Archives pour la catégorie Sécurité

Ajouter X certificats au Magasin de certificats de Firefox

Problématique :
Pour éviter d’avoir le message suivant sur Firefox lorsque vous tentez d’accéder à un serveur HTTPS avec certificat auto-signé :

Demande Exception Firefox

Il est nécessaire d’effectuer une petite manipulation pour déclarer notre autorité de certification (CA) Windows dans le magasin de certificats de Firefox.

Pré-requis (à télécharger) :
NSPR
NSS

Il faut savoir qu’Internet Explorer et Chrome se basent sur les certificats définis dans les magasins Windows, contrairement à Firefox qui lui se base sur son propre magasin de certificats. Ceci signifie que si vous signez vous-même vos certificats dans votre entreprise via votre CA, vous aurez le message ci-dessus lorsque vous tenterez d’accéder à un serveur en https avec certificat SSL auto-signé par votre PKI Windows.

Pour éviter cela, Mozilla met à notre disposition un outil qui s’appelle certutil qui nous permet de mettre à jour le magasin de certificats avec ceux de notre PKI Windows.

Voici un script que j’ai fait pour mettre à jour à l’ouverture de session, le magasin de certificats de Firefox, des utilisateurs Windows (je ne m’étendrais pas ici sur la mise en place de la GPO elle-même.).

SET PATH=%PATH%;C:\mypathToNssLibrary\lib

IF NOT EXIST %APPDATA%\Mozilla GOTO:eof

IF NOT EXIST %USERPROFILE%\certificat-firefox.txt GOTO :DeployCert
GOTO:eof

:DeployCert
FOR /F "tokens=*" %%A IN ('dir /B %APPDATA%\Mozilla\Firefox\Profiles\*.default') DO C:\myPathToFirefoxCertutilexe\certutil.exe -A -n MyFirstCertificat -t "C,C,C" -d "%APPDATA%\Mozilla\Firefox\Profiles\%%A" -i "\\MyPathToMyCertificatFile\myfirstcertif.crt"
FOR /F "tokens=*" %%A IN ('dir /B %APPDATA%\Mozilla\Firefox\Profiles\*.default') DO C:\myPathToFirefoxCertutilexe\certutil.exe -A -n MySecondCertificat -t "C,C,C" -d "%APPDATA%\Mozilla\Firefox\Profiles\%%A" -i "\\MyPathToMyCertificatFile\mysecondcertif.crt"
FOR /F "tokens=*" %%A IN ('dir /B %APPDATA%\Mozilla\Firefox\Profiles\*.default') DO C:\myPathToFirefoxCertutilexe\certutil.exe -A -n MyThirdCertificat -t "C,C,C" -d "%APPDATA%\Mozilla\Firefox\Profiles\%%A" -i "\\MyPathToMyCertificatFile\mythirdcertif.cer"

copy /y NUL %USERPROFILE%\certificat-firefox.txt >NUL

Et voilà, en ouvrant votre navigateur et en vous dirigeant vers un site interne ayant un certificat auto-signé, plus besoin d’ajouter une exception, votre site est considéré comme valide car signé par une autorité faisant partie de la liste de Firefox. 🙂 Pas mal non?

1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...

[HowTo] Chiffrer votre disque dur externe

Depuis qu’un collègue m’a raconté qu’un de ses copains s’était fait cambriolé et volé tout son matériel informatique, je me suis dit qu’il était sans doute temps de mettre en oeuvre le chiffrement de mon disque dur externe.

Alors attention, il faut savoir que pour mettre en place le chiffrement de votre disque dur, il va falloir l’effacer entièrement pour mettre la couche LUKS pour chiffrer les données.

Voici la marche à suivre en émettant l’hypothèse que le disque externe est défini en tant que /dev/sdb

# cryptsetup luksFormat /dev/sdb1

WARNING!
========
This will overwrite data on /dev/sdb1 irrevocably.

Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase:
Verify passphrase:
Command successful.

# cryptsetup luksOpen /dev/sdb1 discexterne
# mkfs.ext4 /dev/mapper/discexterne
# mkdir /mnt/discexterne
# mount /dev/mapper/discexterne /mnt/discexterne

Ensuite pour démonter le partage, faire la commande suivante :

# cd
# umount /mnt/discexterne
# cryptsetup luksClose discexterne

Etant donné que le disque est collé au cul d’un serveur NAS, je n’ai pas d’accès physique à celui-ci, du coup je n’ai pas mis le montage automatique via fstab et crypttab, mais c’est tout à fait possible (je vous laisse fouiller un petit peu sur Google, vous ne devriez pas perdre trop de temps là-dessus je pense) ^_^
Au redémarrage du serveur vous n’aurez donc plus qu’à effectuer les commandes suivantes :

# cryptsetup luksOpen /dev/sdb1 discexterne
# mount /dev/mapper/discexterne /mnt/discexterne

Petite précision, pensez à mettre un mot de passe fort car sinon le chiffrement ne sert à rien (et le notez pas sur un post-it sous le clavier hein…) 🙂

1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...

Interdire l’accès à Phpmyadmin depuis l’extérieur

Aujourd’hui, un petit mémo rapide pour configurer Phpmyadmin en interdisant son accès depuis l’extérieur ou depuis tout autre réseau que celui de votre LAN

Pour cela, il suffit juste de modifier le fichier /etc/apache2/conf.d/phpmyadmin.conf par les lignes 4, 5 et 6 :

<Directory /usr/share/phpmyadmin>
        Options FollowSymLinks
        DirectoryIndex index.php
        Order Deny,Allow
        Allow from 192.168.1.0/24
        Deny from All

        <IfModule mod_php5.c>
                AddType application/x-httpd-php .php

                php_flag magic_quotes_gpc Off
                php_flag track_vars On
                php_flag register_globals Off
                php_admin_flag allow_url_fopen Off
                php_value include_path .
                php_admin_value upload_tmp_dir /var/lib/phpmyadmin/tmp
                php_admin_value open_basedir /usr/share/phpmyadmin/:/etc/phpmyadmin/:/var/lib/phpmyadmin/
        </IfModule>

</Directory>

Cela signifie qu’on interdit tout autre personne que ceux du réseau local 192.168.1.0/24 à accéder à la page Phpmyadmin.

1 Star2 Stars3 Stars4 Stars5 Stars (3 votes, average: 3,67 out of 5)
Loading...

[Apache2] : Astuces pour la sécurisation de votre serveur web

Bonjour,

Un petit billet pour vous donner en vrac quelques astuces afin de sécuriser un minimum votre serveur web.

Dans un premier temps, nous allons cacher quelques informations de version, d’OS, etc. afin que l’on ne puisse pas savoir du premier coup d’oeil, quelle version d’Apache tourne sur notre serveur. Pour cela, éditer le fichier /etc/apache2/conf.d/security sous Ubuntu ou /etc/apache2/apache2.conf sous Debian afin d’y ajouter les 2 directives suivantes :

ServerTokens Prod
ServerSignature Off

Le premier permet de ne pas renvoyer d’informations dans l’entête HTTP, tandis que l’autre évite de renvoyer des infos lors d’une erreur (403, 404, etc.).

Si vous avez installer le module PHP, il peut être intéressant de désactiver ses informations en éditant le fichier /etc/php5/apache2/php.ini et y ajouter/éditer les informations suivantes :

expose_php = Off
display_errors = Off

Une fois ces manipulations effectuées, redémarrer le service :

$ /etc/init.d/apache2 restart

D’autres pistes permettant de sécuriser votre installation pourrait être de limiter le parcours du répertoire, d’autoriser certains dossiers à certaines personnes, d’interdire l’exécution de scripts CGI, etc. Tout ceci est à effectuer dans le fichier de configuration de votre site web, généralement : /etc/apache2/sites-available/monsite.

Ce fut une présentation brève mais permettant de cacher certaines informations importantes (surtout la version d’Apache2)…

1 Star2 Stars3 Stars4 Stars5 Stars (1 votes, average: 5,00 out of 5)
Loading...

HowTo : SNMPv3 sur Cisco

Pour terminer ces articles sur la mise en place de la dernière version du SNMP (la v3), je vais présenter les commandes à appliquer sur un équipement Cisco.

ATTENTION, CETTE MANIPULATION N’EST DISPONIBLE QU’A PARTIR DE LA VERSION 12.0 d’iOS

$ snmp-server group V3Group v3 priv read V3Read
$ snmp-server user V3user V3Group v3 auth sha pass1 priv des pass2
$ snmp-server view V3Read iso included
$ snmp-server host @IP version 3 priv V3User

Une petite vérification comme dans l’article HowTo : SNMPv3 sur Linux et c’est terminé!!

1 Star2 Stars3 Stars4 Stars5 Stars (2 votes, average: 1,50 out of 5)
Loading...

HowTo : SNMPv3 sur Windows

Suite à l’article précédent, je vais vous présenter ici la technique à utiliser pour pouvoir installer et utiliser la version 3 du SNMP sur vos serveurs Windows.

Pour cela, suivre les étapes suivantes :

  • Arrêter le service SNMP par défaut sur Windows et le désactiver totalement du démarrage (s’il était installer bien sûr)
  • Télécharger la version suivante : Agent Windows SNMPv3
  • Installer le nouveau service
  • Créer un utilisateur pour le SNMPv3 et l’assigner au groupe « root-users »
  • Aller dans les services Windows et démarrer ce nouvel agent

Afin de valider ce nouveau service, faire le même test que dans l’article HowTo : SNMPv3 sur Linux, et voilà du SNMPv3 en veux-tu en voilà!! 🙂

1 Star2 Stars3 Stars4 Stars5 Stars (4 votes, average: 1,00 out of 5)
Loading...

HowTo : SNMPv3 sur Linux

Bonjour à tous,

Aujourd’hui nous allons nous intéresser à l’installation et le paramétrage de la version 3 de SNMP (la plus sécurisée à l’heure actuelle).

Pour se faire, nous allons installer les pré-requis :

$ apt-get install snmpd snmp openssl libssl-dev

Avant de débuter la configuration, il faut arrêter le service SNMP (qui se lance par défaut) :

$ /etc/init.d/snmpd stop

Continuer la lecture de HowTo : SNMPv3 sur Linux 

HowTo : Installation et sécurisation de Mediawiki

Bonjour,

Aller, un p’tit mémo permettant de voir comment installer et configurer Mediawiki afin de disposer d’un wiki personnel un minimum sécurisé.

Pour commencer, l’installation :

$ cd /var/www
$ wget http://download.wikimedia.org/mediawiki/1.15/mediawiki-1.15.3.tar.gz
$ tar xvzf mediawiki-1.15.3.tar.gz
$ mv mediawiki-1.15.3.tar.gz Mediawiki &amp;&amp; cd Mediawiki

Continuer la lecture de HowTo : Installation et sécurisation de Mediawiki 

Extensions de WordPress (1)

Aller,

C’est parti pour un petit tour d’horizon des différentes extensions qui sont utilisées sur ce blog, permettant d’améliorer l’ergonomie, la sécurité et les performances.

    L’ergonomie

  • WP-PageNavi : Améliore la visibilité de la sélection de pages du blog.
  • CodeColorer : Améliore la visibilité du code (en fonction du langage utilisé) à l’aide de GeSHi.
  • WPtouch : Adapte l’ergonomie du site à celui d’un écran de téléphone portable.
  • WP-PostRatings : Permet aux visiteurs de noter les articles du bloggeur.
  • WP FancyZoom : Ajoute un effet agréable de Zoom sur les images du blog.

Continuer la lecture de Extensions de WordPress (1)