Sécurité

Web, censure, blocage et contournement

Il y a quelques semaines, je me trouvais à l’étranger et, alors que j’essayais d’accéder à un site sur lequel je vais régulièrement : page blanche… le chargement poursuit sans fin. Étrange. Normalement, si le serveur est tombé, le navigateur nous avertit qu’il y a une erreur de chargement, s’il y a un problème avec les DNS, le navigateur nous dit que l’adresse est introuvable. Ni l’un, ni l’autre, ok, on a bloqué mon site !

Avant de conclure trop hâtivement, je creuse un peu plus : je ping le nom de domaine, pas de problème, les DNS fonctionnent bien. Je tente d’accéder directement à l’adresse ip : ok, je tombe sur une page Cloudflare. Le problème n’est donc définitivement pas à imputer au site. Je creuse un peu plus et trouve la source du problème. C’est alors que j’ai songé qu’il fallait écrire un article pour présenter tout ça de manière claire.

(suite…)

Web, surveillance, chiffrement et sécurité

Internet, autrefois un espace libre d’échange, est aujourd’hui surveillé et attaqué de toutes parts. Conservation des données, pirates, agences de renseignements, gouvernements étrangers, espionnage industriel… Le cyberespace n’est plus de tout repos.

Entre censure et surveillance. Tentons de comprendre le pourquoi, le comment, mais surtout, le comment l’éviter.

(suite…)

Réparer un WordPress hacké

Malheureusement, ça n’arrive ni qu’aux autres, ni rarement. WordPress faisant tourner 25% des sites du Web, c’est une cible de choix pour les hackers. Les failles sont souvent connues et des outils de détection automatique existent. Par conséquent, les méchants n’ont donc qu’à laisser tourner un logiciel pour automatiquement repérer et infecter les sites vulnérables… et il se peut que ce soit le votre.

(suite…)

Sauvegardes automatiques avec rsync

Nous sommes tous assez paresseux et la procrastination est bien souvent un domaine dans lequel chacun excelle. C’est pour cette raison que même lorsque nous avons fait la démarche d’acheter un disque dur pour sauvegarder ses documents, en pratique, ces sauvegardes sont tout sauf régulières. Et malheureusement, c’est souvent après un crash d’un disque dur que l’on se pose des questions… Too late! La solution ? L’automatisation !!

(suite…)

Mise à jour automatique de serveurs Linux

Vous n’êtes pas sans savoir que des serveurs, au même titre que tout équipement informatique, doit être mis à jour. Cela pour des raisons de performances, mais aussi et surtout pour la sécurité de ces derniers ! Néanmoins, lorsqu’on gère plusieurs serveurs, cela peut vite devenir fastidieux de se connecter à chacun et de les mettre à jour manuellement. Voyons comment faire pour que ces petites mises à jour se fassent toute seule !

(suite…)

Configuration d’un serveur Linux – Garder un œil sur le serveur

Nous avons vu dans un précédent article comment faire un monitoring ON SITE d’un serveur. Cependant, lorsqu’on en possède plusieurs, ce n’est pas ce qu’il y a de plus pratique que de devoir se connecter manuellement en SSH sur le serveur et d’aller explorer un par un les fichiers de logs. Logwatch va justement nous permettre d’automatiser tout cela et de recevoir des rapports directement par mail !

(suite…)

Filtre anti-DDoS générique

On le sait tous, le DDoS c’est une plaie ! Il y a en même temps mille et aucune manière de s’en prémunir réellement, et finalement, de la même manière que la meilleur prévention contre le SIDA est l’abstinence, la meilleure prévention contre le DDoS, est de n’être pas connecté au réseau… facile à dire.

On a déjà vu que Fail2Ban apporte quelques solutions contre ce type d’attaque, mais ce n’est pas forcément suffisant. Je vous propose donc ici une configuration de iptables qui tachera de filtrer et de bloquer les DDoS.

(suite…)

Anti-hotlinking pour vidéo avec NGINX

En dehors de toute notion de copyright, de vol intellectuel etc, lorsqu’on possède un site ou un serveur, dès lors qu’un autre site inclut un de nos médias sur ses pages en ne l’hébergeant pas lui-même, mais en faisant un lien direct vers le média hébergé sur notre serveur, il nous vole de la bande passante ! Alors bien évidemment, cela ne porte pas à conséquence si c’est un petit site perso avec très peu de trafic, mais dès que le site est un peu fréquenté, ça peut vite générer un fort trafic, et les coûts qui vont avec. Bien évidemment, plus le média est gros, plus c’est onéreux… C’est donc pour cela que nous allons aborder une technique pour se prémunir du hotlinking de vidéos.

(suite…)

Installer et paramétrer Fail2Ban

Fail2Ban, en deux mots, c’est un petit utilitaire qui permet de configurer le parefeu iptables de Linux à la volée. Vous lui donnez une liste de règles, lesquelles lui permettent de détecter si quelqu’un tente de brutefrcer votre SSH, de vous faire un DoS sur apache etc, et à la volée, Fail2Ban prend les mesures qui s’imposent pour vous prémunir de ces attaques. Plutôt pratique !

(suite…)

Connexion SSH automatique

Vous en avez peut-être marre de sans arrêt devoir taper un mot de passe pour vous connecter à vos serveurs en ssh. Voir pire, ça vous inquiète de devoir passer en clair un mot de passe dans un script qui à besoin d’une connexion ssh.

Mais saviez-vous les amis qu’il est tout à fait possible de se passer de ce mot de passe ? Il suffit pour cela de configurer une reconnaissance du client par clef ssh. C’est à dire que la machine à partir de laquelle vous vous connectez publie une clef (sa signature), laquelle sera enregistrée sur le serveur ssh. Par la suite, le serveur ssh saura reconnaitre ce client, donc si la signature est identique, il ne demandera plus aucun mot de passe. Et tout ceci s’effectue en à peine quelques minutes !

(suite…)