Liste des liens
Ensemble de recommandations pour sécuriser un serveur.
The OWASP Zed Attack Proxy (ZAP) is one of the world’s most popular free security tools and is actively maintained by hundreds of international volunteers*. It can help you automatically find security vulnerabilities in your web applications while you are developing and testing your applications. Its also a great tool for experienced pentesters to use for manual security testing.
This is a library for encrypting data with a key or password in PHP. It requires PHP 5.4 or newer. The current version is v2.0.0, which is expected to remain stable and supported by its authors with security and bugfixes until at least January 1st, 2019.
The library is a joint effort between Taylor Hornby and Scott Arciszewski as well as numerous open-source contributors.
What separates this library from other PHP encryption libraries is, firstly, that it is secure. The authors used to encounter insecure PHP encryption code on a daily basis, so they created this library to bring more security to the ecosystem. Secondly, this library is "difficult to misuse." Like libsodium, its API is designed to be easy to use in a secure way and hard to use in an insecure way.
Peut-être utile pour BoZoN : Bronco, si tu me lis...
Quelques mots sur la sécurité relative au protocole TCP/IP
Une faille de l’utilisation possible de l'Unicode dans les noms de domaine.
Note pour plus tard : vérifier à deux fois les urls des liens sur lesquels on clique !!
Je viens de créer un plugin qui permet de sensibiliser les visiteurs de mon shaarli à la faille de sécurité liée à l'usage d'un target="_blank" ou équivalent (window.opener ou site épinglé dans un navigateur).
Lorsque le visiteur clique sur un lien qui mène à une des pages de mon shaarli et qui ouvre un nouvel onglet ou une nouvelle fenêtre pour afficher ladite page, la page originale contenant le lien est remplacée par une page contenant un message d'avertissement sur la faille de sécurité.
Rien de plus, mais c'est déjà beaucoup je trouve :D
Edit : je viens d'en faire un article sur mon site avec une démo.
D'ailleurs, je réalise que shaarlo présente cette faille. Si ça pouvait être corrigé rapidement vu le nombre de liens échangés...
Chiffrez vos discussions instantanées et appels vidéo
Les risques à utiliser l'ouverture d'une nouvelle fenêtre/onglet via un lien.
C'est déjà passé dans la river mais je ne l'ai pas retrouvé.
Donc je le poste ici.
Root est un utilisateur qui a tous les droits sur le serveur... il faut donc le sécuriser au max !
Changer le mot de passe root
Il me semble impératif de changer le mot de passe root donné par OVH et qui est plutôt petit... (petit rappel pour les mots de passes).
passwdPuis entre le nouveau de mot de passe (rien ne s'écrit, c'est normal) et le confirmer.
Empêcher root de se connecter
Si je tente de rentrer dans un système, je vais utiliser les comptes par défaut... sous linux, le super administrateur s’appelle root... On va faire en sorte qu'un seul autre utilisateur puisse se connecter, et empêcher root de se connecter.
Création d'un nouveau groupe et d'un nouvel utilisateur
groupadd sshusers
useradd -m UnNomDUtilisateurALaCon
passwd UnNomDUtilisateurALaCon
usermod -a -G sshusers UnNomDUtilisateurALaConPour empêcher root de se connecter en ssh, on va modifier les fichiers de config.
D'abord, on l'ouvre :
nano /etc/ssh/sshd_configPuis on le modifie...
- changer le port d'écoute :
Port 1234 - interdire l'identifiant root de se connecter :
PermitRootLogin no - et on ajoute une ligne à la fin pour autoriser les membres de notre nouveau groupe à se connecter :
AllowGroups sshusersQuitter en enregistrant le fichier (CTRL+ X puis Yes pour enregistrer).
Puis on redémarre le service :
service ssh restartATTENTION
Il faut s'assurer que tout fonctionne avant de vous déconnecter !
- dans une autre fenêtre, essayez de vous connecter en root → ça ne devrait pas vous le permettre
- dans une autre fenêtre, essayez de vous connecter avec l'utilisateur UnNomDUtilisateurALaCon → ça devrait fonctionner
-
quand vous serez connecté en tant que UnNomDUtilisateurALaCon, vous pourrez ensuite passer root avec la commande :
su -Source :
https://forum.ovh.com/showthread.php?102599-Attaque-SSH-sur-mon-VPS
http://www.pumbaa.ch/blog/tutoriaux/index.php?d=2015/01/14/16/00/00-securisation-de-votre-vps
"Au-delà de l’attaque liée au mode Export, le second intérêt de notre travail a été de donner pour la première fois un ordre de grandeur du temps de cassage du logarithme discret, lorsque les précalculs étaient réalisés. Comme ce temps est finalement très faible, même pour d’assez grands nombres premiers, les questions de la faisabilité et du coût du précalcul deviennent critiques. Surtout quand on sait que ce coût sera amorti par le fait que le même précalcul peut être utilisé pour casser des millions de connexions.
Les regards se tournent alors évidemment vers les agences de renseignement. La paranoïa ambiante vis-à-vis de la NSA à la suite des révélations d’Edward Snowden incite d’autant plus à ne pas jouer avec le feu : augmentons les tailles des nombres premiers ! Il est grand temps de suivre les recommandations et de passer à des premiers d’au moins 600 chiffres ! Mieux encore, la cryptographie moderne se doit de continuer la transition vers des algorithmes de chiffrement plus sûrs qui reposent sur des fonctions plus complexes comme les courbes elliptiques."
C'est encore le meilleur moyen pour conserver un semblant de confidentialité...
C'est très bien tout ça mais ça ne va pas dans le sens de l'autohébergement pour la famille Michu...
Les failles de sécurité sous PHP.
Coudification via plein de monde.
Je n'ai pas tout lu mais c'est à creuser...
Sinon, il y a aussi pickypaste (http://www.olissea.com/PickyPaste/).
On peut l'auto-héberger et j'en ai même fait un plugin pour pluxml (http://forum.pluxml.org/viewtopic.php?pid=39105).
Vous pouvez voir le rendu sur mon site : http://www.ecyseo.net/pickypaste
C'est parce qu'ils sont américains ou parce qu'ils sont cons ??? J'ai un doute :(