Archives pour la catégorie Système

SSL, choix des suites de chiffrements, HSTS et co

Salut, à tous

Avec la NSA et les révélations de Snowden, on parle énormément de SSL et de HSTS, alors je m’y met aussi :).
Concernant ce qu’il y a à savoir sur les suites de chiffrements, je vous conseils cette vidéo, ou je fait un peu le tour des différentes étapes (échanges de clé, auth, chiffrements, …), ainsi qu’un rapide résumé sur les différentes attaques et leurs implications sur le protocole utilisé (tls 1.0, beast et les chiffrements CBC).

Continuer la lecture de SSL, choix des suites de chiffrements, HSTS et co

Vidéos sur Akari – Installation et configuration

Salut à tous,

Un rapide article aujourd’hui pour signaler la présence de 2 nouvelles vidéos sur les Mandatory Access Control :

L’installation d’akari.

La configuration d’akari.

Le format vidéo était assez indiqué pour les explications sur la configuration d’akari, qui est un peu chaud à expliquer sinon :). Mais je suis pas encore à l’aise sur l’édition vidéo, et la qualité du son, mais ça s’améliore un peu depuis le début. Au final j’aime bien le combo ffmpeg + blender + audacity, j’ai publié une vidéo pour le process d’édition, vu que ça reste du logiciel libre, ça peut être intéressant d’en parler.

Bonnes vacances à tous 😉

Linux MAC (Mandatory Access Control) avec Akari (Tomoyo)

Plop à tous …

Aujourd’hui je vais parler MAC (Mandatory Access Control), l’une des techniques les plus simple pour contrôler l’ensemble des actions des processus sous linux et pourtant si peux utilisé :s.

Généralement en MAC, on parle souvent de GrSec, AppArmor ou encore de SeLinux.

Entre apparmor qui gère à peine le réseau (ça se limite à autoriser de l’udp ou du tcp, sans plus de détaille), SeLinux avec ses liens avec la NSA, ainsi qu’une syntaxe hardcore et GrSec qui nécessite de patcher son kernel.
Continuer la lecture de Linux MAC (Mandatory Access Control) avec Akari (Tomoyo)

LoupZeur à la recherche d’un emploi

plop,

Je viens de terminer mon alternance pour mon Master (Bac+4), et je suis donc à la recherche d’un emploi dans la region Alsace (Strasbourg et environs) dans le domaine de l’informatique bien sûr ;).

Mon superbe CV en html est dispo ici.

Les domaines qui m’intéressent :

  • L’administration système (Linux)
    • Services maitrisés :
      • Web : Apache (php,modsecurity), nginx
      • DB : MySQL
      • Failover : RHC (RGmanager, corrosync, …), DRBD (réplication de bases de données)
      • VPN : OpenVPN, Cisco, pptpd
      • Mail : Exim/Dovecot
      • Partage de fichiers : (pro|pure)ftpd, samba
    • Gestion des utilisateurs, des droits, …
  • Sécurité informatique (Linux)
    • Évaluation des risques
    • Audit (pas de quoi être un pentester pro, juste assez pour comprendre les vecteurs d’attaques)
    • Définition et mise en place des SP, AC et RAP (Iptable, Akari, ModSecurity, /etc/security)
    • Mise en place de solutions de chiffrement de connexions (IpSec, SSL, Vpn) et de données (Cryptoloop, …)
    • Définition et mise en place d’architectures réseaux et systèmes « sécurisées » (Ossec, Snort/Suricata, Prelude) à coupler avec les SP, AC et RAP.
  • Développement
    • Langages, méthodes et … : Cf. CV

Si jamais mes compétences peuvent vous sembler utile, mon mail et mon téléphone sont dispo sur le CV.

Bonnes vacances.

iptables: FAI ou VPN il faut choisir

plop à tous …

Un article que je voulais écrire depuis longtemps, mais par manque de temps je l’ai zappé.
Ici le but de la manoeuvre est d’utiliser iptables (et la magie du routage de linux) pour choisir ce qui passe par l’IP du VPN (P2P, …) et par votre FAI (Browsing, …) (on peut aussi rajouter la connexion 3G du téléphone pour ceux qui veulent taper comme un sourd dans la BP 😉 et avoir des latences minimal pour le browsing).

Note : les – – sont à faire sans espace, il s’agit d’un bug de wordpress :s
Continuer la lecture de iptables: FAI ou VPN il faut choisir

iptables module owner : comment autoriser spécifiquement les connexions des utilisateurs

plop

Un rapide mémo/article, sur comment autoriser des connexions établit par des utilisateurs spécifiques avec iptables.
L’idée générale étant que l’on drop tout par défaut, et que l’on autorise seulement certaines connexions par ports/logiciels, le soucis étant que si l’on ne connait pas les ports de sortie de notre services sur de nouvelles connexion (cas de serveurs tor/P2P dans lesquels les ports peuvent être aléatoire), on est obligé de passer en policy accept pour profiter un maximum du service (au risque que si le service http soit compromis un hacker puisse depuis le process ouvrir une connexion inverse pour bypass le firewall en drop sur l’entrée).
Continuer la lecture de iptables module owner : comment autoriser spécifiquement les connexions des utilisateurs