Technoaddict

En cette fin de semaine et probablement de mois, je reprends un billet paru sur Linuxfr. Ce billet traite d’une idée tout à fait sympathique qui est de télécharger des images virtuelles toutes prêtes de distributions GNU/Linux. Ce « dépôt » est hébergé sur Sourceforge et propose la plupart des distributions connues (Gentoo, Ubuntu, Debian ….) mais également moins connues (Haiku, Sidux, SLItaz ….)
Un concept très intéressant mais surtout très utile.

Tags: distributions, Forge, images, sourceforge, Virtualbox

Linux et Open-Source, Planet-libre distributions, Forge, images, sourceforge, Virtualbox

Voilà après des heures et des heures de galère j’ai enfin réussi à synchroniser mon Blackberry Bold avec Evolution que ce soit pour les contacts et surtout pour le calendrier.
Voici comment j’ai fait:
Tout d’abord il faut installer quelques dépendances :

sudo apt-get install libboost-serialization1.35.0 libtar libglademm-2.4-1c2a
libopensync0

Les dépendances étant maintenant installées, on passe à l’installation de Barry (le projet de synchro BB sous GNU/Linux).
Téléchargez d’abord ces paquets:

barry-util
libbarry
barrybackupgui
opensync

On les installe ensuite :

sudo dpkg -i libbarry0_0.16-0.deb barrybackup-gui_0.16-0.deb barry-util_0.16-0.deb
opensync-plugin-barry_0.16-0.deb

Sous Karmic il vous fera une erreur vous réclamant libboost-serialization1.34 ou supérieure alors que sous Karmic c’est la version 1.38.0 qui est disponible.
Faîtes un apt-get install -f pour résoudre le problème.

On finit par installer des paquets complémentaires:

sudo apt-get install multisync-tools opensync-plugin-evolution

Passons maintenant au paramétrage proprement dit:

on relève d’abord le PIN de son Blackberry avec l’outil Btool (je suppose que votre terminal est connecté en USB) :

sudo btool
Blackberry devices found:
Device ID: 0x9b1b980. PIN: 20d7c4d1, Description: RIM BlackBerry Device
Using device (PIN): 20d7c4d1

Puis on définit des groupes de synchronisation:

  msynctool --addgroup Blackberry
  msynctool --addmember Blackberry barry-sync
  msynctool --addmember Blackberry evo2-sync
  msynctool --showgroup Blackberry
  msynctool --configure Blackberry 1

La dernière commande --configure Blackberry ouvre Nano pour configurer le plugin barry-sync:

#
# This is the default configuration file for the barry-sync opensync plugin.
# Comments are preceded by a '#' mark at the beginning of a line.
# The config format is a set of lines of  .
#
# Keywords available:
#
# DebugMode        - If present, verbose USB debug output will be enabled
#
# Device           - If present, it is followed by the following values:
#      PIN number    - PIN number of the device to sync with (in hex)
#      sync calendar - 1 to sync calendar, 0 to skip
#      sync contacts - 1 to sync contacts, 0 to skip
#
# Password secret  - If present, specifies the device's password in plaintext
#

#DebugMode

Device 3009efe3 1 1

#Password secret

Remplacez 3009efe3 par le PIN de votre Blackberry laissez le reste par défaut.

Théoriquement votre système est prêt à être synchroniser avec le Blackberry.

msynctool --sync Blackberry

Si tout s’est bien passé vos rendez-vous et vos contacts sont maintenant disponibles sur votre Blackberry ET sur votre PC.

Tags: Barry, Blackberry, bug, configuration, disponible, fin, format, Linux, nano, script, Synchronisation, Technoaddict, Ubuntu, usb

Divers, Linux et Open-Source, Planet-libre Barry, Blackberry, bug, configuration, disponible, fin, format, Linux, nano, script, Synchronisation, Technoaddict, Ubuntu, usb

Le titre de cet article peut paraître provocateur en présentant l’AppStore d’Apple comme une innovation. Beaucoup d’entre nous sont habitués à une gestion centralisé des « applications » installables sur un système. Debian dispose de ce système depuis la version 1.1, sortie en 1996; idem pour redhat (1997). Il a donc fallu attendre 10 ans pour que cette idée soit reprise, remarketée est, au final plébiscitée. Au point que tout les constructeurs de smartphone propose désormais un système de ce type (Market Place, Ovi store…) et que des applications, comme Bodega pour Mac apparaissent.

Ubuntu, pour la version 9.10 proposera une « logithèque », évolution « naturelle » de Synaptic inspirée des stores cités ci-dessus. On trouvera dans cette logithèque la liste des applicatifs avec une description (à la Synaptic) accompagnés de commentaires, notes et copie d’écran. Le tout ressemblant beaucoup à Bodega (qui ressemble à …)

Fedora, qui sort aujourd’hui la béta de sa futur version 12, propose des évolutions dans PackageKit, qui, à terme permettront d’installer des applications à partir d’un navigateur Web, de la à dire que Fedora travaille sur un store-like, il n’y a qu’un pas.

Ces évolutions suffiront-elles à rendre le desktop Linux plus attrayant? Je pense que la mise à disposition d’appareil mobile, de type MID/Netbook avec des interfaces bien lechées tel que Moblin ou UNR, combinées à ces nouveaux outils peuvent imposer Linux dans les technologies mobiles (Android n’est-il pas un succès?). Cependant, le marché du desktop reste très lié, en entreprise à la suite Office, à la maison au jeux vidéo (et aux habitudes du bureau).

Contribution d’ Olivier Hervieu pour TechnoAddict

Tags: appstore, Debian, Desktop, fedora, Linux, logitheque

Apple, Divers, Linux et Open-Source, Planet-libre appstore, Debian, Desktop, fedora, Linux, logitheque

Cet article va vous exposer quelques trucs et astuces permettant d’améliorer le niveau de sécurité d’un serveur SSH. Ces astuces s’appuient sur l’implémentation la plus répandue du protocole SSH, OpenSSH. Ceci n’est pas un tutoriel dans le sens où toutes ces astuces ne peuvent être « activées » sur un même serveur SSH.

Les fichiers de Configuration d’OpenSSH

Pour rappel, OpenSSH possède un certain nombre de fichiers de configuration:

• /etc/ssh/sshd_config : fichier de configuration du serveur SSH,
• /etc/ssh/ssh_config : fichier de configuration du client SSH,
• ~/.ssh/ : répertoire contenant la configuration ssh propre à l’utilisateur, référencé par ~,
• ~/.ssh/authorized_keys : Liste des  clés publiques (RSA et DSA) pouvant être utilisées pour se connecter à ce compte,
• /etc/hosts.allow et /etc/hosts.deny : la white list et la black list d’OpenSSH.

Ces fichiers seront cités dans la suite de l’article, sans faire référence à leur chemin complet.

Petit point à propos des mécanismes de chiffrement RSA et DSA.

Régulierement est posée la question de savoir qui du protocole RSA ou DSA est le plus sécurisé. La  réponse est simple. A un dimensionnement de clés raisonnable, les deux protocoles offriront un niveau de sécurité équivalent. L’ANSSI (Agence Nationale de la sécurité des systèmes d’information) recommande aujourd’hui d’utiliser des clés de 2048bits (cf. Recommandations sur le dimensionnement des clés).
Cependant, ssh-keygen, l’outil de génération de clés d’OpenSSH ne permet pas de générer des clés DSA de 2048 bits (tout du moins dans la version d’OpenSSH 5.1p1 disponible sous Ubuntu Jaunty). Vous pouvez cependant la générer avec openssl et l’utiliser avec openssh.

Génération d’un clé DSA avec OpenSSL :

Génération de la clé privée

openssl dsaparam -noout -out ~/.ssh/id_dsa -genkey 2048
openssl dsa -in ~/.ssh/id_dsa -des3 -out ~/.ssh/id_dsa

Génération de la clé publique :

openssl dsa -in ~/.ssh/id_dsa -pubout -out ~/.ssh/id_dsa.pub

Règles et recommandations :

Renforcement de l’authentification

Un précédent article dans ce blog montre que les utilisateurs, en négligeant les risques liés au choix et au dimensionnement de leurs méthodes d’authentification sont souvent le maillon faible d’un système d’information.
Afin d’endiguer ce phénomène, voici quelques règles simples qui permettront de renforcer l’authentification des utilisateurs sur des serveurs SSH. Les clés de configuration listées sont à insérer/contrôler dans le fichier sshd_config.

1. Ne pas autoriser de mots de passe vides :

   PermitEmptyPasswords no

2. Ne pas donner d’accès root à l’équipement :

   PermitRootLogin no  *

3. Modifier le MOTD visualisé par les utilisateurs afin de les informer des risques encourus :

   Banner <chemin de la nouvelle bannière>

4. Ajouter un timeout à vos connexions afin que les utilisateurs ne laissent pas des shells ouverts indéfiniment :

   ClientAliveInterval 300

   ClientAliveCountMax 0

5. Forcer les utilisateurs à avoir des mots de passe forts **
6. Privilégier l’authentification par clé publique et désactiver l’authentification par mot de passe :

   PasswordAuthentication No

7. Mettre en place une authentification forte / bi-facteur.

* En règle générale, il est recommandé pour deux raisons d’éviter de donner l’accès à des comptes génériques :

• le nom d’utilisateur est connu de tous (une information sur deux est disponible!),
• il est impossible pour un administrateur du SI de savoir qui a fait quoi. Il est préférable de s’authentifier d’abord à l’aide d’un compte nominatif, puis de prendre les privilèges nécessaires (les logs système permettront de savoir quel utilisateur a pris quels droits à un instant T).

** Cette réflexion va bien au-delà du simple renforcement de l’authentification sur des serveurs SSH et doit être prise à un niveau global dans l’administration d’un système d’information.

Renforcement de l’accès au serveur SSH

1. La première règle de sécurité est évidente : un démon SSH inutilisé est un démon SSH de trop.
2. Vérifier que les serveurs SSH ne supportent que la version 2 du protocole, la première version étant désormais ancienne et faillée comme un OS de Microsoft. Pour cela, vérifier que votre sshd_config possède l’entrée suivante :
   « Protocol 2″
3. Limiter les comptes autorisés à se connecter via SSH en utilisant les clés AllowUsers et DenyUsers.

   AllowUsers john

   n’autorisera que l’utilisateur john à se connecter à la machine

   DenyUsers mysql

   n’autorisera pas l’utilisateur mysql.
   Ceci est particulièrement utile dans le cadre de machines disposant de compte générique (base de données …)

4. Paramétrer les firewalls pour limiter l’accès à vos services (dans un monde parfait, l’accès SSH est limité à votre LAN)
5. Changer le port de connexion, limiter les adresses de binding

   ListenAddress 192.168.1.5

   Port 300

6. Renforcer votre serveur SSH contre les attaques brute-force en utilisant des systèmes tels que DenyHosts ou fail2ban
7. Désactiver l’authentification par mot de passe. Ceci vous protégera efficacement des attaques par force brute
8. Enfin, si l’authentification par mot de passe est nécessaire, privilégier l’authentification  « keyboard-interactive ». Ceci également afin de vous protéger des attaques par force brute.
   Modifier votre sshd_config de la manière suivante:

   PasswordAuthentication no

   ChallengeResponseAuthentication yes

DenyHosts : Mettre à jour votre hosts.deny

DenyHosts est un démon, écrit en python qui scrute le /var/log/auth.log pour détecter les échecs d’authentification. Si un nombre (configurable) de tentatives échouées est atteint, l’ip source est alors blacklistée dans le hosts.deny du système. DenyHosts implémente également un mécanisme de purge. Un court article ici (en anglais) montre une configuration simple pour DenyHosts.

Authentification Bi-Facteur avec OpenSSH

Une des authentifications bi-facteur la plus simple à mettre en oeuvre est une authentification password / clé publique + OTP (one-time password).

Pour debian la marche à suivre est la suivante :

apt-get install libpam-opie opie-server

Ensuite dans /etc/pam.d/ssh, ajouter l’entrée pam_opie :

auth    required   pam_env.so envfile=/etc/default/locale
auth    required   pam_opie.so

Le fichier de configuration du serveur ssh doit avoir une authentification positionnée à :

ChallengeResponseAuthentication yes
PasswordAuthentication no

Il reste à initialiser le serveur  OTP :

opiepasswd -c

Rentrer la passphrase qui permettra de générer les OTP. Il ne reste plus qu’à déployer des calculatrices OTP sur les postes clients (paquet opie-client). La procédure d’authentification sera alors la suivante :

jack@bauer:~$ ssh login@device
otp-md5 492 ne9401 ext, Response:
Password:
...

Contribution d’Olivier Hervieu pour TechnoAddict

Tags: ANSSI, DenyHosts, DSA, Fail2ban, OpenSSL, OPIE, RSA, sécurité, SSH

Planet-libre, Securite Informatique ANSSI, DenyHosts, DSA, Fail2ban, OpenSSL, OPIE, RSA, sécurité, SSH

Voilà, après avoir galéré des heures, j’ai enfin réussi à faire fonctionner une clé 3G Huawei E180 (reconnue comme E220 par Ubuntu) vendue par Bouygues Telecom.
Cette clé sous Jaunty Jackalope ne nécessite pas de faire le switch de périphérique de stockage à modem, elle est de suite reconnue comme tel.
Voici tout ce qu’il faut faire:
Insérez la clé, Ubuntu lance le manager de connexion large bande. Selectionnez dans la liste votre fournisseur, ici on prend le premier Bouygues Telecom.
Faîtes suivant, donnez un nom à votre connexion et cliquez sur Appliquer. Faîtes un clic droit sur le Network Manager, sélectionnez Modification des connexions, puis l’onglet Téléphone mobile à large bande. Cliquez sur votre connexion puis sur modifier. Gnome vous demande l’autorisation cliquez sur autoriser une fois ou toujours.
Dans la fenêtre qui s’ouvre remplacez l’APN ebouygtel.com par a2bouygtel.com validez et c’est fini.
Cliquez sur le Network Manager, sélectionnez votre connexion et attendez que la connexion s’établisse.

Attention cet APN n’est valable que pour les abonnements Pro.

Tags: APN, bouygues, cle 3G, connexion, huawei E180, Ubuntu

Linux et Open-Source, Planet-libre APN, bouygues, cle 3G, connexion, huawei E180, Ubuntu

Un collègue m’a fait suivre une petite enquête sur une attaque au mots de passe qui a eu lieu au début de ce mois.
Par le biais d’une attaque ancestrale (envoi d’un faux email destiné à récupérer les identifiants) un anonyme a pu rapatrier les logins et mots de passe de 19440 comptes Hotmail, Gmail, Yahoo et Free.
Tuxplanet a analysé le contenu récupéré et a pu se rendre compte de la faiblesse des mots de passe choisis par quelques utilisateurs de ces webmails.
Voici une liste à titre d’exemple:
On a trouvé:

- 87 fois 123456
- 25 fois 123456789
- 16 fois 123321
- 21 fois monkey
- 17 fois password
- 13 fois les mots princess, horses, tigger

Sans parler des milliers de mots du dictionnaire choisis.

Voilà qui vient confirmer mon billet d’hier à savoir que c’est bien l’humain qui est responsable de 90% des intrusions informatiques et autres vols de données.

Tags: dictionnaire, forts, mots de passe, sécurité

Planet-libre, Securite Informatique dictionnaire, forts, mots de passe, sécurité

Je suis en ce moment en prestation dans une grande institution française pour mettre en place une solution de sécurité informatique.
Comme d’habitude les exigences du client en la matière sont assez élevées et il est plutôt pointu sur les différents tests à effectuer.
Pour lui la sécurité de son Système d’Information est quelque chose de primordial et il ne laisse rien au hasard.
Première pierre d’achoppement à son bel enthousiasme, les mots de passe des équipements critiques sont tous imprimés. Deuxième détail lors de la pause de midi tout le monde est parti nous laissant mon collègue et moi en présence d’ordinateurs non vérouillés et surtout de la fameuse liste de mots de passe.

Lors de la plupart de mes déplacements en clientèle, il m’a systématiquement été donné de voir des choses du même acabit voire pire.
La conclusion est la suivante: Il va de soi qu’une bonne sécurité informatique est absolument nécessaire. Mais 90% des risques pourraient être réduits si les choses les plus élémentaires étaient respectées.
Comme l’humain ne peut être éliminé de la boucle, il faut l’éduquer en conséquence. Et pour moi la plupart des sites spécialisés, ou des magazines traitant du sujet devraient et doivent évoquer ces choses. Car que faire avec le Firewall, le proxy ou la sonde IDS du siècle si son administrateur laisse à qui veut bien le voir les mots de passe des accès?

Tags: bon sens, education, mots de passe, post-it, sécurité

Securite Informatique bon sens, education, mots de passe, post-it, sécurité

Depuis hier je suis présent sur l’Open World Forum évènement organisé notamment par ma société. Plusieurs conférences sont au programme avec des intervenants tels que Mike Milinkovich, Directeur Executif de la Fondation Eclipse, Mark Shuttleworth, fondateur de Ubuntu, Jim Zemlin, Directeur Executif de la Fondation Linux, Sander Striker, Vice-Président Executif de la Fondation Apache et pas mal d’autres.
J’en ai profité pour aller parler de la création et de l’entretien d’une communauté avec Sander Striker. La discussion fut très interessante et nous nous sommes rejoints sur plusieurs points, notamment sur la neutralité que doit conserver une communauté tournant autour d’un produit.

Tags: Apache, communauté, entretien, rencontre, Sander Striker

Evénements du Libre, Linux et Open-Source, Planet-libre Apache, communauté, entretien, rencontre, Sander Striker

Astaro l’un des éditeurs d’UTM leaders, vient de sortir la version 7.5 de Astaro Security Gateway. Elle se présente sous la forme d’une distribution Linux installable soit sur une appliance soit en machine virtuelle.
Parmi les nouveautés les plus marquantes on note: un monitoring en temps réel de la bande passante, un proxy HTTP transparent avec authentification par portail captif, une amélioration des systèmes IDS, un serveur DHCP revu avec la possiblilité d’assigner automatiquement des baux statiques et de configurer le temps des baux.
Astaro annonce 50 nouvelles fonctionnalités que vous pouvez consulter dans la release note.
Pour télécharger l’ISO c’est là que ca se passe.

Tags: astaro, distribution, Linux, sécurité

Linux et Open-Source, Planet-libre, Securite Informatique astaro, distribution, Linux, sécurité