificats sont également utilisés par des cybercriminels qui souhaitent légitimer leurs sites contrefaits.
Aujourd'hui, je vous propose de continuer à jouer un peu avec votre Raspberry Pi en jetant un oeil au système de fichier F2FS conçu par un ingénieur de Samsung en 2012.
Une étude montre qu’entre 5 et 10 % des connexions web sécurisées HTTPS sont interceptés par des logiciels de sécurité. Et malheureusement, ces derniers sont mal configurés et apportent leurs propres vulnérabilités.
Vous avez un Raspberry Pi ou une machine sous Linux très souvent allumée ? Vous souhaitez la faire parler automatiquement sur Twitter en transmettant diverses informations ? Découvrez le script TweetBoxBot et son utilisation !
Botnets have existed for at least a decade. As early as 2000, hackers were breaking into computers over the Internet and controlling them en masse from centralized systems. Among other things, the hackers used the combined computing power of these botnets to launch distributed denial-of-service attacks, which flood websites with traffic to take them down.
Vous cherchez un service mail français, performant et sans pub ?
Vous voulez une solution alternative, libre et respectueuse de votre vie privée, mais vous n'avez pas envie de louer votre propre serveur et d'installer tout ça vous même ?
Si KeePass peut être utilisé pour stocker les mots de passe de vos volumes chiffrés, il permet aussi parfois d'automatiser leur montage. Dans le cas de VeraCrypt, il suffit d'utiliser le plugin open source KeePassVeraCryptMount.
WireGuard is an extremely simple yet fast and modern VPN that utilizes state-of-the-art cryptography. It aims to be faster, simpler, leaner, and more useful than IPSec, while avoiding the massive headache.
Les plus fervents défenseurs des conteneurs ont beau trompété les avantages de leur technologie face aux machines virtuelles, mais la réalité dans les entreprises est plutôt entre les deux : une combinaison conteneurs et VMs.
Suite aux nombreuses demandes de la communauté pour améliorer les performances de la Raspberry pi 3 nous avons décidé d’écrire un tutoriel pour vous apprendre comment overclocker une Raspberry pi 3.
dns2proxy is an offensive DNS server that offers various features for post-exploitation once you’ve changed the DNS server of a victim.
La nouvelle version du GUIDE D’HYGIÈNE INFORMATIQUE est disponible dès aujourd’hui. Une refonte sur le fond et sur la forme qui présente en 42 mesures les pratiques incontournables pour renforcer la sécurité des systèmes d’information.
A curated list of resources for learning about application security. Contains books, websites, blog posts, and self-assessment quizzes.
Bonjour à tous,
Aujourd’hui, on va voir comment créer un template de machine virtuelle Windows 10 ou Windows Serveur 2016 sous Proxmox 4.4.
Il existe un nouveau résolveur DNS public DNS-sur-TLS, et il utilise la racine Yeti. Des explications supplémentaires seraient bienvenues ? Les voici.
My day-to-day activities are still evolving around the Python programming language, as I continue working on the OpenStack project as part of my job at Red Hat. OpenStack is still the biggest Python project out there, and attract a lot of Python hackers.
Using hosts file to block advertisement tend be much faster than using other popular extensions because it’s implemented in the operating system using a lower-overhead language (C or C++) – compared to a JavaScript-based ad blocking extension.
Si vous avez une application avec un protocole ne supportant pas SSL, la solution est de l'encapsuler dans un tunnel SSL.
Bien entendu, il s'agit là d'un exemple, qui fonctionne chez-moi, n'hésitez pas à améliorer.
Vidéo en Anglais sur le web
Nous allons voir dans cet article qu’il est intéressant d’utiliser SPF pour permettre à vos correspondants de valider que vous êtes « légitimement » l’expéditeur d’un email.
Ce 8 janvier 2017 l'émission Vox Pop, « magazine d'investigation européen » diffusé chaque dimanche sur Arte, proposait une enquête intitulée Main basse sur l'école, mettant en avant l'immixtion de la sphère marchande dans la définition des politiques publiques de l'enseignement.
Le module Posh-SSH pour PowerShell permet de se connecter en SSH sur une machine Linux/Unix pour exécuter des commandes et transférer des fichiers via SCP/SFTP. Une vingtaine de commandes sont présentes dans ce module.e vous emballez pas, ce module ne permettra de remplacer Putty (ou autre), car on ne se retrouve pas dans un véritable Shell interactif.
I've never used the equipment provided by my ISP and have always used my own. Previously that included Netgear, Linksys and Asus equipment but I've just made the switch to Ubiquiti and boy am I never going back!
How is that for a title, right? I know, I know, they want me to call it “systemd” not “System D” or “Systemd” or anything else resembling a legitimate proper noun, but that doesn’t work quite so well for a sci-fi-esque sounding movie title as does the above.
Centreon Upgrade
Aujourd’hui, pratiquement toutes les applications possèdent des informations à caractère personnel, ne serait-ce qu’un identifiant de connexion ou une adresse électronique auxquels peuvent être attachées des informations plus ou moins sensibles.
C++ vers Assembleur
référentiel d’exigences
–
niveau Essentiel
Document LaTeX de présentation du système NetBSD 7.0 dans le cadre d'une LP ASRALL (Licence Pro Administration Systèmes, Réseaux et Applications à base de Logiciels Libres).
Vendredi, dans le cadre du sommet du Partenariat pour un gouvernement ouvert, je participerai à une table ronde avec Claire Legros, Yann Moulier Boutang et Bernard Stiegler sur les Communs numériques.
Cela fait bientôt 9 mois que j’ai publié mon script pour installer facilement un serveur OpenVPN, et j’ai depuis fais beaucoup de changements, notamment ces derniers jours comme le montre ce petit graphique.
En avant-propos, ce billet ne représente que ma démarche personnelle et mon humble point de vue sur l’utilisation des licences libres, correspondant forcément à ma façon d’agir, de faire, un point de vue duquel je suis volontiers prêt à discuter.
If you want to monitor network throughput on the command line interface, use nload application. It is a console application which monitors network traffic and bandwidth usage in real time. It visualizes the in and outgoing traffic using two graphs and provides additional info like total amount of transferred data and min/max network usage.
Now that the snooper’s charter has been passed, how can I protect myself? Should I use a VPN? Charles
Je vais ici vous présenter une méthode pour surveiller les accès au fichier "/etc/passwd". Je note que je viens de découvrir l'outils qui a l'air de contenir des contextes d'utilisation vraiment étendues et intéressants et qui sert globalement à surveiller (auditer) les accès aux fichiers sous une distribution Linux (En sachant que sous Linux, tout est fichier).
La commande pwck (password check) est relativement peu connue des sysadmins Linux. Elle est pourtant utile car elle permet de vérifier l'intégrité, c'est à dire la structure, la validité, des fichiers /etc/passwd, /etc/group et /etc/shadow.
Scrum n’est pas une méthode agile – Arpinum – Medium
Parce qu’il est indispensable, dans toute opération d’externalisation, de faire appel à des prestataires qui s’engagent sur la sécurité, l’ANSSI propose un guide de l’externalisation qui vous aidera à maîtriser les aspects de sécurité dans les marchés d’infogérance.
Malgré son manque d'expérience et des entretiens ratés, Paul Sanfourche a réussi à se faire engager comme enseignant contractuel. De quoi mettre en lumière les importants besoins de recrutements dans certaines matières.
I have used non-standard RSA key size for maybe 15 years. For example, my old OpenPGP key created in 2002. With non-standard key sizes, I mean a RSA key size that is not 2048 or 4096.
Une cyberattaque a paralysé le web américain vendredi soir, empêchant des millions d'internautes d'accéder à des services comme Twitter ou eBay.
Lurking in the kernel for nine years, flaw gives untrusted users unfettered root access.
Lundi dernier, les clients du FAI Orange, lorsqu'ils consultaient Google, Wikipedia ou OVH étaient redirigés sur le site du ministère de l'Intérieur, si tant est qu'ils utilisaient les résolveurs DNS de Orange.
On 17 October 2016, a website hosted by the French Ministry of the Interior went offline when a large number of customers of the Internet service provider, Orange, were redirected to the site. The problem occurred after Google, Wikipedia and cloud provider OVH were mistakenly placed on a terrorism block list.
Six mois après une demande de communication, confirmée par la CADA, le ministère de l'Éducation nationale a finalement transmis à l'association Droits des lycéens une partie du code source de sa plateforme d'admission post-bac (APB). Sous forme papier, avec une documentation insuffisante.
OpenZFS Developers Summit 2016 - YouTube
Analyser l'obsolescence de nos institutions à l'aune des techniques de communication, c'est l'intérêt d'un livre à paraître "Le temps des algorithmes".
Depuis quelques semaines, un nouveau trojan se répand en Europe. StrongPity est un logiciel malveillant particulièrement vicieux, qui s'en prend à deux logiciels très populaires : WinRAR et TrueCrypt.
Tools for Troubleshooting and Monitoring IPv6 Networks
I was recently invited to take part in some research by BBC Click, alongside Professor Alan Woodward, to analyse a device that had quite a lot of people all excited. With slick marketing, catchy tag lines and some pretty bold claims about their security, nomx claim to have cracked email security once and for all. Down the rabbit hole we go!
Google and a few other companies provide open dns resolvers to the people around the globe. Unfortunately it may happen that the resolver was hijacked and used for different purposes, such as redirecting to malicious pages or to block certain addresses (censorship).
Alors que nous venons de dévoiler notre feuille de route pour les mois à venir ainsi que notre nouveau modèle économique, vous avez été nombreux à réagir et à nous poser des questions. Voici nos réponses et un premier bilan.
Debian Stretch feels like an excellent release by the Debian project. The final stable release is about to happen in the short term. Among the great things you can do with Debian, you could set up a VPN using the openvpn software.
Durant mon temps libre, j’ai décidé de m’intéresser de prêt à Nginx. Il est vrai que je n’ai jamais eu l’occasion de le mettre en place étant donné que l’intégralité de mes environnements WEB tournent avec Apache. Nginx est un serveur Web spécialement conçu pour encaisser de très forts trafics.
How do I limit ssh connection attempts using UFW (Uncomplicated Firewall) on Ubuntu or Debian Linux server?
We pay our monthly Internet bill to be able to access the Internet. We don’t pay it to give our Internet service provider (ISP) a chance to collect and sell our private data to make more money.
The importance of trust and integrity in a VPN provider (and how MySafeVPN blew it)
I setup GlusterFS cluster on Ubuntu Linux. How do I enable network encryption using TLS/SSL for my Glusterfs storage cluster on Linux for security reasons when using over insecure network such as WAN (wide area network) or the Internet?
C'est la controverse de la semaine, lancée par un billet de SSL Store, autorité qui délivre des certificats SSL payants.
This code was introduced in OpenSSL 1.1.0d, which was released a couple of days ago. This is in the server SSL code, ssl/statem/statem_srvr.c, ssl_bytes_to_cipher_list()), and can easily be reached remotely. Can you spot the vulnerability? (read ahead for the answer)
Cisco vient de publier un rapport de sécurité qui mentionne la présence de failles de sécurité découvertes suite à l'étude des documents publiés par Wikileaks. Des vulnérabilités tenues secrètes par la CIA et qui pouvaient être utilisées pour récupérer des données à distance, ou d'exécuter du code.
Tunnel TCP through WebSockets. Access anything you want, even from a crappy WiFi which only allows HTTPS.
Today I ended reading an interesting article by the 4th spanish ISP regarding IPv6 and CGNAT. The article is in spanish, but I will translate the most important statements here.
Dans cet article, nous allons nous intéresser au”RA flooding”, autrement dit l’inondation de paquet de type “Router Advertisment”. Nous étudierons son fonctionnement, son impact ainsi que des pistes de sécurisation.
Depuis quelques années, le développement des paquets pour mon dépôt était géré dans un depôt github : https://github.com/remicollet/remirepo.
C'était évidement une solution de facilité.
Au contraire de la mode actuelle d'utiliser ce service gratuit, mais pas vraiment libre, j'ai décidé d'auto-héberger mon travail sur le serveur dédié utilisé pour mon dépôt, mon blog et le forum.
La fin d'une utopie démocratique ? D'une pratique joyeuse en tout cas.
All systems behind a hypertext transfer protocol secure (HTTPS) interception product are potentially affected.
assh: ssh wrapper using ProxyCommand that adds regex, aliases, gateways, dynamic hostnames to SSH and ssh-config
Un service Git auto-hébergé sans prise de tête
À la lecture des documents techniques, il est difficile d'avoir des idées définitives sur Vault 7. On lit ici et là que nous pourrions tous être la cible de la CIA : or, c'est sensiblement plus compliqué que cela.
I downloaded a .deb Debian file. How do I extract deb package without installing it on my Debian or Ubuntu Linux based system? How do I list and extract the contents of a Debian package?
Dans le cadre le cadre de votre travail ou chez vous, vous conservez des documents qui peuvent contenir des informations confidentielles qui ne devraient pas être accessibles à tous. Le chiffrement répond à cette problématique.
Si vous avez besoin de passer par un proxy pour accéder à internet, il faudra l’indiquer dans votre navigateur pour naviguer sur internet, mais aussi au sein du gestionnaire de paquet Aptitude afin de lui indiquer qu’il doit utiliser un proxy pour se connecter aux sources. Nous verrons comment utiliser un proxy de façon permanente et de façon temporaire.
Linus Torvalds, Git and SHA1 collisions
The guys from sucuri have recently published a blog post with details of a WordPress vulnerability which allows an unauthenticated attacker to easily edit any blog post of their liking by abusing a bug in the WordPress REST API. I am not going to write about the details of the vulnerability because that has been discussed in the original blog post as mentioned.
How do I regenerate OpenSSH sshd server host keys stored in /etc/ssh/sshhost* files? Can I safely regenerate ssh host keys using remote ssh session as my existing ssh connections shouldn’t be interrupted on Debian or Ubuntu Linux? How do I regenerate new ssh server keys?
Introduit dès Linux Fedora 15, Firewalld équipe désormais les distributions CentOS et Red Hat. Facile de prise en main pour des règles simples, je ne le trouve pas très pratique pour la sécurisation des environnements serveurs.
Nick Sullivan and I gave a talk about TLS 1.3 at 33c3, the latest Chaos Communication Congress. The congress, attended by more that 13,000 hackers in Hamburg, has been one of the hallmark events of the security community for more than 30 years.
Benno Rice, a member of the FreeBSD core team, might be expected to feel out of place at linux.conf.au, but it was not his first time there. While at the 2016 event in Geelong, he saw a presentation on Rust community automation [YouTube] by Emily Dunham and wondered: why can't FreeBSD have such nice things?
Ces derniers temps, on voit passer des nouvelles pour des services de mail qui soignent la vie privée des utilisateurs. Je pense notamment à protonmail ou encore au retour de lavabit. Malgré le bien fondé et les excellentes intentions de ces services, je reste dubitatif (non, ce n'est pas un gros mot).
Vidéos du Capitole du Libre 2016
Après à voir reçu mon Dell XPS 13 9350, j’ai vite constaté que la bestiole pouvait très rapidement chauffée lorsque je l’avais sur les genoux, et ce comme tous les ultrabooks que j’ai eus jusqu’à présent.
Quand j’ai dit sur Twitter que pour moi un VPN (d’entreprise pas celui que vous utilisez pour chiffrer vos connexions quand vous êtes au MacDo) pouvait être une menace,et quand je parle de menace je ne parle pas d’attaquer la crypto, personne ne m’a trop compris. Je vais donc expliquer le fond de ma pensée ici.
In this blog post, we’ll look at how to set up ProxySQL for high availability.
L’intérêt principal des mécanismes de restriction logicielle réside dans la possibilité de restreindre l’exécution des programmes à une liste de programmes dûment autorisés (liste blanche).
Some physicists 28 years ago needed a way to easily share experimental data and thus the web was born. This was generally considered to be a good move. Unfortunately, everything physicists touch — from trigonometry to the strong nuclear force — eventually becomes weaponized and so too has the Hypertext Transfer Protocol.
Puppet est un outil permettant de déployer rapidement des applications et des outils sur les différents environnements d’un projet.
Basé sur un modèle maître / agents, les déploiements sont incrémentaux et reproductibles d’un environnement à l’autre ou d’une instance de machine à une autre.
Néanmoins, tout n’est pas parfait et il peut être compliqué de tester ses développements en local ou de tester de manière automatisée les déploiements.
Heureusement, Docker va permettre d’améliorer tout cela.
Après mon premier article sur Morpheus, découvrez aujourd’hui un autre type d’attaque MitM. Ce type d’attaque vise particulièrement les pages d’authentification de routeurs. L’objectif de l’attaquant ici sera de créer une page Web clonée d’un routeur afin de récolter les logins que la victime aura insérés.
How to have fun with the world’s most important free software project
Configurer un accès SFTP pour préserver son serveur tout en partageant ses données
When running a domain with DNSSEC enabled, it is important to monitor it. Apart from monitoring whether the nameserver is running, is responding to UDP and TCP queries, the domain is served by the nameserver and whether the RRSIGs are valid (you do all that already right?), knowing if the chain of trust to the domain is valid is just as important.
This session is aimed at administrators who can't or won't use 3rd-party mail hosting (and who would?) but still need a reliable, spam- and virus-resistant mail server. A basic knowledge of BSD, smtp and dns is expected and required.
Un court billet pour introduire la vidéo qui met montre en action LVM dans Linux. Vour trouverez toutes les manips et explications dans l'article LVM sous Linux (Volumes logiques) : http://www.linuxtricks.fr/wiki/lvm-sous-linux-volumes-logiques
I would like to configure my Debian box to backup two remote servers using rsnapshot software. It should make incremental snapshots of local and remote filesystems for any number of machines on 2nd hard disk located at /disk1 ( /dev/sdb2). How do I install and use rsnapshot on a Ubuntu or Debian Linux server?
Après quatre ans à fréquenter des élus et fonctionnaires de ma nouvelle campagne d’adoption, et plus généralement toute personne avec qui je me suis entretenu à propos de numérique ou, plus généralement, de politique, la phrase que j’ai dû entendre le plus, c’est « mais de toute façon, qu’est-ce qu’on peut bien y faire ? »
Du 5 au 31 décembre, douze vidéos pédagogiques d’une minute ont été diffusées sur toutes les chaînes de France Télévisions. Ces « programmes courts » ont été réalisés par France TV avec le soutien du Ministère de l’Économie et des Finances.
I run a multi-user system. Most users access resources using ssh client. How can I stop leaking process information to all users on Linux operating systems? How do I prevent users from seeing processes that do not belong to them on a Debian/Ubuntu/RHEL/CentOS Linux server?
Entropy is nothing but the measure of “randomness” in a sequence of bits. The PRNG ( pseudorandom number generator ) is a special device (e.g. /dev/random on Linux) to create randomness from server hardware activities
Debian is preparing to revise its default file system mapping to bring it in in line with other major distributions (like Fedora and CentOS).
Colloque Chiffrement OLN Assemblée Nationale 21/11/2016 - YouTube
Les adresses IPv6 sont virtuellement infinies : avec 2128 possibilités (les adresses font 128 bits de long), on peut coller, je cite Wikipédia, « 667 millions de milliards d'appareils connectés sur chaque millimètre carré de la surface de la Terre ». Ce qui veut par exemple dire qu'on pourrait affecter une adresse IPv6 à chaque transistor sans ne serait-ce que commencer à épuiser les adresse IPv6 disponibles.
With many important things depending on time (think Kerberos), NTP is an important but often forgotten component of your network. Because the NTP daemon for Linux is relatively lightweight, it's rare for bugs to pop up in such a common service.
Je me suis récemment lancé dans l’aventure de l’auto-hébergement de ma messagerie électronique, et j’ai mis en place un certain nombre de mécanismes afin de lutter contre le spam et l’usurpation d’identité. Parmi ces mécanismes il y en a un qui s’appelle DMARC.
Une nouvelle panne semble avoir touchée les serveurs DNS d'Orange ce mercredi (quelques semaines après "l'erreur humaine" qui a touché quelques - gros - sites). Encore une fois, les réseaux sociaux (mais pas que) ont répandus l'idée d'arrêter d'utiliser les résolveurs de son FAI pour passer sur ceux de Google, de Cisco (OpenDNS) ou autres OpenNIC fumeux (quelques examples).
Now I manage a VPN provider and know a few others' internal workings, let's destroy some myths.
No VPN will provide you perfect anonymity. Nothing will. Do not use a VPN for anonymity.
La cryptologie expliquée à mon voisin qui n'y connait rien mais qui voudrait savoir... Comme dans toutes mes rubriques "Le coin du cryptologue", un conseil pratique se trouve à la fin.
Dans ce court tutoriel, nous allons voir comment utiliser la commande strace afin de lister tous les fichiers qui sont exécutés lors de l'ouverture d'une session.
The exhortations about the Internet’s prolonged transition to version 6 of the Internet Protocol continue, although after some two decades the intensity of the rhetoric has faded and, possibly surprisingly, it has been replaced by action in some notable parts of the Internet. But how do we know there is action? How can we tell whether, and where, IPv6 is being deployed in today’s Internet?
Hier l’émission Cash Investigation est revenue sur le contrat Open Bar signé entre Microsoft et le ministère de la Défense. Un contrat lourd de millions d'euros qui pose de sérieuses questions stratégiques et d'indépendance militaire.
J’ai écris ce script pour faire plaisir à ma maman dont le pc tourne sous Ubuntu Mate 16.04, l’applet mate-indicator-applet n’a plus le même comportement qu’auparavant et ne propose donc plus la possibilité de notifier l’utilisateur de la présence d’un nouveau courrier électronique.
Je précise que c’est mon tout premier script en Python, j’attends donc avec impatience vos remarques et commentaires pour améliorer la chose
L’ANSSI propose un nouveau web-documentaire consacré à la cryptologie. Un format innovant qui présente de manière simple et interactive quelques-unes des nombreuses facettes de la cryptologie.