UbunBloX » Sécurité http://ubunblox.servhome.org GNU's not Unix 2.0 Mon, 14 Nov 2011 15:44:03 +0000 en hourly 1 http://wordpress.org/?v=3.2.1 Sécuriser ses données grâce à Cryptkeeper http://ubunblox.servhome.org/securiser-ses-donnees-grace-a-cryptkeeper.html http://ubunblox.servhome.org/securiser-ses-donnees-grace-a-cryptkeeper.html#comments Sun, 28 Aug 2011 13:58:05 +0000 David Lopes Ferreira http://ubunblox.servhome.org/?p=4344

Il peut parfois s’avérer très utile de sécuriser certaines données personnelles. On peut par exemple avoir le besoin de mettre à l’abri un fichier contenant des mots de passe ou encore un dossier confidentiel… Le logiciel Cryptkeeper que je vous présente aujourd’hui, va vous permettre de s’acquitter de cette tâche en toute simplicité.

La sécurité des données est à la portée de tous !

Cryptkeeper vous propose de créer un ou plusieurs répertoire(s) sécurisé(s) dont les données chiffrées seront accessibles après l’insertion d’un mot de passe. L’application repose sur des outils tel que fuse ou encore enclfs, l’un s’occupera de monter le répertoire tandis que l’autre s’acquittera de sécuriser celui-ci via un système de chiffrement ssl/aes.

Personnellement, même si d’autres méthodes existent, je trouve que Cryptkeeper est un très bon moyen de sécurisation : Sa configuration et son utilisation à la portée de tous, raviront à coup sûr plus d’une personne !

Installation :

Comme dit précédemment, les dossiers chiffrés seront montés grâce au service fourni par le module nommé fuse. Pour installer celui-ci, ouvrez votre terminal et inscrivez :

# pacman -S fuse

Une fois l’installation accomplie, démarrez le module :

# modprobe fuse

Afin de ne pas répéter cette opération, ajoutez le module à votre fichier rc.conf :

# vim /etc/rc.conf
MODULES=(fuse)

Pour en finir avec fuse, créez un groupe éponyme et ajoutez-vous à celui-ci :

# groupadd fuse
# usermod -aG fuse nom_d'utilisateur

Redémarrez votre session pour prendre les modifications en compte et vérifiez que vous faites bien partie du groupe fuse à l’aide de cette commande :

$ groups

Attaquons-nous à présent à l’installation de Cryptkeeper :

$ yaourt -S cryptkeeper

Bien que le paquet encfs soit inclus dans les dépendances de Cryptkeeper, vous pouvez toujours l’installer manuellement :

$ yaourt -S encfs

En pratique :

Pour démarrer Cryptkeeper :

$ cryptkeeper

L’application se loge alors dans la zone de notification, faites un clic gauche sur l’icône puis choisissez l’intitulé ‘Nouveau dossier chiffré‘ (Figure 1).

Figure 1

Une boite de dialogue s’ouvre alors à vous (Figure 2), vous permettant d’indiquer le nom du répertoire qui accueillera les données chiffrées. Appuyez sur le bouton ‘Suivant‘ pour continuer.

Figure 2

Cryptkeeper vous demandera d’établir un mot de passe (Figure 3), celui-ci vous permettra par la suite de monter et d’accéder à votre répertoire chiffré. N’hésitez pas mettre un mot de passe solide !

Figure 3

Une fois le mot de passe défini, Cryptkeeper vous notifiera du succès de l’opération et ouvrira par la même occasion votre dossier (Figure 4).

Figure 4

Pour monter/démonter votre dossier chiffré, rendez-vous dans la zone de notification puis cocher/décocher selon vos désirs (Figure 5).

Figure 5

Si vous désirez supprimer un dossier chiffré, faites simplement un clic droit puis choisissez ‘Effacer le dossier chiffré‘ (Figure 6).

Figure 6

Pour finir :

Comme vous avez pu le voir, l’utilisation de Cryptkeeper est relativement aisée ! Bref, c’est un excellent moyen pour sécuriser facilement vos données sensibles ;) .

Lien :

Dans la même catégorie :

flattr this!

]]>
http://ubunblox.servhome.org/securiser-ses-donnees-grace-a-cryptkeeper.html/feed 2
L’histoire d’un débutant en SSH http://ubunblox.servhome.org/lhistoire-dun-debutant-en-ssh.html http://ubunblox.servhome.org/lhistoire-dun-debutant-en-ssh.html#comments Sat, 06 Aug 2011 19:49:11 +0000 David Lopes Ferreira http://ubunblox.servhome.org/?p=4019

Si il y a bien un domaine dans lequel j’ai encore tout à apprendre, c’est bien celui du réseau car mon expérience à ce niveau est quasi-nulle ! Malgré ce manque de compétence, je me suis mis en tête de créer mon propre serveur, une idée qui m’oblige donc à me plonger dans de nombreuses documentations.

Pour le moment, je ne fais rien de réellement passionnant, d’un point de vue matériel, le serveur n’est même pas fini : Pas de boîtier, pas de disque dur. Le seul média de stockage qui le compose est une simple clé USB de 8Go. Risible et pas très adéquat mais cela est bien assez pour débuter les hostilités !

Après avoir installer une Debian Squeeze, me voilà donc fin prêt pour tenter l’aventure du serveur personnel ! Cette aventure commence avec la mise en place l’outil SSH pour administrer les serveur à distance. Le protocole SSH est fait pour ça, il le fait de manière sécurisée et sa mise en place est relativement simple, je dis bien « relativement » car j’ai tout de même eu quelques soucis ;) .

Important: Cet article n’est en aucun cas un tutoriel à suivre, il s’agit simplement de mon pense bête. La manière de faire est loin d’être un modèle du genre mais dans mon cas elle fonctionne, libre à vous de vous en inspirer !

Configuration client/serveur :

Coté serveur :

  • Distribution : Debian Squeeze
  • Adresse IP : 192.168.1.13
  • Nom d’utilisateur : tom

Coté client :

  • Distribution : Arch Linux
  • Adresse IP : 192.168.1.10
  • Nom d’utilisateur : david

Installation des composants nécessaires :

Après un premier redémarrage de la Debian fraîchement installée, il est nécessaire d’y ajouter le paquet openssh-server :

# aptitude update && aptitude upgrade
# aptitude install openssh-server

Le service étant démarré automatiquement après installation, il n’y a plus besoin d’avoir un accès physique au serveur.

Un bonne raison pour le mettre dans un coin ;)

Passons à présent au client sur Arch Linux, en installant le nécessaire :

# pacman -S openssh

L’étape d’installation est à présent terminée !

Première connexion :

Avant de me connecter directement au serveur en SSH, je fais un ping pour savoir si l’ensemble client/serveur communique :

$ ping -c 3 192.168.1.13

Tout se passe à merveille ! Il ne reste plus qu’à tenter une connexion à distance :

$ ssh tom@192.168.1.13

Lors de cette étape, il est demandé de saisir un mot de passe d’utilisateur, en l’occurrence, c’est celui de tom. Une fois la connexion établie, il ne reste plus qu’a vous identifier en tant que root pour installer par exemple un serveur Apache ;) .

Configuration du serveur SSH :

Voici des petites modifications que vous pouvez effectuer au fichier /etc/ssh/sshd_config :

# vim /etc/ssh/sshd_config

Désactivation de l’authentification avec le compte root :

PermitRootLogin no

On peut changer le numéro de port 22 utilisé par défaut :

Port 4205

Pas de mot de passe vide :

PermitEmptyPasswords no

Désactivation de l’authentification avec le service PAM :

UsePAM no

On vérifie que la ligne AuthorizedKeysFile ne soit pas commentée :

AuthorizedKeysFile      %h/.ssh/authorized_keys

Pour prendre en compte les modifications, il faut recharger le fichier de configuration à l’aide de la commande suivante :

# /etc/init.d/ssh reload

Bien évidement, si vous changez le port par défaut, il faudra le spécifier lors de votre connexion au serveur :

$ ssh -p 4205 tom@192.168.1.13

Utilisation des clés partagées :

Jusqu’à présent la connexion se fait à l’aide d’un simple mot de passe, d’un point de vue sécurité, ce n’est certainement pas le meilleur choix. Le protocole SSH supporte l’usage des clés privés/publiques pour se connecter au serveur distant. La première étape consiste à créer ce couple de clés en faisant bien attention d’attribuer une passphrase solide:

$ ssh-keygen -t dsa

Les clés générées se trouvent dans le répertoire ~/.ssh :

$ tree ~/.ssh
.ssh
 config
 id_dsa
 id_dsa.pub
 known_hosts

Il faut à présent transférer la clé publique du client au serveur en utilisant le script sh-copy-id, et c’est à partir de là que tout a coincé pour moi :

$ ssh-copy-id -i ~/.ssh/id_dsa.pub tom@191.168.1.13

Cette commande ne m’a renvoyé qu’un joli « time out », je ne connais pas la raison, j’ai donc cherché à transférer cette clé d’une manière plus artisanale, en utilisant la commande scp :

$ scp ~/.ssh/id_dsa.pub  tom@193.168.1.13

Pas de chance, ça ne fonctionne pas non plus !

Après m’être rendu sur différents IRC, un proposition m’a été donné :

$ scp ~/.ssh/id_dsa.pub  tom@192.168.1.13:~/

Et là, ça fonctionne ! Il ne manquait apparemment que le petit ‘:~/‘.

Il ne reste plus qu’à placer la clé dans le bon répertoire, on commence donc par se connecter :

$ ssh tom@192.168.1.13

On crée la répertoire ~/.ssh/ :

$ mkdir ~/.ssh

On copie la clé dans le ficher authorized_keys, puis on lui applique un chmod 600 :

$ cat ~/id_dsa.pub >> ~/.ssh/authorized_keys
$ chmod 600 ~/.ssh/authorized_keys

Pour finir, on supprime la clé précédemment copiée :

$ rm ~/id_dsa.pub

Ouf ! Une bonne chose de résolue ! C’est parti, pour un petit test :

$ ssh 192.168.1.13

La passphrase est bien demandée, tout fonctionne à merveille ;) . On peut maintenant supprimer l’authentification par mot de passe dans le fichier de configuration du serveur :

# vim /etc/ssh/sshd_config
PasswordAuthentication no

Authentification avec ssh-agent :

Devoir inscrire sa passphrase à chaque connexion est une tâche relativement… Ennuyeuse. On va donc utiliser l’outil ssh-agent pour pallier à ce problème. Sur la machine cliente faite :

$ ssh-agent
$ ssh-add

La passphrase vous sera demandée une dernière fois. À présent, vous pouvez vous connecter/reconnecter au serveur distant sans être embêter durant toute la session !

Création du fichier ~ssh/config :

Histoire de rendre l’utilisation de la connexion à distance plus agréable, il est possible de remplir un petit fichier de configuration sur la machine cliente :

$ vim ~/.ssh/config
Host Serveur 
Hostname 192.168.1.13
Port 4205
User tom
IdentityFile ~/.ssh/id_dsa

Pour se connecter au serveur il suffira de faire :

$ ssh Serveur

L’article touche à sa fin et comme vous pouvez le voir, il me reste encore beaucoup à apprendre ! En ce qui concerne la configuration du fichier sshd_config, il me reste encore à définir les IP, les utilisateurs ou encore les noms de domaines pouvant avoir accès au serveur. J’ai bien tenté d’ajouter la ligne :

ListenAddress 192.168.1.10

Mais cela a eu pour simple effet de me supprimer l’accès au serveur, ce qui bien évidement n’est pas vraiment voulu ! Je dois également me pencher sur la configuration des fichiers hosts, hosts.allow et hosts.deny sans oublier la prise en main des outils fail2ban et iptables… Bref que du bonheur en perspective ;) .

Même si cet article est loin d’être un exemple à suivre, j’espère que je ne vous ai pas trop ennuyé avec ! Pour finir voici une photographie de mon super serveur :

]]>
http://ubunblox.servhome.org/lhistoire-dun-debutant-en-ssh.html/feed 8
Création de mots de passe avec Pwgen http://ubunblox.servhome.org/creation-de-mots-de-passe-avec-pwgen.html http://ubunblox.servhome.org/creation-de-mots-de-passe-avec-pwgen.html#comments Mon, 25 Jul 2011 16:49:56 +0000 David Lopes Ferreira http://ubunblox.servhome.org/?p=3782 Suite à ma mésaventure de ce week-end, j’ai été plus ou moins contraint de changer l’ensemble de mes mots de passe. Dans la précipitation, il m’a fallu trouver une application qui fait simplement ce qu’on lui demande.

Après avoir cherché un peu avec l’utilitaire yaourt, je suis tombé nez à nez avec Pwgen : Un petit programme en mode texte qui génère des mots de passe selon les besoins de l’utilisateur.

Impeccable, c’est justement ce dont j’avais besoin !

Installation :

Ouvrez votre terminal adoré et faites :

$ yaourt -S pwgen

How to :

L’utilisation de Pwgen est relativement simple, si vous le lancez sans y joindre d’option, vous obtiendrez une liste de mots de passe répondant aux critères suivant :

  • Longueur du mot de passe : 8 Caractères.
  • Caractères alphanumériques : Oui.
  • Majuscule et minuscule : Oui.
  • Pas de caractères spéciaux.

Pour obtenir ce résultat, il suffit de lancer l’application en faisant simplement :

$ pwgen

Options :

Dans la plupart des cas, la liste des mots de passe obtenus avec les valeurs par défauts conviendra. Mais bien évidement Pwgen permet via ses nombreuses options de créer des mots de passe qui correspondront à vos besoins.

Voici une petite liste des options disponibles :

  • 0 : Ne pas inclure de numéros dans les mots de passe.
  • 1 : Afficher les mots de passes ligne par ligne.
  • A : Pas de majuscule.
  • B : Pas de caractères ambigüe comme I, l ,1, O, 0.
  • c : Inclure au moins une majuscule dans les mots de passe.
  • y : Au moins un caractère spécial sera présent dans le mot de passe.
  • h : Affiche l’aide.

Pour de plus amples informations, je vous conseille vivement de faire un petit :

$ man pwgen

Exemples :

  • Générer une liste de mots de passe ne contenant pas de chiffre, ni de majuscule et incluant au moins un caractère spécial :
$ pwgen -0Ay
  • Créer une liste de mots de passe contenant 6 caractères et n’incluant pas de majuscule :
$ pwgen 6 -A
  • Une autre liste sans chiffre, ni de caractère ambigüe :
$ pwgen -0B
  • Créer 3 mots de passe de 6 caractères :
$ pwgen 6 3

Voilà un outil qui facilitera grandement la création de vos mots de passe ;) .

Lien :

]]>
http://ubunblox.servhome.org/creation-de-mots-de-passe-avec-pwgen.html/feed 6