Cet article est le dernier d'une série de quatre :

1. SSH, pour se connecter en ligne de commande à un ordinateur distant
2. SSH, se connecter sans mot de passe à l'aide de la cryptographie
3. Reverse SSH, pour se connecter à un ordinateur distant protégé par un pare-feu
4. SSH, des tunnels pour tous les services

---

Dans le précédent article, nous avons vu comment créer un tunnel SSH pour se connecter en ligne de commande à un ordinateur distant ; comment relier le port d'une machine externe au port SSH de la machine à contacter, et ainsi contourner la protection d'un pare-feu empêchant, a priori, une telle connexion. L'objet de cet article est de montrer que cette méthode peut être généralisée à l'usage de biens d'autres services que la seule connexion en ligne de commande.

Nous allons considérer ici le cas d'un serveur web installé derrière un pare-feu empêchant toute connexion directe. Nous allons ouvrir un tunnel entre le port 22280 de SERVEUR_A et le port 80 de SERVEUR_B — port par défaut d'un serveur web — grâce au SSH inversé.

La procédure à suivre est la même que dans l'article précédent. Seule la configuration du service autossh diffère.

Configuration de SERVEUR_B

Se connecter à SERVEUR_B en tant que super-utilisateur :

su -

Créer un service systemd pour le tunnel SSH dédié au service HTTP :

vim /etc/systemd/system/autossh_http.service

Et y coller ceci :

[Unit]
Description=Keep a tunnel open on port 80
After=network.target

[Service]
User=USER_B
ExecStart=/usr/bin/autossh -o ServerAliveInterval=60 -NR 22280:localhost:80 JAIL_USER@IP_SERVEUR_A
Restart=on-failure

[Install]
WantedBy=multi-user.target

Activer le service au démarrage du système, et le démarrer :

systemctl --now enable autossh_http.service

Se déconnecter :

exit

Se connecter au serveur web

Si un site web est effectivement disponible sur SERVEUR_B, alors il peut désormais être consulté via tout navigateur web, à l'adresse suivante : http://IP_SERVEUR_A:22280.

De la même manière, il est possible d'opérer ainsi pour tout autre service hébergé par le serveur !

Article sous licence Creative Commons BY-SA 3.0 France.

Original post of Cyprien Pouzenc.Votez pour ce billet sur Planet Libre.

Original post of genma.Votez pour ce billet sur Planet Libre.

Pour la 42ème semaine de l'année 2018, voici 10 liens intéressants que vous avez peut-être ratés, relayés par le Journal du hacker, votre source d’informations pour le Logiciel Libre francophone !

• PeerTube 1.0 : la plateforme de vidéos libre et fédérée
• Changer le monde, un octet à la fois
• L'open source bashing à encore de beaux jours devant lui
• Croire bien faire et finalement mal faire (retour suite à l'incident Caliopen)
• « Au cas où »
• Juno est maintenant disponible
• [pfSense] Bien choisir et dimensionner son firewall
• Facebook, le site qui ne vendait rien
• Les générateurs de site Web statiques, et mon choix de Pelican
• Hygiène et écologisme numérique

Pour ne plus rater aucun article de la communauté francophone, voici :

• Le flux RSS du Journal du hacker
• Le compte Twitter du Journal du hacker
• Le compte Diaspora* du Journal du hacker
• Le compte Mastodon du Journal du hacker

De plus le site web du Journal du hacker est « adaptatif (responsive) ». N’hésitez pas à le consulter depuis votre smartphone ou votre tablette !

Le Journal du hacker fonctionne de manière collaborative, grâce à la participation de ses membres. Rejoignez-nous pour proposer vos contenus à partager avec la communauté du Logiciel Libre francophone et faire connaître vos projets !

Et vous ? Qu’avez-vous pensé de ces articles ? N’hésitez pas à réagir directement dans les commentaires de l’article sur le Journal du hacker ou bien dans les commentaires de ce billet :)

Original post of Journal du hacker.Votez pour ce billet sur Planet Libre.

Contexte

Le titre parle de cloud douteux, mais il peut s'agir de son propre cloud auto-hébergé sur lequel on aurait des doutes quant à la sécurité : temps ou compétences limités, faille potentielles (probables?) dans le logiciel utilisé,...

Le caractère pratique de disposer de ses données dans un cloud partout, tout le temps, peut conduire à y stocker des données sensibles: historique bancaire, copie de pièces d'identité, bulletins de salaires, factures,... Des données que l'on ne souhaite pas voir exposées aux yeux d'un tiers inconnu. Si le logiciel utilisé en auto-hébergement ne permet pas le chiffrement de bout en bout (ou si on utilise un cloud propriétaire), il semble ainsi pertinent de conserver ces données dans un conteneur chiffré, de sorte qu'un attaquant ayant pénétré le serveur (ou le tiers propriétaire du cloud) ne trouve pas ces données en open bar. En outre, si les clients (ordinateur, téléphone) ne sont pas chiffrés, cela permet également de gagner en sécurité vis-à-vis de ces appareils: quelqu'un qui les trouverait n'aurait pas plus accès à ces données.

La première idée était de chiffrer avec un conteneur LUKS (crédit au guide d'autodéfense numérique: voir qu'ils recommandent LUKS permet de savoir assez vite vers qui se tourner). Néanmoins le débroussaillage me laissait entrevoir quelque chose d'assez peu pratique, j'ai donc commencer par explorer une autre voie basée sur GPG.

Précision en terme de contexte : ordinateur sous Debian stable (Stretch à date), utilisant Thunar comme gestionnaire de fichier et XFCE comme environnement de bureau, et smartphone sous Android 6. L'optique est d'avoir une utilisation quotidienne facile, ce qui se traduit sur l'ordinateur par une semi-automatisation (actions personnalisées Thunar, appariement du conteneur à l'ouverture de session).

À la mode GPG

Principe

Encapsuler le dossier dans un fichier (.zip par exemple) puis chiffrer ce fichier avec une clé GPG, avec pour destinataire la même clé GPG.

Principal inconvénient

Si on perd la clé alors le contenu est perdu.

Mise en oeuvre

1. créer une clé GPG avec son ordinateur: gen-key

2. la transférer à son téléphone. Sous Android et avec OpenKeychain voir ici la procédure :

   gpg --armor --gen-random 1 20; gpg --armor --export-secret-keys YOUREMAILADDRESS | gpg --armor --symmetric --output mykey.sec.asc

   avec à la place de YOUREMAILADDRESS l'adresse mail ou l'identité IDENTITE associée à la clé créée plus tôt ; transférer le fichier produit au téléphone et l'ouvrir avec OpenKeychain en suivant les indications ; il faut notamment renseigner le mot de passe généré avec la première commande, permettant la sécurisation du transfert de la clé privée au téléphone) ;

3. l'action personnalisée pour Thunar pour transformer un dossier en .zip chiffré (qui rend compte des étapes successives pour passer d'un dossier à une archive chiffrée):

   cd %d; zip -r %f.zip $(realpath --relative-to=%d %f); xfce4-terminal -x gpg --encrypt --recipient IDENTITE %f.zip; rm %f.zip

   (%f : chemin absolu du fichier pointé, soit ici un dossier ; %d le chemin absolu du dossier parent ; la bidouille sur le realpath permet d'avoir effectivement les chemins relatifs dans le fichier zippé) ;

   • pour l'action personnalisée Thunar, bien penser à aller cocher que celle-ci doit apparaître pour les dossiers (dans l'onglet "Conditions d'apparition").

4. pour déchiffrer, l'action personnalisée Thunar (idem, rend compte des commandes successives pour lire le conteneur):

   xfce4-terminal -x gpg --decrypt --output %f_dechiffre --recipient IDENTITE %f

5. sur le téléphone, déchiffrer le conteneur avec OpenKeychain et consulter le contenu de l'archive avec GhostCommander, par exemple.

À base de conteneur LUKS

Principe

Créer un disque virtuel chiffré de format LUKS et partager ce disque.

Principal inconvénient

La taille du fichier est statique; de sorte que si on n'a quelques mégaoctets de données à chiffrer mais qu'on sait qu'on sera amené à y mettre davantage, pour ne pas refaire un nouveau conteneur à l'avenir, on est contraint de prendre de la marge dès la création du conteneur. Ce qui signifie qu'en général on occupe plus d'espace que n'en requièrent les fichiers chiffrés.

Avantage sur la façon GPG précédente

Retenir la phrase de passe est suffisant pour retrouver l'accès au contenu.

Mise en oeuvre

• création du conteneur et formatage en fat (à exécuter en tant qu'admin : sudo ou compte root de rigueur):

  dd if=/dev/urandom of=conteneur.img bs=20M count=1 iflag=fullblock
  cryptsetup --align-payload=1 --key-size 512 --hash sha512 luksFormat conteneur.img
  cryptsetup open conteneur.img cont_
  mkfs.fat /dev/mapper/cont_
  cryptsetup close cont_
  

• appariement du conteneur à un point de montage, en tant qu'utilisateur non-root : udisksctl loop-setup -f conteneur.img ; ne reste alors qu'à cliquer le conteneur dans le navigateur de fichier, rentrer la phrase de passe et on est bon!

  • pour faciliter l'utilisation quotidienne, j'ai créé un service au démarrage de la session, contenant cette ligne de commande. Il faut toujours rentrer la phrase de passe mais on se débarrasse déjà d'une partie du travail.
• il y a ce qu'il faut sur F-Droid pour lire les conteneurs LUKS sur un téléphone Android : EDS Lite
• A noter que j'ai d'abord essayé le formatage en ext4 : on obligé de bidouiller pour pouvoir écrire dans le conteneur (cf point suivant), et l'appli Android EDS Lite ne parvient pas à l'ouvrir.
  • pour pouvoir écrire dans le conteneur formaté en ext4, je suis obligé de l'ouvrir une première fois, donner la possession de son contenu à l'utilisateur, de le démonter. Au montage suivant je peux écrire dedans. Je suppose que la différence est liée (a) au formatage avec le compte administrateur et (b) à la différence de gestion des droits des utilisateurs entre les deux formats.

Principales sources pour cette méthode

• wiki d'Archlinux, comme toujours très utile (complet, clair);
  • les pages liées sont utiles également : 1, 2
• le blog qui m'a donné la solution pour l'usage en tant qu'utilisateur non root : blog (j'ai eu l'embryon de solution, à savoir udisksctl, ici, où l'on comprend que l'utilisation en tant que non-root est non triviale).

En passant

A noter également le projet luckyLUKS qui propose de faciliter l'usage de ces conteneurs chiffrés ; mais pas dans les dépôts, je ne connais pas, donc pas de confiance a priori. Surtout sur un sujet comme le chiffrement des données.

Conclusion

La solution avec LUKS reste plus sûre, dans la mesure où il n'y a pas de fichiers (clé de chiffrement) que l'on puisse égarer, seulement une phrase de passe qu'on peut oublier (problématique qui se traite mieux, de mon point de vue, avec un gestionnaire de mots de passe comme Keepass). L'ouverture d'un conteneur de 500mo sur Android est loin d'être immédiate (2 min à 3 min sur un Nexus 4) mais le cas d'usage n'implique pas un accès nécessairement rapide aux données, l'accent étant mis sur l'accessibilité.

L'avantage de GPG serait une ouverture plus rapide (OpenKeychain + GhostCommander qui sait ouvrir les zip) et une taille de fichier dynamique (vs. statique avec LUKS).

Original post of vhaguer.Votez pour ce billet sur Planet Libre.

OpenBSD 6.4 est disponible depuis aujourd'hui. Hourra !

Voyons maintenant comment migrer d'OpenBSD 6.3 vers 6.4 ?!

Changement de configuration

Pour info, il y a les changements suivant dans la configuration :

• à-propos de la fonctionnalité de l'enregistrement audio, et pour des raisons de confidentialité, elle est désactivée par défaut
• correction de l'usage de l'utilitaire route(8), à propos des options -netmask et -prefixlen, d'autant sur IPv6.
• à-propos de la gestion du wifi : votre fichier d'interface wifi devra être modifié pour correspondre à la nouvelle syntaxe :

  nwid mynwid wpakey mywpakey
  De plus, le mot clé join apparaît pour permettre l'auto-connexion à un réseau wifi. L'usage du mot clé wpakey est encouragé lors de l'usage des mots clés join ou nwid.

• si vous utilisez les services de bgpd, httpd, nsd, relayd, smtpd, mais aussi PHP, il y a des modifications à tenir compte. Ah, oui, au fait le serveur ratdvd a été supprimé ; veuillez utiliser rad, en veillant à migrer la configuration avant l'activation du service.

• si vous gèrez des définitions de queues avec PF, vérifiez avec pfctl -s queue, supprimez-les et configurez correctement vos queues

Si vous êtes dans l'un des cas de ces changements, veuillez IMPÉRATIVEMENT lire le Guide de Migration 6.4, que vous retrouverez en fin de cet article.

Avant la mise-à-niveau

• Un nouvel utilisateur _rad va être créé, lié à l'activité du service Bluetooth. Il faut supprimer l'ancien groupe et utilisateur, si vous aviez :

    userdel _btd
    groupdel _btd 

• et supprimer ceux de rtadvd :

    userdel _rtadvd
    groupdel _rtadvd 

• il faut supprimer les fichiers spéciaux, liés au périphérique audio :

  rm /dev/audio /dev/audioctl 

• supprimer tout ce qui est relatif à l'ancien service rtadvd :

  rm /etc/rc.d/rtadvd /usr/sbin/rtadvd /usr/share/man/man5/rtadvd.conf.5 /usr/share/man/man8/rtadvd.8 

• et, enfin, pour finir par supprimer les fichiers relatifs aux composants obsolètes de la libxcb : 

    rm /usr/X11R6/lib/libxcb-xevie.*
    rm /usr/X11R6/lib/libxcb-xprint.*
    rm /usr/X11R6/lib/pkgconfig/xcb-xevie.pc
    rm /usr/X11R6/lib/pkgconfig/xcb-xprint.pc 

 

Conseils pratiques

Avant de faire la mise-à-niveau, si vous utilisez Gnome3, pensez à désactiver gdm : # rcctl disable gdm
Lors du redémarrage, vous vous retrouverez en terminal texte, mais cela permettra de ne pas avoir de soucis avec l'interface graphique.

Vous pouvez faire de même pour xenodm...

Idem, pour les services serveurs, il est recommandé de les désactiver !

Téléchargement

Maintenant que les précautions d'usage ont été exécutées - n'est-ce pas ?! - occupons-nous de télécharger le nécessaire !

Pour cela, positionnons-nous à la racine du système et téléchargeons le binaire bsd.rd, puis les fichiers de sommes de contrôle, et de signature, pour les vérifier :

$ cd /
# for file in bsd.rd SHA256.sig; do [ -f $file ] && rm -fP $file; ftp -n -m -C "https://cdn.openbsd.org/pub/OpenBSD/6.4/$(arch -s)/$file"; done
$ sha256 -c SHA256.sig 2>&1 | awk '/bsd.rd/ {print $3}'
OK
$ signify -Cp /etc/signify/openbsd-64-base.pub -x SHA256.sig bsd.rd
Signature Verified
bsd.rd: OK

Installations

(Re)démarrons la machine informatique, et lors de l'invite 'boot>', tapez : boot bsd.rd

Laissez faire, jusqu'à ce que le processus vous demande le choix d'(I)nstaller, d'(U)pgrader, etc … choisissez : ''U''

Puis, tapez ''http'' si vous voulez la faire en étant connecté à Internet...
ou si vous avez le CD ou une clé USB, tapez ''cd'' !

Ensuite, répondez aux questions, tout comme lors de votre première installation… pour finir par redémarrer, si tout s'est bien passé : reboot

Normalement, OpenBSD met-à-jour automatiquement les firmwares, et essaye de fusionner correctement les nouveaux fichiers de configuration avec ceux que vous auriez pu modifier...

au cas où, utilisez ''sysmerge'', puis ''fw_update''.

Puis terminez par la mise-à-niveau des packages !

# pkg_add -iuv

Laissez faire - cette étape peut être très longue, selon le nombre de paquets que vous aviez précédemment installés pour votre usage.
Parfois, il peut être nécessaire de répèter cette commande... plusieurs fois ; s'il vous est demandé de réparer, faites-le en spécifiant 'y'.

et une fois effectuée, exécutez :

# pkg_check

Et si vous l'avez installé, exécutez :

# sysclean

---

Ceci étant dit, étant fait, pensez à réactiver les services que vous auriez désactivé, lors de la phase de préparation de la mise-à-niveau, puis une fois fait, redémarrez votre machine...

Une fois que vous êtes dans votre session, pensez à lire les fichiers pkg-readmes préparés dans ''/usr/local/share/doc/pkg-readmes/''.

Documentation

La traduction anglais->français (in)officielle du Guide de migration OpenBSD 6.4 est prête !

Original post of Thuban.Votez pour ce billet sur Planet Libre.