PROJET AUTOBLOG

Planet-Libre

source: Planet-Libre

⇐ retour index

Benoît Boud@ud : Mageia, une belle surprise

dimanche 22 septembre 2019 à 12:49

Bonjour, Je n'ai pas pour habitude de présenter des distributions car ce n'est pas mon exercice favori. Même si j'ai publié récemment une série de six articles sur Archlinux, il s'agissait non pas d'une présentation mais d'un processus d'installation détaillé, ce qui n'est pas la même chose. Je rédige cet article à chaud, sans griffonner [...]

Gravatar de Benoît Boud@ud
Original post of Benoît Boud@ud.Votez pour ce billet sur Planet Libre.

Articles similaires

Yannic Arnoux : Proxy HTTP et sécurité

samedi 21 septembre 2019 à 00:00

Dans une modeste configuration d'hébergement de services Web, à moins de faire tourner ses services monolithiquement, on a souvent un serveur HTTP frontal qui porte le certifical SSL et redispatche les requêtes vers des applications réparties dans des machines virtuelles ou des containers.

Architecture Proxy HTTP

La sécurité de mon serveur est assurée par le pare-feu (qui laisse passer uniquement les flux autorisés) et l'outil fail2ban qui rajoute des règles de blocage dans iptables en scrutant les logs systèmes et applicatifs. Les applications sont distribuées dans des containers et produisent leur log applicatif. Cela pose deux problèmes :

  1. le log de l'application est dans un container applicatif alors que l'outil de blocage fail2ban est dans le container frontal
  2. le serveur HTTP du frontal fait office de proxy donc l'application ne connaît que l'adresse IP du frontal ; le log est inexploitable pour bannir des intrusions.

Pour résoudre le point 1, il faut rapatrier les logs du container applicatif vers le frontal. C'est faisable de plusieurs manières, une simple, préservant l'indépendance du container, consiste à exporter le log en TCP/IP avec rsyslog et à configurer son écoute dans le container frontal.

Pour le point 2, il faut acheminer l'adresse IP réelle du visiteur vers le container applicatif. Techniquement, c'est déjà le cas en utilisant l'entête HTTP X-Forwarded-For dans la configuration HTTP mais l'application n'en tire pas forcément parti pour ses logs. C'est là que NginX propose un génial module ngx_http_realip qui permet au container applicatif de remplacer l'adresse IP reçue (celle du frontal) avec l'adresse IP réelle.

Sur le NginX du frontal, on passe l'adresse IP réelle dans l'entête X-Real-IP :

proxy_pass http://10.10.10.2;
proxy_set_header Host $host;
proxy_set_header X-Real-IP  $remote_addr;

Sur le NginX applicatif, on remplace l'adresse IP par l'adresse réelle :

set_real_ip_from 10.0.0.0/8;
real_ip_header X-Real-IP;
real_ip_recursive on;

Avec cette configuration, le log applicatif contient les adresses IP réelles. Il est exporté vers le container frontal et des règles fail2ban peuvent être ajoutées pour l'exploiter et bannir des tentatives d'intrusion.

Gravatar de Yannic Arnoux
Original post of Yannic Arnoux.Votez pour ce billet sur Planet Libre.

Encolpe DEGOUTE : Quatre nouveaux jeux de couleurs WordPress.com

mercredi 18 septembre 2019 à 22:02

Vous nous l’avez fait savoir : vous voulez des couleurs plus vives et plus lumineuses sur WordPress.com. Nous mettons un peu de piment dans votre Tableau de bord WordPress.com grâce à quatre nouveaux jeux de couleurs : Minuit, Coucher de soleil, Océan, et Contraste.

Vous connaissez probablement déjà bien certaines de ces palettes. Minuit, Coucher de soleil et Océan sont inspirées d’anciennes versions de WordPress, un peu comme un clin d’œil à nos débuts tandis que nous allons de l’avant :

Si les couleurs vives ne vous tentent pas trop, vous préférerez peut-être Contraste, une combinaison de noir et de blanc conçue pour mettre en avant l’essentiel sur votre Tableau de bord WordPress.com :

Screenshot of the WordPress.com dashboard with Contrast color scheme applied.

Dans le cadre de notre engagement en faveur d’un design inclusif, ces nouvelles palettes sont conçues pour offrir un meilleur contraste et donc une meilleure lisibilité. Quelle que soit le jeu de couleur que vous choisissez, votre Tableau de bord sera beau, mais aussi lisible.

Voici comment personnaliser votre jeu de couleurs :

  1. Connectez-vous au compte WordPress.com que vous souhaitez personnaliser.
  2. Cliquez sur l’avatar de votre compte en haut à droite de l’écran.
  3. Sélectionnez Paramètres du compte dans la colonne latérale gauche.
  4. Choisissez l’une des options proposées dans la section Jeu de couleurs du tableau de bord.
  5. Cliquez sur le bouton Enregistrer les réglages du compte pour appliquer la modification.
Screenshot of the WordPress.com Account Settings.

Gravatar de Encolpe DEGOUTE
Original post of Encolpe DEGOUTE.Votez pour ce billet sur Planet Libre.

Articles similaires

genma : Devenir SysAdmin d'une PME - Quelques outils et scanners de vulnérabilités

mercredi 18 septembre 2019 à 09:00

Quand on est amené à être administrateur système et a gérer un parc de sites webs, et que l'on a une sensibilité à la sécurité informatique et quelques connaissances associées, que l'on a rencontré des soucis avec l'exploitation d'une faille Drupal, et qu'un certain nombre de machines du parc sont obsolètes, on se pose la question des outils et scanners de vulnérabilités pour identifier les problèmes des failles et problèmes de sécurité.

Le but de ce billet n'est pas de faire un tutoriel complet sur ces outils, juste de donner quelques noms et pistes qui peuvent être utiles. Le domaine de la sécurité étant un domaine à part entière, il vaut mieux laisser ça aux spécialistes. Mais à défaut, plutôt que de ne rien faire, si on a un peu de temps, il y a quelques petites choses que l'on peut commencer à faire.

A l'heure actuel, la plupart des sites webs classiques reposent sur deux CMS, des tas de plugins et du développement maison associés, potentiellement fait par des stagiaires ou des débutants, ou des personnes ayant peu de temps pour faire une réalisation correcte. De plus, chaque nouveau développeur aura ses plugins préférés qu'il va rajouter à l'ensemble des plugins existants (c'est du vécu) et s'il n'y a pas de gestion de projet par quelqu'un qui connaît bien l'écosystème en question, on se retrouve avec des sites usines à gaz bourrés de failles de sécurité.

Les interfaces d'administration des CMS proposent des mises à jour des plugins (quand les plugins sont maintenus), mais les mises à jour peuvent tout casser, il peut y avoir des problèmes de compatibilité...

Un bon moyen d'attirer l'attention d'une direction sur ces problématiques et de passer un scanner de vulnérabilité sur le site de l'entreprise.

Analyses des failles des sites webs - des outils

Des outils à lancer en ligne de commandes sont disponibles sur Github. J'ai personnellement testé et utilisé les outils suivants :

Pour Wordpress :
-https://github.com/wpscanteam/wpscan
-https://github.com/m4ll0k/WPSeku

Pour Drupal :
-https://github.com/droope/droopescan

Ces outils ont un usage assez similaire et listent les problèmes potentiels ou avérés à travers différentes catégories issues de différents tests.

Pour un outil plus généraliste en ligne, Mozilla propose une suite d'outil en ligne pour tester les sites webs, les connexions https, ssh... en attribuant une note (sur le principe du SSLLabs qui est dédié aux connexions Https). Ce site c'est https://observatory.mozilla.org.

Pour les systèmes d'exploitations

Je recommande Lynis. Lynis est un outil Open Source destiné aux administrateurs systèmes, et aux experts en sécurité informatique. Cet outil sert à évaluer la sécurité des systèmes Unix/Linux. Lynis scanne votre système, ainsi que les logiciels installés, à la recherche d'éventuels problèmes de sécurité, ou d'erreurs de configuration ou de vulnérabilités des systèmes. Lynis : l'outil d'audit pour les systèmes Unix/Linux

Cet outil va donner une looongue liste de tout ce qui est à vérifier et corriger et me semble assez complet.

Passer à l'étape supérieure

Avoir une liste des failles potentielles ou existantes, c'est bien, les corriger c'est mieux. Pour cela, il va falloir prendre du temps pour comprendre, faire les modifications nécessaires, s'appuyer sur des personnes ayant la connaissance et les compétences. Et vu les loooongues listes de choses à corriger, on peut très vite prendre peur ou être découragé par le travail à accomplir.

Les outils plus haut de gamme

Dans la série des outils plus haut de gamme, me viennent en tête deux outils :

L'OWASP Application Security Verification Standard Project, du projet OWASP. Open Web Application Security Project (OWASP) est une communauté en ligne travaillant sur la sécurité des applications Web. Sa philosophie est d'être à la fois libre et ouverte à tous. Elle a pour vocation de publier des recommandations de sécurisation Web et de proposer aux internautes, administrateurs et entreprises des méthodes et outils de référence permettant de contrôler le niveau de sécurisation de ses applications Web. Site de l'OWASP Application Security Verification Standard Project

Kali Linux et ses outils Kali Linux est une distribution regroupant l'ensemble des outils nécessaires aux tests de sécurité d'un système d'information, notamment le test d'intrusion. Site de Kali Linux : https://www.kali.org/. Cette distribution comporte des tas d'outils. Un certain nombre de tutoriels existent en ligne. Là encore, il faut du temps et de l'investissement pour acquérir les connaissances et compétences nécessaires à l'exploitation de ces outils.

Gravatar de genma
Original post of genma.Votez pour ce billet sur Planet Libre.

Renault : [F31] Participez à la journée de test consacrée à GNOME 3.34

mercredi 18 septembre 2019 à 08:00

Aujourd'hui, ce mercredi 18 septembre, est une journée dédiée à un test précis : sur l'environnement de bureau GNOME. En effet, durant le cycle de développement, l'équipe d'assurance qualité dédie quelques journées autours de certains composants ou nouveautés afin de remonter un maximum de problèmes sur le sujet.

Elle fournit en plus une liste de tests précis à effectuer. Il vous suffit de les suivre, comparer votre résultat au résultat attendu et le notifier.

En quoi consiste ce test ?

Nous juste après la diffusion de la Fedora 31 beta. L'environnement de bureau GNOME est celui par défaut depuis les débuts de Fedora.

L'objectif est de s'assurer que l'ensemble de l'environnement et que ses applications sont fonctionnels.

Les tests du jour couvrent :

Comme vous pouvez le constater, ces tests sont assez simples et peuvent même se dérouler sans se forcer en utilisant simplement GNOME comme d'habitude. Donc n'hésitez pas de prendre quelques minutes pour vérifier les comportements et rapporter ce qui fonctionne ou non comme attendu.

Comment y participer ?

Vous pouvez vous rendre sur la page des tests pour lister les tests disponibles et rapporter vos résultats. La page wiki récapitule les modalités de la journée.

Si vous avez besoin d'aide lors du déroulement des tests, n'hésitez pas de faire un tour sur IRC pour recevoir un coup de main sur les canaux #fedora-test-days et #fedora-fr (respectivement en anglais et en français) sur le serveur Freenode.

En cas de bogue, il est nécessaire de le rapporter sur le BugZilla. Si vous ne savez pas faire, n'hésitez pas à consulter la documentation correspondante.

De plus, si une journée est dédiée à ces tests, il reste possible de les effectuer quelques jours plus tard sans problème ! Les résultats seront globalement d'actualité.

Gravatar de Renault
Original post of Renault.Votez pour ce billet sur Planet Libre.

Articles similaires