Geekfault

Toute cette semaine je suis aux Rencontres Mondiales du Logiciel Libre. Ce matin je repère quelques affiches proposant aux geeks de se retrouver pour une Key Signing Party, càd. un échange de clés PGP où chacun vérifie l’identité des participants afin de signer les clés et ainsi étendre le Web of Trust.

Malheureusement l’organisateur n’avait rien organisé de plus que les affiches. Arrivé sur place j’ai donc dû faire ce que j’ai pu pour prendre les choses en main. Voici enfin compilé et en français quelques conseils pour qu’une Key Signing Party d’une taille raisonnable (nous étions une quinzaine) se déroule correctement.

Ras le bol de voir des tentatives de connexion sur votre SSH ? Il existe plusieurs logiciel pour vous en prémunir avec en tête de liste le célèbre Fail2ban qui permet de protéger SSH ainsi que la plupart des autres serveurs logguant l’authentification. Mais alors pourquoi choisir DenyHosts ? DenyHosts se limite à la protection SSH mais sa force provient de deux fonctionnalités : utiliser un système de synchronisation entre plusieurs DenyHosts ( je ne l’aborde pas ), mais également le partage des IP incriminées. Afin de récupérer des IP à blacklister et de d’offrir les siennes afin de se fabriquer une blacklist évolutive.

Un attaquant vera son adresse IP inscrite dans le fichier /etc/hosts.deny l’empêchant de se logguer.

Hier, Tavis Ormandy et Julien Tinnes (Google Security) ont dévoilé une faille qui affecte tous les kernels Linux 2.4 et 2.6 depuis 2001.

C’est un bug de type NULL Pointer Deference qui permet au pirate d’exécuter n’importe quel code au niveau du kernel et donc d’acquérir les droits root.

Il existe beaucoup de raisons pour ne pas avoir envie d’entrer son mot de passe. Pas toutes bonnes, j’en conviens, mais lorsque c’est le cas, se passer de mot de passe sans faire de son système un moulin peut devenir un vrai casse-tête…

Que diriez-vous d’un compromis parfait qui garantit de ne pas sacrifier une once de sécurité, tout en s’authentifiant simplement avec la touche enter et une clé USB ?

Oui, avec Linux, c’est possible !

Schéma de la solution à déployer

Avec rsnapshot il est possible de faire des backups locaux (une copie régulière d’un disque sur un autre) ou des backups distants (via une connexion SSH), soit les deux en même temps !

Après avoir vu comment facilement utiliser un tunnel SSH comme proxy pour toutes vos connexions, voilà un moyen simple de ne plus avoir à rentrer son mot de passe lors de la connexion SSH et donc de pouvoir automatiser certaines connexions.

Je n’ai pas trouvé de tutoriel clair et concis en français sur Google alors le voici.