Archive pour le ‘Système’ catégorie

» Entrées les plus anciennes

Mise en place d’un CDN via Google App Engine

4 juillet 2010

Plop à tous ….

ça fait un certain temps déjà que j’essai de voir pour utiliser différents systèmes de cache de contenu pour alléger la charge de mon dédié (un RPS), après avoir testé plusieurs systèmes, j’ai opté pour le système de CDN CirruxCache, qui utilise le Google App Engine (et oui google est partout), le gros avantage du système c’est que c’est fournit par les serveurs de GG (donc super rapide et tout et tout) et écrit en python, ce qui m’a permis de faire une petite modif sympa pour spécifier un TTL spécifique sur le type de fichier.
» En lire plus:Mise en place d’un CDN via Google App Engine

Pas de commentaires »

Posté dans Administration

Tags:

Iodine et DNS Tunneling

17 juin 2010

Plop à tous …

Aujourd’hui, encore du DNS Tunneling … et cette fois avec iodine, un soft écrit en C, beaucoup plus puissant que les autres scripts en perl comme dnstunnel et ozymandns que j’ai présenté sur mon blog, qui permet des connexions en parallèles, ce qui permet un chargement plus rapide des pages web, par contre, comme ça utilise le protocole DNS, le débit peut seulement aller jusqu’à 20-30 ko/s donc c’est assez limité.
Mais ça permet d’utiliser la plupart des bornes d’accès ouvert de type Neuf Wifi/FreeWifi qui force l’utilisation de leurs services pour utiliser la borne wifi sans avoir à fournir de couple login/pass valide ^^.
» En lire plus:Iodine et DNS Tunneling

2 commentaires »

Posté dans Système

Tags:

Gérer ses routes IP pour ses VPN (via NetworkManager et route)

31 mai 2010

Plop à tous …

Juste pour faire un autre article ce mois-ci ^^ … Je vais parler des routes IP, pour gérer par exemple plusieurs VPN ou plusieurs connexions à internet. Rien de compliqué bien sûr, juste un truc que j’oubli assez souvent et que j’utilise assez rarement …

» En lire plus:Gérer ses routes IP pour ses VPN (via NetworkManager et route)

Pas de commentaires »

Posté dans Système

Tags:

Récupération de données après suppression (grep et dd)

2 mai 2010

Plop à tous …

Aujourd’hui forensic ;) , le but est de récupérer des données supprimées (via rm ou d’autres commandes ‘NON destructive’ de type shred). La version longue et en anglais de ce que je vais raconter là.
» En lire plus:Récupération de données après suppression (grep et dd)

Pas de commentaires »

Posté dans Système

Tags:

Utiliser plusieurs certificats SSL sur un seul serveur apache

1 mai 2010

Plop à tous …

Le but de l’article du jour est d’utiliser plusieurs certificats SSL sur une même machine via le SNI (ce qui était impossible il y a quelques années de cela cf. wikipedia, le premier patch étant sorti en 2004, les premières implémentation sur les serveurs apache se sont fait sur la version 2.2.12 en Juillet 2009).
» En lire plus:Utiliser plusieurs certificats SSL sur un seul serveur apache

2 commentaires »

Posté dans Administration

Tags:

monter un serveur PHP en une ligne de commande (ou presque)

24 avril 2010

Dans le genre « news de webg33k » en voici une …

A la base, je cherchais à utiliser/écrire un serveur http en python (pas mal de classes existent dans le domaine) pour servir une page html bidon après un man in the middle avec redirection dnspoof sur le serveur http en question, au lieu de déployer l’artillerie lourde apache ou nginx.
» En lire plus:monter un serveur PHP en une ligne de commande (ou presque)

Pas de commentaires »

Posté dans Système, php

Tags:

Nouvelle version de Prewikka sur debian testing

6 avril 2010

Plop à tous …

ça fait déjà depuis quelques temps que la version 1.0 de prewikka (le frontend python de l’IDS prelude) est présente dans les dépôts de testing, mais comme je viens seulement de faire la mise à jour … ^^. (Au passage, prelude a aussi été mise à jour ;) et OSSEC est passé en 2.4 le mois dernier … il était donc temps de mettre à jour l’architecture de mon système de sécurité).
» En lire plus:Nouvelle version de Prewikka sur debian testing

Pas de commentaires »

Posté dans Administration, Sécurité

Tags:

Modifier les headers de firefox (user-agent, …)

5 mars 2010

Plop à vous cher visiteurs …

Un truc tout naze aujourd’hui pour faire revivre un peu mon blog …, modifier les headers de son navigateur web, pour cacher des infos du genre :

      User-Agent (mettre n’importe quoi)
      Via
      Forwarded-For (le fbi ou un truc pour fausser les stats du site ^^)
      Cookie (mettre en truc bidon … peut être sympa pour des sql injection/xss ça marche parfois)
      Referer (genre mettre l’url de son site pour faire de la pub^^).

» En lire plus:Modifier les headers de firefox (user-agent, …)

Pas de commentaires »

Posté dans Système

Tags:

Mise en place d’un portknocking pour limiter les ports accessibles sur le net

13 février 2010

Hello …

Protéger des services non-public (type ssh) d’être accédés par n’importe qui ça peut être assez utile (pour éviter les connexions intempestives pour la prise d’information, tentative de login/bruteforce …), le tout sans avoir à déclarer d’ip, …

On peut utiliser pour cela du portknocking, le but étant de mettre en place une séquence de « toc toc qui est là » qui permettra ensuite d’ouvrir la porte, et si la séquence n’est pas bonne … ^^).
» En lire plus:Mise en place d’un portknocking pour limiter les ports accessibles sur le net

Pas de commentaires »

Posté dans Administration, Système, Sécurité

Tags:

Limiter les droits d’un utilisateur sur Debian/Ubuntu (lshell)

11 février 2010

Plop à tous ….

Lorsque l’on doit partager/administrer une machine, on a souvent peur que les individus fassent de belles boulettes sur la machine en question (surtout si l’accès est partagé entre plusieurs utilisateurs).

Une technique consisterait à faire un chroot via SSH (si ça vous tente ^^ mais c’est super long).

Ou passer par un truc du genre dans /etc/ssh/sshd_config :

  1. Subsystem sftp internal-sftp
  2. Match user nomUser
  3.          ChrootDirectory /home/nomUser
  4.          X11Forwarding no
  5.          AllowTcpForwarding no
  6.          ForceCommand internal-sftp

Qui bloque la plupart des commandes et n’autorise que le sftp …

Pour les admins flemmards, il existe une solution : lshell, on peut choper un .deb sur le site et une fois installé, il n’y a pas grand chose à faire :

Modifier le fichier /etc/lshell.conf (assez facile à comprendre), avec des paramètres du genre :
Pour les commandes autorisées :

  1. allowed         : ['ls','echo','cd','ll','svn','vi','rm']

Pour kiker l’utilisateur après un certain nombre d’erreurs :

  1. warning_counter : 2

dans ce cas, après 2 erreurs, la connection SSH est coupée.

On peut chrooter un utilisateur :

  1. path            : ['/var/www/']

Pour obliger un utilisateur à utiliser ce shell, il y a 2 cas :
On modifie un utilisateur :

  1. usermod –shell /usr/bin/lshell nomUser

On créer un utilisateur

  1. adduser nomUser –shell /usr/bin/lshell nomUser

Et voilà … connectez vous avec un utilisateur « lshellé » (pour ma part chrooté et limité aux commandes « allowed » plus haut) :

  1. You are in a limited shell.
  2. Type '?' or 'help' to get the list of allowed commands
  3. kikoo:~$
  4. kikoo:~$ ls
  5. index.php  license.txt  robots.txt  svnup.php  system
  6. kikoo:~$ cat /etc/ssh/sshd_config
  7. *** forbidden path -> "/etc/ssh/sshd_config"
  8. *** You have 0 joker(s) left, before getting kicked out.
  9. This incident has been reported.
  10. kikoo:~$ svn up
  11. À la révision 12.
  12. kikoo:~$ echo "LOL"
  13. LOL
  14. kikoo:~$ echo "LOL" > /etc/ssh/sshd_config
  15. *** forbidden synthax -> "echo "LOL" > /etc/ssh/sshd_config"
  16. - Kicked out -
  17. Connection to 1.3.3.7 closed.

Voilà … bonne administration ;)

Pas de commentaires »

Posté dans Administration, Système, Sécurité, Ubuntu

Tags: