Clés SSH et transferts SCP sans mot de passe

Transferts SCP sans mot de passe

Salut à tous, aujourd’hui un rapide tuto pour sécuriser et automatiser des transferts SCP sans mot de passe entre 2 machines linux. Pour ça on va utiliser des clés SSH, d’un point de vue crypto, il s’agit simplement d’un système classique clé publique/privée où vous installer votre clé publique sur un serveur puis vous utilisez la clé privée associée pour prouver votre identité auprès de ce serveur. A noter qu’un problème de ce système pour SSH c’est qu’il ne supporte pas nativement les certificats X509 et que par défaut il faut utiliser un format SSH « maison ». Il existe néanmoins des builds de openSSH supportant les certificats numérique standard comme PKIX-SSH.

Et sans transition la procédure pour mettre ça en place avec des clés SSH classiques.

Génération de clés SSH

Sur le serveur qui devra exécuter SCP et établir la connexion TCP :

apt-get install openssh-client

Puis générer une bi-clé RSA pour SSH :

ssh-keygen -t rsa -b 2048
Generating public/private rsa key pair.
Enter file in which to save the key (/home/user/.ssh/id_rsa): /home/user/.ssh/script1_rsa
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/user/.ssh/script1_rsa
Your public key has been saved in 
Lire la suite

Installer SSLYZE depuis les sources

Installer SSLYZE

Bonjour à tous, on va se faire un rapide TP aujourd’hui pour installer SSLYZE depuis les sources. En effet, je n’ai pas trouvé de doc complète sur le sujet et j’ai été obligé de grappiller des informations à droites à gauche avant d’obtenir ça. Concernant SSLYZE, je vous en ai parlé dans le dernier TP pour la mise en place d’HTTPS sur le nouveau serveur. Il s’agit d’un outil open-source qui permet de tester la configuration SSL de son site web. C’est aussi un concurrent opensource de SSL Server Test chez Qualys-SSL Labs. Pour finir, c’est développé par un français (à San Francisco, faut pas déconner): M. Alban Diquet que vous trouverez sur LinkedIn  et sur Twitter ici. Je vous laisse lire le pedigree du bonhomme.

Installer SSLYZE depuis les sources

Sans transition pour l’installation depuis les source il vous faudra  :

yum install git python2 python-dev

Lib NaSSL

Avant d’installer SSLYZE, la bilbiothèque NaSSL est une dépendance obligatoire pour SSLYZE. On va donc l’installer :

git clone https://github.com/nabla-c0d3/nassl.git
cd nassl
python2 setup.py build_ext -i
python2 sample_client.py
python2 run_tests.py # OK partout <= Tout va bien 
cd ..

SSLYZE

On peut donc maintenant cloner le dépot de … Lire la suite

Sécurité de Telegram… ou la sécurité par les nuls !

Sécurité de Telegram

Salut à tous, je suis tombé sur un excellent article de reflet.info sur la sécurité de Telegram. Et pour une fois, on a le droit une vraie analyse technique de l’application et de sa sécurité. Et elle tord le coup à tout ce qu’on peut entendre à la radio ou la télé sur cette, soi-disant, application cryptique pour terroriste.

En lisant, on se rend compte rapidement que loin d’être invulnérable elle présente des grosses faiblesses de sécurité d’un point de vue architectural/conception (5 IP frontales seulement, regroupement probable des données par zone géographique). Sans compter que la localisation des serveurs les rends tout à fait exploitables par les services de renseignements des pays hébergeurs. Alors oui la crypto fait son boulot, et c’est déjà trop pour nos barbouzes (qui ne font pas que du mauvais boulot au passage). Et pour qui il ne suffit plus de se mettre en interception réseau pour analyser tout le trafic sans se bouger leur cul de la chaise. Mais ça ce n’est pas un problème propre à Telegram : Tout l’Internet fonce comme une licorne sous cocaïne vers le 100% HTTPS… Merci Let’s Encrypt.

Non, mais « Allo quoi ? » … Lire la suite

Configurer HTTPS sur NGINX… correctement !

Configurer HTTPS sur NGINX

Salut à tous, dernier TP de la série qui fait suite à la réinstallation du serveur. On va voir comment configurer HTTPS sur NGINX… correctement. Car la crypto c’est pas une affaire de néophytes et on tombe facilement sur des sites plus ou moins connus ou officiels qui ont une configuration SSL à la rue. Par exemple vous regardez si votre banque, de votre boîte, association suit les bonnes pratiques pour assurer la confidentialité de vos communications ? Ça se voit de moins en moins sur des gros sites mais au détour d’une session web on tombe parfois sur une erreur comme celles qui sont très bien mises en exemple sur badssl.com. Si vous voulez vraiment du sang des exemples : il suffit de jeter un oeil à la « Recent Worst List » chez SSLLabs-Server Test.

Bref, on va voir comment configurer HTTPS avec NGINX à l’aide de Certbot pour le certificat (Let’s Encrypt) sur une Debian 8 et ajuster la configuration de NGINX pour être bibiche sur le test de SSLLabs.

Certbot, Le nouveau Let’s Encrypt.

Alors j’ai déjà parlé de Let’s Encrypt avec le serveur précédent donc on va pas revenir dessus, par contre … Lire la suite