The Blog

Online passe sans prévenir ses serveurs backup en FTP passif only (et aller on refait iptables !)

C’est en voulant appliquer un patch de sécurité sur un forum que je maintiens que je me suis rendu compte que nos chers amis online ont changé la stratégie de sécurité de leurs serveurs backup dedibox pour le ftp et sans prévenir. J’ai d’ailleurs trouvé un ptit topic sur le sujet ICI.

Désormais on ne peut plus faire du ftp qu’en mode passif… D’après ce que j’ai vu c’est plus sécurisé mais c’est surtout chiant à configurer (pour les amateurs disons) au niveau iptables. Il y a d’ailleurs plein de topics sur le net sur le sujet avec des amateurs qui galèrent et jamais de réponse super claire et évidente.

Il semble par exemple qu’utiliser certains modules comme nf_nat_ftp, nf_conntrack, nf_conntrack_ftp suffirait, mais hélas pas pour moi (du moins pas pour des connexions sortantes pour aller faire mes backups)… Ok je n’ai peut être pas tout capté mais bon..

Toujours est-il que cela donne dans un script iptables :

# FTP
modprobe nf_nat_ftp
modprobe nf_conntrack
modprobe nf_conntrack_ftp

 Après on trouve des trucs moches comme ça (et la ça fonctionne pour moi) :

iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Mais franchement, c’est juste super moche et bourrin car en gros il s’agit ici d’autoriser les connexions sortantes (et surtout les NEW !) sur une maxi plage de ports. Certes, le mode passif ftp peut tomber selon les config sur une vaste plage de ports mais quand même… Bon ok c’est du sortant donc moins grave que du entrant mais bon si vous vous faites infecter la machine c’est toujours mauvais.

Du coup, je me suis rabattu sur une config un peu moins bourrin (mais bourrin quand même) :

# Pour autoriser le mode passive on est bourrin en out new mais que sur le serv backup
iptables -t filter -A OUTPUT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state NEW -d dedibackup-bzn.online.net -j ACCEPT

Au moins ici on limite sur un serveur destination (le serveur de backup en l’occurence). Evidemment, cela me convient dans mon usage mais sans doute pas pour tout le monde.

En tous cas, en matière de sécurité, il reste toujours le principe de base, fermer tout par défaut et ouvrir juste le stricte nécessaire. D’ailleurs, c’est l’occasion pour moi de rappeler l’intérêt de cet article.

Et avant d’oublier, si vous utilisez backup-manager pour vos sauvegardes, n’oubliez pas de le passer en mode ftp passif si c’est ce mode que vous utilisez :

# Do you want to use FTP passive mode?
# This is mandatory for NATed/firewalled environments
export BM_UPLOAD_FTP_PASSIVE="true"
Read More

On ne plaisante pas avec la sécurité

Et voila déjà quelques années que mes petits dédiés tournent heureusement sans trop de soucis. Merci aux divers tutoriaux trouvés sur le net pour la configuration et un minimum de sécurisation.

Aujourd’hui un petit mot pour dire que malgré tout, il ne faut jamais négliger la sécurité, même si de prime abord on a fait notre maximum au départ. Et qui dit sécurité dit mise à jour régulière de l’ensemble des logiciels installés sur votre machine (encore une raison de plus pour n’y mettre que le stricte minimum d’ailleurs !).

Habituellement, au moins une fois par semaine, je mets à jour le système d’exploitation de la machine et tous les paquets qui y sont associés (raison de plus pour faire toutes ses installations via le gestionnaire de paquets quand c’est possible !). Mais évidemment il reste ce qu’il y a en dehors et par exemple les applications web. Pour cela j’essaye de regarder régulièrement et je passe à l’install dès que je peux car c’est tout de suite plus long…

Cette fois j’ai traîné a appliquer un patch de sécurité sur un forum que je gère et voilà que ce soir je me lance dans l’application du patch. J’ai alors vu un joli fichier inconnu dans mon install qui avait tout l’air d’un exploit… Heureusement, le site semble ne pas en avoir pâti. Moralité merci une install a peu près propre sécu et surtout mettons à jours nos applications le plus fréquemment possible !

Vraiment, il va falloir que je mette en place des contrôles supplémentaires comme tripwire ! Il faut aussi refaire un tour régulièrement des tuto de sécu et autre, on apprend tous les jours des astuces pour monter le niveau de sécurité.

Read More

De la crédibilité des propos sur le net – TOR est cassé, vraiment ?

Un nouvel article sur sebsauvage.net attire mon attention. Il s’agit d’un exercice d’analyse d’un article qui à l’origine remet en cause TOR et plus généralement les systèmes de crypto. Je trouve cela très intéressant, car c’est un bon exemple de l’importance qu’il faut accorder à l’analyse de la pertinence / véracité de ce qu’on peut trouver sur le net.

Sous prétexte de technique, compréhensible uniquement par des spécialiste, on essaye de faire passer des propos orientés, publicitaires voir mensongers. Bref, mieux vaut réfléchir à ce qu’on nous raconte en général et particulièrement sur le net. Heureusement il y est plus facile de trouver diverses sources, les confronter, se documenter…

Je vous laisse voir l’article de sebsauvage, mais voici quelques extraits qu’il critique (collector en effet !) :

« À ce jour, « aucun universitaire pointu » n’est capable de prouver la sécurité de RSA ou de l’AES »

Haha !

« Mais la principale faiblesse [de TOR] est conceptuelle : utiliser de la cryptographie. »

Haha bis ! Qu’est ce qu’il faut pas entendre… Bref, je suis de l’avis de seb…

Read More

Shaarli l’agrégateur de bookmarks de liens bien sympa !

J’avais parlé ici il y a quelques temps d’un outil agrégateur de liens fait par notre ami Sebsauvage. Il s’appelle shaarli. J’avais vu que l’outil était sympathique et semblait bien fait, mais qu’en regardant le code source j’éprouvais quelques surprises.

Toujours est-il que je l’ai installé sur le serveur pour test et la franchement ! Enorme, la fonction de bookmark facile, les tags, la rapidité, les fonctions qui permettent d’éviter le bookmark en double, le nuage de tags, l’interface bien faite, la facilité d’utilisation / d’installation !

Non vraiment, bravo c’est très bien fait et j’ai déjà transféré tous mes bookmarks en souffrance sur mon navigateur. Je vais pouvoir partager désormais très facilement ces éléments la et surtout retrouver facilement l’info que je cherche. Avant c’était un peu la guerre pour retrouver une info que j’avais pourtant bien gardé…

Donc merci Sebsauvage !

Read More

Saute vent Enermax & 600 Hornet 2011

Pour une fois, il est temps de parler moto et non informatique. Cette journée étant clémente d’un point de vue météo comme temps libre, j’ai entrepris de faire un petit tour en moto ce matin. C’était aussi l’occasion de tester mon saute vent Ermax récemment installé.

L’esthétique est correct, mais il restait à valider concrètement son intérêt en terme de flux d’air et de ressenti sur le pilotage. Premiers tours de roue, tout va bien. Pas de perturbations, mais bon je ne roule pas comme un sauvage et nous sommes en ville. Disons qu’à cette vitesse, saute vent ou rien je ne vois pas trop la différence.

Sortie de ville, on tourne un peu la poignée, toujours en restant dans le raisonnable. Rien de spécial à constater. Honnêtement, j’ai peut être une impression d’avoir moins de vent mais sans plus. Certes je ne suis pas top petit, mais pas top grand non plus. En me baissant un peu sur le réservoir, j’ai certes moins de vent. Mais bon sincèrement, sur les 100km/h je n’ai jamais souffert du vent. Alors disons que, l’intéret sera sans doute sur les longs trajets, pour diminuer la fatigue et en cas d’intempérie, pour diminuer l’effet machine à laver :).

Jusqu’ici pas spécialement content de mon achat. Il est temps maintenant de passer aux choses sérieuses et voir ce que cela donne avec un réel flux d’air violent (comprenez vitesse discutable). Logiquement, plus la vitesse est élevée, plus je devrais « sentir » l’intérêt de la chose.

La grosse déception que voila… Passé une certaine vitesse la pression exercée par le flux d’air est si importante, que les fixations (le saute vent n’est fixé que par le haut) se mettent à plier (le bras de levier est non négligeable en bas du saute vent). Jusque la pas si grave me direz vous. Sauf que, le flux d’air se faisant, le saute vent se met à vibrer sérieusement…

Problème numéro 1 de la vibration, je ne sais pas qui est le gros malin dans l’histoire, mais toujours est il qu’une vis du saute vent dépasse joyeusement vers la partie plastique au dessus du phare. A l’arrêt, il y a un bon mm entre la vis et le plastique. A haute vitesse, avec la vibration, cela touche joyeusement comme un mignon petit marteau piqueur :). Bref, comprendre *cri intérieur refoulé* que j’ai désormais une bonne marque sur le plastique…

Problème numéro 2, la vibration est très forte, et perturbe le flux d’air qui s’écoule vers moi. Cette vibration se propage donc vers moi ce qui est très très désagréable. Bien entendu, quand je baisse la tête pour être théoriquement mieux protégé de l’air par le saute vent, c’est encore pire, presque intolérable. Je préfère encore un flux d’air fort mais constant sans saute vent…

Bref, voila, dépense pour rien et déception. Mais je ne m’avoue pas vaincu. Il va falloir que je passe par la case bricolage pour régler ce souci. Je trouve cela cependant hallucinant que cet aspect n’ait pas été pris en compte par les concepteurs ! Forcément, passé une certaine vitesse le support se mettrait à plier et vibrer… Le pire c’est que ça commence dès 130km/h ce qui est tout à fait normal sur autoroute ! Bref, sans rouler comme un sauvage, cela pose déjà un souci.

Snif :'(

Read More